Институт внутренних аудиторов

[B][SIZE=13pt]Внутренний Аудит нуждается в управлении собственными рисками[/SIZE][/B]

[I]Управление своими собственными рисками может повысить эффективность функции Внутреннего Аудита и продемонстрировать, что он практикует то, что проповедует.[/I]

[B]Автор[/B]: Kevin Shen, CFA, CPA, вице-президент по внутреннему аудиту, HSBC (США, Нью-Йорк)

Август 2017

[B]Перевод [/B]Елены Фроловой-Ивановой под редакцией Евгения Зверева, CIA

Одной из задач Внутреннего Аудита (ВА) является обеспечение того, чтобы организация эффективно управляла рисками. А как обстоит дело с управлением рисками внутри самого Внутреннего Аудита?

Подразделения ВА сталкиваются с теми же рисками, что и другие корпоративные подразделения. Если внутренние аудиторы не могут правильно управлять своими собственными рисками, то им трудно обучать и говорить другим, что необходимо эффективно управлять рисками. Внутренние аудиторы должны сами практиковать то, что они проповедуют.

Программа управления рисками во Внутреннем Аудите должна иметь такие же результаты, как и любая другая компетентная программа управления рисками. Подразделению ВА необходимо определить все соответствующие риски; проанализировать оценку рисков; установить так называемый риск-аппетит; снизить, управлять, избегать, передавать или принимать риски; а также постоянно контролировать/ мониторить собственные риски.

Риск в контексте ВА может быть определен как неопределенное событие или условие, которое, если оно происходит, оказывает влияние на, по меньшей мере, одну внутреннюю цель аудита. Как таковой, ВА следует начать с изучения своей (Внутреннего Аудита) миссии и целей, которые обычно определены в уставе/регламенте ВА, утвержденном Советом директоров или Комитетом по аудиту. Понимая ключевые задачи ВА, аудиторы могут выявить риски, которые будут препятствовать достижению этих целей.

[B]Стратегический риск[/B]

Одним из наиболее значимых рисков является стратегический риск.
Он напрямую зависит от того, какую стратегическую позицию в рамках организации занимает Подразделение ВА и от того, позволяет ли эта позиция достигать ему своих целей.
Другие соображения касаются следующего: имеет ли Подразделение ВА полномочия, независимость и объективность, гарантирующие твердость своих убеждений, чтобы помочь организации улучшить управление рисками; ориентируется ли оно на предоставление гарантий или финансовое оздоровление; и работают ли в нем «правильные» сотрудники.

Стратегический риск может возникнуть, когда стратегия ВА не совпадает с общей стратегией организации. Например, это может произойти в организации, которая планирует расширять свое присутствие на развивающихся рынках, а Внутренний Аудит не имеет возможности покрыть риски за рубежом, относящиеся к взяточничеству и коррупции и связанные с этим расширением. У каждой организации своя специфика, но руководитель Службы внутреннего аудита (англ. – САЕ – the Chief Audit Executive), как правило, может управлять этим риском за счет совершенствования Устава внутреннего аудита; взаимодействия с Советом директоров, высшим руководством и другими заинтересованными сторонами (стейкхолдерами); и поддержания оценки рисков и планов аудита в актуальном состоянии.

[B]Репутационный риск[/B]

Доверие – самый важный актив любого аудита. Репутационный риск – это вероятность того, что негативная огласка в отношении практики ВА приведет к снижению доверия к его работе. Заблуждения, касающиеся ВА, могут свести на «нет» все попытки достичь нужных целей. Кроме того, репутационный риск может возникнуть из операционного или комплаенс-риска.

Репутационнный риск можно снизить путем:

·         поддержания своевременной и эффективной коммуникации между заинтересованными сторонами (стейкхолдерами);

·         усиления этических принципов;

·         создания осведомленности у всех сотрудников компании на всех уровнях;

·         разработки комплексной методологии анализа, ориентированной на риски и встроенные элементы контроля, которые позволят оперативно и качественно реагировать на них заинтересованным сторонам (стейкхолдерам);

·         создания команды быстрого реагирования на случай серьезных действий/ситуаций, которые могут негативного повлиять на функцию ВА.

Стратегическое позиционирование функции ВА должно быть хорошо подготовлено, чтобы эффективно защитить собственную репутацию.

