Sisällysluettelo
nykypäivän digitaaliaikana ulkoiset vaatimustenmukaisuusauditoinnit ja kolmannen osapuolen todistukset (esim.SOC 2) ovat tulleet yhä tärkeämmiksi B2B-ostopäätöksissä. Sen lisäksi, että ne tarjoavat objektiivisen kolmannen osapuolen vahvistuksen myyjän tietoturva/vaatimustenmukaisuusasennosta, auditoinnit antavat myös hyödyllistä tietoa organisaation sisäisen valvontaympäristön pehmeistä kohdista tai heikkouksista. Toisin sanoen muodollisen tarkastuksen tulokset voivat toimia reseptinä riskien vähentämiseksi.
vaikka virallisilla ulkoisilla auditoinneilla on paikkansa, niitä ei pidä käyttää ainoana keinona saada tietoa organisaatiosi tietoturva-aukoista. Nykypäivän nopeasti kehittyvässä riskiympäristössä organisaatiot tarvitsevat menetelmien yhdistelmää suojautuakseen riittävästi. Suunniteltujen muodollisten auditointien lisäksi organisaatioiden tulisi jatkuvasti tehdä sisäisiä auditointeja haavoittuvuuksien tunnistamiseksi ja niiden noudattamisen ja tietoturvan asentojen ymmärtämiseksi.
riskien jatkuva hoitamatta jättäminen on vaarallinen käytäntö, koska organisaatiot altistuvat riskeille ja uhkille jatkuvasti.
nopeasti kehittyvissä riskiympäristöissä organisaatiot tarvitsevat menetelmien yhdistelmää suojautuakseen riittävästi. Suunniteltujen muodollisten auditointien lisäksi organisaatioiden tulisi suorittaa sisäisiä auditointeja, jotta ne voivat tunnistaa haavoittuvuuksia ja ymmärtää niiden noudattamista ja tietoturvaa jatkuvasti.
itse asiassa Globalscapen ja Ponemon Instituten teettämässä tutkimuksessa havaittiin, että usein vaatimustenmukaisuustarkastuksia tehneet yritykset vähensivät noudattamiskustannuksiaan keskimäärin 2,86 miljoonalla dollarilla. Toisaalta tutkimuksessa havaittiin, että yritykset, jotka eivät tee vaatimustenmukaisuustarkastuksia lainkaan, kokevat suurimmat vaatimustenmukaisuudesta aiheutuvat kustannukset.
sisäisten auditointien avulla yrityksesi voi ymmärtää sisäisen valvontaympäristösi puutteet / heikot kohdat — joten voit paikata ne ennen kuin ulkopuoliset tilintarkastajat saapuvat toimistoosi ja saada varmuuden siitä, että läpäiset ulkoisen auditoinnin.
tässä artikkelissa käsitellään kriittisiä eroja sisäisten ja ulkoisten auditointien välillä, sitä, mitä sisäiset auditoijat tekevät, mitä erilaisia sisäisiä auditointeja organisaatiosi voi suorittaa, sekä avainvaiheita onnistuneen sisäisen tarkastuksen suorittamiseen.
- sisäisen tarkastuksen rooli
- sisäisillä ja ulkoisilla auditoinneilla
- sisäisen tarkastajan tehtävä & vastuualueet
- tarkastusten arviointi
- riskien arviointi
- operaatioiden analysointi
- työskentely muiden varmentajien kanssa
- 5 sisäisen auditoinnin tyypit
- IT Compliance Audit
- IT Audit
- tilintarkastus
- Operational audit
- Tutkiva tarkastus
- miten Sisäinen tarkastus tehdään
- suunnittelu
- kenttätyö (alias ”evidence collection and testing”)
- raportointi
- seuranta
- mitä sisäisen tarkastuksen ei tulisi tehdä
- Hyperproof tekee sisäisistä & ulkoisista auditoinneista tehokkaampia
sisäisen tarkastuksen rooli
yrityksen työntekijät suorittavat sisäisiä tarkastuksia arvioidakseen vaatimustenmukaisuuteen ja turvallisuuteen kohdistuvia kokonaisriskejä ja selvittääkseen, noudattaako yritys sisäisiä ohjeita. Sisäisiä tarkastuksia olisi tehtävä ympäri vuoden. Johtoryhmät voivat käyttää sisäisistä tarkastuksista saatuja raportteja tunnistaakseen alueita, jotka vaativat parantamista. Sisäiset auditoinnit mittaavat yrityksen tavoitteita tuotoksen ja strategisten riskien suhteen.
