værdien af interne revisioner (og hvordan man udfører en)

Indholdsfortegnelse

i dagens digitale tidsalder er eksterne overensstemmelsesrevisioner og tredjepartsattester (f.eks. SOC 2) blevet mere og mere afgørende i B2B-købsbeslutninger. Ikke kun giver de en objektiv tredjepartsverifikation af en leverandørs sikkerhed/compliance-holdning, men revisioner giver også nyttige oplysninger om de bløde pletter eller svagheder i en organisations interne kontrolmiljø. Med andre ord kan Resultater fra en formel revision tjene som en opskrift på reduktion af risici.

selvom formelle eksterne revisioner har deres plads, bør de ikke påberåbes som det eneste middel til at lære om din organisations sikkerhedshuller. I dagens hurtigt udviklende risikomiljø har organisationer brug for en kombination af metoder til at beskytte sig tilstrækkeligt. Ud over planlagte formelle revisioner bør organisationer løbende foretage interne revisioner for at identificere sårbarheder og forstå deres overholdelse og sikkerhedsstilling.

det er en farlig praksis at ikke adressere risici kontinuerligt, fordi organisationer løbende udsættes for risici og trusler.

med hurtigt udviklende risikomiljøer har organisationer brug for en kombination af metoder til tilstrækkeligt at beskytte sig selv. Ud over planlagte formelle revisioner bør organisationer foretage interne revisioner, så de løbende kan identificere sårbarheder og forstå deres overholdelse og sikkerhedsstilling.

faktisk fandt en undersøgelse foretaget af Globalscape og Ponemon Institute, at virksomheder, der deltog i hyppige overholdelsesrevisioner, reducerede deres overholdelsesomkostninger med et gennemsnit på $2, 86 millioner. På den anden side viste undersøgelsen, at virksomheder, der slet ikke udfører overensstemmelsesrevisioner, oplever de højeste overholdelsesomkostninger.

gennemførelse af interne revisioner giver din virksomhed mulighed for at forstå hullerne/bløde pletter i dit interne kontrolmiljø — så du kan lukke disse huller, før eksterne revisorer dukker op på dit kontor og har sikkerhed for, at du vil bestå den eksterne revision.

i denne artikel vil vi diskutere de kritiske forskelle mellem interne vs. eksterne revisioner, hvad interne revisorer gør, de forskellige typer interne revisioner, som din organisation kan udføre, samt de vigtigste trin til at gennemføre en vellykket intern revision.

to vektortegn arbejder omkring penge, symbolsk for de 2,8 millioner dollars, der spares af virksomheder, der foretager hyppige interne revisioner

den interne revisions rolle

virksomhedens medarbejdere udfører interne revisioner for at måle de samlede risici for overholdelse og sikkerhed og afgøre, om virksomheden følger interne retningslinjer. Interne revisioner bør finde sted hele året. Ledelsesteams kan bruge Rapporter genereret fra interne revisioner til at identificere områder, der kræver forbedring. Interne revisioner måler virksomhedens mål mod output og strategiske risici.

interne vs. eksterne revisioner

interne og eksterne revisioner har forskellige formål, men i sidste ende tjener de begge samme formål: at sikre, at din virksomhed overholder regler såvel som interne/eksterne standarder, så du kan undgå forretningsforstyrrelser og bøder, sanktioner eller omdømmeskader, der kan være resultatet af overtrædelser af overholdelse.

eksterne revisioner er formelle revisioner udført af en uafhængig tredjepart. En ekstern revision måler organisationens processer og kontroller på et tidspunkt mod en slags eksterne standarder, såsom ISO 27001 eller NIST 800-53. Men de kan også være obligatoriske, hvis en virksomhed har et databrud eller en anden sikkerhedsbegivenhed, der ikke overholder en lovligt krævet standard.

på den anden side udføres interne revisioner af uddannede medarbejdere i din organisation. Omfanget af en intern revision kan være ret snævert eller relativt bredt.

intern revisors rolle & ansvar

Interne Revisorer har en unik rolle: de skal være helt objektive med hensyn til de processer og teams, de evaluerer, og de kan ikke forbindes direkte til de afdelinger, de reviderer. Interne revisorer rapporterer typisk direkte til den øverste ledelse eller bestyrelsesmedlemmer. Deres job er at objektivt vurdere afdelinger eller forretningsfunktioner, og hvordan de opfylder fastsatte standarder. Det er vigtigt at huske, at en revisors job i sidste ende er at hjælpe virksomheden, og deres feedback informerer om, hvordan man opbygger en stærkere virksomhed.

