Innholdsfortegnelse
i dagens digitale tidsalder har eksterne samsvarsrevisjoner og tredjepartsattester (F. eks. SOC 2) blitt stadig viktigere i b2b-kjøpsbeslutninger. Ikke bare gir de en objektiv tredjepartsverifisering av leverandørens sikkerhets-/samsvarsstilling, men revisjoner gir også nyttig informasjon om myke flekker eller svakheter i en organisasjons internkontrollmiljø. Med andre ord kan funn fra en formell revisjon tjene som en oppskrift på å redusere risiko.
selv om formelle eksterne revisjoner har sin plass, bør de ikke stoles på som den eneste måten å lære om organisasjonens sikkerhetshull. I dagens raskt utviklende risikomiljø trenger organisasjoner en kombinasjon av metoder for å beskytte seg tilstrekkelig. I tillegg til planlagte formelle revisjoner, bør organisasjoner kontinuerlig gjennomføre interne revisjoner for å identifisere sårbarheter og forstå deres samsvar og sikkerhetsstilling.
Det er en farlig praksis Å ikke håndtere risikoer på kontinuerlig basis, fordi organisasjoner er utsatt for risiko og trusler på kontinuerlig basis.
med raskt utviklende risikomiljøer trenger organisasjoner en kombinasjon av metoder for å beskytte seg selv tilstrekkelig. I tillegg til planlagte formelle revisjoner, bør organisasjoner gjennomføre interne revisjoner slik at de kan identifisere sårbarheter og forstå deres samsvar og sikkerhet holdning på en kontinuerlig basis.
Faktisk, en undersøkelse Utført Av Globalscape Og Ponemon Institute fant at selskaper som er engasjert i hyppige compliance revisjoner redusert sine compliance kostnader med et gjennomsnitt på $ 2.86 millioner. På den annen side fant undersøkelsen at selskaper som ikke gjennomfører compliance-revisjoner i det hele tatt, opplever de høyeste compliance-kostnadene.
Gjennomføring av interne revisjoner gjør at bedriften din kan forstå hullene / myke flekker i ditt interne kontrollmiljø — slik at du kan lukke disse hullene før eksterne revisorer dukker opp på kontoret ditt og har sikkerhet for at du vil passere den eksterne revisjonen.
i denne artikkelen diskuterer vi de kritiske forskjellene mellom interne vs. eksterne revisjoner, hva interne revisorer gjør, de ulike typer interne revisjoner organisasjonen din kan gjennomføre, samt de viktigste trinnene for å gjennomføre en vellykket internrevisjon.
- Rollen Til Internrevisjonen
- Interne vs. Eksterne Revisjoner
- Internrevisors Rolle & Ansvar
- Evaluering av kontroller
- Evaluering av risikoer
- Analysere operasjoner
- Arbeid med andre forsikringsleverandører
- 5 Typer Interne Revisjoner
- Revisjon AV It-Samsvar
- IT-Revisjon
- Finansiell Revisjon
- Operasjonell revisjon
- Undersøkende revisjon
- Hvordan En Intern Revisjon Gjøres
- Planlegging
- Feltarbeid (aka «bevisinnsamling og testing»)
- Rapportering
- Oppfølging
- Hva Internrevisjon Ikke Bør Gjøre
- Hyperproof Gjør Interne & Eksterne Revisjoner Mer Effektive
Rollen Til Internrevisjonen
selskapets ansatte utfører interne revisjoner for å måle samlet risiko for samsvar og sikkerhet og avgjøre om selskapet følger interne retningslinjer. Interne revisjoner skal gjennomføres hele året. Ledergrupper kan bruke rapportene som genereres fra interne revisjoner til å identifisere områder som krever forbedring. Interne revisjoner måler selskapets mål mot produksjon og strategisk risiko.
Interne vs. Eksterne Revisjoner
Interne og eksterne revisjoner har forskjellige formål, men til syvende og sist tjener De begge samme formål: å sørge for at firmaet overholder forskrifter og interne/eksterne standarder, slik at du kan unngå forretningsforstyrrelser og bøter, straffer eller omdømmeskader som kan være et resultat av brudd på overholdelse.
