Indice
Nell’era digitale odierna, gli audit di conformità esterni e gli attestati di terze parti (ad esempio, SOC 2) sono diventati sempre più cruciali nelle decisioni di acquisto B2B. Non solo forniscono una verifica obiettiva di terze parti della posizione di sicurezza / conformità di un fornitore, ma gli audit forniscono anche informazioni utili sui punti deboli o sui punti deboli nell’ambiente di controllo interno di un’organizzazione. In altre parole, i risultati di un audit formale possono servire come ricetta per ridurre i rischi.
Sebbene gli audit esterni formali abbiano il loro posto, non dovrebbero essere considerati l’unico mezzo per conoscere le lacune di sicurezza della tua organizzazione. Nell’attuale contesto di rischio in rapida evoluzione, le organizzazioni hanno bisogno di una combinazione di metodi per proteggersi adeguatamente. Oltre agli audit formali pianificati, le organizzazioni dovrebbero condurre continuamente audit interni per identificare le vulnerabilità e comprendere la loro conformità e la loro posizione di sicurezza.
Non affrontare i rischi su base continua è una pratica pericolosa, perché le organizzazioni sono esposte a rischi e minacce su base continuativa.
Con ambienti di rischio in rapida evoluzione, le organizzazioni hanno bisogno di una combinazione di metodi per proteggersi adeguatamente. Oltre agli audit formali pianificati, le organizzazioni dovrebbero condurre audit interni in modo da poter identificare le vulnerabilità e comprendere la loro conformità e la loro posizione di sicurezza su base continua.
In effetti, un sondaggio condotto da Globalscape e Ponemon Institute ha rilevato che le aziende impegnate in frequenti audit di conformità hanno ridotto i costi di conformità di una media di $2,86 milioni. D’altra parte, l’indagine ha rilevato che le aziende che non conducono affatto audit di conformità sperimentano i costi di conformità più elevati.
Lo svolgimento di audit interni consente alla tua azienda di comprendere le lacune/i punti deboli nel tuo ambiente di controllo interno, in modo da poter colmare tali lacune prima che i revisori esterni si presentino nel tuo ufficio e abbiano la certezza che passerai tale audit esterno.
In questo articolo, discuteremo le differenze critiche tra audit interni ed esterni, cosa fanno i revisori interni, i diversi tipi di audit interni che l’organizzazione può condurre, nonché i passaggi chiave per condurre un audit interno di successo.
- Ruolo dell’audit interno
- Audit interni ed esterni
- Ruolo del revisore interno & Responsabilità
- Valutazione dei controlli
- Valutazione dei rischi
- Analisi delle operazioni
- Lavorare con altri fornitori di assicurazione
- 5 Tipi di audit interni
- IT Compliance Audit
- Audit IT
- Audit finanziario
- Audit operativo
- Audit investigativo
- Come viene eseguito un audit interno
- Pianificazione
- Lavoro sul campo (aka “evidence collection and testing”)
- Segnalazione
- Follow-up
- Cosa non dovrebbe fare l’audit interno
- Hyperproof Rende più efficienti gli audit interni & esterni
Ruolo dell’audit interno
I dipendenti dell’azienda effettuano audit interni per valutare i rischi complessivi per la conformità e la sicurezza e determinare se l’azienda sta seguendo le linee guida interne. Gli audit interni dovrebbero svolgersi durante tutto l’anno. I team di gestione possono utilizzare i report generati dagli audit interni per identificare le aree che richiedono miglioramenti. Gli audit interni misurano gli obiettivi aziendali rispetto alla produzione e ai rischi strategici.
Audit interni ed esterni
Gli audit interni ed esterni hanno scopi diversi, ma alla fine entrambi hanno lo stesso scopo: assicurarsi che la propria azienda sia conforme alle normative e agli standard interni/esterni, in modo da evitare interruzioni aziendali e multe, sanzioni o danni alla reputazione che potrebbero essere il risultato di violazioni della conformità.
Gli audit esterni sono audit formali effettuati da una terza parte indipendente. Un audit esterno misura i processi e i controlli dell’organizzazione in un momento specifico rispetto a qualche tipo di standard esterni, come ISO 27001 o NIST 800-53. Ma possono anche essere obbligatori se un’azienda ha una violazione dei dati o un altro evento di sicurezza che non conformità con uno standard richiesto dalla legge.