sisäisillä ja ulkoisilla auditoinneilla
sisäisillä ja ulkoisilla auditoinneilla on erilaiset tarkoitukset, mutta viime kädessä niillä molemmilla on sama päämäärä: varmistaa, että yrityksesi noudattaa määräyksiä sekä sisäisiä/ulkoisia standardeja, jotta voit välttää liiketoimintahäiriöt ja sakot, seuraamukset tai mainevahingot, jotka voivat johtua säännösten rikkomisesta.
ulkopuoliset tarkastukset ovat riippumattoman kolmannen osapuolen suorittamia virallisia tarkastuksia. Ulkoinen auditointi mittaa organisaation prosesseja ja kontrolleja tiettynä ajankohtana jonkinlaisia ulkoisia standardeja, kuten ISO 27001 tai NIST 800-53. Mutta ne voivat olla myös pakollisia, jos yrityksellä on tietomurto tai muu tietoturvatapahtuma, joka ei ole lakisääteisen standardin mukainen.
sisäisiä auditointeja tekevät koulutetut työntekijät organisaatiossasi. Sisäisen tarkastuksen soveltamisala voi olla melko kapea tai suhteellisen laaja.
sisäisen tarkastajan tehtävä & vastuualueet
sisäisillä tarkastajilla on ainutlaatuinen tehtävä: heidän on oltava täysin objektiivisia arvioitavien prosessien ja tiimien suhteen, eikä heitä voida suoraan yhdistää tarkastettaviin osastoihin. Sisäiset tarkastajat raportoivat tyypillisesti suoraan toimivalle johdolle tai hallituksen jäsenille. Heidän tehtävänään on objektiivisesti arvioida osastoja tai liiketoiminnan toimintoja ja miten ne täyttävät asetetut vaatimukset. On tärkeää muistaa, että tilintarkastajan tehtävä on viime kädessä auttaa liiketoimintaa, ja heidän palautteensa kertoo, miten rakentaa vahvempaa liiketoimintaa.
Institute of Internal Auditors (IIA) on suurin ja laajimmin tunnustettu järjestö, joka palvelee ja asettaa standardeja sisäisille tilintarkastajille. Ne tarjoavat sertifiointeja sisäisen tarkastuksen eri osa – alueilla, ja ne kehittivät standardit & Guidance-International Professional Practices Framework, joka antaa sisäisille tarkastajille pakollisia ja suositeltuja ohjeita heidän roolistaan ja sisäisten tarkastajien tehtävästä.
tilintarkastajan suorittama toiminta vaihtelee jonkin verran riippuen siitä, millaista tilintarkastusta hän suorittaa. On kuitenkin olemassa joitakin toimia, jotka ovat ratkaisevan tärkeitä minkä tahansa sisäisen tarkastuksen kannalta.
tarkastusten arviointi
riippumatta siitä, arvioiko tilintarkastaja kirjanpitoyksikön vuoden lopun tilinpäätösprosessia vai sitä, noudattaako markkinointiosasto CCPA: ta, tilintarkastaja Arvioi ja arvioi käytössä olevat tarkastukset, joiden tarkoituksena on vähentää riskejä ja estää ei-toivotut tapahtumat. Lähes kaikki liiketoimintaprosessit on oltava jonkinlainen valvonta ja vastuuvelvollisuus, jotta voidaan varmistaa, että ei ole mahdollisuuksia leikata mutkia tai luoda kysymyksiä. Tarkastajat tarkastelevat sekä dokumentoituja tarkastuksia että todellisuudessa toteutettavia tarkastuksia varmistaakseen, että ne toteutetaan ja että ne toimivat tarkoitetulla tavalla.
riskien arviointi
vaikka johdon kaikilla tasoilla on käytettävä ainutlaatuista tietämystään tiimiinsä ja laajempaan organisaatioon kohdistuvien riskien tunnistamiseen, tilintarkastajan tehtävänä on arvioida riskejä, ennakoida niihin liittyviä tulevia ongelmia ja löytää tapoja joko hallita tai poistaa organisaatioon kohdistuvia riskejä.
