obsah
v dnešním digitálním věku se externí audity shody a atesty třetích stran (např. Nejen, že poskytují objektivní ověření pozice zabezpečení/souladu dodavatele třetí stranou, ale audity také poskytují užitečné informace o měkkých místech nebo slabostech v prostředí vnitřní kontroly organizace. Jinými slovy, zjištění z formálního auditu mohou sloužit jako recept na snížení rizik.
ačkoli formální externí audity mají své místo, neměly by se na ně spoléhat jako na jediný způsob, jak se dozvědět o bezpečnostních mezerách vaší organizace. V dnešním rychle se vyvíjejícím rizikovém prostředí potřebují organizace kombinaci metod, aby se dostatečně chránily. Kromě plánovaných formálních auditů by organizace měly průběžně provádět interní audity, aby identifikovaly zranitelná místa a porozuměly jejich dodržování a bezpečnostnímu postoji.
nepřetržité neřešení rizik je nebezpečná praxe, protože organizace jsou neustále vystaveny rizikům a hrozbám.
s rychle se vyvíjejícím rizikovým prostředím potřebují organizace kombinaci metod, aby se dostatečně chránily. Kromě plánovaných formálních auditů by organizace měly provádět interní audity, aby mohly neustále identifikovat zranitelná místa a porozumět jejich dodržování a bezpečnostnímu postoji.
průzkum provedený společností Globalscape a Ponemon Institute ve skutečnosti zjistil, že společnosti, které se účastnily častých auditů shody, snížily své náklady na dodržování předpisů v průměru o 2,86 milionu dolarů. Na druhé straně průzkum zjistil, že společnosti, které vůbec neprovádějí audity shody, mají nejvyšší náklady na dodržování předpisů.
provádění interních auditů umožňuje vaší společnosti porozumět mezerám/měkkým místům ve vašem prostředí vnitřní kontroly — takže můžete tyto mezery odstranit dříve, než se externí auditoři objeví ve vaší kanceláři, a mít jistotu, že tento externí audit projdete.
v tomto článku budeme diskutovat o kritických rozdílech mezi interními a externími audity, o tom, co interní auditoři dělají, o různých typech interních auditů, které může vaše organizace provádět,ao klíčových krocích k úspěšnému internímu auditu.
- Role interního auditu
- interní vs. externí audity
- role interního auditora & odpovědnosti
- vyhodnocování kontrol
- hodnocení rizik
- analýza operací
- spolupráce s dalšími poskytovateli pojištění
- 5 Typy interních auditů
- it Compliance Audit
- IT Audit
- finanční Audit
- Provozní audit
- vyšetřovací audit
- jak se provádí interní Audit
- plánování
- práce v terénu (aka „evidence collection and testing“)
- hlášení
- následná opatření
- co by Interní Audit neměl dělat
- Hyperproof dělá interní & externí audity efektivnější
Role interního auditu
zaměstnanci společnosti provádějí interní audity, aby posoudili celková rizika pro dodržování předpisů a bezpečnost a určili, zda společnost dodržuje interní pokyny. Interní audity by měly probíhat po celý rok. Řídící týmy mohou pomocí zpráv generovaných z interních auditů identifikovat oblasti, které vyžadují zlepšení. Interní audity měří cíle společnosti proti výstupním a strategickým rizikům.
interní vs. externí audity
Interní a externí audity mají různé účely, ale nakonec oba slouží stejnému účelu: ujistěte se, že vaše společnost dodržuje předpisy i interní/externí standardy, abyste se vyhnuli narušení podnikání a pokutám, pokutám nebo poškození pověsti, které může být důsledkem porušení předpisů.
externí audity jsou formální audity prováděné nezávislou třetí stranou. Externí audit měří procesy a kontroly organizace v daném okamžiku proti nějakým externím standardům, jako je ISO 27001 nebo NIST 800-53. Mohou však být také povinné, pokud má podnik porušení dat nebo jinou bezpečnostní událost, která nedodržuje zákonnou normu.
na druhé straně interní audity provádějí vyškolení zaměstnanci ve vaší organizaci. Rozsah interního auditu může být poměrně úzký nebo relativně široký.
role interního auditora & odpovědnosti
interní auditoři mají jedinečnou roli: musí být zcela objektivní ohledně procesů a týmů, které vyhodnocují, a nemohou být přímo propojeni s odděleními, která auditují. Interní auditoři se obvykle hlásí přímo vrcholovému vedení nebo členům představenstva. Jejich úkolem je objektivně posoudit oddělení nebo obchodní funkce a to, jak splňují stanovené standardy. Je důležité si uvědomit, že úkolem auditora je nakonec pomoci podnikání a jejich zpětná vazba informuje, jak vybudovat silnější podnikání.
