Мнение эксперта

Топ-10 тем для внутренних аудиторов в 2019 году. Отчет европейского отделения ИВА «Риски в фокусе-2019»

Время прочтения: 9 мин.

Проведенный опрос руководителей служб внутреннего аудита европейских компаний показал, что большинство из них имеют общее видение основных рисков — кибербезопасность, соблюдение требований регуляторов, цифровизация, изменение нормативных актов и политическая неопределенность.

Но была и своя специфика, характерная для каждой из стран. Так, в Нидерландах самым большим риском для эффективного управления оказался риск соблюдения корпоративной культуры и равенства сотрудников. В центре внимания голландских коллег также — окружающая среда и социальные вопросы. А во Франции более чем где-либо озабочены борьбой со взяточничеством и противодействием коррупции.

Обозначенные в данном отчете топ-риски будут понятны и знакомы многим из вас, а мнения руководителей подразделений внутреннего аудита крупных европейских компаний только подчеркнут общность наших проблем и перспектив. Мы постарались не упустить основной сути при переводе и подготовке превью.

Итак, давайте знакомиться с главными результатами исследования «Риск в Фокусе-2019».

  • КИБЕРБЕЗОПАСНОСТЬ: УПРАВЛЕНИЕ IT и ТРЕТЬИ СТОРОНЫ

Кибербезопасность остается приоритетным риском в течение последних лет и никакого ослабления этого тренда пока не предвидится. Компании должны отойти от устаревших систем и подходов к управлению киберрисками и безопасностью в отношении с третьими лицами.

МНЕНИЯ

руководитель СВА мультинациональной банковской группы (Нидерланды):

«Сейчас мы совместно с десятью банками проводим проверку одного из наших поставщиков облачных сервисов. Это действительно прорыв и первая подобная практика для нас. Всегда были определенные трудности с аутсорсинговой деятельностью, потому что третьи лица часто не имеют достаточных ресурсов и возможностей для подготовки индивидуальных отчетов по каждому запросу и клиенту.

Мы считаем, что киберриск становится более значимым. Есть внешние угрозы и мы должны быть уверены, что поставщики услуг имеют достаточные ресурсы для их контроля и одновременно не будут злоупотреблять имеющимися доступами к нашим данным».

руководитель СВА публичной компании (Швеция):

«Многим нашим IT-разработкам более 20 лет и надо понимать, что качество и масштаб киберугроз сейчас совсем иной. Существует уязвимость в наших системах и преднамеренная вирусная атака на наши ресурсы может повлечь угрозу для нашей безопасности. Фокус внутреннего аудита смещается от анализа операций и эффективности в сторону кибербезопасности».

  • ЗАЩИТА ДАННЫХ и СТРАТЕГИИ РАЗВИТИЯ В ЭПОХУ ПОСТ-ГРЗПД

Прошедшее внедрение Генерального регламента о защите персональных данных (ГРЗПД) поставило новые задачи перед внутренним аудитом и этот вопрос требует постоянного внимания, а не простого исполнения — ради галочки.

МНЕНИЯ

руководитель СВА компании по оказанию финансовых услуг (Великобритания):

 «Мы наблюдаем больше прозрачности в работе с конфиденциальными данными в результате внедрения нового законодательства и, одновременно, осознания этой проблемы как, требующей постоянного внимания, особенно в связи с развитием социальных сетей».

руководитель СВА медиа конгломерата (Франция):

«Это не только проблема регулирования. Когда вы говорите об утечке данных, мы, прежде всего, думаем о наших клиентах. Мы крайне заинтересованы в конфиденциальности данных. Мы хотим контролировать этот риск не только потому, что это позволит избежать штрафов и санкций, но потому, что мы управляем все большими и большими массивами данных и должны быть уверены, что они эффективно защищены. Это непрерывный процесс, который актуален и сегодня, и завтра».

  • ДИДЖИТАЛИЗАЦИЯ, АВТОМАТИЗАЦИЯ И AI: ТЕХНОЛОГИИ и РИСКИ ВНЕДРЕНИЯ

Преимущества автоматизации и других цифровых процессов с точки зрения затрат и эффективности могут привести к кардинальной трансформации, но организациям необходимо также учитывать риски, связанные с этими преобразованиями.