operaatioiden analysointi
sisäisten tarkastajien tulee ymmärtää organisaation strategiset tavoitteet ja miten asiat toimivat taktisella tasolla. He työskentelevät alempien tasojen johtajien kanssa, analysoivat toimintoja ja määrittelevät, sopivatko nämä toiminnot yrityksen strategisiin tavoitteisiin.
työskentely muiden varmentajien kanssa
sisäiset tarkastajat työskentelevät yhdessä riskienhallinnan ammattilaisten, compliance officersin ja muiden kanssa vakuuttaakseen yrityksen johtajille, että riskejä hallitaan tehokkaasti ja tehokkaasti. Vaikka monet muut varmennuksen tarjoajan roolit toteuttavat prosesseja ja kehittävät kontrolleja riskien vähentämiseksi, sisäiset tarkastajat arvioivat nämä kontrollit ja prosessit varmistaakseen, että ne toimivat ja täyttävät tarvittavat standardit riippumatta siitä, onko ne asetettu sisäisesti vai ulkoisesti.
5 sisäisen auditoinnin tyypit
sisäisiä auditointeja on muutamia erityyppisiä, ja jokainen niistä tuottaa arvoa. Jos olet juuri alkanut kehittää sisäisen tarkastuksen toiminto, sinun ei tarvitse hypätä suorittaa kaikki nämä kerralla. Kuitenkin, se on hyvä idea asettaa tähtäimeen lopulta suorittaa tällaisia sisäisiä tarkastuksia, koska ne jokainen voit optimoida eri osa liiketoimintaa.
IT Compliance Audit
sisäisessä it compliance audit-tarkastuksessa tarkastellaan yrityksen tietoturvakäytäntöjä sen määrittämiseksi, ovatko ne vaadittujen tai valittujen tietoturvakehysten ja-standardien ja lakisääteisten vaatimusten mukaisia, joita yritys saattaa kohdata tietoturvan ja yksityisyyden suhteen. Sisäistä tarkastusta voidaan käyttää testinä sen selvittämiseksi, miten yritys pärjäisi virallisessa ulkoisessa tarkastuksessa. Koska noudattamatta jättämisen seuraukset voivat tulla yritykselle kalliiksi, vaatimustenmukaisuustarkastuksia tulisi tehdä usein. Pienempi riski, vähemmän monimutkaisia prosesseja voidaan auditoida kerran tai kahdesti vuodessa, kun taas monimutkaisempia ja suuremman riskin prosesseja olisi auditoitava useammin (esim.viikoittain).
IT Audit
IT-auditointi keskittyy tietotekniikan valvontaan ja prosesseihin. Vaikka tämä on osittain päällekkäistä compliance auditoinnin kanssa, on olemassa joitakin tietoteknisiä toimintoja, jotka eivät sisälly compliance auditointeihin, jotka pitäisi silti arvioida. Sen lisäksi, että sisäinen it-tarkastus varmistaa, että käytössä oleva tietotekninen valvonta turvaa tiedot, se tarkastelee myös sitä, toimivatko tietotekniset prosessit ja varat (laitteisto ja ohjelmisto) tehokkaasti. Toisin kuin compliance audit, IT-prosesseja ei verrata ulkoiseen standardiin IT-auditoinnissa. Sen sijaan tarkastuksessa tarkastellaan, palvelevatko ne tarkoitustaan ja auttavatko ne yritystä saavuttamaan tavoitteensa.
tilintarkastus
tilintarkastuksessa tarkastellaan yrityksen taloutta sen varmistamiseksi, että rahoitustoiminta kirjataan oikein ja että kirjanpitokäytäntöjä noudatetaan. On välttämätöntä, että tämäntyyppiset tarkastukset suorittaa joku puolueeton ja irrallaan liiketoiminnan kirjanpito-ja rahoitustoiminnoista; jos he löytävät jotain laitonta tai vilpillistä, heidän on voitava mennä johtoon huolineen välittömästi.
Operational audit
operational audit eli operatiivinen auditointi keskittyy osaston tai liiketoiminnan toiminnan suorittamiseen. Tilintarkastaja tarkastelee laitoksen prosesseja ja tuotoksia sekä arvioi, miten ne edistävät yhtiön keskeisiä tavoitteita. Tilintarkastaja harkitsee henkilöstön, omaisuuden hallinta osastolla, tuotokset, tuottavuus, ja organisaatiorakenne.
