Институт внутренних аудиторов

Выбрать дату в календареВыбрать дату в календаре

Внутренний Аудит нуждается в управлении собственными рисками, Управление своими собственными рисками может повысить эффективность функции Внутреннего Аудита и продемонстрировать, что он практикует то, что проповедует.
 

[B][SIZE=13pt]Внутренний Аудит нуждается в управлении собственными рисками[/SIZE][/B]

[I]Управление своими собственными рисками может повысить эффективность функции Внутреннего Аудита и продемонстрировать, что он практикует то, что проповедует.[/I]

[B]Автор[/B]: Kevin Shen, CFA, CPA, вице-президент по внутреннему аудиту, HSBC (США, Нью-Йорк)

Август 2017

[B]Перевод [/B]Елены Фроловой-Ивановой под редакцией Евгения Зверева, CIA

Одной из задач Внутреннего Аудита (ВА) является обеспечение того, чтобы организация эффективно управляла рисками. А как обстоит дело с управлением рисками внутри самого Внутреннего Аудита?

Подразделения ВА сталкиваются с теми же рисками, что и другие корпоративные подразделения. Если внутренние аудиторы не могут правильно управлять своими собственными рисками, то им трудно обучать и говорить другим, что необходимо эффективно управлять рисками. Внутренние аудиторы должны сами практиковать то, что они проповедуют.

Программа управления рисками во Внутреннем Аудите должна иметь такие же результаты, как и любая другая компетентная программа управления рисками. Подразделению ВА необходимо определить все соответствующие риски; проанализировать оценку рисков; установить так называемый риск-аппетит; снизить, управлять, избегать, передавать или принимать риски; а также постоянно контролировать/ мониторить собственные риски.

Риск в контексте ВА может быть определен как неопределенное событие или условие, которое, если оно происходит, оказывает влияние на, по меньшей мере, одну внутреннюю цель аудита. Как таковой, ВА следует начать с изучения своей (Внутреннего Аудита) миссии и целей, которые обычно определены в уставе/регламенте ВА, утвержденном Советом директоров или Комитетом по аудиту. Понимая ключевые задачи ВА, аудиторы могут выявить риски, которые будут препятствовать достижению этих целей.

[B]Стратегический риск[/B]

Одним из наиболее значимых рисков является стратегический риск.
Он напрямую зависит от того, какую стратегическую позицию в рамках организации занимает Подразделение ВА и от того, позволяет ли эта позиция достигать ему своих целей.
Другие соображения касаются следующего: имеет ли Подразделение ВА полномочия, независимость и объективность, гарантирующие твердость своих убеждений, чтобы помочь организации улучшить управление рисками; ориентируется ли оно на предоставление гарантий или финансовое оздоровление; и работают ли в нем «правильные» сотрудники.

Стратегический риск может возникнуть, когда стратегия ВА не совпадает с общей стратегией организации. Например, это может произойти в организации, которая планирует расширять свое присутствие на развивающихся рынках, а Внутренний Аудит не имеет возможности покрыть риски за рубежом, относящиеся к взяточничеству и коррупции и связанные с этим расширением. У каждой организации своя специфика, но руководитель Службы внутреннего аудита (англ. – САЕ – the Chief Audit Executive), как правило, может управлять этим риском за счет совершенствования Устава внутреннего аудита; взаимодействия с Советом директоров, высшим руководством и другими заинтересованными сторонами (стейкхолдерами); и поддержания оценки рисков и планов аудита в актуальном состоянии.

[B]Репутационный риск[/B]

Доверие – самый важный актив любого аудита. Репутационный риск – это вероятность того, что негативная огласка в отношении практики ВА приведет к снижению доверия к его работе. Заблуждения, касающиеся ВА, могут свести на «нет» все попытки достичь нужных целей. Кроме того, репутационный риск может возникнуть из операционного или комплаенс-риска.

Репутационнный риск можно снизить путем:

·         поддержания своевременной и эффективной коммуникации между заинтересованными сторонами (стейкхолдерами);

·         усиления этических принципов;

·         создания осведомленности у всех сотрудников компании на всех уровнях;

·         разработки комплексной методологии анализа, ориентированной на риски и встроенные элементы контроля, которые позволят оперативно и качественно реагировать на них заинтересованным сторонам (стейкхолдерам);

·         создания команды быстрого реагирования на случай серьезных действий/ситуаций, которые могут негативного повлиять на функцию ВА.

Стратегическое позиционирование функции ВА должно быть хорошо подготовлено, чтобы эффективно защитить собственную репутацию.

[B]Комплаенс-риск[/B]

Комплаенс-риск становится важным для внутренних аудиторов, особенно в сильно регулируемых отраслях: к примеру, в крупных банках. Например, американское Управление контролера денежного обращения создало более высокие стандарты, включающие в себя руководящие принципы в отношении роли и функций Внутреннего Аудита. Федеральный Резервный Банк выпустил Дополнение к заявлению о функции Внутреннего Аудита и его аутсорсинга.

Поскольку Подразделения ВА углубляются в аналитику данных, может возникнуть озабоченность, связанная с соблюдением правил по защите данных о потребителях и законов о трансграничной неприкосновенности частной жизни. Ключом к управлению риском является тщательная оценка законов и положений, а его устранение осуществляется посредством собственных политик и процедур, а также обеспечением способности демонстрировать соблюдение правил. Внутренние проверки, проведенные независимой группой по контролю и обеспечению качества, могут помочь выявить потенциальные проблемы и предотвратить инциденты, связанные с несоответствием.

[B]Операционный риск[/B]

В отличие от предыдущих рисков, категория, наиболее актуальная в повседневной деятельности Внутреннего Аудита – это операционный риск, который состоит из рисков, возникающих в связи с нехваткой людей, процессов или технологий.
Как и другие подразделения, Служба внутреннего аудита имеет конкретные оперативные цели такие как: выполнение годового плана по ВА, утверждение/обоснование проблем, выявленных в ходе аудита, поддержание расходов в рамках определенного бюджета, подготовка квалифицированных кадров.