D’altra parte, gli audit interni sono condotti da dipendenti formati all’interno dell’organizzazione. L’ambito di un audit interno può essere piuttosto ristretto o relativamente ampio.
Ruolo del revisore interno & Responsabilità
I revisori interni hanno un ruolo unico: devono essere completamente obiettivi sui processi e sui team che stanno valutando e non possono essere direttamente collegati ai reparti che stanno verificando. I revisori interni in genere riferiscono direttamente ai dirigenti o ai membri del consiglio di amministrazione. Il loro compito è quello di valutare oggettivamente i dipartimenti o le funzioni aziendali e il modo in cui soddisfano gli standard stabiliti. È importante ricordare che il lavoro di un auditor è in definitiva quello di aiutare il business e il loro feedback informa su come costruire un business più forte.
L’Institute of Internal Auditors (IIA) è la più grande e più ampiamente riconosciuta associazione che serve e definisce gli standard per i revisori interni. Forniscono certificazioni in diverse aree di internal auditing e hanno sviluppato gli standard & Guidance – International Professional Practices Framework, che fornisce agli auditor interni una guida obbligatoria e raccomandata sul loro ruolo e sulla missione degli auditor interni.
Il tipo di attività che un auditor svolge varierà leggermente a seconda del tipo di audit che sta eseguendo. Tuttavia, ci sono alcune attività cruciali per qualsiasi tipo di audit interno.
Valutazione dei controlli
Se un revisore sta valutando il processo del reparto contabilità per i dati finanziari di fine anno o la conformità del reparto marketing con CCPA, esaminerà e valuterà i controlli in atto che hanno lo scopo di mitigare i rischi e prevenire incidenti indesiderati. Quasi tutti i processi aziendali devono avere un certo tipo di controllo e responsabilità in atto per garantire che non ci siano opportunità di tagliare gli angoli o creare problemi. Gli auditor esaminano sia i controlli documentati che i controlli effettivamente implementati per garantire che vengano eseguiti e funzionino come previsto.
Valutazione dei rischi
Mentre la gestione a tutti i livelli deve utilizzare le proprie conoscenze uniche per identificare i rischi per il proprio team e l’organizzazione più grande, è compito di un auditor valutare tali rischi, anticipare i problemi futuri con tali rischi e trovare modi per controllare o rimuovere tali rischi per l’organizzazione.
Analisi delle operazioni
I revisori interni devono comprendere gli obiettivi strategici di un’organizzazione e come funzionano le cose a livello tattico. Lavorano con i manager a livelli inferiori, analizzano le operazioni e determinano se tali operazioni rientrano negli obiettivi strategici dell’azienda.
Lavorare con altri fornitori di assicurazione
I revisori interni lavorano a fianco di professionisti della gestione del rischio, responsabili della conformità e altri per assicurare ai dirigenti della loro azienda che i rischi siano gestiti in modo efficace ed efficiente. Mentre molti altri ruoli di provider di assicurazione implementano processi e sviluppano controlli per mitigare i rischi, i revisori interni valutano tali controlli e processi per garantire che funzionino e soddisfino gli standard di cui hanno bisogno, sia che siano impostati internamente che esternamente.
5 Tipi di audit interni
Esistono diversi tipi di audit interni e ciascuno fornisce valore. Se stai appena iniziando a sviluppare la tua funzione di controllo interno, non è necessario saltare in esecuzione di tutti questi in una sola volta. Tuttavia, è una buona idea per impostare gli occhi su eventualmente eseguire questi tipi di audit interni, perché ognuno di essi consentono di ottimizzare una parte diversa delle operazioni di business.
IT Compliance Audit
Un audit interno di conformità IT esamina le pratiche di sicurezza dei dati di un’azienda per determinare se sono conformi ai framework e agli standard di sicurezza dei dati richiesti o scelti e ai requisiti legali che un’azienda potrebbe affrontare per quanto riguarda la sicurezza e la privacy dei dati. Un audit interno può essere utilizzato come una prova per vedere come tale attività sarebbe tariffa in un audit esterno formale. Poiché le conseguenze della mancata conformità possono essere costose per un’azienda, gli audit di conformità dovrebbero essere eseguiti frequentemente. I processi a rischio più basso e meno complessi possono essere controllati una o due volte all’anno, mentre i processi più complicati e a rischio più elevato dovrebbero essere controllati più frequentemente (ad esempio, settimanalmente).