МНЕНИЯ

руководитель СВА компании – поставщика профессиональных услуг (Нидерланды):

«Автоматизация, роботизация, AI. Все это привносит некоторую неопределенность в работу организации. Выполнение роботами своей работы влияет на поведение людей, работающих в организации на данный момент. Как они реагируют на это, и как это влияет на культуру организации? Они игнорируют эти события, потому что боятся их? Возникает человеческий фактор технологического риска. Если люди не чувствуют себя в безопасности это приводит к определенному поведению. Организации сталкиваются с повышенным риском, когда они решают внедрить что-то новое, особенно в новых для себя областях».

руководитель СВА компании по оказанию финансовых услуг (Великобритания):

«Каковы риски, возникающие в результате внедрения AI, роботизации и цифровизации компании? Это не совсем понятно».

руководитель СВА компании – поставщика профессиональных услуг (Швеция):

«Это огромный вызов для внутреннего аудита, потому что, хотя мы и видим технологические сдвиги последнего десятилетия, но не наблюдаем аналогичного рывка во внутреннем аудите. Внутреннему аудитору привычнее то, что можно потрогать руками. Вы не нуждаетесь в продвинутых навыках автоматизации процессов — вам нужно понимать и проверять классический бизнес-план и управление проектами. Вы можете проверять многие вещи традиционным способом даже тогда, когда все говорят о высоких скоростях эволюции технологий».

  • УСТОЙЧИВОЕ РАЗВИТИЕ: ОКРУЖАЮЩАЯ СРЕДА и СОЦИАЛЬНАЯ ЭТИКА

Компании все чаще будут вести себя ответственно в сфере экологии и социальных вопросах. Влияние этих факторов потребует пересмотра определенных стратегических решений. 

МНЕНИЯ

руководитель СВА компании-ритейлера (Италия):

«Разворачивается серьезная дискуссия вокруг роли внутреннего аудита в вопросах устойчивого развития. Сегодня эта нефинансовая отчетность стала обязательной для публичных компаний. И какова тут наша роль? Мы стали экспертами по углеродным выбросам и другим подобным вопросам? Это предмет для серьезных дебатов аудиторского сообщества».

руководитель СВА компании-ритейлера (Германия):

«Нас оценивают по индексу устойчивого развития Доу-Джонса и это серьезный элемент рыночной капитализации компании. Определенные инвестиционные фонды инвестируют только в рамках программ устойчивого развития. Мы уважаем законы об охране окружающей среды. Если вы ведете бизнес в пищевой промышленности, у вас должно быть понимание исчерпаемости природных ресурсов и ответственного отношения к планете. Это важно для нас и наших клиентов».

  • БОРЬБА СО ВЗЯТОЧНИЧЕСТВОМ и АНТИКОРРУПЦИОННАЯ ПОЛИТИКА

Борьба со взяточничеством и коррупцией существует уже давно, однако национальные законодательные реформы, усилия на глобальном уровне и рекордные штрафы и потери компаний поднимают ставки и подталкивают этот вопрос к вершине корпоративной повестки дня.

МНЕНИЯ

руководитель СВА мультинациональной энергетической компании (Франция):

«Было бы глупо зарабатывать большую прибыль, а потом тратить ее на штрафы только потому, что не были соблюдены требования французского антикоррупционного агентства или, что еще хуже, за нарушения американского антикоррупционного законодательства. И, кроме того, находиться под надзором на протяжении трех лет. Вот почему проверки соблюдения антикоррупционных и «антиотмывочных» требований важны для нас».

руководитель СВА публичной компании (Швеция):

«У нас складывается впечатление, что коррупция уменьшается. Но в то же время мы видим нулевую терпимость к данным фактам со стороны налогоплательщиков и прессы. С сегодняшним развитием соцсетей любой небольшой факт или инцидент может серьезно раздуться и навредить имиджу компании. Это создает большую проблему для нас, так как СМИ, власти и люди спрашивают «А где был внутренний аудит?»

руководитель СВА мультинациональной группы в сфере коммунального хозяйства (Испания):

«Мы стараемся реализовать одни и те же стандарты корпоративного управления и политики риска по всей группе. У нас есть крупные инвестиционные проекты в Латинской Америке, но одновременно и большие проблемы с точки зрения штрафных санкций и репутационных рисков из-за несоблюдения антикоррупционного законодательства».

  • КОММУНИКАЦИИ: ЗАЩИТА БРЕНДА и РЕПУТАЦИОННЫЕ РИСКИ

Риски, связанные с брендом и репутационным ущербом, стали расти, в том числе из-за громких ошибок, совершаемых в публичном пространстве. Компании должны тщательнее относится к данному вопросу.