Для того, чтобы управлять операционным риском, нужно применять системный подход, включающий определение/создание операционного риск-аппетита, разработку ключевых показателей эффективности и показателей риска, мониторинг и принятие мер для снижения рисков. Например, для обеспечения своевременного выполнения плана по ВА, возможно, будет полезно внимательно следить за началом аудиторской проверки, завершением «полевых» работ, а также датами отчетов. Доска в кабинете, на которой наглядно отображен ход выполнения работ каждой из команд, поможет управлять рисками, связанными с исполнительностью каждой команды. Графа о гарантиях качества результатов для каждой из команд также может дать возможность руководителю Подразделения ВА выявить команды, имеющие проблемы с выполнением проверок, и провести соответствующее обучение для устранения этого риска.

После идентификации и определения самих рисков, Подразделению ВА следует установить пороговые значения для мониторинга и снижения этих рисков. Цветовые коды могут выделить направления, на которых надо сфокусироваться. Например, если более 20% выполняющихся проверок задерживается более чем на 30 дней, «красный статус» может указать на риск срыва сроков плана по ВА. Если «коэффициент оборачиваемости» одной команды составляет более 20%, возможно, настало время подчеркнуть риск как красный для действий.

Пороговые значения зависят от риск-аппетита CAE, но он также должен учитывать «вклад» стейкхолдеров в возникновение рисков. Например, CAE может указать, что на следующий календарный год может быть перенесено не более 5% плана ВА. И если поставленная цель под угрозой, то CAE должен принять меры для снижения рисков. Например, если объем работ в определенное время года увеличивается, помочь снизить риск невыполнения плана по ВА может частичное привлечение сторонних экспертов/консультантов (косорсинг).

Кроме того, Внутренний Аудит должен, по крайней мере в принципе, практически применять Политику управления рисками предприятия (где он функционирует) в ситуациях, где это уместно. Например, оперативные инциденты в деятельности Внутреннего Аудита, такие как потенциально-опасные происшествия без последствий (инциденты, которые «почти случились»), должны быть зафиксированы во внутреннем отчете, их причины должны быть проанализированы, чтобы предотвратить подобные события в будущем.

[B]Минимизация[/B][B] рисков Внутреннего Аудита[/B]

В дополнение к установлению показателей риска, пороговых значений и отслеживанию инцидентов существуют и другие полезные инструменты. Например, ВА может использовать матрицу контроля рисков для проведения самооценки по контролю рисков, что определяет адекватность внутреннего контроля в рамках Подразделения ВА. Можно улучшить управление собственными рисками путем создания Библиотеки рисков и соответствующего контроля, а также проведением периодической самооценки.

Комплексный подход к управлению стратегическим, репутационным, комплаенс, операционным и другими рисками Внутреннего Аудита приведет к его большей эффективности. Кроме того, он может позволить Подразделению ВА помочь улучшить процесс управления рисками в самой компании.

Источник - [URL=https://iaonline.theiia.org/2017/Pages/Internal-Audit-Needs-Risk-Management,-Too.aspx#.WZMHQsSWTko.email]https://iaonline.theiia.org/2017/Pages/Internal-Audit-Needs-Risk-Management,-Too.aspx#.WZMHQsSWTko.email[/URL]

Аудит киберустойчивости, Внутренние аудиторы должны предоставить гарантии киберустойчивости более чем по восьми категориям.
 

[B]Вперед, к аудиту киберустойчивости[/B]

Для аудита киберустойчивости может потребоваться некоторый уровень ИТ-компетенции, однако существует множество оценочных и консультационных направлений, по которым могут работать внутренние аудиторы с невысоким уровнем понимания ИТ. Для соблюдения более серьезных ИТ-требований при аудите киберустойчивости, Служба внутреннего аудита может иметь в штатном расписании аудиторов с более высоким уровнем ИТ-компетенции, либо использовать аутсорсинг. Руководитель внутреннего аудита может оценить текущие навыки штатного персонала, а затем сформировать план по повышению его компетентности в области ИТ. Существует несколько учебных курсов IIA, которые обеспечивают базовую подготовку в области информационных технологий и кибербезопасности. Основное внимание должно быть уделено повышению степени ИТ-навыков всех сотрудников, что позволит им оценивать киберустойчивость во всех аудитах.

Когда внутренний аудитор понимает, что такое киберустойчивость, а сотрудники обучены основным ИТ-компетенциям, он разрабатывает план оценок и консультаций. Этот план может включать оценку киберустойчивости в области, в которой в настоящее время работает группа внутренних аудиторов (см. ниже «Действия по снижению киберугроз»).

Обеспеченный соответствующими навыками в области ИТ и соответствующим планом, Внутренний Аудит может быть на «переднем крае» оценки и консультирования по стратегиям киберустойчивости своей организации.

[B]Деятельность по каждой категории киберустойчивости[/B]

Внутренние аудиторы могут проводить оценочную и консультационную деятельность для каждой категории киберустойчивости.

[B]Управление[/B]

[LIST=1]
[*]

Обеспечить, чтобы Руководитель внутреннего аудита и Руководитель по ИТ совместно сообщали о необходимости поддержания киберустойчивости Исполнительному руководству и Комитету по аудиту.

[*]

Проанализируйте киберустойчивость с использованием признанного стандарта. Это может включать работу с функцией безопасности организации.

[*]

Проанализируйте программы информирования и обучения пользователей и показатели, которые используются для определения того, успешны ли текущие уровни обучения.

[*]

Просмотрите соответствие политик и процедур, которые определяют, какие системы и данные имеют решающее значение для текущей структуры кибербезопасности бизнес-стратегий.

[/LIST]

[B]Снижение прав доступа пользователей[/B]

[LIST=1]
[*]

Просмотрите возможности привилегированного доступа, подтвердив перечень этих пользователей с возможностью администрирования домена и контролируя их активность.

[*]

Выполните аудит управления доступом в различных системах на основе ротации.