[B]Комплаенс-риск[/B]

Комплаенс-риск становится важным для внутренних аудиторов, особенно в сильно регулируемых отраслях: к примеру, в крупных банках. Например, американское Управление контролера денежного обращения создало более высокие стандарты, включающие в себя руководящие принципы в отношении роли и функций Внутреннего Аудита. Федеральный Резервный Банк выпустил Дополнение к заявлению о функции Внутреннего Аудита и его аутсорсинга.

Поскольку Подразделения ВА углубляются в аналитику данных, может возникнуть озабоченность, связанная с соблюдением правил по защите данных о потребителях и законов о трансграничной неприкосновенности частной жизни. Ключом к управлению риском является тщательная оценка законов и положений, а его устранение осуществляется посредством собственных политик и процедур, а также обеспечением способности демонстрировать соблюдение правил. Внутренние проверки, проведенные независимой группой по контролю и обеспечению качества, могут помочь выявить потенциальные проблемы и предотвратить инциденты, связанные с несоответствием.

[B]Операционный риск[/B]

В отличие от предыдущих рисков, категория, наиболее актуальная в повседневной деятельности Внутреннего Аудита – это операционный риск, который состоит из рисков, возникающих в связи с нехваткой людей, процессов или технологий.
Как и другие подразделения, Служба внутреннего аудита имеет конкретные оперативные цели такие как: выполнение годового плана по ВА, утверждение/обоснование проблем, выявленных в ходе аудита, поддержание расходов в рамках определенного бюджета, подготовка квалифицированных кадров.

Для того, чтобы управлять операционным риском, нужно применять системный подход, включающий определение/создание операционного риск-аппетита, разработку ключевых показателей эффективности и показателей риска, мониторинг и принятие мер для снижения рисков. Например, для обеспечения своевременного выполнения плана по ВА, возможно, будет полезно внимательно следить за началом аудиторской проверки, завершением «полевых» работ, а также датами отчетов. Доска в кабинете, на которой наглядно отображен ход выполнения работ каждой из команд, поможет управлять рисками, связанными с исполнительностью каждой команды. Графа о гарантиях качества результатов для каждой из команд также может дать возможность руководителю Подразделения ВА выявить команды, имеющие проблемы с выполнением проверок, и провести соответствующее обучение для устранения этого риска.

После идентификации и определения самих рисков, Подразделению ВА следует установить пороговые значения для мониторинга и снижения этих рисков. Цветовые коды могут выделить направления, на которых надо сфокусироваться. Например, если более 20% выполняющихся проверок задерживается более чем на 30 дней, «красный статус» может указать на риск срыва сроков плана по ВА. Если «коэффициент оборачиваемости» одной команды составляет более 20%, возможно, настало время подчеркнуть риск как красный для действий.

Пороговые значения зависят от риск-аппетита CAE, но он также должен учитывать «вклад» стейкхолдеров в возникновение рисков. Например, CAE может указать, что на следующий календарный год может быть перенесено не более 5% плана ВА. И если поставленная цель под угрозой, то CAE должен принять меры для снижения рисков. Например, если объем работ в определенное время года увеличивается, помочь снизить риск невыполнения плана по ВА может частичное привлечение сторонних экспертов/консультантов (косорсинг).

Кроме того, Внутренний Аудит должен, по крайней мере в принципе, практически применять Политику управления рисками предприятия (где он функционирует) в ситуациях, где это уместно. Например, оперативные инциденты в деятельности Внутреннего Аудита, такие как потенциально-опасные происшествия без последствий (инциденты, которые «почти случились»), должны быть зафиксированы во внутреннем отчете, их причины должны быть проанализированы, чтобы предотвратить подобные события в будущем.

[B]Минимизация[/B][B] рисков Внутреннего Аудита[/B]

В дополнение к установлению показателей риска, пороговых значений и отслеживанию инцидентов существуют и другие полезные инструменты. Например, ВА может использовать матрицу контроля рисков для проведения самооценки по контролю рисков, что определяет адекватность внутреннего контроля в рамках Подразделения ВА. Можно улучшить управление собственными рисками путем создания Библиотеки рисков и соответствующего контроля, а также проведением периодической самооценки.

Комплексный подход к управлению стратегическим, репутационным, комплаенс, операционным и другими рисками Внутреннего Аудита приведет к его большей эффективности. Кроме того, он может позволить Подразделению ВА помочь улучшить процесс управления рисками в самой компании.

