inhoudsopgave:
in het huidige digitale tijdperk zijn externe nalevingsaudits en attesten van derden (zoals SOC 2) steeds belangrijker geworden in B2B-aankoopbeslissingen. Niet alleen bieden ze een objectieve verificatie door derden van de veiligheids-/compliance-houding van een leverancier, maar audits bieden ook nuttige informatie over de zwakke plekken of zwakke punten in de interne controleomgeving van een organisatie. Met andere woorden, bevindingen van een formele audit kunnen dienen als recept voor het verminderen van risico ‘ s.
hoewel formele externe audits hun plaats hebben, moeten ze niet worden gebruikt als de enige manier om te leren over de beveiligingslacunes van uw organisatie. In de snel evoluerende risicoomgeving van vandaag hebben organisaties een combinatie van methoden nodig om zichzelf adequaat te beschermen. Naast geplande formele audits moeten organisaties continu interne audits uitvoeren om kwetsbaarheden te identificeren en inzicht te krijgen in hun compliance-en beveiligingshouding.
het niet continu aanpakken van risico ’s is een gevaarlijke praktijk, omdat organisaties voortdurend worden blootgesteld aan risico’ s en bedreigingen.
in snel evoluerende risicoomgevingen hebben organisaties een combinatie van methoden nodig om zichzelf adequaat te beschermen. Naast geplande formele audits, moeten organisaties interne audits uitvoeren, zodat ze kwetsbaarheden kunnen identificeren en hun compliance-en beveiligingshouding continu kunnen begrijpen.
uit een onderzoek van Globalscape en het Ponemon Institute bleek dat bedrijven die frequente nalevingsaudits uitvoerden hun nalevingskosten met gemiddeld 2,86 miljoen dollar verlaagden. Aan de andere kant bleek uit het onderzoek dat bedrijven die helemaal geen nalevingsaudits uitvoeren, de hoogste nalevingskosten ondervinden.
het uitvoeren van interne audits stelt uw bedrijf in staat om de hiaten/zwakke plekken in uw interne controleomgeving te begrijpen — zodat u die hiaten kunt dichten voordat externe auditors op uw kantoor verschijnen en er zeker van bent dat u voor die externe audit zult slagen.
In dit artikel bespreken we de kritische verschillen tussen interne versus externe audits, wat interne auditors doen, de verschillende soorten interne audits die uw organisatie kan uitvoeren, evenals de belangrijkste stappen om een succesvolle interne audit uit te voeren.
- rol van de interne Audit
- interne en externe Audits
- rol van de interne controleur & verantwoordelijkheden
- controles evalueren
- risico ’s evalueren
- het analyseren van operaties
- samenwerken met andere verzekeraars
- 5 soorten interne Audits
- It Compliance Audit
- IT-Audit
- financiële controle
- operationele audit
- Onderzoeksaudit
- hoe een interne Audit wordt uitgevoerd
- Planning
- veldwerk (ook bekend als “evidence collection and testing”)
- rapportage
- Follow-up
- wat Interne Audit niet mag doen
- Hyperproof maakt interne & externe Audits efficiënter
rol van de interne Audit
werknemers van het bedrijf voeren interne audits uit om de algemene risico ‘ s voor compliance en veiligheid te meten en te bepalen of het bedrijf interne richtlijnen volgt. Interne audits moeten het hele jaar door plaatsvinden. Managementteams kunnen de rapporten van interne audits gebruiken om gebieden te identificeren die verbetering vereisen. Interne audits meten bedrijfsdoelstellingen tegen output en strategische risico ‘ s.
interne en externe Audits
interne en externe audits hebben verschillende doeleinden, maar uiteindelijk dienen ze allebei hetzelfde doel: ervoor zorgen dat uw bedrijf voldoet aan zowel de regelgeving als de interne/externe normen, zodat u bedrijfsverstoringen en boetes, boetes of reputatieschade kunt voorkomen die het gevolg kunnen zijn van schendingen van de compliance.
externe audits zijn formele audits uitgevoerd door een onafhankelijke derde partij. Een externe audit meet de processen en controles van de organisatie op een point-in-time aan een soort externe standaarden, zoals ISO 27001 of NIST 800-53. Maar ze kunnen ook verplicht zijn als een bedrijf heeft een datalek of een ander beveiligingsgebeurtenis dat niet-naleving van een wettelijk vereiste standaard.
anderzijds worden interne audits uitgevoerd door opgeleide medewerkers binnen uw organisatie. De reikwijdte van een interne audit kan vrij beperkt of relatief breed zijn.
rol van de interne controleur & verantwoordelijkheden
interne controleurs hebben een unieke rol: ze moeten volledig objectief zijn over de processen en teams die ze evalueren, en ze kunnen niet direct verbonden zijn met de afdelingen die ze auditeren. Interne auditors rapporteren doorgaans rechtstreeks aan de leden van het Hoger management of de Raad van bestuur. Hun taak is om objectief te beoordelen afdelingen of zakelijke functies en hoe ze voldoen aan vastgestelde normen. Het is belangrijk om te onthouden dat de taak van een auditor Uiteindelijk is om het bedrijf te helpen, en hun feedback informeert hoe u een sterker bedrijf op te bouwen.