[*]

Просмотрите процедуры активации и деактивации учетной записи пользователя, обеспечивающие правильный доступ для новых пользователей и своевременное отключение завершенных учетных записей, а также проверьте, требуется ли соответствующее разрешение для доступа и назначается ли минимальный доступ.

[*]

Работайте с персоналом ИТ, чтобы оценить его значение в каждой системе, чтобы подтвердить, что оно (значение) соответствуют принципу наименьшего возможного доступа.

[*]

Содействуйте обучению владельцев приложений, чтобы гарантировать, что доступ пользователей периодически проверяется.

[/LIST]

[B]Активное реагирование[/B]

[LIST=1]
[*]

Оцените стратегию, используемую для размещения сетевых устройств в режиме активного реагирования на инциденты и оцените, учтены ли в ней текущие бизнес-стратегии.

[*]

Просмотрите тестирование планов реагирования на инциденты и убедитесь, что планы обновляются по мере изменения уровня угрозы.

[/LIST]

[B]Обеспечение целостности данных[/B]

[LIST=1]
[*]

Участвуйте в проектах развития ИТ, чтобы гарантировать, что безопасность обеспечена в течение всего проекта.

[*]

Оцените процессы управления поставщиками, чтобы организация заключала контракты только с авторитетными.

[*]

Просмотрите, как происходит обмен данными между физическими и логическими сетями или сегментами сети и убедитесь, что конфиденциальные данные невозможно переместить в менее безопасные области.

[/LIST]

[B]Мониторинг[/B]

[LIST=1]
[*]

Работа с функцией безопасности для разработки или оценки показателей, обозначающих, что «тревожные» сообщения об инцидентах своевременно передаются и устраняются.

[*]

Используйте стороннего эксперта для проведения теста на проникновение - с минимальным участием штатных специалистов ИТ - для проверки адекватности процедур обнаружения и смягчения его последствий.

[*]

Обеспечьте периодическое сканирование уязвимостей и своевременное устранение выявленных угроз.

[*]

Проверьте эффективность программ по предупреждению угроз.

[/LIST]

[B]Решения для восстановления[/B]

[LIST=1]
[*]

Проведите пошаговый анализ состояния безопасности удаленного хранилища информации, чтобы гарантировать, что соответствующие меры безопасности функционируют.

[*]

Проверьте, формируются ли регулярные резервные копии важных систем и данных.

[*]

Участвуйте в регулярных процедурах тестирования ИТ-отдела путем случайного выбора резервных копий из хранилища за пределами отдела и наблюдения за процедурой восстановления.

[*]

Просмотрите избыточность питания и кабелей.

[*]

Участвуйте в мероприятиях по восстановлению непрерывности после стихийных бедствий.

[/LIST]

[B]Сегментирование / скоординированная защита[/B]

[LIST=1]
[*]

Проанализируйте адекватность стратегии сегментации сети для защиты критически важных данных и систем. Кроме того, проверьте, защищены ли сетевые границы, которые сегментируют критические данные и системы соответствующим сетевым устройством (брандмауэром).

[*]

Просмотрите политики и процедуры кибербезопасности и предложите улучшения.

[*]

Просмотрите информацию о требованиях к киберстрахованию, а также убедитесь, что нет дублирования услуг между экспертами, привлекаемыми в рамках киберстрахования и штатными специалистами.

[/LIST]

[URL=https://www.iia-ru.ru/bitrix/admin/iblock_element_edit.php?IBLOCK_ID=19&type=magazines&ID=0&lang=ru&IBLOCK_SECTION_ID=95&find_section_section=95&from=iblock_list_admin#_ftnref1]
[1][/URL] Кибербезопасность — процесс использования мер безопасности для обеспечения конфиденциальности, целостности и доступности данных.Первоисточник [URL=https://iaonline.theiia.org/2017/Pages/Auditing-Cyber-Resiliency.aspx?utm_source=SilverpopMailing&utm_medium=email&utm_campaign=20170884_Global_LeadersLink_072117%20(1)&utm_content=&spMailingID=16076008&spUserID=NjM5NjU3NzY4NDkS1&spJobID=1023681615&spReportId=MTAyMzY4MTYxNQS2]https://iaonline.theiia.org/2017/Pages/Auditing-Cyber-Resiliency.aspx?utm_source=SilverpopMailing&utm_medium=email&utm_campaign=20170884_Global_LeadersLink_072117%20(1)&utm_content=&spMailingID=16076008&spUserID=NjM5NjU3NzY4NDkS1&spJobID=1023681615&spReportId=MTAyMzY4MTYxNQS2[/URL]

[URL=https://www.iia-ru.ru/bitrix/admin/iblock_element_edit.php?IBLOCK_ID=19&type=magazines&ID=0&lang=ru&IBLOCK_SECTION_ID=95&find_section_section=95&from=iblock_list_admin#_ftnref2][2][/URL] Инцидент (IT-Incident) – это любое явление, выходящее за рамки штатной работы ИТ-структуры, прямо, косвенно или потенциально ведущее к остановке процессов системы или негативно отражающееся на качестве ее функционирования

[URL=https://www.iia-ru.ru/bitrix/admin/iblock_element_edit.php?IBLOCK_ID=19&type=magazines&ID=0&lang=ru&IBLOCK_SECTION_ID=95&find_section_section=95&from=iblock_list_admin#_ftnref3][3][/URL] Урегулирование инцидента – восстановление нормальной работы с минимальными задержкой и влиянием на бизнес-процессы.

[URL=https://www.iia-ru.ru/bitrix/admin/iblock_element_edit.php?IBLOCK_ID=19&type=magazines&ID=0&lang=ru&IBLOCK_SECTION_ID=95&find_section_section=95&from=iblock_list_admin#_ftnref4][4][/URL] Киберстрахование представляет собой вид страхования, используемый для защиты предприятий и индивидуальных пользователей от интернет-рисков, и, как правило, от рисков, связанных с информационно-технологической инфраструктурой.