Источник - [URL=https://iaonline.theiia.org/2017/Pages/Internal-Audit-Needs-Risk-Management,-Too.aspx#.WZMHQsSWTko.email]https://iaonline.theiia.org/2017/Pages/Internal-Audit-Needs-Risk-Management,-Too.aspx#.WZMHQsSWTko.email[/URL]

[B][SIZE=13pt]Аудит киберустойчивости[/SIZE][/B]

Внутренние аудиторы должны предоставить гарантии киберустойчивости более чем по восьми категориям.

Джеймс Рейнхард, 30 мая 2017 г.

Перевод: Евгений Зверев, CIA

Организации осуществляют мероприятия по кибербезопасности [1] для предотвращения/минимизации последствий кибернападения.

Понятие киберустойчивость определяет взгляд на обеспечение кибербезопасности, как на проведение комплекса обычных, ежедневных, рутинных рабочих мероприятий.

Для достижения этой цели ИТ-специалистам необходимо определить направления кибербезопасности, которые должны быть устойчивы, а внутренние аудиторы должны определить области, в которых они могут обеспечить гарантии и полезные консультации.

Директива Президента США №21 («Национальная безопасность») определяет киберустойчивость как «способность подготовиться и адаптироваться к изменяющейся обстановке, а также успешно противостоять и быстро восстановиться после сбоев. Устойчивость включает в себя способность противостоять и восстанавливаться после преднамеренных нападений, несчастных случаев или реализации естественных угроз или инцидентов [2]». Предпосылка киберустойчивости заключается в предположении, того что организация потенциально будет «атакована» и произойдет хакерское проникновение, поэтому организациям необходимо сосредоточиться на распознавании подобных инцидентов и восстановлении в случае их реализации.

Публикация 2013 года MITRE Corp. отмечает, что американским Национальным институтом стандартов и технологий (NIST's) определено приблизительно 860 точек контроля и методов улучшения («Безопасность и конфиденциальность для федеральных информационных систем и организаций», Special Publication 800-53 Revision 4). В публикации «[URL=https://www.mitre.org/sites/default/files/publications/13-4047.pdf]Киберустойчивость и NIST Special Publication 800-53 Rev.4 Controls»[/URL] указывается, что большинство элементов контроля сосредоточено на достижении безопасности в части конфиденциальности, целостности и доступности. Согласно MITRE, в зависимости от классификации, примерно 17 % контроля сосредоточены на киберустойчивости.

Элементы управления киберустойчивостью могут быть сгруппированы по нескольким категориям, таким как: управление, стратегия прав доступа пользователей, сегментирование, активное реагирование, обеспечение целостности данных, мониторинг, методы восстановления и скоординированная защита.

[B]Управление[/B]

Управление киберустойчивостью осуществляется посредством процесса управления рисками (ERM), общей стратегии безопасности, организационных политик и процедур, стратегий коммуникации и повышения осведомленности, а также использования общепринятых схем и оценок уровня зрелости.
Киберустойчивость является частью более глобального понятия кибербезопасности. Стратегия кибербезопасности организации должна быть сосредоточена на критически важных данных и системах, поскольку именно они должны быть в наименьшей степени подвержены инцидентам и быть наиболее устойчивыми. Киберустойчивость акцентируется на политиках и процедурах для имеющихся данных и систем, классифицированных «по значимости».
Когда инцидент произошел, организация должна обеспечить прозрачную стратегию коммуникации и убедиться, что ее сотрудники осведомлены об этом. Кроме того, текущий уровень киберустойчивости оценивается по состоянию киберустойчивости всей организации.

[B]Права доступа пользователя[/B]

Право доступа пользователя должно следовать принципу минимизации, чтобы обеспечить минимально необходимый доступ для выполнения работы. Этот принцип является основным для киберустойчивости на четырех уровнях обеспечения кибербезопасности: аутентификация, авторизация, доступ и мониторинг.
Для пользователей с более высоким правом доступа, организации должны внедрять расширенные механизмы аутентификации, например, двухфакторную аутентификацию. Для авторизации подобных пользователей может потребоваться более одного уровня утверждения авторизации. Мониторинг Внутреннего аудита должен быть направлен, прежде всего, на активный анализ и оценку сотрудников с более высокими правами доступа. Кроме того, необходимо обеспечить изменение права доступа при изменении уровня киберугрозы.

