Мнение эксперта

Главные ревизоры: внутренний аудит может быть лучше

Время прочтения: 4 мин.

Руководители служб аудита отмечают, что одним из негативных моментов в их работе  является недостаточно активное взаимодействие с советом директоров и руководством компаний. В своей статье Дэвид  Макканн (заместитель редактора журнала  CFO) делится проблемой, которая, надо полагать, существует не только в американской практике … 

В наше время стремительного  развития IT-технологий, геополитической неопределенности и угрожающих глобальных экономических условий, достижение оптимальных показателей является движущей целью для каждого бизнес-направления.

Это также очевидно и для функции внутреннего аудита. Большинство руководителей аудита (CAE) видят значительные разрывы между существующими уровнями производительности и тем, что они хотели бы достичь.

Институт внутренних аудиторов (IIA) опросил 512 руководителей и директоров по аудиту, в том числе 447 CAE. Степень неудовлетворенности, отмеченная респондентами, была ощутимой, учитывая, что они в какой-то степени «указывали на себя пальцем».

Что касается основной проблемы — кибербезопасности, лишь 53% участников опроса заявили, что их организации прилагают существенные усилия, чтобы сообщить руководству и правлению о существующем уровне риска и мерах, для его устранения.

В среднем респонденты указали, что им хотелось,  чтобы данная цифра достигала хотя бы 80%.

Аналогичные разрывы в уровнях усилий по сравнению с желаемыми уровнями в отношении кибербезопасности были также выявлены в таких направлениях как:

  • Обеспечение гарантии готовности  реагирования на киберугрозы (от 46% до 82%),
  • Совместная работа с ИТ и другими подразделениями для создания эффективной защиты и ответных мер (от 41% до 64%),
  • Обеспечение связи и координация действий организации при возникновении кибер-риска (от 37% до 58%).

«Разрыв в усилиях может отражать то, что внутренний аудит недостаточно быстро адаптируется к изменяющимся потребностям», — говорится в отчете IIA. «Это также демонстрирует, что существует потенциальное несовпадение между приоритетами риска и планом аудита».

Выявив препятствия на пути устранения риска кибербезопасности, около половины (51%) участников опроса отметили, что именно нехватка специалистов по кибербезопасности среди сотрудников внутреннего аудита оказывает на это значительное влияние. Почти половина (43%) сказали то же самое об отсутствии сотрудничества со стороны ИТ-отдела и поддержки со стороны исполнительного руководства.

Результаты опроса показывают, что внутренний аудит медленно продвигается в вопросах найма на работу, использовании стороннего опыта или обучения персонала, который может предоставлять ценную независимую гарантию в этой области риска.

В отчете IIA предложены некоторые рекомендации для CAE. А именно:

1.Сообщайте комитету по аудиту о любом прогрессе, либо его отсутствии в развитии кибер-навыков, и о причинах данной ситуации. Откровенно обсуждайте с комитетом по аудиту те моменты, где аудиторское покрытие либо неадекватно, либо отсутствует необходимый набор навыков.

2. Оповещайте комитет по аудиту и руководство о любых пробелах в кибербезопасности. Это означает, что CAE должны документировать причины, по которым существуют пробелы в усилиях, включая недостаточность ресурсов для совместного или внешнего подряда, изменения в приоритетных планах аудита и любое реальное или предполагаемое отключение от ИТ ресурсов.

3. Инвестируйте больше времени в налаживание отношений / партнерских отношений с руководителями служб информационной безопасности.  Отсутствие сотрудничества со стороны подразделений ИТ может отражать слабые позиции внутреннего аудита в кибер-компетентности.

4. Инвестируйте в обучение своих команд кибербезопасности, включая углубленное понимание основ, таких как NIST CSF, NIST 800-53 и ISO / IEC 27001.

5. Рассматривайте совместный поиск решений как допустимый вариант, когда внутренние навыки не являются адекватными.

6. Ищите возможности для своих сотрудников проведения базового аудита кибербезопасности при поддержке службы ИТ. Такие возможности включают: определение наиболее значительных активов организации, нуждающихся в защите; тестирование средств контроля внутренних угроз; оценку процессов и структур, предназначенных для защиты от случайного или непреднамеренного раскрытия информации организации.

Между тем, опрос выявил некоторые другие области слабого внимания к рискам. Например, почти половина (48%) опрошенных заявили, что их организации предпринимают слабые или несущественные усилия по мониторингу сторонних поставщиков услуг. И только 9% участников оценили такие усилия как сильные.

Кроме того, только 30% участников опроса сообщили, что они используют расширенный анализ данных для выявления и оценки возникающих и нетипичных рисков. Тем не менее, почти половина (43%) отметили, что они не достаточно уверены в способности внутреннего аудита выявлять и оценивать такие риски.

Наконец, 57% опрошенных сказали, что они редко или никогда не обсуждают с Советом директоров или руководством точность, полноту, своевременность, правдивость или прозрачность информации, предоставляемой Советом по внутреннему аудиту.

«Проблемы, с которыми сегодня сталкиваются внутренние аудиторы — сложные, растущие, глобальные — потребуют гибкости, применения инноваций и эффективного диалога с советом и исполнительным руководством», — говорится в заключении IIA в отчете. «Чтобы внутренний аудит нашел свое место в этом дивном новом мире, практикующие аудиторы должны поднять значимость своего голоса».

А вы как думаете?…

 Ссылка на оригинальную статью:

Советуем почитать