Аудит киберустойчивости, Внутренние аудиторы должны предоставить гарантии киберустойчивости более чем по восьми категориям.
 

[B]Активное реагирование[/B]

Киберустойчивость с активным реагированием, обеспечивает своевременное выявление и урегулирование [3] обнаруженных инцидентов. Хотя это может включать своевременное «ручное» реагирование, методы киберустойчивости более ориентированы на автоматизированное реагирование.
Брандмауэры и другие сетевые устройства должны быть адаптированы таким образом, чтобы ограничить (запретить) доступ к определенным частям сети на основе текущего уровня угрозы. Процессы обнаружения вторжения и реагирования должны непрерывно находиться в состоянии активности и в случае инцидента закрывать часть сети или доступ в Интернет для всей организации. Недостатком активного автоматического реагирования являются непредвиденные последствия, которые могут прервать ключевые бизнес-процессы, особенно связанные с Интернет-технологиями.

Таким образом, сочетание ограниченного автоматизированного режима и своевременного ручного реагирования может считаться лучшей альтернативой по сравнению с полностью автоматизированным.

[B]Гарантия целостности данных[/B]

Киберустойчивость ограничивает повреждение системы или данных в случае инцидента. Организации могут использовать комбинацию физических и логических ограничений для обеспечения целостности данных, в том числе:

·         Ограничение потока данных между границами сети или сегментами с учетом уровня угрозы.

·         Защита данных путем ручного отключения опции записи на устройствах или разрешение использования дисков только для чтения (для операционной системы или других исполняемых файлов).

·         Внедрение принципа «жизненного цикла» при создании безопасной системы.

·         Должная осмотрительность при выборе поставщиков для обеспечения приобретения аппаратного и программного обеспечение у авторитетных источников.

·         Создание «белых» списков с целью обеспечения получения данных только из надежных источников и обеспечения того, чтобы вредоносное программное обеспечение не могло быть внедрено через Web-страницы организации.

·         Обеспечение своевременного восстановления испорченных данных.

[B]Мониторинг[/B]

Чтобы обеспечить киберустойчивость, мониторинг должен осуществляться на более высоком уровне активности в целом, чтобы стандартные процессы реагирования стали минимально приемлемым уровнем.
Отслеживание, регистрация и оповещение должны происходить своевременно и способствовать активному реагированию. Испытания на уязвимость и проникновение должны проводиться на плановой и внеплановой основе. Планы реагирования на инциденты должны постоянно обновляться и обучение пользователей должно проводиться на основе существующих угроз.

[B]Восстановление[/B]

Восстановление киберустойчивости основано на стандартных процессах резервного копирования, аварийного восстановления и планирования непрерывности. Однако уровень общего взаимодействия и реагирования может быть более активным и диверсифицированным. Аспекты киберустойчивости включают в себя резервное хранение данных, которые могут ускорить восстановление, как на месте, так и за его пределами в безопасных местах, а также использование резервных - систем, производственных площадок, источников питания. Аварийное восстановление и непрерывность бизнеса должны включать диверсифицированное планирование, а дополнительные проверки и планирование осуществляются чаще, основываясь на текущих киберугрозах.

[B]Скоординированная защита[/B]

Скоординированная защита является наиболее важной категорией киберустойчивости и должна включать аспекты всех предыдущих категорий, объединенных в комплексную стратегию. Кроме того, скоординированная защита должна включать обеспечение соответствующего киберстрахования [4] и привлечение внешних специалистов для обеспечения одномоментного наличия достаточных и компетентных ресурсов в случае «успешной» хакерской атаки. Если соответствующие условия содержатся в полисе, то киберстрахование может предоставить и финансовую страховую защиту, и дополнительных специалистов. Поэтому общая координация должна обеспечить отсутствие дублирования между штатными и сторонними специалистами, предусмотренными в полисе.

В целом, координация необходима для управления всеми «движущимися частями» во время киберкризиса, включая специальное расследование, связь с общественностью и информирование о хакерской атаке. Неотъемлемой частью скоординированной защиты является наличие плана антикризисного управления. Кроме того, организации необходимо будет выполнить множество мероприятий, требующих как технических, так и нетехнических ресурсов. Использование внешних специалистов, в дополнение к штатным ресурсам в рамках скоординированной защиты, может значительно усилить ответную «киберреакцию» организации.

Аудит киберустойчивости, Внутренние аудиторы должны предоставить гарантии киберустойчивости более чем по восьми категориям.
 
[B][SIZE=13pt]Аудит киберустойчивости[/SIZE][/B]

Внутренние аудиторы должны предоставить гарантии киберустойчивости более чем по восьми категориям.

Джеймс Рейнхард, 30 мая 2017 г.

Перевод: Евгений Зверев, CIA

Организации осуществляют мероприятия по кибербезопасности [1] для предотвращения/минимизации последствий кибернападения.

Понятие киберустойчивость определяет взгляд на обеспечение кибербезопасности, как на проведение комплекса обычных, ежедневных, рутинных рабочих мероприятий.

Для достижения этой цели ИТ-специалистам необходимо определить направления кибербезопасности, которые должны быть устойчивы, а внутренние аудиторы должны определить области, в которых они могут обеспечить гарантии и полезные консультации.

Директива Президента США №21 («Национальная безопасность») определяет киберустойчивость как «способность подготовиться и адаптироваться к изменяющейся обстановке, а также успешно противостоять и быстро восстановиться после сбоев. Устойчивость включает в себя способность противостоять и восстанавливаться после преднамеренных нападений, несчастных случаев или реализации естественных угроз или инцидентов [2]». Предпосылка киберустойчивости заключается в предположении, того что организация потенциально будет «атакована» и произойдет хакерское проникновение, поэтому организациям необходимо сосредоточиться на распознавании подобных инцидентов и восстановлении в случае их реализации.