Audit IT
Un audit IT si concentra sui controlli e sui processi della tecnologia dell’informazione. Anche se questo ha qualche sovrapposizione con un controllo di conformità, ci sono alcune funzioni IT che non sono incluse negli audit di conformità che dovrebbero ancora essere valutati. Oltre a garantire che i controlli IT in atto proteggano le informazioni, un audit IT interno verifica anche se i processi e le risorse IT (hardware e software) funzionano in modo efficiente. A differenza di un audit di conformità, i processi IT non vengono confrontati con uno standard esterno in un audit IT. Invece, l’audit esamina se stanno servendo il loro scopo e aiutando l’azienda a raggiungere i suoi obiettivi.
Audit finanziario
Un audit finanziario esamina le finanze di un’azienda per garantire che le attività finanziarie siano registrate correttamente e che vengano utilizzate le corrette pratiche contabili. È imperativo che questi tipi di audit siano condotti da qualcuno imparziale e disconnesso dalle funzioni contabili e finanziarie del business; se trovano qualcosa di illegale o fraudolento, devono essere in grado di andare immediatamente alla gestione con le loro preoccupazioni.
Audit operativo
Un audit operativo è focalizzato sulle prestazioni di un dipartimento o di una funzione aziendale. Il revisore esaminerà i processi e gli output del dipartimento e valuterà come contribuiscono agli obiettivi chiave dell’azienda. Il revisore prenderà in considerazione il personale, la gestione delle attività nel reparto, le uscite, la produttività e la struttura organizzativa.
Audit investigativo
Un audit investigativo si verifica in risposta a un rapporto o reclamo su comportamenti sospetti da parte di un dipendente o di un team all’interno dell’azienda. In questo caso, l’audit includerebbe l’output di un dipendente o di un dipartimento. Quindi, se la relazione è credibile, valuterebbero l’entità delle perdite, determinerebbero quali debolezze hanno permesso che accadesse e creerebbero raccomandazioni su ciò che deve essere fatto per evitare che accada di nuovo in futuro.
Come viene eseguito un audit interno
Poiché ogni azienda è diversa e diversi tipi di audit richiedono vari passaggi e considerazioni, non esiste un singolo processo di audit che funzionerà per ogni audit in ogni azienda. Tuttavia, puoi seguire una formula di base per i tuoi audit per assicurarti di raccogliere tutte le informazioni necessarie e utilizzare ciò che impari in modo efficace. Queste sono le quattro fasi di ogni audit interno di successo:
Pianificazione
Prima di iniziare un audit, il team di audit interno dovrebbe definire l’ambito e l’obiettivo dell’audit. Avvicinarsi a un audit senza un obiettivo chiaramente definito porta a scope creep, ovvero quando l’ambito del progetto continua a crescere per includere ulteriori problemi o processi che il team incontra. Decidere cosa è e non è nell’ambito del tuo audit prima di iniziare consentirà al tuo team di lavorare in modo efficiente e prendere decisioni su cosa includere facilmente.
Durante questa fase, determinerai anche chi sono gli stakeholder, quali proprietari di processi saranno coinvolti nell’audit, stabilirai una cronologia e esaminerai gli audit precedenti (se ce ne sono) per vedere se ci sono problemi che dovresti essere pronto a incontrare. Dovresti uscire da questa fase di pianificazione con un piano di audit documentato che ti guiderà nell’esecuzione dell’audit.
In generale, per creare un piano di audit solido, è necessario considerare alcuni elementi:
- Regolamenti esistenti: Comprendere i requisiti normativi delle aree in cui effettuerai il controllo è fondamentale per condurre un audit efficace.
- Preoccupazioni dei dipendenti: se i dipendenti hanno precedentemente espresso preoccupazioni su processi specifici, è necessario incorporare le domande nel piano di audit per approfondire i problemi.
- Prove necessarie per testare i controlli: dovresti pensare a quali tipi di prove dovrai raccogliere per testare i controlli nell’ambito dell’audit.
Lavoro sul campo (aka “evidence collection and testing”)
Il lavoro sul campo di solito comporta interviste con i proprietari dei processi in modo da poter comprendere il processo e i controlli, rivedere la documentazione del processo, testare i controlli attualmente in vigore per il processo e documentare i risultati e le raccomandazioni.