Institut Interních Auditorů (IIA) je největším a nejrozšířenějším sdružením sloužícím a stanovujícím standardy pro interní auditory. Poskytují certifikace v různých oblastech interního auditu a vyvinuli standardy & Guidance-International Professional Practices Framework, který poskytuje interním auditorům povinné a doporučené pokyny k jejich úloze a poslání interních auditorů.
Typ činností, které auditor provádí, se bude poněkud lišit v závislosti na tom, jaký druh auditu provádí. Přesto existují některé činnosti zásadní pro jakýkoli typ interního auditu.
vyhodnocování kontrol
zda auditor posuzuje postup účetního oddělení pro financování na konci roku nebo dodržování CCPA marketingovým oddělením, přezkoumá a vyhodnotí zavedené kontroly, které mají za cíl zmírnit rizika a zabránit nežádoucím incidentům. Téměř každý obchodní proces musí mít nějaký druh kontroly a odpovědnosti na místě zajistit, že nejsou příležitosti snížit rohy nebo vytvářet problémy. Auditoři se dívají jak na zdokumentované kontroly, tak na skutečně prováděné kontroly, aby se zajistilo, že jsou prováděny a fungují tak, jak bylo zamýšleno.
hodnocení rizik
zatímco vedení na všech úrovních musí využít své jedinečné znalosti k identifikaci rizik pro svůj tým a větší organizaci, je úkolem auditora vyhodnotit tato rizika, předvídat budoucí problémy s těmito riziky a najít způsoby, jak tato rizika pro organizaci kontrolovat nebo odstranit.
analýza operací
interní auditoři musí pochopit strategické cíle organizace a to, jak věci fungují na taktické úrovni. Pracují s manažery na nižších úrovních, analyzují operace a určují, zda tyto operace odpovídají strategickým cílům společnosti.
spolupráce s dalšími poskytovateli pojištění
interní auditoři spolupracují s odborníky na řízení rizik, úředníky pro dodržování předpisů a dalšími, aby zajistili vedoucí pracovníky ve své společnosti, že rizika jsou řízena efektivně a efektivně. Zatímco mnoho dalších rolí poskytovatelů pojištění implementuje procesy a vyvíjí kontroly ke zmírnění rizika, interní auditoři tyto kontroly a procesy vyhodnocují, aby zajistili, že fungují a splňují standardy, které potřebují, ať už jsou stanoveny interně nebo externě.
5 Typy interních auditů
existuje několik různých typů interních auditů a každý poskytuje hodnotu. Pokud právě začínáte rozvíjet funkci interního auditu, nemusíte skočit do provádění všech těchto najednou. Je však dobré zaměřit se na případné provádění těchto typů interních auditů, protože každý z nich vám umožní optimalizovat jinou část vašich obchodních operací.
it Compliance Audit
interní IT compliance audit přezkoumává postupy v oblasti zabezpečení dat podniku, aby zjistil, zda jsou v souladu s požadovanými nebo zvolenými rámci zabezpečení dat a standardy a zákonnými požadavky, kterým může společnost čelit, pokud jde o bezpečnost dat a soukromí. Interní audit lze použít jako testovací běh, aby se zjistilo, jak by se tomuto podniku dařilo při formálním externím auditu. Protože důsledky nedodržení shody mohou být pro společnost nákladné, audity shody by se měly provádět často. Nižší riziko, méně složité procesy lze auditovat jednou nebo dvakrát ročně, zatímco složitější a rizikovější procesy by měly být auditovány častěji (např. týdně).