Публикация 2013 года MITRE Corp. отмечает, что американским Национальным институтом стандартов и технологий (NIST's) определено приблизительно 860 точек контроля и методов улучшения («Безопасность и конфиденциальность для федеральных информационных систем и организаций», Special Publication 800-53 Revision 4). В публикации «[URL=https://www.mitre.org/sites/default/files/publications/13-4047.pdf]Киберустойчивость и NIST Special Publication 800-53 Rev.4 Controls»[/URL] указывается, что большинство элементов контроля сосредоточено на достижении безопасности в части конфиденциальности, целостности и доступности. Согласно MITRE, в зависимости от классификации, примерно 17 % контроля сосредоточены на киберустойчивости.

Элементы управления киберустойчивостью могут быть сгруппированы по нескольким категориям, таким как: управление, стратегия прав доступа пользователей, сегментирование, активное реагирование, обеспечение целостности данных, мониторинг, методы восстановления и скоординированная защита.

[B]Управление[/B]

Управление киберустойчивостью осуществляется посредством процесса управления рисками (ERM), общей стратегии безопасности, организационных политик и процедур, стратегий коммуникации и повышения осведомленности, а также использования общепринятых схем и оценок уровня зрелости.
Киберустойчивость является частью более глобального понятия кибербезопасности. Стратегия кибербезопасности организации должна быть сосредоточена на критически важных данных и системах, поскольку именно они должны быть в наименьшей степени подвержены инцидентам и быть наиболее устойчивыми. Киберустойчивость акцентируется на политиках и процедурах для имеющихся данных и систем, классифицированных «по значимости».
Когда инцидент произошел, организация должна обеспечить прозрачную стратегию коммуникации и убедиться, что ее сотрудники осведомлены об этом. Кроме того, текущий уровень киберустойчивости оценивается по состоянию киберустойчивости всей организации.

[B]Права доступа пользователя[/B]

Право доступа пользователя должно следовать принципу минимизации, чтобы обеспечить минимально необходимый доступ для выполнения работы. Этот принцип является основным для киберустойчивости на четырех уровнях обеспечения кибербезопасности: аутентификация, авторизация, доступ и мониторинг.
Для пользователей с более высоким правом доступа, организации должны внедрять расширенные механизмы аутентификации, например, двухфакторную аутентификацию. Для авторизации подобных пользователей может потребоваться более одного уровня утверждения авторизации. Мониторинг Внутреннего аудита должен быть направлен, прежде всего, на активный анализ и оценку сотрудников с более высокими правами доступа. Кроме того, необходимо обеспечить изменение права доступа при изменении уровня киберугрозы.

[B]Сегментирование[/B]

Киберустойчивость в первую очередь фокусируется на сегментированном архитектурном подходе, используя стратегию защиты в глубину. Этот подход должен включать изоляцию критически важных данных и систем, в соответствии с политиками и процедурами организации. Многослойный сетевой подход должен охватывать как логические, так и физические сети и иметь ограниченные «доверительные отношения».
Ключевые сетевые сегменты и внешние сетевые подключения должны включать набор пограничных защит, таких как брандмауэры, которые используют политики и процедуры для ограничения доступа к каждому сегменту. Другие ключевые защиты устанавливают запрещение прямых подключений к Интернету и возможность приема входящих сообщений только из надежных источников.

Как провести аудит корпоративной культуры?, Аудиты в области корпоративной культуры могут помочь заинтересованным лицам разобраться в причинах не эффективного организационного поведения.
 

[B]Показатели оценки[/B]

В дополнение к указанным выше методам ВА может использовать аналитические показатели, характеризующие корпоративную культуру как для разработки планов периодического аудита и проектов аудита, так и подтверждения результатов аудита. Точные данные всегда убедительны. Ежемесячный мониторинг ВА может быть объективным взглядом на корпоративную культуру для высшего руководства и совета директоров. Мониторинг может отображать такие показатели как:

[LIST=1]
[*]

Результаты опроса клиентов.

[*]

Количество и тенденция жалоб клиентов.

[*]

Статистика оборота.

[*]

Статистика времени.

[*]

Претензии по гарантии.

[*]

Частота выполнения целевых показателей эффективности.

[*]

Частота неудач крупных проектов.

[*]

Статистика Горячей линии.

[*]

Данные о воздействии на окружающую среду.

[/LIST]

Выбор наилучших показателей зависит от самой организации. Некоторые показатели характерны для организации и для ее отрасли.

[B]Модель зрелости[/B]

Руководство IIA (The Institute of Internal Auditors) часто рекомендуют ссылаться на Модель зрелости организации при составлении отчетов по важным тематикам. Сравнивая с моделью, высшее руководство и совет директоров могут решить, насколько зрелой они хотят видеть организацию, чтобы она обладала каждым атрибутом зрелости (в части корпоративной культуры). Затем результаты ВА корпоративной культуры могут быть соотнесены с моделью, и это поможет оценить насколько необходимым является каждый атрибут.
Такой подход к отчетности ВА предполагает, что организация стремится стать лучше (более зрелой) включая, важные для нее атрибуты зрелости, и помогает оценить успех на этом пути.

[B]Подтверждение Корпоративной Культуры[/B]

Корпоративная культура, возможно, является самой сложной темой для ВА. Внутренние аудиторы должны быть реалистами в части ограничений, которые на них налагают собственные организации. Если ограничения существенны, аудиторы должны делать то, что они могут в настоящее время и искать возможности в будущем.
Может быть, невозможно сейчас предоставить объективное мнение о качестве корпоративной культуры организации. Но хорошие аудиторы, использующие эффективные аудиторские методы, суждения и навыки общения, могут представить убедительные доказательства состояния корпоративной культуры для высшего руководства и совета директоров. И со временем эта картина станет более ясной и более убедительной.
И это может быть самая ценная информация, которую когда-либо будет предоставлять внутренний аудит.

