Tartalomjegyzék
a mai digitális korban a külső megfelelőségi ellenőrzések és a harmadik féltől származó tanúsítványok (pl. SOC 2) egyre fontosabbá váltak a B2B vásárlási döntéseiben. Nem csak objektív, harmadik fél általi ellenőrzést nyújtanak a szállító biztonsági / megfelelőségi helyzetéről, hanem az auditok hasznos információkat is nyújtanak a szervezet belső ellenőrzési környezetének gyenge pontjairól vagy gyengeségeiről. Más szavakkal, a hivatalos ellenőrzés megállapításai receptként szolgálhatnak a kockázatok csökkentésére.
bár a hivatalos külső ellenőrzéseknek megvan a helyük, nem szabad rájuk támaszkodni, mint egyetlen eszközre a szervezet biztonsági hiányosságainak megismerésére. A mai gyorsan fejlődő kockázati környezetben a szervezeteknek módszerek kombinációjára van szükségük ahhoz, hogy megfelelően megvédjék magukat. A tervezett hivatalos auditok mellett a szervezeteknek folyamatosan belső auditokat kell végezniük a sebezhetőségek azonosítása és a Megfelelőségi és biztonsági helyzetük megértése érdekében.
a kockázatok folyamatos kezelése veszélyes gyakorlat, mivel a szervezetek folyamatosan ki vannak téve kockázatoknak és fenyegetéseknek.
a gyorsan fejlődő kockázati környezetekben a szervezeteknek módszerek kombinációjára van szükségük ahhoz, hogy megfelelően megvédjék magukat. A tervezett hivatalos auditok mellett a szervezeteknek belső auditokat kell végezniük annak érdekében, hogy folyamatosan azonosítsák a sebezhetőségeket, és megértsék Megfelelőségi és biztonsági helyzetüket.
valójában a Globalscape és a Ponemon Intézet által végzett felmérés megállapította, hogy a gyakori megfelelőségi ellenőrzéseket végző vállalatok átlagosan 2,86 millió dollárral csökkentették megfelelési költségeiket. Másrészt a felmérés megállapította, hogy azok a vállalatok, amelyek egyáltalán nem végeznek megfelelőségi ellenőrzéseket, a legmagasabb megfelelőségi költségekkel járnak.
a belső auditok elvégzése lehetővé teszi vállalata számára, hogy megértse a belső kontrollkörnyezet hiányosságait/gyenge pontjait — így megszüntetheti ezeket a hiányosságokat, mielőtt a külső auditorok megjelennek az irodájában, és biztos lehet benne, hogy át fog menni ezen a külső auditon.
ebben a cikkben megvitatjuk a belső és a külső auditok közötti kritikus különbségeket, a belső auditorok tevékenységét, a szervezet által végzett különböző típusú belső auditokat, valamint a sikeres belső audit elvégzésének legfontosabb lépéseit.
- a belső ellenőrzés szerepe
- Belső és külső auditok
- A belső ellenőr szerepe & felelősségi körök
- kontrollok értékelése
- kockázatok értékelése
- műveletek elemzése
- együttműködés más biztosítási szolgáltatókkal
- 5 a belső ellenőrzések típusai
- IT Compliance Audit
- IT Audit
- pénzügyi ellenőrzés
- operatív ellenőrzés
- vizsgálati ellenőrzés
- hogyan történik a belső ellenőrzés
- tervezés
- terepmunka (más néven “bizonyítékgyűjtés és tesztelés”)
- jelentés
- nyomon követés
- mit ne tegyen a belső ellenőrzés
- a Hyperproof hatékonyabbá teszi a belső & külső auditokat
a belső ellenőrzés szerepe
a vállalati alkalmazottak belső ellenőrzéseket végeznek, hogy felmérjék a megfelelés és a biztonság általános kockázatát, és meghatározzák, hogy a vállalat betartja-e a belső irányelveket. A belső ellenőrzéseknek egész évben meg kell történniük. A vezetői csoportok a belső ellenőrzésekből származó jelentéseket felhasználhatják a fejlesztést igénylő területek azonosítására. A belső auditok mérik a vállalati célokat a kimeneti és stratégiai kockázatokkal szemben.