Institut for Interne Revisorer (IIA) er den største og mest anerkendte forening, der betjener og sætter standarder for interne revisorer. De leverer certificeringer inden for forskellige områder af intern revision, og de udviklede standarderne & vejledning – International professionel praksis ramme, som giver interne revisorer obligatorisk og anbefalet vejledning om deres rolle og interne revisorers mission.

den type aktiviteter, en revisor udfører, vil variere noget afhængigt af, hvilken type revision de udfører. Der er stadig nogle aktiviteter, der er afgørende for enhver form for intern revision.

evaluering af kontroller

uanset om en revisor vurderer regnskabsafdelingens proces for regnskabsafslutningen eller marketingafdelingens overholdelse af CCPA, vil de gennemgå og evaluere de kontroller, der er på plads, der er beregnet til at afbøde risici og forhindre uønskede hændelser. Næsten enhver forretningsproces skal have en form for kontrol og ansvarlighed på plads for at sikre, at der ikke er muligheder for at skære hjørner eller skabe problemer. Revisorer ser på både de dokumenterede kontroller og de kontroller, der faktisk implementeres for at sikre, at de udføres og fungerer efter hensigten.

evaluering af risici

mens ledelse på alle niveauer skal bruge deres unikke viden til at identificere risiciene for deres team og den større organisation, er det en revisors opgave at evaluere disse risici, forudse fremtidige problemer med disse risici og finde måder at enten kontrollere eller fjerne disse risici for organisationen.

analyse af operationer

interne revisorer skal forstå en organisations strategiske mål og hvordan tingene fungerer på taktisk niveau. De arbejder med ledere på lavere niveauer, analyserer operationer og bestemmer, om disse operationer passer ind i virksomhedens strategiske mål.

arbejde med andre forsikringsudbydere

interne revisorer arbejder sammen med fagfolk inden for risikostyring, overholdelsesofficerer og andre for at forsikre ledere i deres virksomhed om, at risici styres effektivt og effektivt. Mens mange andre assurance provider-roller implementerer processer og udvikler kontroller for at mindske risikoen, evaluerer interne revisorer disse kontroller og processer for at sikre, at de arbejder og opfylder de standarder, de har brug for, uanset om de er indstillet internt eller eksternt.

 en vektorrevisor sidder ved sit skrivebord og foretager en intern revision

5 typer af interne revisioner

der er et par forskellige typer interne revisioner, og hver giver værdi. Hvis du lige er begyndt at udvikle din interne revisionsfunktion, behøver du ikke at springe ind i at udføre alle disse på en gang. Det er dog en god ide at sætte dit syn på i sidste ende at udføre disse typer interne revisioner, fordi de hver især giver dig mulighed for at optimere en anden del af din forretningsdrift.

IT Compliance Audit

en intern IT compliance audit gennemgår en virksomheds datasikkerhedspraksis for at afgøre, om de er i overensstemmelse med påkrævede eller valgte datasikkerhedsrammer og standarder og juridiske krav, som en virksomhed måtte have med hensyn til datasikkerhed og privatliv. En intern revision kan bruges som en testkørsel for at se, hvordan denne virksomhed ville klare sig i en formel ekstern revision. Da konsekvenserne af at falde ud af overholdelse kan være dyre for en virksomhed, bør overensstemmelsesrevisioner udføres ofte. Lavere risiko, mindre komplekse processer kan revideres en eller to gange årligt, mens mere komplicerede og højere risikoprocesser bør revideres oftere (f.eks. ugentligt).