[B]Субъективность корпоративной культуры (Приложение 2)[/B]

Корпоративная культура по своей природе субъективна. Как внутренние аудиторы могут получить объективные свидетельства о том, что само по себе субъективно?
Ответ – доказательства, полученные в ходе аудита корпоративной культуры, не должны быть столь же объективными, как доказательства, полученные при проверке областей, подверженных строгому контролю. Соответствующие международные стандарты профессиональной практики внутреннего аудита (1100, 1120, 2310, 2320 и 2420) не требуют объективности доказательств. Чтобы их использовать, внутренние аудиторы должны определить максимально возможный уровень достоверности информации о культуре посредством использования соответствующих коммуникаций. Эта информация должна быть фактической, адекватной и убедительной, чтобы разумный, информированный человек мог прийти к тем же выводам, что и аудитор. Внутренние аудиторы должны основывать свои выводы на анализе и соответствующей оценке. Результат должен быть справедливым, беспристрастным и быть сбалансированным по всем разумным фактам и обстоятельствам.

Чтобы соответствовать стандартам, внутренние аудиторы обычно используют комбинацию объективных и субъективных доказательств, объективно оценивают их и убедительно «связывают» с корпоративной культурой. Они стараются не утверждать более твердо, чем подтверждающие доказательства и формируют результаты в качестве представления о возможностях текущей корпоративной культуры, а не высказывают собственное мнение о ней.

[B]Интернет-ресурсы для Аудита Корпоративной Культуры (Приложение 3)[/B]

Внутренние аудиторы могут использовать эти ссылки, если они готовятся к аудиту культуры в организации:

[URL=https://iaonline.theiia.org/2017/Documents/Roth_univ-of-minn-employee-survey.pdf]University of Minnesota Employee Survey[/URL]

[URL=https://iaonline.theiia.org/2017/Documents/Roth_Corporate-compliance-review-questionnaire.pdf]Corporate Compliance Review Questionnaire[/URL]

[URL=https://iaonline.theiia.org/2017/Documents/Roth_compliance-quiz.pdf]Compliance Quiz[/URL]

[URL=https://iaonline.theiia.org/2017/Documents/Roth_culture-audit-metrics.pdf]Culture Audit Metrics[/URL]

Ссылка на статью-источник:

[URL=https://iaonline.theiia.org/2017/Pages/How-to-Audit-Culture.aspx]https://iaonline.theiia.org/2017/Pages/How-to-Audit-Culture.aspx[/URL]

[URL=https://iia-ru.ru/inner_auditor/publications/articles/foreign_mass_media_articles/kak-provesti-audit-korporativnoy-kultury/#_ftnref1][1][/URL] В тексте слово «КУЛЬТУРА» несет понятие «КОРПОРАТИВНАЯ КУЛЬТУРА»

Как провести аудит корпоративной культуры?, Аудиты в области корпоративной культуры могут помочь заинтересованным лицам разобраться в причинах не эффективного организационного поведения.
 

[B]Область применения и методы[/B]

Аудиты в области корпоративной культуры сочетают жесткие и мягкие контрольные мероприятия на самых разных уровнях. Например:

[LIST=1]
[*]

Аудит структур управления и деятельности управления рисками на уровне организаций.

[*]

Аудиты процессов со значительным культурным влиянием, такие как обучение этике, стимулы и практика работы с персоналом.

[*]

Межфункциональные тематические аудиты, такие как анализ culture of compliance и culture management initiatives.

[*]

Аудит корпоративной культуры, встроенный в каждый проект аудита.

[/LIST]

Результаты аудита должны включать убедительные доказательства их применимости, а также результаты опросов и другие методы самооценки. Все аудиторские доказательства должны сопоставляться и анализироваться до тех пор, пока не возникнут разумные и убедительные выводы о состоянии корпоративной культуры. Выводы должны быть обсуждены (и, если это необходимо, откорректированы) на всех уровнях руководства, прежде чем они будут зафиксированы в отчете.

Методы ВА, доказавшие свою эффективность для аудита корпоративной культуры, – это анализ основных причин, структурированные интервью, опросы сотрудников и семинары.

Анализ основных причин является основой качественного ВА. Копнув достаточно глубоко, понимаешь, что первопричина сложностей ВА часто связана с корпоративной культурой. Это может быть разрыв между общей корпоративной культурой организации и субкультурой, созданной менеджером. Совокупность результатов многочисленных аудитов может сформировать убедительные доказательства наличия проблем в корпоративной культуре.

Структурированные интервью позволяют внутренним аудиторам задавать отобранным сотрудникам одинаковые вопросы. Например, чтобы определить, существует ли culture of compliance в организации, руководитель ВА лично проводит собеседование с 65 из 1000 сотрудников. Он начинает с простых вопросов, чтобы успокоить каждого сотрудника, а затем задает такие важные как: «Вас когда-либо просили сделать что-то, что, по вашему мнению, нарушает кодекс делового поведения или политики компании?»

Этот метод более объективен, чем неструктурированные интервью, потому что последовательность процесса обеспечивают один набор вопросов и один опытный интервьюер. Но, здесь требуется высокий уровень навыков собеседования, чтобы определить, когда какой-то положительный ответ не является тем, что человек действительно думает, и задать правильные уточняющие вопросы. Этот метод также полагается на понимание интервьюируемым того, что было ему сказано, и готовность руководства верить в его точность.

[URL=https://iia-ru.ru/inner_auditor/publications/articles/foreign_mass_media_articles/kak-provesti-audit-korporativnoy-kultury/#ПРИЛОЖЕНИЕ3]ПРИЛОЖЕНИЕ 3[/URL]

Анкетирования сотрудников имеют преимущества сбора доказательств из большой выборки и получения объективных данных. Наиболее распространенный метод анкетирования – это просьба к сотрудникам ответить на ряд утверждений, указав, «согласны», «не согласны» или «категорически не согласны» с каждым, а варианты, как «неприменимо» или «не знаю» не учитываются. В отчете можно указать, например, что «46 % ответивших сотрудников не согласны или категорически не согласны с заявлением ...» Это объективный факт. Затем аудитор должен искать подтверждающие доказательства и исследовать первопричину.

