IIA Ukraine

Світове лідерство у професії внутрішнього аудиту та корпоративного управління

Нові ризики 2018

Facebookgoogle_pluslinkedinmailFacebookgoogle_pluslinkedinmailby feather

2018 рік є роком нових законодавчих вимог, поглядів, ідей, технологій та ризиків. Сьогоднішнє бізнес середовище є набагато складнішим ніж кілька років тому, в результаті чого перед компаніями, їх менеджерам, регуляторами щодня постають не тільки нові можливості та задачі, але й загрози та ризики. У зв’язку з цим перед внутрішнім аудитом, як підрозділом, що в межах компанії/організації покликаний оцінити та удосконалити процеси ризик-менеджменту, внутрішнього контролю та корпоративного управління, постає важливе завдання підтвердити відповідність даних процесів новим викликам та ризикам, що пов’язані з політикою конкурентів, розвитком технологій, змін тенденцій на ринку та регуляторних вимог. Як і керівники компаній/організацій, внутрішні аудитори повинні так само швидко адаптуватись до динамічного ризик-середовища.

Глобальний інститут внутрішніх аудиторів представив дослідження 2018  року щодо 5 найбільших ризиків, з якими доведеться стикнутися керівникам підрозділів внутрішнього аудиту, а саме:

  1. Управління талантами
  2. Аналіз даних
  3. Кібербезпека
  4. Регуляторні вимоги
  5. Ризики іновацій.

  1. Управління талантами

Мабуть, кожен керівник внутрішнього аудиту у своїй організації останнім часом стикався з проблемою пошуку кваліфікованих кадрів, навички та досвід яких відповідали б вимогам вакансій у їх підрозділах. Так, за даними дослідження Виконавчого центру Глобального інституту внутрішніх аудиторів 2017 року (IIA Audit Executive Center), з 200 опитаних керівників підрозділів внутрішнього аудиту 79% вважають управління талантами одним з найсуттєвіших ризиків, пов’язаних з їхньою професією. Результати опитувань, проведених компанією KPMG, свідчать про те, що кваліфікація персоналу або її недостатній рівень визнається керівниками компаній як складова корпоративного ризику.

Без належних навичок та вмінь персоналу високою є ймовірність, що внутрішній аудит пропустить повз увагу або не перевірить належним чином такі нетрадиційні та специфічні ризики, як технологічні, геополітичні, пов’язані з корпоративною звітністю економічні ризики, культурні та ті, що пов’язані з національними та глобальними регуляторними вимогами.

  1. Аналіз даних

Наразі, в організаціях та компаніях накопичуються величезні сховища даних щодо здійснюваних операцій, у зв’язку з чим перед внутрішнім аудитом постають два важливих завдання. По-перше, це допомогти менеджменту зрозуміти, як ці дані накопичуються, зберігаються та захищаються. По-друге, це впровадити ефективні способи обробки даних із застосуванням аналітичних інструментів під час проведення аудиту та автоматизувати деякі аудиторські процедури, зосередивши увагу на найбільш ризикових ділянках в процесі аудиту.

Внутрішній аудит повинен завжди бути обізнаним щодо ризиків, пов’язаних з об’ємними базами даних, особливо якщо у персоналу компанії бракує навичок роботи із ними. На сьогоднішній день існує велика потреба у проведенні аналізу даних в межах компанії та дуже скоро такі процедури стануть невід’ємною частиною кожної організації.

  1. Кібербезпека

Запуск плану захисту від кібератак та підтвердження дієвості такого плану потребує цілодобового контролю. Ефективний план має дати відповідь на питання «чи готова компанія до кібератаки?», адже в сучасному світі головний ризик не в тому, чи відбудеться кібератака, а в тому коли вона відбудеться.

Як третя лінія захисту, внутрішній аудит повинен співпрацювати з менеджментом та радою в процесі розробки стратегії та політик щодо інформаційної безпеки для вдосконалення процедур виявлення та зниження ризиків кібератак в організації, встановити ефективний контакт між аудиторським комітетом та радою для якомога більшого залучення останніх у процес, а також забезпечити включення ризику кібератак та відповідних аудиторських процедур до аудиторського плану, які виконуватимуться аудиторами з необхідними навичками або шляхом залучення сторонніх спеціалістів.

  1. Регуляторні вимоги

На глобальному рівні компанії стикаються з новими або дещо зміненими регуляторними вимогами, які в основному впроваджуються для захисту споживачів чи громадських інтересів. Найсуттєвіші законодавчі зміни стосуються фінансових ризиків та контролів та по суті впливають на компанії всіх сфер діяльності.

На сьогоднішній день багато організацій все більше залучаються до блокчейн технологій та торгівлі криптовалютами. Відповідно, їм необхідно передбачити ризик потенційного конфлікту інтересів, коли працівники здійснюють торгівлю криптовалютами з власних рахунків.

Регуляторні вимоги щодо захисту персональних даних вже прийняті у Євросоюзі та Китаї. Акт щодо захисту даних (General Data Protection Regulation (GDPR)) був прийнятий Європарламентом у квітні 2016 року та вступив в дію з травня 2018 року. Саме у 2017 році була зареєстрована найбільша кількість випадків незаконного заволодіння даними у ЄС, у 2016 році кількість таких випадків зросла на 40% порівняно з 2015 роком.

  1. Ризики іновацій

Сьогодні сучасні технології змінюються швидко, як ніколи раніше. Перед внутрішніми аудиторами постає щодня завдання оперативно та неупереджено повідомляти про іноваційні зміни, що відбуваються в компанії. Аудитори також повинні постійно оновлювати свої методологічні підходи, щоб вчасно адаптуватись до інноваційних змін у компанії.

З одного боку, інновації надають безліч можливостей для удосконалення процесів у компанії, з іншого боку, вони супроводжуються певними ризиками та загрозами, які не повинні залишитися поза увагою внутрішніх аудиторів. Так, замість зосередження уваги на традиційних ризиках, внутрішнім аудиторам тепер необхідно вчасно передбачити потенційні ризики, пов’язані із впровадженням інновацій, та їх вплив на діяльність компанії. Врешті решт, інновації, які впроваджені та діють належним чином, є надзвичайно корисними як для внутрішнього аудиту, так і для всієї організації, оскільки сприяють зменшенню витрат та збільшенню вартості компанії, забезпечують зростання та підвищення якості товарів та послуг компанії, задовольняють потреби клієнтів та збільшують прибутки акціонерів.

Перелік ризиків, описаних у даному дослідженні, не є вичерпним для внутрішнього аудиту та компаній в цілому. У всьому світі компанії покладаються на свій внутрішній аудит та його оцінку процесів діяльності. Це в свою чергу, вимагає від внутрішніх аудиторів приймати зазначені вище виклики та долати перешкоди, при цьому залишатися незалежними та неупередженими у своїх судженнях, та бути гнучкими при оцінці поточних ризиків, усвідомлюючи взаємозалежність в компанії систем, процесів, операцій та регуляторних вимог.

За матеріалами дослідження Глобального Інституту внутрішніх аудиторів 2018 року “Global perspectives and insights

https://global.theiia.org/knowledge/Pages/Global-Perspectives-and-Insights.aspx

Поділитися

The Author

Sergii

IT and Information security consultant, IT auditor, lecturer
ВГО "Інститут Внутрішніх Аудиторів України" © 2012-2016 Frontier Theme