Tutkiva tarkastus
tutkiva tarkastus tapahtuu vastauksena ilmoitukseen tai valitukseen yrityksen työntekijän tai tiimin epäilyttävästä käyttäytymisestä. Tällöin tarkastus sisältäisi työntekijän tai osaston tuotoksen. Jos kertomus on uskottava, he arvioisivat menetysten laajuuden, määrittäisivät, mitkä heikkoudet ovat mahdollistaneet sen, ja laatisivat suosituksia siitä, mitä on tehtävä, jotta näin ei tapahtuisi tulevaisuudessa.
miten Sisäinen tarkastus tehdään
koska jokainen liiketoiminta on erilaista ja erityyppiset tarkastukset vaativat erilaisia vaiheita ja huomioita, ei ole olemassa yhtä ainoaa tarkastusprosessia, joka toimisi jokaisen yrityksen jokaisen tarkastuksen osalta. Kuitenkin, voit seurata peruskaava auditoinnit varmistaa kerätä kaikki tarvittavat tiedot ja hyödyntää mitä opit tehokkaasti. Nämä ovat neljä vaihetta jokaisessa onnistuneessa sisäisessä tarkastuksessa:
suunnittelu
ennen tarkastuksen aloittamista sisäisen tarkastusryhmän olisi määriteltävä tarkastuksen laajuus ja tavoite. Auditoinnin lähestyminen ilman selkeästi määriteltyä tavoitetta johtaa scope Creepiin, jolloin projektin laajuus kasvaa koko ajan sisältäen ylimääräisiä kysymyksiä tai prosesseja, joita tiimi kohtaa. Päättää, mitä on ja ei sisällä auditoinnin ennen alkua mahdollistaa tiimisi työskennellä tehokkaasti ja tehdä päätöksiä siitä, mitä sisällyttää helposti.
tässä vaiheessa selvität myös, keitä sidosryhmät ovat, mitkä prosessin omistajat osallistuvat auditointiin, asetat aikajanan ja tarkastelet aiempia auditointeja (jos niitä on) nähdäksesi, onko ongelmia, joihin sinun tulisi varautua. Sinun pitäisi tulla pois tämän suunnitteluvaiheessa dokumentoitu auditointisuunnitelma, joka ohjaa sinua suorittamaan audit.
yleisesti ottaen vankan tarkastussuunnitelman luomiseksi kannattaa harkita muutamia seikkoja:
- voimassa olevat asetukset: Auditoitavan alueen (- alueiden) lakisääteisten vaatimusten ymmärtäminen on ratkaisevan tärkeää tehokkaan auditoinnin suorittamiseksi.
- työntekijöiden huolenaiheet: jos työntekijät ovat aiemmin ilmaisseet huolensa tietyistä prosesseista, sinun tulisi sisällyttää tarkastussuunnitelmaasi kysymyksiä ongelmien selvittämiseksi.
- kontrollien testaamiseen tarvittava todistusaineisto: kannattaa miettiä, minkälaista todistusaineistoa tarvitsee kerätä testatakseen kontrolleja auditoinnin puitteissa.
kenttätyö (alias ”evidence collection and testing”)
kenttätyö sisältää yleensä prosessin omistajien haastatteluja, jotta voit ymmärtää prosessin ja kontrollit, prosessidokumentaation läpikäymisen, prosessin nykyisten kontrollien testaamisen sekä havaintojen ja suositusten dokumentoinnin.
tämän vaiheen aikana kannattaa käydä läpi kaikki käytettävissä olevat tiedot tarkastuksen kohteena olevasta prosessista. Ennen auditointia syntyneiden tietojen pitäisi antaa suodattamaton kuva siitä, miten prosessi toimii ja onko ristiriitaisuuksia haastateltavan kertomien asioiden ja todellisuuden välillä. Se myös mahdollisesti antaa sinulle varmuuskopion suosituksillesi, kun esität muutoksia, jotka mielestäsi pitäisi tehdä ylemmälle johdolle.
raportointi
kenttätyön jälkeen kootaan havainnot ja suositukset tarkastuskertomukseksi. Tarkastuskertomuksessa esitetään yhteenveto tarkastussuunnitelmasta, kuvataan tuloksesi-erityisesti, mitä löysit ei ollut sisäisten standardien tai ulkoisten vaatimusten mukainen-ja keskustellaan suosituksistasi.