It-Revision

en It-Revision er fokuseret på informationsteknologiske kontroller og processer. Selvom dette har en vis overlapning med en compliance-revision, er der nogle IT-funktioner, der ikke er inkluderet i compliance-revisioner, der stadig skal evalueres. Ud over at sikre, at de IT-kontroller, der er på plads, beskytter information, gennemgår en intern IT-revision også, om IT-processer og aktiver (udstyr og programmel) fungerer effektivt. I modsætning til en compliance-revision sammenlignes IT-processer ikke med en ekstern standard i en IT-revision. I stedet ser revisionen på, om de tjener deres formål og hjælper virksomheden med at nå sine mål.

finansiel revision

en finansiel revision ser på en virksomheds økonomi for at sikre, at finansielle aktiviteter registreres korrekt, og at den korrekte regnskabspraksis anvendes. Det er bydende nødvendigt, at disse typer revisioner udføres af en upartisk og afbrudt fra virksomhedens regnskabs-og Finansfunktioner; hvis de finder noget ulovligt eller svigagtigt, skal de straks kunne gå til ledelsen med deres bekymringer.

operationel revision

en operationel revision er fokuseret på udførelsen af en afdeling eller forretningsfunktion. Revisor vil se på afdelingens processer og output og evaluere, hvordan de bidrager til virksomhedens nøglemål. Revisor vil overveje personale, forvaltning af aktiver i afdelingen, output, produktivitet og organisationsstruktur.

Undersøgelsesrevision

en undersøgelsesrevision sker som svar på en rapport eller klage over mistænkelig adfærd fra en medarbejder eller et team i virksomheden. I dette tilfælde vil revisionen omfatte en medarbejder eller afdelingens output. Så hvis rapporten er troværdig, vil de vurdere omfanget af tabene, afgøre, hvilke svagheder der tillod det at ske, og skabe anbefalinger til, hvad der skal gøres for at forhindre, at det sker igen i fremtiden.

to vektortegn arbejder på nøglefaserne i en intern revision

hvordan en intern revision udføres

fordi hver virksomhed er forskellig, og forskellige typer revisioner kræver forskellige trin og overvejelser, er der ikke en enkelt revisionsproces, der fungerer for hver revision i hver virksomhed. Du kan dog følge en grundlæggende formel til dine revisioner for at sikre, at du indsamler alle de nødvendige oplysninger og udnytter det, du lærer effektivt. Dette er de fire faser i enhver vellykket intern revision:

planlægning

inden en revision påbegyndes, skal det interne revisionsteam definere omfanget og formålet med revisionen. Nærmer sig en revision uden et klart defineret mål fører til scope creep, hvilket er, når projektets omfang fortsætter med at vokse til at omfatte yderligere problemer eller processer, som teamet møder. At beslutte, hvad der er og ikke er inden for rammerne af din revision, før du begynder, giver dit team mulighed for at arbejde effektivt og træffe beslutninger om, hvad der let skal medtages.

i denne fase bestemmer du også, hvem interessenterne er, hvilke procesejere der vil være involveret i revisionen, indstille en tidslinje og se på tidligere revisioner (hvis der findes nogen) for at se, om der er problemer, du skal være parat til at støde på. Du bør komme væk fra denne planlægningsfase med en dokumenteret revisionsplan, der vil guide dig i udførelsen af revisionen.

Generelt skal du overveje et par elementer for at oprette en solid revisionsplan:

  • gældende regler: At forstå de lovgivningsmæssige krav i det eller de områder, du vil revidere, er afgørende for at gennemføre en effektiv revision.
  • medarbejderproblemer: hvis medarbejderne tidligere har udtrykt bekymring over specifikke processer, skal du indarbejde spørgsmål i din revisionsplan for at grave i problemerne.
  • beviser, der er nødvendige for at teste kontroller: du bør tænke igennem, hvilke typer beviser du skal indsamle for at teste kontrollerne inden for rammerne af revisionen.

feltarbejde (aka “evidence collection and testing”)

feltarbejde involverer normalt samtaler med procesejere, så du kan forstå processen og kontrollerne, gennemgå procesdokumentation, teste de kontroller, der aktuelt er på plads til processen, og dokumentere dine fund og anbefalinger.