Eksterne revisjoner er formelle revisjoner utført av en uavhengig tredjepart. En ekstern revisjon måler organisasjonens prosesser og kontroller på et tidspunkt mot noen form FOR eksterne standarder, FOR EKSEMPEL ISO 27001 eller NIST 800-53. Men de kan også være obligatoriske hvis en bedrift har et databrudd eller en annen sikkerhetshendelse som ikke overholder en lovpålagt standard.
på den annen side utføres interne revisjoner av utdannede ansatte i organisasjonen. Omfanget av en intern revisjon kan være ganske smalt eller relativt bredt.
Internrevisors Rolle & Ansvar
Internrevisorer har en unik rolle: de må være helt objektive om prosessene og lagene de evaluerer, og de kan ikke kobles direkte til avdelingene de reviderer. Internrevisorer rapporterer vanligvis direkte til toppledelsen eller styremedlemmene. Deres jobb er å objektivt vurdere avdelinger eller forretningsfunksjoner og hvordan de oppfyller fastsatte standarder. Det er viktig å huske at en revisors jobb i siste instans er å hjelpe virksomheten, og tilbakemeldingene deres informerer hvordan man bygger en sterkere virksomhet.
Institutt For Internrevisorer (Iia) er den største og mest anerkjente foreningen som betjener og setter standarder for internrevisorer. De gir sertifiseringer innen ulike områder av internrevisjon, og de utviklet Standardene & Veiledning – International Professional Practices Framework, som gir interne revisorer obligatorisk og anbefalt veiledning om deres rolle og oppdrag for interne revisorer.
typen aktiviteter en revisor utfører vil variere noe avhengig av hva slags revisjon de utfører. Likevel er det noen aktiviteter som er avgjørende for enhver type internrevisjon.
Evaluering av kontroller
Enten en revisor vurderer regnskapsavdelingens prosess for økonomi ved utgangen av året eller markedsavdelingens overholdelse AV CCPA, vil de gjennomgå og evaluere kontrollene som er på plass, som er ment å redusere risiko og forhindre uønskede hendelser. Nesten enhver forretningsprosess må ha noen form for kontroll og ansvarlighet på plass for å sikre at det ikke er muligheter til å kutte hjørner eller skape problemer. Revisorer ser på både de dokumenterte kontrollene og kontrollene som faktisk blir implementert for å sikre at de utføres og fungerer som ønsket.
Evaluering av risikoer
mens ledelsen på alle nivåer må bruke sin unike kunnskap til å identifisere risikoene for teamet og den større organisasjonen, er det revisors jobb å evaluere disse risikoene, forutse fremtidige problemer med disse risikoene og finne måter å enten kontrollere eller fjerne disse risikoene for organisasjonen.
Analysere operasjoner
Internrevisorer må forstå organisasjonens strategiske mål og hvordan ting fungerer på taktisk nivå. De jobber med ledere på lavere nivåer, analyserer operasjoner og bestemmer om disse operasjonene passer inn i selskapets strategiske mål.
Arbeid med andre forsikringsleverandører
Interne revisorer jobber sammen med fagfolk innen risikostyring, compliance-offiserer og andre for å sikre at ledere i deres selskap at risikoen håndteres effektivt. Mens mange andre roller i forsikringsleverandøren implementerer prosesser og utvikler kontroller for å redusere risiko, evaluerer interne revisorer disse kontrollene og prosessene for å sikre at de fungerer og oppfyller standardene de trenger, enten de er satt internt eller eksternt.
5 Typer Interne Revisjoner
det finnes noen forskjellige typer interne revisjoner, og hver av dem gir verdi. Hvis du bare begynner å utvikle internrevisjonsfunksjonen, trenger du ikke å hoppe inn i å utføre alle disse på en gang. Det er imidlertid en god ide å sette fokus på å til slutt utføre disse typer interne revisjoner fordi de hver lar deg optimalisere en annen del av forretningsdriften din.
Revisjon AV It-Samsvar
en intern revisjon av it-samsvar gjennomgår en virksomhets datasikkerhetspraksis for å avgjøre om de er i samsvar med nødvendige eller valgte datasikkerhetsrammer og standarder og juridiske krav et selskap kan møte angående datasikkerhet og personvern. En intern revisjon kan brukes som en testkjøring for å se hvordan den virksomheten ville klare seg i en formell ekstern revisjon. Fordi konsekvensene av å falle ut av samsvar kan være kostbare for et selskap, bør samsvarsrevisjoner gjøres ofte. Lavere risiko, mindre komplekse prosesser kan revideres en eller to ganger årlig, mens mer kompliserte og høyere risiko prosesser bør revideres oftere (for eksempel ukentlig).