Belső és külső auditok
a belső és külső auditok különböző célokat szolgálnak, de végső soron mindkettő ugyanazt a célt szolgálja: győződjön meg arról, hogy vállalata megfelel a szabályoknak, valamint a belső/külső szabványoknak, így elkerülheti az üzleti zavarokat, a bírságokat, a büntetéseket vagy a reputációs károkat, amelyek a megfelelőség megsértésének következményei lehetnek.
a külső auditok független harmadik fél által végzett hivatalos auditok. A külső audit a szervezet folyamatait és ellenőrzéseit egy adott időpontban méri valamilyen külső szabvány, például az ISO 27001 vagy a NIST 800-53 alapján. De akkor is kötelezőek lehetnek, ha egy vállalkozásnak adatszegése vagy más biztonsági eseménye van, amely nem felel meg a jogilag előírt szabványnak.
másrészt a belső ellenőrzéseket képzett alkalmazottak végzik a szervezeten belül. A belső ellenőrzés hatóköre meglehetősen szűk vagy viszonylag széles lehet.
A belső ellenőr szerepe & felelősségi körök
a belső ellenőröknek egyedi szerepük van: teljesen objektívnek kell lenniük az általuk értékelt folyamatokkal és csapatokkal kapcsolatban, és nem kapcsolódhatnak közvetlenül az általuk auditált osztályokhoz. A belső ellenőrök általában közvetlenül a felső vezetésnek vagy az igazgatósági tagoknak jelentenek. Feladatuk az, hogy objektíven értékeljék az osztályokat vagy az üzleti funkciókat, és hogyan felelnek meg a meghatározott szabványoknak. Fontos megjegyezni, hogy az auditor feladata végső soron az, hogy segítse az üzletet, és visszajelzéseik arról tájékoztatnak, hogyan lehet erősebb üzletet építeni.
a belső ellenőrök Intézete (IIA) a legnagyobb és legszélesebb körben elismert egyesület, amely a belső ellenőrök számára szolgál és szabványokat állít fel. Tanúsítványokat nyújtanak a belső ellenőrzés különböző területein, és kidolgozták a & Guidance – International Professional Practices Framework szabványt, amely kötelező és ajánlott útmutatást nyújt a belső ellenőröknek szerepükről és küldetésükről.
az auditor által végzett tevékenységek típusa némileg eltér attól függően, hogy milyen auditot végez. Ennek ellenére vannak olyan tevékenységek, amelyek elengedhetetlenek bármilyen típusú belső ellenőrzéshez.
kontrollok értékelése
függetlenül attól, hogy a könyvvizsgáló értékeli-e a számviteli osztály év végi pénzügyi folyamatait, vagy a marketing osztály megfelel-e a CCPA-nak, felülvizsgálja és értékeli azokat a meglévő kontrollokat, amelyek célja a kockázatok csökkentése és a nemkívánatos események megelőzése. Szinte minden üzleti folyamatnak rendelkeznie kell valamilyen típusú ellenőrzéssel és elszámoltathatósággal annak biztosítása érdekében, hogy ne legyen lehetőség a sarkok csökkentésére vagy problémák létrehozására. Az auditorok megvizsgálják mind a dokumentált ellenőrzéseket, mind a ténylegesen végrehajtott ellenőrzéseket, hogy biztosítsák azok végrehajtását és rendeltetésszerű működését.
kockázatok értékelése
míg a vezetésnek minden szinten fel kell használnia egyedi tudását, hogy azonosítsa a csapatát és a nagyobb szervezetet fenyegető kockázatokat, az auditor feladata, hogy értékelje ezeket a kockázatokat, előre jelezze a jövőbeni problémákat ezekkel a kockázatokkal, és megtalálja a módját, hogy vagy ellenőrizze, vagy megszüntesse ezeket a kockázatokat a szervezet számára.
műveletek elemzése
a belső ellenőröknek meg kell érteniük a szervezet stratégiai céljait és a dolgok taktikai szintű működését. Alacsonyabb szintű vezetőkkel dolgoznak, elemzik a műveleteket, és meghatározzák, hogy ezek a műveletek illeszkednek-e a vállalat stratégiai céljaihoz.
együttműködés más biztosítási szolgáltatókkal
a belső ellenőrök kockázatkezelési szakemberekkel, megfelelőségi tisztviselőkkel és másokkal együtt dolgoznak annak érdekében, hogy biztosítsák vállalatuk vezetőit a kockázatok hatékony és eredményes kezeléséről. Míg sok más biztosítói szerepkör folyamatokat hajt végre és kontrollokat fejleszt ki a kockázat csökkentése érdekében, a belső ellenőrök értékelik ezeket az ellenőrzéseket és folyamatokat annak biztosítása érdekében, hogy működjenek és megfeleljenek a szükséges szabványoknak, függetlenül attól, hogy azokat belsőleg vagy külsőleg határozzák meg.