Durante questo passaggio, è necessario esaminare tutti i dati disponibili sul processo in esame. I dati generati prima del tuo audit dovrebbero darti uno sguardo non filtrato su come funziona il processo e se ci sono discrepanze tra ciò che l’intervistato ti sta dicendo e la realtà. Sarà anche potenzialmente fornire il backup per i vostri consigli quando si presentano le modifiche che si pensa dovrebbe essere fatto per la gestione superiore.
Segnalazione
Una volta completato il lavoro sul campo, compilerai i tuoi risultati e le tue raccomandazioni in un rapporto di audit. Un rapporto di audit riepilogherà il piano di audit, descriverà i risultati, in particolare ciò che hai trovato non conforme agli standard interni o ai requisiti esterni, e discuterà i tuoi consigli.
Ricorda che l’obiettivo di un audit interno è identificare i problemi e venire via con un piano per migliorare i processi o le funzioni. Il rapporto di audit non si tratta di assegnare colpe o puntare il dito; si tratta di identificare dove i processi non funzionano, quali sono le conseguenze e come tali problemi possono essere risolti. I problemi identificati dovrebbero essere presi sul serio e non minimizzati o spiegati. Il rapporto di audit dovrebbe infine mostrare i punti di forza dell’azienda e come questi possono risolvere i problemi identificati nell’audit.
Follow-up
La fase finale di un audit è il follow-up delle raccomandazioni per garantire l’attuazione e come i problemi sono stati risolti. Questo follow-up dovrebbe essere registrato insieme al resto delle informazioni di audit da prendere in considerazione durante gli audit futuri.
Cosa non dovrebbe fare l’audit interno
Gli auditor interni non dovrebbero progettare o implementare i controlli — le politiche, le procedure, i processi e i componenti tecnici messi in atto all’interno della loro organizzazione. Il loro compito è quello di valutare oggettivamente i controlli dei team operativi (ad esempio, ingegneria, vendite, risorse umane, finanza, ecc.) hanno messo in atto per determinare se i progetti di controllo sono adatti all’obiettivo previsto dei controlli, se i controlli sono stati attuati in modo efficace e se i controlli hanno funzionato in modo coerente.
Hyperproof Rende più efficienti gli audit interni & esterni
Hyperproof riduce la quantità di overhead amministrativo nei tipici processi di auditing. In effetti, l’applicazione è specificamente costruita per aiutare i revisori interni e i professionisti della conformità a raccogliere e gestire le prove di conformità di cui hanno bisogno per esaminare per capire e verificare quanto bene funzionano i processi attuali e cosa non funziona.
Hyperproof può fungere da repository centrale per tutti i requisiti di conformità di un’organizzazione, le valutazioni dei rischi, i controlli (insieme alla loro descrizione, proprietario) e le prove. In Hyperproof, è facile per un revisore interno effettuare richieste agli operatori di controllo e ai proprietari dei processi aziendali in un’organizzazione per inviare le prove che devono testare. I proprietari dei controlli possono accedere direttamente a Hyperproof per fornire la prova dei controlli di cui sono responsabili e che le informazioni sono collegate a una richiesta specifica nel piano di controllo.
Invece di inviare e-mail e inviti al calendario manuale ai colleghi per ricordare loro di esaminare le prove o presentare nuove prove, i revisori interni possono utilizzare Hyperproof per emettere attività con date di scadenza e promemoria. Quindi gli operatori di controllo vengono automaticamente avvisati quando è il momento per loro di rivedere e presentare nuove prove.
Inoltre, gli auditor interni possono configurare Hyperproof per estrarre automaticamente la prova dell’efficacia di controlli specifici da molte app aziendali e strumenti di sviluppo (ad esempio, richieste Pull e approvazioni da GitHub). In questo modo, i revisori interni possono concentrarsi sul test delle prove invece di spendere un sacco di tempo solo cercando di raccogliere i dati.
I colleghi delle unità aziendali saranno inoltre lieti di non dover rispondere alle richieste di audit con la stessa frequenza. Una volta che un team di audit interno o di conformità ritiene di essere preparato per un audit esterno, può “condividere il proprio lavoro” con l’auditor esterno direttamente in Hyperproof ed esporre solo le informazioni che desidera condividere. Per saperne di più su Hyperproof o vedere una demo di tutte le sue funzionalità, visitare Hyperproof.io oggi.