IT-Revisjon
EN IT-revisjon fokuserer på informasjonsteknologiske kontroller og prosesser. Selv om dette har noe overlapping med en samsvarsrevisjon, er det NOEN IT-funksjoner som ikke er inkludert i samsvarsrevisjoner som fortsatt skal evalueres. I tillegg til å sikre at IT-kontrollene på plass ivaretar informasjon, vurderer en intern it-revisjon også OM IT-prosesser og eiendeler (maskinvare og programvare) fungerer effektivt. I motsetning til en samsvarsrevisjon sammenlignes IKKE IT-prosesser med en ekstern standard i EN IT-revisjon. I stedet ser revisjonen på om de tjener deres formål og hjelper selskapet med å nå sine mål.
Finansiell Revisjon
en finansiell revisjon ser på en virksomhets økonomi for å sikre at finansielle aktiviteter registreres riktig og at riktig regnskapspraksis brukes. Det er viktig at disse typer revisjoner er utført av noen upartisk og koblet fra regnskap og finans funksjoner av virksomheten; hvis de finner noe ulovlig eller uredelig, må de være i stand til å gå til ledelsen med sine bekymringer umiddelbart.
Operasjonell revisjon
en operasjonell revisjon er fokusert på ytelsen til en avdeling eller forretningsfunksjon. Revisor vil se på avdelingens prosesser og resultater og vurdere hvordan de bidrar til selskapets hovedmål. Revisor vil vurdere ansatte, forvaltning av eiendeler i avdelingen, utganger, produktivitet og organisasjonsstruktur.
Undersøkende revisjon
en undersøkende revisjon skjer som svar på en rapport eller klage om mistenkelig oppførsel av en ansatt eller et team i selskapet. I dette tilfellet vil revisjonen omfatte en ansatt eller avdelingens utgang. Så, hvis rapporten er troverdig, vil de vurdere omfanget av tapene, bestemme hvilke svakheter som tillot det å skje, og skape anbefalinger for hva som må gjøres for å forhindre at det skjer igjen i fremtiden.
Hvordan En Intern Revisjon Gjøres
fordi hver bedrift er forskjellig og ulike typer revisjoner krever ulike trinn og hensyn, er det ikke en enkelt revisjonsprosess som vil fungere for hver revisjon i hvert selskap. Du kan imidlertid følge en grunnleggende formel for revisjonene for å sikre at du samler all nødvendig informasjon og bruker det du lærer effektivt. Dette er de fire fasene i enhver vellykket internrevisjon:
Planlegging
før en revisjon påbegynnes, bør internrevisjonsteamet definere revisjonens omfang og formål. Nærmer en revisjon uten et klart definert mål fører til omfang krype, som er når prosjektets omfang fortsetter å vokse til å inkludere flere problemer eller prosesser som teamet møter. Å bestemme hva som er og ikke er innenfor omfanget av revisjonen din før du begynner, gjør at teamet ditt kan jobbe effektivt og ta beslutninger om hva som skal inkluderes enkelt.
i denne fasen vil du også avgjøre hvem interessentene er, hvilke prosesseiere som vil være involvert i revisjonen, angi en tidslinje og se på tidligere revisjoner (hvis noen eksisterer) for å se om det er noen problemer du bør være forberedt på å møte. Du bør komme bort fra denne planleggingsfasen med en dokumentert revisjonsplan som vil veilede deg i å gjennomføre revisjonen.
Generelt sett, for å lage en solid revisjonsplan, bør du vurdere noen få elementer:
- Eksisterende forskrifter: Å forstå de regulatoriske kravene til området(e) du skal revidere, er avgjørende for å gjennomføre en effektiv revisjon.
- Ansattes bekymringer: hvis ansatte tidligere har uttrykt bekymringer om bestemte prosesser, bør du inkludere spørsmål i revisjonsplanen for å grave inn i problemene.
- Bevis som trengs for å teste kontroller: du bør tenke gjennom hvilke typer bevis du må samle for å teste kontrollene innenfor omfanget av revisjonen.