5 a belső ellenőrzések típusai
néhány különböző típusú belső ellenőrzés létezik, és mindegyik értéket ad. Ha csak most kezdi fejleszteni a belső ellenőrzési funkcióját, akkor nem kell ezeket egyszerre végrehajtania. Azonban ez egy jó ötlet, hogy állítsa be a látnivalók végül végző ilyen típusú belső ellenőrzések, mert mindegyik lehetővé teszi, hogy optimalizálja egy másik része az üzleti műveletek.
IT Compliance Audit
a belső it compliance audit felülvizsgálja a vállalkozás adatbiztonsági gyakorlatát annak megállapítása érdekében, hogy azok megfelelnek-e az előírt vagy kiválasztott adatbiztonsági keretrendszereknek, szabványoknak és jogi követelményeknek, amelyekkel a vállalat szembesülhet az adatbiztonsággal és a magánélet védelmével kapcsolatban. A belső ellenőrzés lehet használni, mint egy próbaüzem, hogy hogyan üzleti viteldíj egy hivatalos külső ellenőrzés. Mivel a megfelelés elmaradásának következményei költségesek lehetnek a vállalat számára, a megfelelőségi ellenőrzéseket gyakran kell elvégezni. Az alacsonyabb kockázatú, kevésbé összetett folyamatokat évente egyszer vagy kétszer lehet ellenőrizni, míg a bonyolultabb és magasabb kockázatú folyamatokat gyakrabban (például hetente) kell ellenőrizni.
IT Audit
az IT audit az informatikai ellenőrzésekre és folyamatokra összpontosít. Bár ez némi átfedésben van a megfelelőségi ellenőrzéssel, vannak olyan informatikai funkciók, amelyek nem szerepelnek a megfelelőségi ellenőrzésekben, amelyeket még értékelni kell. Amellett, hogy a meglévő informatikai ellenőrzések biztosítják az információk védelmét, egy belső informatikai audit azt is megvizsgálja, hogy az informatikai folyamatok és eszközök (hardver és szoftver) hatékonyan működnek-e. A megfelelőségi audittal ellentétben az informatikai auditok során az informatikai folyamatokat nem hasonlítják össze egy külső szabvánnyal. Ehelyett az audit azt vizsgálja, hogy szolgálják-e a céljukat, és segítenek-e a vállalatnak elérni céljait.
pénzügyi ellenőrzés
a pénzügyi ellenőrzés megvizsgálja a vállalkozás pénzügyeit annak biztosítása érdekében, hogy a pénzügyi tevékenységeket helyesen könyveljék el, és hogy a helyes számviteli gyakorlatokat alkalmazzák. Elengedhetetlen, hogy az ilyen típusú ellenőrzéseket pártatlan és a vállalkozás számviteli és pénzügyi funkcióitól elválasztott személy végezze el; ha valami illegális vagy csalárd dolgot találnak, azonnal el kell tudniuk menni a menedzsmenthez.
operatív ellenőrzés
az operatív ellenőrzés egy osztály vagy üzleti funkció teljesítményére összpontosít. A könyvvizsgáló megvizsgálja a részleg folyamatait és eredményeit, és értékeli, hogyan járulnak hozzá a vállalat legfontosabb céljaihoz. A könyvvizsgáló figyelembe veszi a személyzetet, az osztály eszközeinek kezelését, az outputokat, a termelékenységet és a szervezeti struktúrát.
vizsgálati ellenőrzés
a vizsgálati ellenőrzés a vállalaton belüli alkalmazott vagy csapat gyanús viselkedésével kapcsolatos jelentésre vagy panaszra válaszul történik. Ebben az esetben az ellenőrzés magában foglalná egy alkalmazott vagy osztály kimenetét. Ezután, ha a jelentés hiteles, felmérik a veszteségek mértékét, meghatározzák, hogy milyen gyengeségek tették lehetővé a bekövetkezését, és ajánlásokat fogalmaznak meg arra vonatkozóan, hogy mit kell tenni annak megakadályozása érdekében, hogy a jövőben újra megtörténjen.