under dette trin skal du gennemgå alle tilgængelige data om processen under revision. Data genereret før din revision skal give dig et ufiltreret kig på, hvordan processen fungerer, og om der er uoverensstemmelser mellem, hvad den adspurgte fortæller dig og virkeligheden. Det vil også potentielt give dig backup for dine anbefalinger, når du præsenterer ændringer, du mener bør foretages til øverste ledelse.

rapportering

når du har afsluttet dit feltarbejde, samler du dine fund og anbefalinger i en revisionsrapport. En revisionsrapport vil opsummere revisionsplanen, beskrive dine resultater-specifikt, hvad du fandt ikke var i overensstemmelse med interne standarder eller eksterne krav — og diskutere dine anbefalinger.

Husk, at målet med en intern revision er at identificere problemer og komme væk med en plan for forbedring af processer eller funktioner. Revisionsrapporten handler ikke om at tildele skyld eller pege fingre; det handler om at identificere, hvor processer ikke fungerer, hvad konsekvenserne er, og hvordan disse problemer kan afhjælpes. Identificerede problemer bør tages alvorligt og ikke minimeres eller forklares væk. Revisionsrapporten skal i sidste ende vise virksomhedens styrker, og hvordan de kan løse problemer, der er identificeret i revisionen.

opfølgning

den sidste fase af en revision følger op på anbefalingerne for at sikre implementering og hvordan problemer er løst. Denne opfølgning bør registreres sammen med resten af de revisionsoplysninger, der skal tages i betragtning ved fremtidige revisioner.

hvad Intern Revision ikke bør gøre

interne revisorer bør ikke designe eller implementere kontrollerne — de politikker, procedurer, processer og tekniske komponenter, der er indført i deres organisation. Deres job er at objektivt vurdere kontrollerne i driftsteamene (f.eks.) har indført for at afgøre, om kontroldesignene er egnede til det tilsigtede mål med kontrollerne, om kontrollerne blev implementeret effektivt, og om kontrollerne fungerede konsekvent.

Hyperproof gør interne & eksterne revisioner mere effektive

Hyperproof reducerer mængden af administrative omkostninger i typiske revisionsprocesser. Faktisk er applikationen specielt bygget til at hjælpe interne revisorer og compliance-fagfolk med at indsamle og administrere de overholdelsesbeviser, de har brug for at gennemgå for at forstå og verificere, hvor godt aktuelle processer fungerer, og hvad der ikke fungerer.

Hyperproof kan fungere som et centralt lager for alle en organisations overholdelseskrav, risikovurderinger, kontroller (sammen med deres beskrivelse, ejer) og bevis. I Hyperproof er det let for en intern revisor at fremsætte anmodninger om at kontrollere operatører og forretningsprocesejere på tværs af en organisation for at indsende bevis, de har brug for at teste. Kontrolejere kan komme direkte i Hyperproof for at fremlægge bevis for de kontroller, de er ansvarlige for, og disse oplysninger er knyttet til en bestemt anmodning i din revisionsplan.

i stedet for at sende e-mails og manuelle kalenderinvitationer til kolleger for at minde dem om at gennemgå beviser eller indsende nye beviser, kan interne revisorer bruge Hyperproof til at udstede opgaver med forfaldsdatoer og påmindelser. Derefter får kontroloperatører automatisk besked, når det er tid for dem at gennemgå og indsende nye beviser.

derudover kan interne revisorer konfigurere Hyperproof til automatisk at udtrække bevis for specifikke kontrolers effektivitet fra mange forretningsapps og udviklerværktøjer (f.eks. På denne måde kan interne revisorer fokusere på at teste beviserne i stedet for at bruge masser af tid på bare at forsøge at indsamle dataene.

kolleger i forretningsenhederne vil også være glade for, at de ikke behøver at svare på revisionsanmodninger så ofte. Når en intern revision eller compliance-team føler, at de er forberedt på en ekstern revision, kan de “dele deres arbejde” med den eksterne revisor direkte i Hyperproof og kun afsløre de oplysninger, de vil dele. For at lære mere om Hyperproof eller se en demo af alle dens muligheder, besøg Hyperproof.io i dag.

Write a Comment

Din e-mailadresse vil ikke blive publiceret.