Feltarbeid (aka «bevisinnsamling og testing»)
Feltarbeid innebærer vanligvis intervjuer med prosesseiere, slik at du kan forstå prosessen og kontrollene, gjennomgå prosessdokumentasjon, teste kontrollene som er på plass for prosessen, og dokumentere funnene og anbefalingene dine.
under dette trinnet bør du gjennomgå alle tilgjengelige data om prosessen under tilsyn. Data generert før revisjonen bør gi deg en ufiltrert titt på hvordan prosessen fungerer og om det er avvik mellom hva intervjuobjektet forteller deg og virkeligheten. Det vil også potensielt gi deg backup for dine anbefalinger når du presenterer endringer du mener bør gjøres til ledelsen.
Rapportering
når du har fullført feltarbeidet, vil du samle dine funn og anbefalinger i en revisjonsrapport. En revisjonsrapport vil oppsummere revisjonsplanen, beskrive resultatene dine-spesielt det du fant ikke var i samsvar med interne standarder eller eksterne krav-og diskutere anbefalingene dine.
Husk at målet med en internrevisjon er å identifisere problemer og komme unna med en plan for å forbedre prosesser eller funksjoner. Revisjonsrapporten handler ikke om å tildele skyld eller peke fingre; det handler om å identifisere hvor prosesser ikke fungerer, hva konsekvensene er, og hvordan disse problemene kan rettes opp. Identifiserte problemer bør tas på alvor og ikke minimeres eller bortforklares. Revisjonsrapporten skal til slutt vise selskapets styrker og hvordan de kan løse problemer identifisert i revisjonen.
Oppfølging
den siste fasen av tilsynet følger opp anbefalingene for å sikre gjennomføring og hvordan problemer er løst. Denne oppfølgingen bør registreres sammen med resten av revisjonsinformasjonen som skal tas i betraktning ved fremtidige revisjoner.
Hva Internrevisjon Ikke Bør Gjøre
Internrevisorer bør ikke utforme eller implementere kontrollene — retningslinjene, prosedyrene, prosessene og de tekniske komponentene som er på plass i organisasjonen. Deres jobb er å objektivt vurdere kontrollene driftsteamene(f. eks engineering, salg, HR, økonomi, etc.) har satt på plass for å avgjøre om kontrolldesignene er egnet for det tiltenkte målet med kontrollene, om kontrollene ble implementert effektivt og om kontrollene fungerte konsekvent.
Hyperproof Gjør Interne & Eksterne Revisjoner Mer Effektive
Hyperproof reduserer mengden av administrative overhead i typiske revisjonsprosesser. Faktisk er programmet spesielt utviklet for å hjelpe interne revisorer og compliance fagfolk samle inn og administrere compliance bevis de trenger for å gjennomgå for å forstå og verifisere hvor godt gjeldende prosesser fungerer og hva som ikke fungerer.
Hyperproof kan tjene som et sentralt oppbevaringssted for alle en organisasjons samsvarskrav, risikovurderinger, kontroller (sammen med beskrivelse, eier) og bevis. I Hyperproof er det enkelt for en internrevisor å gjøre forespørsler om å kontrollere operatører og forretningsprosesseiere på tvers av en organisasjon for å sende inn bevis de må teste. Kontrolleiere kan komme Direkte I Hyperproof for å gi bevis for kontrollene de er ansvarlige for, og at informasjonen er knyttet til en bestemt forespørsel i revisjonsplanen.
i Stedet for å sende e-post og manuelle kalenderinvitasjoner til kolleger for å minne dem om å gjennomgå bevis eller sende inn nye bevis, kan interne revisorer bruke Hyperproof til å utstede oppgaver med forfallsdatoer og påminnelser. Deretter blir kontrolloperatører automatisk varslet når det er på tide for dem å gjennomgå og sende inn nye bevis.
i Tillegg kan interne revisorer konfigurere Hyperproof til automatisk å trekke ut bevis på spesifikke kontrollers effektivitet fra mange forretningsapper og utviklerverktøy (F.eks. Trekkforespørsler og godkjenninger Fra GitHub). På denne måten kan interne revisorer fokusere på å teste bevisene i stedet for å bruke mye tid på å bare prøve å samle dataene.
Kolleger i forretningsenhetene vil også være glade for at De ikke trenger å svare på revisjonsforespørsler så ofte. Når en intern revisjon eller compliance team føler de er forberedt for en ekstern revisjon, de kan «dele sitt arbeid» med ekstern revisor direkte I Hyperproof og avsløre bare den informasjonen de ønsker å dele. For å lære Mer Om Hyperproof eller se en demo av alle sine evner, besøk Hyperproof.io i dag.