hogyan történik a belső ellenőrzés
mivel minden vállalkozás más és a különböző típusú auditok különböző lépéseket és megfontolásokat igényelnek, nincs egyetlen ellenőrzési folyamat, amely minden vállalatnál minden auditnál működni fog. Az auditok alapképletét azonban követheti annak biztosítása érdekében, hogy összegyűjtse az összes szükséges információt, és hatékonyan felhasználja a tanultakat. Ez minden sikeres belső ellenőrzés négy fázisa:
tervezés
az ellenőrzés megkezdése előtt a belső ellenőrzési csoportnak meg kell határoznia az ellenőrzés hatókörét és célját. Az ellenőrzés egyértelműen meghatározott cél nélküli megközelítése hatókör-kúszáshoz vezet, amikor a projekt hatóköre folyamatosan növekszik, hogy további problémákat vagy folyamatokat tartalmazzon, amelyekkel a csapat találkozik. Annak eldöntése, hogy mi tartozik az ellenőrzés hatókörébe, és mi NEM, lehetővé teszi a csapat számára, hogy hatékonyan dolgozzon, és könnyen döntsön arról, hogy mit vegyen fel.
ebben a szakaszban azt is meghatározhatja, hogy kik az érdekeltek, milyen folyamattulajdonosok vesznek részt az ellenőrzésben, beállíthat egy ütemtervet, és megnézheti a korábbi ellenőrzéseket (ha vannak ilyenek), hogy lássa, vannak-e olyan problémák, amelyekkel fel kell készülnie. Ebből a tervezési szakaszból el kell jönnie egy dokumentált ellenőrzési tervvel, amely végigvezeti Önt az ellenőrzés végrehajtásában.
Általánosságban elmondható, hogy egy szilárd ellenőrzési terv létrehozásához figyelembe kell vennie néhány elemet:
- meglévő rendeletek: Az auditálandó terület(ek) szabályozási követelményeinek megértése kritikus fontosságú a hatékony ellenőrzés elvégzéséhez.
- munkavállalói aggályok: ha az alkalmazottak korábban aggodalmukat fejezték ki bizonyos folyamatokkal kapcsolatban, akkor a kérdéseket be kell építenie az ellenőrzési tervbe, hogy elmélyüljön a kérdésekben.
- a kontrollok teszteléséhez szükséges bizonyítékok: gondolja át, hogy milyen típusú bizonyítékokat kell összegyűjtenie az ellenőrzés hatókörén belüli kontrollok teszteléséhez.
terepmunka (más néven “bizonyítékgyűjtés és tesztelés”)
a terepmunka általában a folyamat tulajdonosaival folytatott interjúkat foglalja magában, így megértheti a folyamatot és a vezérlőket, áttekintheti a folyamat dokumentációját, tesztelheti a folyamathoz jelenleg alkalmazott vezérlőket, valamint dokumentálhatja megállapításait és ajánlásait.
ebben a lépésben tekintse át az ellenőrzés alatt álló folyamat összes rendelkezésre álló adatát. Az ellenőrzés előtt generált adatoknak szűretlen képet kell adniuk arról, hogy a folyamat hogyan működik, és hogy vannak-e eltérések az interjúalany által elmondottak és a valóság között. Azt is potenciálisan az Ön számára biztonsági másolatot az ajánlásokat, ha jelen változások úgy gondolja kell tenni, hogy a felső vezetés.
jelentés
miután elvégezte a terepmunkát, megállapításait és ajánlásait ellenőrzési jelentésbe foglalja össze. Az ellenőrzési jelentés összefoglalja az ellenőrzési tervet, leírja az eredményeket — konkrétan azt, hogy mit talált nem felel meg a belső szabványoknak vagy a külső követelményeknek—, és megvitatja az ajánlásait.