IT Audit
IT audit je zaměřen na řízení a procesy informačních technologií. I když se to překrývá s auditem shody, existují některé funkce IT, které nejsou zahrnuty do auditů shody, které by měly být stále vyhodnoceny. Kromě zajištění toho, že zavedené kontroly IT chrání informace, interní IT audit také přezkoumává, zda it procesy a aktiva (hardware a software) fungují efektivně. Na rozdíl od auditu shody nejsou IT procesy v IT auditu srovnávány s externím standardem. Místo toho se audit zaměřuje na to, zda slouží svému účelu a pomáhají společnosti plnit její cíle.
finanční Audit
finanční audit zkoumá finance podniku, aby zajistil, že finanční činnosti jsou správně zaznamenávány a že jsou používány správné účetní postupy. Je nezbytné, aby tyto typy auditů byly prováděny někým nestranným a odpojeným od účetních a finančních funkcí podniku; pokud zjistí něco nezákonného nebo podvodného, musí být schopni okamžitě jít do vedení se svými obavami.
Provozní audit
provozní audit je zaměřen na výkon oddělení nebo obchodní funkce. Auditor se podívá na procesy a výstupy oddělení a vyhodnotí, jak přispívají ke klíčovým cílům společnosti. Auditor zváží zaměstnance, správu majetku v oddělení, výstupy, produktivitu a organizační strukturu.
vyšetřovací audit
vyšetřovací audit se děje v reakci na zprávu nebo stížnost na podezřelé chování zaměstnance nebo týmu v rámci společnosti. V tomto případě by audit zahrnoval výstup zaměstnance nebo oddělení. Poté, pokud je zpráva věrohodná, posoudí rozsah ztrát, určí, jaké slabiny jí umožnily, a vytvoří doporučení pro to, co je třeba udělat, aby se zabránilo opakování v budoucnu.
jak se provádí interní Audit
protože každý podnik je jiný a různé typy auditů vyžadují různé kroky a úvahy, neexistuje jediný proces auditu, který by fungoval pro každý audit v každé společnosti. Můžete však dodržovat základní vzorec pro vaše audity, abyste zajistili, že shromáždíte všechny potřebné informace a efektivně využijete to, co se naučíte. To jsou čtyři fáze každého úspěšného interního auditu:
plánování
před zahájením auditu by měl tým interního auditu definovat rozsah a cíl auditu. Přístup k auditu bez jasně definovaného cíle vede k scope creep, což je situace, kdy rozsah projektu stále roste a zahrnuje další problémy nebo procesy, se kterými se tým setkává. Rozhodování o tom, co je a není v rámci vašeho auditu před začátkem, umožní vašemu týmu efektivně pracovat a snadno rozhodovat o tom, co zahrnout.
během této fáze také určíte, kdo jsou zúčastněné strany, jaké vlastníky procesů budou do auditu zapojeny, nastavte časovou osu a podívejte se na předchozí audity(pokud existují), abyste zjistili, zda existují nějaké problémy, na které byste měli být připraveni. Z této fáze plánování byste měli odejít se zdokumentovaným plánem auditu, který vás provede při provádění auditu.
obecně řečeno, pro vytvoření solidního plánu auditu byste měli zvážit několik prvků:
- stávající předpisy: Pochopení regulačních požadavků oblasti(oblastí), které budete auditovat, je zásadní pro provedení efektivního auditu.
- obavy zaměstnanců: pokud zaměstnanci již dříve vyjádřili obavy ohledně konkrétních procesů, měli byste do svého plánu auditu začlenit otázky, abyste se do problémů dostali.
- důkazy potřebné k testování kontrol: měli byste si promyslet, jaké typy důkazů budete muset shromáždit, abyste otestovali kontroly v rámci auditu.
práce v terénu (aka „evidence collection and testing“)
práce v terénu obvykle zahrnuje rozhovory s vlastníky procesů, abyste mohli porozumět procesu a kontrolám, přezkoumávat procesní dokumentaci, testovat ovládací prvky, které jsou v současné době pro tento proces zavedeny, a dokumentovat vaše zjištění a doporučení.