Хорошо подготовленный опрос – при условии, что сотрудники считают его анонимным и что будут приняты меры для решения их проблем – может представить данные, которые точно отражают восприятие работниками корпоративной культуры. Но возможно, что результаты отражают неправильное восприятие. Поэтому аудитор должен искать подтверждающие доказательства. Если подтвердится неправильность восприятия, то это ценная информация, которую следует сообщить местному руководству с целью исправления ситуации.

Исследования мнения сотрудников могут использоваться на двух уровнях: по проектам ВА или по всей организации. Некоторые Службы ВА осуществляют стандартное анкетирование, которое они используют при каждом аудите, с разделом в отчете, включая планы корректирующих действий. Другие разрабатывают анкетирование только для одного аудита, когда ситуация и уровень риска оправдывают затраченное время. Некоторые Службы ВА ежегодно разрабатывают и проводят общее анкетирование.

Многие крупные организации осуществляют опросы сотрудников, но большинство из них включает мало вопросов (или вообще ничего) на такие темы как этика или риски, которые важны для оценки корпоративной культуры.
В некоторых организациях внутренние аудиторы проанализировали их результаты, представили собственные отчеты, в которых затронули указанные проблемы и убедили руководство добавить эти темы в опрос. Далее они могут использовать результаты опроса в качестве ключевого фактора риска при разработке своего плана периодического аудита. Когда опрос выявляет проблемы корпоративной культуры проверяемого субъекта, результаты также могут быть использованы для планирования и осуществления аудиторской проверки. А когда обнаружены недостатки процесса, их первопричина может быть выявлена в ходе опроса. Связь объективно доказанного недостатка с результатами опроса очень убедительна для руководства.

Первыми инструментами, используемыми внутренними аудиторами для «мягкой оценки» корпоративной культуры, были семинары. В этом случае группа аудиторов руководствуется рациональным исследованием, часто используя те же самые утверждения, которые используются в анкетировании, вместе с конфиденциальной технологией голосования для сбора и обработки результатов. Обсуждение возникающих вопросов с работниками, которые сталкивались с недостатками корпоративной культуры очень важно.
Однако, сегодня семинары больше используются отделами управления рисками для оценки рисков, в то время как внутренние аудиторы чаще используют опросы.

Как провести аудит корпоративной культуры?, Аудиты в области корпоративной культуры могут помочь заинтересованным лицам разобраться в причинах не эффективного организационного поведения.
 

После того, как высшее руководство и совет директоров утвердят модель, ВА может разработать программы аудита и инструменты для оценки требований корпоративной культуры и поведения в рамках этой модели.

Глобальная организация. Трудно выявить, но культурные несоответствия в глобальных операциях, а также партнеры по аутсорсингу, вендоры и партнеры по совместному предприятию могут нанести вред организации.
ВА должен адаптировать свой подход, инструменты и оценку для учета различий в культурах стран. Некоторым организациям требуется, чтобы их поставщики и подрядчики ежегодно представляли соответствующий отчет, показывающий, что они соответствуют ее корпоративной культуре. Затем стороны встречаются для обсуждения, и именно встреча может быть более значимой, чем сам отчет.

[B]Корпоративная Культура – это восприятие[/B]

Прежде чем рассматривать методы, используемые для аудита корпоративной культуры, обсудим основной подход и связанные с ним проблемы.
Корпоративной культуры организации не существует в официальных документах, таких как этические кодексы или иных важных меморандумах, отражающих только то, что организация утверждает, что хочет, чтобы корпоративная культура у нее была. Не существует она и в том, что высшее руководство и совет директоров говорят о ней аудиторам. Они думают, что корпоративная культура есть, но их восприятие фильтруется нежеланием сотрудников сигнализировать о ее проблемах.

Культура существует в восприятии сотрудников. Если сотрудники считают, что культура «побеждает любой ценой», то они ведут себя соответственно. Если сотрудники считают, что культура – «это ставить клиента на первое место», так они ведут себя соответственно. Вот почему общее определение корпоративной культуры – это просто то, «как мы делаем здесь и сейчас». Именно сотрудники – лучший источник информации, но ее получение осложнено следующим:

[LIST=1]
[*]

Сотрудники могут быть не совсем откровенными, особенно если они боятся наказания за высказывание чего-то негативного.

[*]

У них могут быть культурные «слепые пятна», которые не позволяют увидеть недостатки корпоративной культуры.

[*]

Некоторые сотрудники могут быть хроническими жалобщиками.

[*]

На опросы, интервью и семинары, проводимые внутренними аудиторами, могут влиять те же самые «слепые пятна».

[*]

Результаты ответов будут влиять на корпоративную культуру.

[/LIST]

Внутренние аудиторы должны знать об этих проблемах и использовать знания об организации, здравый смысл и навыки межличностного общения, чтобы «справиться» с ними.
Существует несколько подходов для успешного аудита корпоративной культуры.

[B]Факторы успеха аудита[/B]

Высшее руководство и члены совета директоров интуитивно знают о проблемах осуществления аудита корпоративной культуры и могут скептически отнестись к способности ВА справиться с ними.
Ради успешного аудита они должны быть готовы принять:

[LIST=1]
[*]

доказательства менее убедительные, чем им обычно предоставляют;

[*]

понимание того, что есть «серые» области (см. «Субъективность культуры» [URL=https://iia-ru.ru/inner_auditor/publications/articles/foreign_mass_media_articles/kak-provesti-audit-korporativnoy-kultury/#ПРИЛОЖЕНИЕ2]ПРИЛОЖЕНИЕ 2[/URL]) ВА.

[/LIST]

Руководитель внутреннего аудита (CAE) должен убедить их в том, что его команда обладает необходимыми навыками, суждениями, инструментами и методами, чтобы получить ценную информацию о корпоративной культуре. И, разумеется, команда должна обладать этими компетенциями. Если это так и совет директоров с этим согласен, то возможно рекомендовать проведение аудита корпоративной культуры как поручение ВА.
Если же команда этими компетенциями не обладает, то необходимо постепенно и «мягко» формировать команду, способную его осуществить.