ne feledje, hogy a belső ellenőrzés célja a problémák azonosítása és a folyamatok vagy funkciók javítására irányuló terv kidolgozása. Az ellenőrzési jelentés nem arról szól, hogy hibáztasson vagy mutasson ujjal; arról szól, hogy meghatározza, hol nem működnek a folyamatok, milyen következményekkel jár, és hogyan lehet ezeket a problémákat orvosolni. Az azonosított problémákat komolyan kell venni, nem pedig minimalizálni vagy megmagyarázni. A könyvvizsgálói jelentésnek végül be kell mutatnia a vállalat erősségeit, és azt, hogy ezek hogyan oldhatják meg az ellenőrzés során azonosított problémákat.
nyomon követés
az ellenőrzés utolsó szakasza az ajánlások nyomon követése a végrehajtás biztosítása és a problémák megoldásának módja érdekében. Ezt a nyomon követést a jövőbeni ellenőrzések során figyelembe veendő többi ellenőrzési információ mellett rögzíteni kell.
mit ne tegyen a belső ellenőrzés
a belső ellenőröknek nem szabad megtervezniük vagy végrehajtaniuk az ellenőrzéseket — a szervezetükön belül bevezetett irányelveket, eljárásokat, folyamatokat és műszaki összetevőket. Feladatuk az, hogy objektíven értékeljék az operatív csapatok kontrolljait (pl. mérnöki, értékesítési, HR, pénzügyi stb.) bevezették annak megállapítására, hogy az ellenőrzési tervek megfelelnek-e az ellenőrzések tervezett céljának, hogy az ellenőrzéseket eredményesen hajtották-e végre, és hogy az ellenőrzéseket következetesen hajtották-e végre.
a Hyperproof hatékonyabbá teszi a belső & külső auditokat
a Hyperproof csökkenti az adminisztratív költségeket a tipikus auditálási folyamatokban. Valójában az alkalmazás kifejezetten azért készült, hogy segítse a belső ellenőröket és a megfelelőségi szakembereket a megfelelőségi bizonyítékok összegyűjtésében és kezelésében, amelyeket felül kell vizsgálniuk annak megértéséhez és ellenőrzéséhez, hogy a jelenlegi folyamatok hogyan működnek és mi nem működik.
a Hyperproof központi adattárként szolgálhat a szervezet összes megfelelőségi követelményéhez, kockázatértékeléséhez, vezérléséhez (azok leírásával, tulajdonosával együtt) és bizonyítékaihoz. A Hyperproof – ban a belső ellenőrök könnyen kérhetik az üzemeltetők és az üzleti folyamatok tulajdonosainak ellenőrzését egy szervezeten belül, hogy bizonyítékot nyújtsanak be, amelyet tesztelni kell. A vezérlőtulajdonosok közvetlenül a Hyperproof-ba érkezhetnek, hogy bizonyítékot szolgáltassanak az általuk felelős vezérlőkről, és ez az információ az ellenőrzési terv egy adott kéréséhez kapcsolódik.
ahelyett, hogy e-maileket és kézi naptár-meghívókat küldene a kollégáknak, hogy emlékeztessék őket a bizonyítékok áttekintésére vagy új bizonyítékok benyújtására, a belső ellenőrök Hiperproof segítségével feladatokat adhatnak ki határidőkkel és emlékeztetőkkel. Ezután a vezérlőüzemeltetők automatikusan értesítést kapnak, amikor eljött az ideje, hogy felülvizsgálják és új bizonyítékokat nyújtsanak be.
ezenkívül a belső ellenőrök konfigurálhatják a Hyperproof-ot, hogy automatikusan kivonják a konkrét ellenőrzések hatékonyságát számos üzleti alkalmazásból és fejlesztői eszközből (pl. lekérési kérelmek és jóváhagyások a GitHub-tól). Ily módon a belső ellenőrök a bizonyítékok tesztelésére összpontosíthatnak, ahelyett, hogy sok időt töltenének az adatok összegyűjtésével.
az üzleti egységek munkatársai szintén örülnek, hogy nem kell olyan gyakran válaszolniuk az ellenőrzési kérelmekre. Ha egy belső audit vagy compliance csapat úgy érzi, hogy készen áll egy külső auditra, akkor” megoszthatja munkáját ” a külső auditorral közvetlenül a Hyperproof-ban, és csak azokat az információkat fedheti fel, amelyeket meg akar osztani. Ha többet szeretne megtudni a Hyperproof-ról, vagy megtekintheti az összes képességének bemutatóját, látogasson el Hyperproof.io ma.