Время прочтения: 5 мин.

Перевод исследования, проведенного компанией Deloitte. (Источник — ссылка)

В результате проведенного исследования было выделено 10 будущих тенденций внутреннего аудита, которые необходимо учитывать при планировании.

Agile внутренний аудит

Инновационные группы внутреннего аудита активно внедряют гибкие методы «с преимуществами», которые можно обобщить в трех словах: лучше, быстрее, счастливее.

• лучше – потому что результаты аудита в большей степени связаны с бизнес-рисками и соответствуют потребностям заинтересованных сторон;

• быстрее — потому что внутренние аудиторы работают с заинтересованными сторонами коллективно и целенаправленно, чтобы быстро определить, что им нужно и не нужно делать;

• счастливее — потому что они работают как команда с автономностью, чтобы определить — как выполнить поставленную задачу.

Команды внутреннего аудита, которые используют методы Agile, почти никогда не хотят возвращаться к традиционным методам. Agile требует не специальных технологий, а только готовности работать по-другому. Принятие этой тенденции будущего внутреннего аудита означает не только изучение новых способов совместной работы, но и готовность отучиться от того, что мы практикуем годами.  

Комплексное обеспечение

Реакция организаций на события, связанные с рисками часто приводит к действиям по обеспечению безопасности, которые можно охарактеризовать как узконаправленные, избыточные, дорогостоящие, навязчивые для бизнеса и не связанные с производительностью. Интегрированный аудит имеет целью не только рационализировать деятельность по минимизации рисков, но и повысить эффективность деятельности организации.

В целом, выделено несколько преимуществ этой тенденции внутреннего аудита:

• Весомая ценность для инвестиций в обеспечение;

• Снижение нагрузки на организацию;

• Более надежные результаты бизнеса;

• Лучшее понимание бизнес-стратегий и операций.

Оценка культуры

Культура поддерживает бизнес-стратегию и должна быть управляемой и понимаемой. Риски для культуры возникают, когда существует несоответствие между ценностями организации и действиями лидеров, а также между поведением сотрудников или организационными системами. Культура также стала ключом к успеху и эффективности и источником правовых и репутационных рисков. Эта тенденция показывает, как внутренний аудит может помочь руководству и совету директоров сформировать правильную культуру, что крайне важно в условиях сегодняшней непрерывной цифровизации и интенсивного контроля со стороны средств массовой информации, а также повышенных ожиданиях в области надзора. Многие аудиторы считают, что культура является теоретической концепцией, поскольку она носит субъективный характер. Тем не менее, риски реальны и могут быть определены количественно, а усилия, направленные на это, особенно хорошо работают с течением времени.

Гарантии и рекомендации GDPR

Общее положение о защите данных (GDPR) Европейского союза (ЕС) поднимает планку конфиденциальности данных для любой организации ЕС, собирающей или обрабатывающей данные о физических лицах, или любой не входящей в ЕС организации, которая ведет бизнес на этом рынке.

Программа GDPR должна быть ориентирована на чувствительность данных и на потенциальное влияние рисков на человека и организацию.

Кибер-внутренний аудит

По мере того, как риски и возможности кибератак возрастают, внутренний аудит должен адаптироваться, чтобы продолжать обеспечивать безопасность для организации. Это влечет за собой переход от ИТ-подходов, основанных на соблюдении требований, к более рискованным технологиям. В этой тенденции большинство групп внутреннего аудита считают, что охватить все киберпроблемы сложно, в основном из-за нехватки ресурсов и глубины навыков. Несмотря на это, внутренний аудит не может игнорировать киберриск из-за его критичности. Ответственность за кибербезопасность пронизывает все бизнес-подразделения и функции, это означает, что и все три линии защиты должны быть задействованы, а их роли и обязанности разъяснены. Необходимо начать с оценки управления кибербезопасностью. Затем перейдите к конкретным областям, представляющим интерес для организации, рассматривая инструменты и меры, уже принятые для устранения конкретных рисков. Эти области могут включать защиту данных, управление идентификацией и доступом, облачную безопасность и мониторинг рисков.

Рабочая сила будущего

Две мощные тенденции внутреннего аудита формируют будущее: быстрое внедрение автоматизированных и когнитивных технологий и все более широкое использование альтернативных моделей кадрового обеспечения. Эти тенденции поднимают вопросы о том, кто выполняет работу и где работа выполняется. Обе представляют новые риски для организаций и новые возможности для внутреннего аудита.

Однако возникают риски, связанные с мобильными работниками, использующими свои собственные устройства или устройства организации. Поэтому из-за «рассеянной» рабочей силы поддержание сильной культуры становится все более сложной задачей.

Непрерывная оценка риска

Традиционный процесс планирования аудита имеет ограниченную способность при оценке рисков в сегодняшней цифровой среде. Непрерывный мониторинг, оценка и отслеживание рисков могут помочь внутреннему аудиту направить свои ресурсы туда, где они больше всего нужны. Этот подход может изменить динамику с заинтересованными сторонами, позволяя внутреннему аудиту более эффективно прогнозировать риски и консультировать руководство.

Автоматизация обеспечения

Автоматизированный аудит позволяет перемещать действия на вторую линию — где необходимо управлять рисками и, где люди могут воздействовать на результаты. Чтобы принять тенденцию внутреннего аудита, рассматривается возможность создания межфункциональных групп, которые могут использовать заранее определенные стратегии для определения возможностей автоматизации по всем направлениям защиты. Быстрые победы, как правило, заключаются в основных бизнес-процессах, таких как кредиторская задолженность, командировки, расчет заработной платы, а также в ИТ. Автоматизация этих процессов может укрепить доверие ключевых заинтересованных сторон, которые играют важную роль.

Применение роботизированных процессов, автоматизации и когнитивного интеллекта

Имея уже созданные аналитические программы, охватывающие науку о данных, визуализацию и прогностическую аналитику, многие группы внутреннего аудита приняли тенденцию, направленную на продвижение к инструментам автоматизации роботизированных процессов (RPA) и когнитивного интеллекта (CI) (совместно RPA & CI) для повышения эффективности, качества и расширения охвата аудита.

Те, кто добился наибольшего успеха, применяют системный подход, который учитывает операционную модель, инфраструктуру и варианты использования на протяжении всего жизненного цикла аудита, а затем разрабатывает и запускает пилотные проекты. В данном направлении необходимо:

  • во-первых, разработать четкое видение и стратегию автоматизации (это начинается с определения — где и как технологии автоматизации могут быть встроены в деятельность внутреннего аудита),
  • во-вторых, создать инфраструктуру для поддержки развертывания возможностей автоматизации (это будет способствовать эффективной реализации, текущему обслуживанию и снижению рисков),
  • в-третьих, разработать операционную модель целевого состояния для поддержки автоматизации (эта модель должна быть естественным продолжением существующей операционной модели).

Аудит рисков прорывных технологий

Руководствуясь необходимостью создавать ценности и повышать эффективность, организациям необходимо быстро внедрять новые технологии, автоматизацию процессов и когнитивный интеллект. Внутренний аудит должен минимизировать риски, используя новые технологии, консультировать руководство по этим рискам и обеспечивать уверенность в том, что риски адекватно устранены.