МНЕНИЯ

руководитель СВА компании по пошиву и продаже одежды (Испания):

«Новый риск связан с коммуникациями компании, например, такой как наша, в социальных сетях и с клиентами. Важность этих отношений растет. Новые способы коммуникаций с клиентами и обществом в целом проще и прямее. С появлением соцсетей закончилась эра, когда единственным способом связи между компанией и обществом были традиционные СМИ».

руководитель СВА потребительской компании (Испания):

«Сегодня очень просто своими действиями нанести культурное или религиозное оскорбление, а плохо проработанные маркетинговые акции, сообщения и пресс-релизы компании могут легко навредить ее репутации».

  • КОРПОРАТИВНАЯ КУЛЬТУРА: ДИСКРИМИНАЦИЯ и НЕРАВЕНСТВО ПЕРСОНАЛА

Проблемы дискриминации и неравенства на рабочем месте и в обществе в целом не новы, но благодаря распространению социальных медиа пришло понимание глобальности этой проблемы.

МНЕНИЯ

руководитель СВА компании по оказанию финансовых услуг (Великобритания):

«Только большее разнообразие может стать положительным для организации подобно нашей. Что может предложить в этом вопросе внутренний аудит? В чем суть политики? Как это распространяется по всей организации? Какие существуют барьеры и препятствия? Честна ли организация по отношению к себе в этом вопросе? Вот главные вопросы».

руководитель СВА банковской группы (Нидерланды):

«Я думаю, что наши усилия в этом плане направлены на реализацию потребностей общества. И то, что общество считает необходимым своевременно и адекватно реагировать на подобные случаи, только подталкивает нас к пристальному вниманию к этой  проблематике». 

  • НОВАЯ ЭРА МИРОВОЙ ТОРГОВЛИ: ПРОТЕКЦИОНИЗМ и САНКЦИИ

Рост протекционизма в мировой торговле, вступление США в торговую войну с Китаем, рост ограничений и санкций создают значительные риски для предприятий и могут повлечь за собой большие штрафы.

МНЕНИЯ

руководитель СВА компании автопроизводителя (Италия):

«Новые правила регулирования, в том числе американские налоги на импорт, вызывают серьезную озабоченность. Я имею в виду массовый сегмент автопроизводства. В целом это вызывает тревогу. Рынок США крайне важен для нас с точки зрения продаж. Пока рано делать какие-то выводы, но это точно та область, которая нуждается в пристальном внимании с нашей стороны».

руководитель СВА компании-ритейлера (Германия):

«Много непредсказуемости на рынках под воздействием санкций со стороны США. Мы работаем в России и вынуждены постоянно следить за быстроменяющимися требованиями и ограничениями. Если мы хотим выйти на рынки новых стран, мы должны просчитывать варианты развития ситуации на ближайшие пять лет, учитывать стабильность политической систем, возможных конфликтов и потенциальных санкционных мер».

  • УПРАВЛЕНИЕ РИСКАМИ и КОНТРОЛЬ: АДАПТАЦИЯ К ИЗМЕНЕНИЯМ

Темпы изменений в деятельности предприятий и количество рисков, которые им присущи растут очень быстро. Стандарты управления рисками и среда контроля, которые актуальны сегодня, могут быстро устареть уже завтра.

МНЕНИЯ

руководитель СВА публичной компании (Франция):

«Мы стремимся к упрощению контрольной среды. В настоящее время система управления все еще сложна и делает акценты на соблюдении законности и соответствии требованиям. Новые IT-системы и организационные процедуры создают возможности для более гибкого и оперативного управления для всех заинтересованных сторон».

руководитель СВА телекоммуникационной компании (Швеция):

«Внутренний аудит часто сосредоточен на старых организационных структурах в управлении рисками. Сейчас компании развиваются в направлении распределенной организации и Agile-технологий. Должен ли внутренний аудит также адаптироваться под данные технологии – этот вопрос актуален для нас».

  • АУДИТ «ПРАВИЛЬНЫХ» РИСКОВ: ИСПОЛЬЗОВАНИЕ РИСК-ОРИЕНТИРОВАННОГО ПОДХОДА

Существует заметное несоответствие между приоритетными областями риска организаций и вопросами, над которыми фокусируется внутренний аудит. Даже это исследование показало, что есть несоответствие между трудозатратами на ту или иную область риска. К примеру, большинство опрошенных указали, что кибербезопасность – риск № 1, но по фактическим трудозатратам лидируют другие направления. И возникает вопрос, на самом ли деле внутренний аудит использует в своей работе риск-ориентированный подход? Лучше всего это показано на рисунке ниже.

Советуем почитать