[B]Сегментирование[/B]

Киберустойчивость в первую очередь фокусируется на сегментированном архитектурном подходе, используя стратегию защиты в глубину. Этот подход должен включать изоляцию критически важных данных и систем, в соответствии с политиками и процедурами организации. Многослойный сетевой подход должен охватывать как логические, так и физические сети и иметь ограниченные «доверительные отношения».
Ключевые сетевые сегменты и внешние сетевые подключения должны включать набор пограничных защит, таких как брандмауэры, которые используют политики и процедуры для ограничения доступа к каждому сегменту. Другие ключевые защиты устанавливают запрещение прямых подключений к Интернету и возможность приема входящих сообщений только из надежных источников.

[B][SIZE=13pt]Как провести аудит корпоративной культуры?[/SIZE][/B]

Аудиты в области корпоративной культуры могут помочь заинтересованным лицам разобраться в причинах не эффективного организационного поведения.

Джеймс Рот, 30 июня 2017 г.

Перевод: Евгений Зверев, CIA

Enron, Worldcom, FIFA, General Motors, Volkswagen и Wells Fargo – это всего лишь несколько компаний, особенности корпоративной культуры которых способствовали недостойному поведению и породили громкие скандалы.
Этот «репутационный» риск требует соответствующего аудиторского анализа, однако, согласно исследованию IIA 2016 года в Северной Америке, только 42% Служб внутреннего аудита оценивают корпоративную культуру своей организации.

Аудит корпоративной культуры [1] не прост из-за ее запутанности, субъективности и потенциального сопротивления ему руководства организации. Тем не менее, подходы и методы, применяемые Внутренним аудитом (ВА), обеспечивают аудиторам успешный анализ корпоративной культуры.

[B]Сложность Корпоративной Культуры[/B]

Одним из определений корпоративной культуры является следующее - «фактические ценности, которые влияют на повседневное поведение внутри организации». Это не заявляемые/желаемые ценности организации, а ценности, по которым сотрудники фактически «живут» на рабочем месте. Корпоративная культура формируется главным образом тоном «сверху», но на нее влияют и бизнес-стратегия, и организационная структура, и стимулы и личностные ценности сотрудников, и практика работы с персоналом. Каждый из этих факторов взаимодействует с другими в сложной системе.
К указанному выше [I]добавляют сложности следующие факторы:[/I]

Менеджеры создают субкультуры в своих сферах влияния, которые могут не соответствовать культуре организации. Этот риск – возможность для ВА, поскольку он может быть идентифицирован при проведении аудита и представляет ценную информацию для руководства.

Различие профессиональных культур. Нет никакой единой правильной корпоративной культуры и идеального баланса «риска / вознаграждения» для разных подразделений организаций. Например, финансисты могут иметь более консервативную корпоративную культуру, а «продажники» – более агрессивную, которая уместна в пределах риск-аппетита организации.
Внутренние аудиторы должны обладать здравым смыслом, пониманием бизнеса и свободой контактов, чтобы выявить такие различия и определить, соответствуют ли они культуре всей организации.

Отсутствие определенных критериев соответствия корпоративной культуре. В идеале, высшее руководство и совет директоров должны определить свои ожидания в отношении каждой составляющей бизнеса и отслеживать текущее состояние, которое иллюстрирует соответствие или отклонение от ожидаемого поведения. Это редко делается.
Отсутствие четких индивидуальных критериев сравнения увеличивает сложность аудита корпоративной культуры. Для решения этой проблемы некоторые Службы внутреннего аудита разрабатывают модель корпоративной культуры, взяв за основу модель, разработанную внешней фирмой. Например, Prudential использует модель, которую она разработала совместно с EY (см. схему «Аудирование контрольной среды Prudential»).

[IMG WIDTH=717 HEIGHT=462]https://iia-ru.ru/%D0%A0%D0%B8%D1%81%20%D0%9A%D0%BE%D1%80%D0%BF%20%D0%BA%D1%83%D0%BB%D1%8C%D1%82%D1%83%D1%80%D0%B0.jpg[/IMG]

Коллеги!
Интересно ваше мнение по размещению статей и публикаций журнала "Вместе с ИВА" на Форуме с возможностью их обсуждения и комментирования.
Статьи планируем размещать как российских, так и иностранных авторов. Иностранные статьи будут с переводом на русский язык.
Нам интересны ваши предложения и пожелания по новому формату журнала.