během tohoto kroku byste měli zkontrolovat všechna dostupná data o procesu, který je předmětem auditu. Data vygenerovaná před vaším auditem by vám měla poskytnout nefiltrovaný pohled na to, jak proces funguje a zda existují nesrovnalosti mezi tím, co vám dotazovaný říká, a realitou. Také vám potenciálně poskytne zálohu pro vaše doporučení, když předložíte změny, o kterých si myslíte, že by měly být provedeny ve vyšším managementu.
hlášení
po dokončení práce v terénu sestavíte svá zjištění a doporučení do zprávy o auditu. Zpráva o auditu shrnuje plán auditu, popíše vaše výsledky-konkrétně to, co jste zjistili, nebylo v souladu s interními standardy nebo externími požadavky — a prodiskutuje vaše doporučení.
nezapomeňte, že cílem interního auditu je identifikovat problémy a přijít s plánem na zlepšení procesů nebo funkcí. Auditní zpráva není o přiřazení viny nebo ukazování prstů; jde o identifikaci, kde procesy nefungují, jaké jsou důsledky a jak lze tyto problémy napravit. Identifikované problémy by měly být brány vážně a neměly by být minimalizovány nebo vysvětleny. Auditní zpráva by měla v konečném důsledku ukázat silné stránky společnosti a to, jak mohou vyřešit problémy zjištěné v auditu.
následná opatření
závěrečná fáze auditu sleduje doporučení k zajištění implementace a řešení problémů. Tato následná opatření by měla být zaznamenána spolu se zbytkem informací o auditu, které je třeba vzít v úvahu při budoucích auditech.
co by Interní Audit neměl dělat
interní auditoři by neměli navrhovat ani implementovat kontroly — zásady, postupy, procesy a technické komponenty zavedené v jejich organizaci. Jejich úkolem je objektivně posoudit kontroly provozních týmů (např. strojírenství, prodej, HR, finance atd.).) zavedly, aby určily, zda jsou návrhy kontrol vhodné pro zamýšlený cíl kontrol, zda byly kontroly prováděny účinně a zda kontroly fungovaly důsledně.
Hyperproof dělá interní & externí audity efektivnější
Hyperproof snižuje množství administrativních režijních nákladů v typických auditorských procesech. Ve skutečnosti je aplikace speciálně vytvořena tak, aby pomohla interním auditorům a odborníkům na dodržování předpisů shromažďovat a spravovat důkazy o shodě, které potřebují k přezkoumání, aby pochopili a ověřili, jak dobře fungují současné procesy a co nefunguje.
Hyperproof může sloužit jako centrální úložiště pro všechny požadavky na dodržování předpisů organizace, hodnocení rizik, kontroly (spolu s jejich popisem, vlastníkem) a důkazy. V Hyperproof je pro interního auditora snadné podávat žádosti o kontrolu operátorů a vlastníků obchodních procesů v celé organizaci, aby předložili důkazy, které potřebují k testování. Vlastníci kontrol mohou přijít přímo do Hyperproof, aby poskytli důkaz o kontrolách, za které jsou odpovědní, a tyto informace jsou spojeny s konkrétním požadavkem ve vašem plánu auditu.
namísto odesílání e-mailů a manuálních kalendářů vyzývá kolegy, aby jim připomněli, aby přezkoumali důkazy nebo předložili nové důkazy, mohou interní auditoři použít Hyperproof k vydávání úkolů s daty splatnosti a upomínkami. Poté jsou kontrolní operátoři automaticky upozorněni, když je čas, aby přezkoumali a předložili nové důkazy.
kromě toho mohou interní auditoři nakonfigurovat Hyperproof tak, aby automaticky extrahoval důkaz o účinnosti konkrétních kontrol z mnoha obchodních aplikací a vývojářských nástrojů(např. Tímto způsobem se interní auditoři mohou soustředit na testování důkazů místo toho, aby trávili spoustu času jen snahou shromáždit data.
kolegové v obchodních jednotkách budou také rádi, že nebudou muset reagovat na požadavky auditu tak často. Jakmile interní audit nebo compliance tým cítí, že jsou připraveni na externí audit, mohou „sdílet svou práci“ s externím auditorem přímo v Hyperproof a vystavit pouze informace, které chtějí sdílet. Chcete-li se dozvědět více o Hyperproof nebo si prohlédnout ukázku všech jeho schopností, navštivte Hyperproof.io dnes.