Аудиторские навыки. Отчет Королевского Института Внутренних Аудиторов 2016 года «Корпоративная Культура – совершенствование подходов к уверенному внедрению» детализировал навыки и компетенции внутренних аудиторов Великобритании и Ирландии, профессионально необходимые для подобного аудита:

[LIST=1]
[*]

Профессиональная оценка (84%).

[*]

Использование опытных или старших аудиторов для руководства работой (71%).

[*]

Усовершенствованные навыки общения с целью получения неприемлемых результатов (60%).

[*]

Влияние и навыки ведения переговоров (48%).

[*]

Обучение специалистов по качественным методам и методике обследования (33%).

[/LIST]

В опросе указано, что только 21% респондентов ответил, что внутренние аудиторы уже обладают навыками, необходимыми для оценки корпоративной культуры.
Организации могут дополнять навыки своей аудиторской команды, подключая другие подразделения, которые также функционально осуществляют внутренний контроль («вторая линия защиты»), иным хорошим вариантом может стать привлечение ВА.

Поддержка ВА «сверху» критически важна, но недостаточна. ВА должен заслужить доверие высшего руководства и совета директоров, а также менеджеров организации способностью надлежащего решения деликатных проблем. Если это не так, то внутренние аудиторы должны сначала применить такой инструмент как анонимный опрос сотрудников и сосредоточиться на выстраивании доверительных отношений.
В отчетах по результатам подобного аудита следует соблюдать особую осторожность, чтобы осуществить корректирующие действия без негативных последствий. Руководитель ВА и его менеджеры должны очень тесно взаимодействовать с аудиторской группой, чтобы убедиться, что аудиторы используют зрелые суждения и надлежащим образом общаются с аудируемыми.

Как провести аудит корпоративной культуры?, Аудиты в области корпоративной культуры могут помочь заинтересованным лицам разобраться в причинах не эффективного организационного поведения.
 
[B][SIZE=13pt]Как провести аудит корпоративной культуры?[/SIZE][/B]

Аудиты в области корпоративной культуры могут помочь заинтересованным лицам разобраться в причинах не эффективного организационного поведения.

Джеймс Рот, 30 июня 2017 г.

Перевод: Евгений Зверев, CIA

Enron, Worldcom, FIFA, General Motors, Volkswagen и Wells Fargo – это всего лишь несколько компаний, особенности корпоративной культуры которых способствовали недостойному поведению и породили громкие скандалы.
Этот «репутационный» риск требует соответствующего аудиторского анализа, однако, согласно исследованию IIA 2016 года в Северной Америке, только 42% Служб внутреннего аудита оценивают корпоративную культуру своей организации.

Аудит корпоративной культуры [1] не прост из-за ее запутанности, субъективности и потенциального сопротивления ему руководства организации. Тем не менее, подходы и методы, применяемые Внутренним аудитом (ВА), обеспечивают аудиторам успешный анализ корпоративной культуры.

[B]Сложность Корпоративной Культуры[/B]

Одним из определений корпоративной культуры является следующее - «фактические ценности, которые влияют на повседневное поведение внутри организации». Это не заявляемые/желаемые ценности организации, а ценности, по которым сотрудники фактически «живут» на рабочем месте. Корпоративная культура формируется главным образом тоном «сверху», но на нее влияют и бизнес-стратегия, и организационная структура, и стимулы и личностные ценности сотрудников, и практика работы с персоналом. Каждый из этих факторов взаимодействует с другими в сложной системе.
К указанному выше [I]добавляют сложности следующие факторы:[/I]

Менеджеры создают субкультуры в своих сферах влияния, которые могут не соответствовать культуре организации. Этот риск – возможность для ВА, поскольку он может быть идентифицирован при проведении аудита и представляет ценную информацию для руководства.

Различие профессиональных культур. Нет никакой единой правильной корпоративной культуры и идеального баланса «риска / вознаграждения» для разных подразделений организаций. Например, финансисты могут иметь более консервативную корпоративную культуру, а «продажники» – более агрессивную, которая уместна в пределах риск-аппетита организации.
Внутренние аудиторы должны обладать здравым смыслом, пониманием бизнеса и свободой контактов, чтобы выявить такие различия и определить, соответствуют ли они культуре всей организации.

Отсутствие определенных критериев соответствия корпоративной культуре. В идеале, высшее руководство и совет директоров должны определить свои ожидания в отношении каждой составляющей бизнеса и отслеживать текущее состояние, которое иллюстрирует соответствие или отклонение от ожидаемого поведения. Это редко делается.
Отсутствие четких индивидуальных критериев сравнения увеличивает сложность аудита корпоративной культуры. Для решения этой проблемы некоторые Службы внутреннего аудита разрабатывают модель корпоративной культуры, взяв за основу модель, разработанную внешней фирмой. Например, Prudential использует модель, которую она разработала совместно с EY (см. схему «Аудирование контрольной среды Prudential»).

[IMG WIDTH=717 HEIGHT=462]https://iia-ru.ru/%D0%A0%D0%B8%D1%81%20%D0%9A%D0%BE%D1%80%D0%BF%20%D0%BA%D1%83%D0%BB%D1%8C%D1%82%D1%83%D1%80%D0%B0.jpg[/IMG]

Журнал "Вместе с ИВА" он-лайн, Новый формат журнала: отзывы и предложения
 
Да, вход в Форум теперь по членским логину и паролю. Также, как и в Личный кабинет сайта.
Журнал "Вместе с ИВА" он-лайн, Новый формат журнала: отзывы и предложения
 
Коллеги!
Интересно ваше мнение по размещению статей и публикаций журнала "Вместе с ИВА" на Форуме с возможностью их обсуждения и комментирования.
Статьи планируем размещать как российских, так и иностранных авторов. Иностранные статьи будут с переводом на русский язык.
Нам интересны ваши предложения и пожелания по новому формату журнала.