muista, että sisäisen tarkastuksen tavoitteena on tunnistaa ongelmat ja laatia suunnitelma prosessien tai toimintojen parantamiseksi. Tarkastuskertomuksessa ei ole kyse syyttelyn osoittamisesta tai sormella osoittamisesta, vaan sen tunnistamisesta, missä prosessit eivät toimi, mitkä ovat seuraukset ja miten nämä asiat voidaan korjata. Tunnistetut asiat tulee ottaa vakavasti eikä vähätellä tai selittää pois. Tarkastuskertomuksessa olisi viime kädessä esiteltävä yrityksen vahvuudet ja se, miten ne voivat ratkaista tarkastuksessa havaitut ongelmat.
seuranta
tarkastuksen viimeisessä vaiheessa seurataan suosituksia täytäntöönpanon varmistamiseksi ja ongelmien ratkaisemista. Tämä seuranta olisi kirjattava muiden tarkastustietojen rinnalle, jotta se otettaisiin huomioon tulevissa tarkastuksissa.
mitä sisäisen tarkastuksen ei tulisi tehdä
sisäisten tarkastajien ei tulisi suunnitella eikä toteuttaa valvontatoimia — niiden organisaatiossa käyttöön otettuja toimintatapoja, menettelyjä, prosesseja ja teknisiä komponentteja. Heidän tehtävänään on objektiivisesti arvioida toimintaryhmien (esim. suunnittelu, myynti, HR, rahoitus jne.) ovat ottaneet käyttöön sen määrittämiseksi, soveltuvatko valvontasuunnitelmat tarkastusten aiottuun tavoitteeseen, toteutettiinko tarkastukset tehokkaasti ja toimivatko ne johdonmukaisesti.
Hyperproof tekee sisäisistä & ulkoisista auditoinneista tehokkaampia
Hyperproof vähentää hallinnollisten yleiskustannusten määrää tyypillisissä auditointiprosesseissa. Itse asiassa sovellus on erityisesti rakennettu auttamaan sisäisiä tarkastajia ja compliance-ammattilaisia keräämään ja hallitsemaan vaatimustenmukaisuuden todistusaineistoa, jota he tarvitsevat tarkistaakseen ja todentaakseen, miten hyvin nykyiset prosessit toimivat ja mikä ei toimi.
Hyperproof voi toimia keskusvarastona kaikille organisaation vaatimustenmukaisuusvaatimuksille, riskinarvioinneille, kontrolleille (sekä niiden kuvaukselle, omistajalle) ja todisteille. Hyperproofissa sisäisen tarkastajan on helppo tehdä pyyntöjä valvoa operaattoreita ja liiketoimintaprosessien omistajia koko organisaatiossa, jotta he voivat toimittaa testattavaksi tarvittavat todisteet. Kontrollin omistajat voivat tulla suoraan Hyperproofiin esittämään todisteita valvonnasta, josta he ovat vastuussa, ja nämä tiedot on liitetty tiettyyn pyyntöön auditointisuunnitelmassasi.
sen sijaan, että sisäiset tarkastajat lähettäisivät kollegoilleen sähköposteja ja manuaalisia kalenterikutsuja muistuttamaan heitä tarkastamaan todisteita tai toimittamaan uusia todisteita, he voivat käyttää Hyperproofia antaakseen tehtäviä, joissa on eräpäiviä ja muistutuksia. Sitten valvontaoperaattoreille ilmoitetaan automaattisesti, kun heidän on aika tarkastella ja toimittaa uusia todisteita.
lisäksi sisäiset tarkastajat voivat konfiguroida Hyperproofin automaattisesti poimimaan todisteita tiettyjen hallintalaitteiden tehokkuudesta monista liiketoimintasovelluksista ja kehittäjätyökaluista (esim.Pull-pyynnöt ja hyväksynnät githubilta). Näin sisäiset tarkastajat voivat keskittyä testaamaan todisteita sen sijaan, että he käyttäisivät paljon aikaa vain tietojen keräämiseen.
työkaverit liiketoimintayksiköissä ilahtuvat myös siitä, ettei heidän tarvitse vastata tarkastuspyyntöihin yhtä usein. Kun Sisäinen tarkastus tai compliance-tiimi tuntee olevansa valmis ulkoiseen tarkastukseen, he voivat” jakaa työnsä ” ulkoisen tilintarkastajan kanssa suoraan Hyperproofissa ja paljastaa vain tiedot, jotka he haluavat jakaa. Lisätietoja Hyperproof tai nähdä demo kaikki sen ominaisuudet, vierailla Hyperproof.io tänään.