Мнение эксперта

Внутренний аудит и нетипичные риски

Время прочтения: 3 мин.

Когда генеральный директор канадской криптовалютной биржи внезапно умер, выяснилось, что он был единственным человеком, который знал ключи безопасности и пароли, необходимые для доступа к 70 миллионам долларов наличными и 190 миллионам долларов в биткоинах и других криптовалютах, принадлежащих 115 000 клиентам его компании. Верховный суд Новой Шотландии предоставил компании QuadrigaCX защиту от кредиторов, в то время как наблюдатели из Ernst & Young (EY) разбираются с беспорядком.

По-видимому, генеральный директор Джеральд Коттон управлял бизнесом с зашифрованного ноутбука, и он был единственным человеком, имеющим к нему доступ. Считается, что ноутбук содержит ключи — длинные, случайно сгенерированные последовательности цифр и букв — для цифровых кошельков, содержащих миллионы.

Это может быть сигналом об основных рисках, связанных с криптовалютами или другими видами использования технологии blockchain. Вместо этого я использую это, как пример нетипичных рисков. Нетипичные риски – это «риски, которые трудно определить и оценить, или те, которые очень редко встречаются». Инцидент на QuadrigaCX — пример нетипичного риска: это первый раз, когда при использовании криптовалют стало известно об утрате ключей шифрования. В то время как небезопасные пароли рассматривались как риск, коды шифрования для blockchain находились на другом конце спектра безопасности и считались защищенными от взлома.

В настоящее время появляются компании, которые пытаются помочь людям, которые не записали или потеряли свои ключи шифрования. Эти попытки иногда приносят успех, особенно, если клиент имеет у себя часть ключа.

В этом необычном случае система безопасности была слишком надежной. EY добавила интриги в этом деле, сообщив, что для управления использовалось более одного активного ноутбука, а также три зашифрованных USB — флеш-накопителя. Эксперты в криптовалютной индустрии говорят, что есть небольшой шанс, что техники смогут восстановить валюту, сообщает канадская пресса.

Неясно, имеет ли QuadrigaCX, одна из 237 широко признанных публичных криптовалютных бирж во всем мире, внутреннюю аудиторскую деятельность? EY, в своей первоначальной попытке разобраться в финансах компании, сообщила суду, что у QuadrigaCX не было обнаруженной системы бухгалтерского учета, нет банковского счета, что указания Коттона о проведении платежей направлялись сотрудникам по электронной почте и исполнялись через сторонние платежные системы, а финансовые потоки не отслеживались систематически.

В североамериканском отчете по внутреннему аудиту за 2019 год (будет опубликован в начале марта) данные показывают, что 7 из 10 главных руководителей по аудиту (CAEs) «чрезвычайно, очень или умеренно» уверены в способности внутреннего аудита выявлять и оценивать нетипичные риски. Однако эта уверенность несколько противоречит результатам, свидетельствующим о том, что менее половины согласны с тем, что менеджмент их компаний обладает аналогичными возможностями. Почти одна четвертая часть CAEs сообщила, что для менеджмента было неожиданностью реализация ряда рисков в предыдущие 12 месяцев.

Это несоответствие может быть объяснено тем, что нетипичные риски не являются фокусом внимания для внутреннего аудита. В компаниях, где руководство стремится идентифицировать нетипичные риски, внутренний аудит не всегда находится на ведущих ролях. Семьдесят восемь процентов CAEs оценили как весьма вероятное то, что в этом случае руководство компании будет опираться на управленческий персонал. Эта цифра снижается до 49 процентов для внутреннего аудита и 48 процентов для риск-менеджмента.

Среди всего этого для внутреннего аудита появляется возможность творчески мыслить о риске. Что может случиться такого, о чем никто не подумал? Что происходит в мире, что может повлиять на организацию в краткосрочной, среднесрочной и долгосрочной перспективе?

Также подчеркивается еще одна возможность для внутренних аудиторов: использовать время для обсуждения нетипичных рисков с руководством компаний, которое может рассматриваться как ресурс для текущего анализа и прогнозирования.

Необходимо обсуждать планы преемственности, понимать кто имеет доступ к «секретам» компании, и что где хранится. Для защиты и повышения ценности компании важно сохранять бдительность и прикладывать усилия, чтобы наш голос был услышан.

Ссылка на статью https://iaonline.theiia.org/blogs/Jim-Pelletier/2019/Pages/Internal-Audit-and-Atypical-Risks.aspx

Советуем почитать