het Instituut voor interne Auditors (IIA) is de grootste en meest erkende organisatie die interne auditors bedient en standaarden stelt. Zij bieden certificeringen op verschillende gebieden van interne audit, en zij ontwikkelden het Standards & Guidance – International Professional Practices Framework, dat interne auditors verplichte en aanbevolen begeleiding biedt over hun rol en de missie van interne auditors.
het soort activiteiten dat een auditor uitvoert, varieert enigszins, afhankelijk van het soort audit dat hij uitvoert. Toch zijn er een aantal activiteiten van cruciaal belang voor elke vorm van interne audit.
controles evalueren
of een auditor het proces van de boekhoudafdeling beoordeelt voor eindejaarsrekeningen of de naleving van de CCPA door de marketingafdeling, zij zullen de bestaande controles evalueren en evalueren die bedoeld zijn om risico ‘ s te beperken en ongewenste incidenten te voorkomen. Bijna elk bedrijfsproces moet een soort van controle en verantwoording op zijn plaats hebben om ervoor te zorgen dat er geen mogelijkheden zijn om te bezuinigen of problemen te creëren. Auditors bekijken zowel de gedocumenteerde controles als de controles die daadwerkelijk worden geïmplementeerd om ervoor te zorgen dat ze worden uitgevoerd en werken zoals bedoeld.
risico ’s evalueren
terwijl het management op elk niveau hun unieke kennis moet gebruiken om de risico’ s voor hun team en de grotere organisatie te identificeren, is het de taak van een auditor om deze risico ’s te evalueren, te anticiperen op toekomstige problemen met deze risico’ s en manieren te vinden om deze risico ‘ s voor de organisatie te beheersen of te verwijderen.
het analyseren van operaties
interne auditors moeten de strategische doelstellingen van een organisatie begrijpen en hoe de zaken op tactisch niveau werken. Ze werken met managers op lagere niveaus, analyseren operaties en bepalen of die operaties passen in de strategische doelstellingen van het bedrijf.
samenwerken met andere verzekeraars
interne auditors werken samen met risicobeheerprofessionals, compliance officers en anderen om leidinggevenden in hun bedrijf te verzekeren dat risico ‘ s effectief en efficiënt worden beheerd. Terwijl veel andere functies van verzekeringsproviders processen implementeren en controles ontwikkelen om risico ‘ s te beperken, evalueren interne auditors die controles en processen om ervoor te zorgen dat ze werken en voldoen aan de normen die ze nodig hebben, of die intern of extern zijn ingesteld.
5 soorten interne Audits
er zijn een paar verschillende soorten interne audits, en elk biedt waarde. Als je net begint met het ontwikkelen van je interne audit functie, Je hoeft niet te springen in het uitvoeren van al deze in een keer. Het is echter een goed idee om uw zinnen te zetten op het uiteindelijk uitvoeren van dit soort interne audits, omdat ze u elk in staat stellen om een ander deel van uw bedrijfsvoering te optimaliseren.
It Compliance Audit
een interne IT compliance audit beoordeelt de databeveiligingspraktijken van een bedrijf om te bepalen of deze voldoen aan de vereiste of gekozen databeveiligingskaders en-normen en wettelijke vereisten waaraan een bedrijf zou kunnen voldoen met betrekking tot databeveiliging en privacy. Een interne audit kan worden gebruikt als een test run om te zien hoe die business zou gaan in een formele externe audit. Omdat de gevolgen van niet-naleving voor een bedrijf duur kunnen zijn, moeten er regelmatig nalevingsaudits worden uitgevoerd. Lagere risico ‘s, minder complexe processen kunnen één of twee keer per jaar worden gecontroleerd, terwijl meer gecompliceerde en hogere risico’ s vaker (bijv. wekelijks) moeten worden gecontroleerd.
IT-Audit
een IT-audit is gericht op controles en processen op het gebied van informatietechnologie. Hoewel dit enige overlap heeft met een compliance audit, zijn er een aantal IT-functies die niet zijn opgenomen in compliance audits die nog moeten worden geëvalueerd. Een interne IT-audit controleert niet alleen of de IT-controles informatie beschermen, maar ook of IT-processen en-middelen (hardware en software) efficiënt werken. In tegenstelling tot een compliance audit, worden IT-processen niet vergeleken met een externe standaard in een IT-audit. In plaats daarvan kijkt de audit of ze hun doel dienen en het bedrijf helpen zijn doelen te bereiken.
financiële controle
een financiële controle onderzoekt de financiën van een onderneming om ervoor te zorgen dat de financiële activiteiten correct worden geregistreerd en dat de juiste boekhoudpraktijken worden gebruikt. Het is absoluut noodzakelijk dat dit soort audits worden uitgevoerd door iemand die onpartijdig is en niet verbonden is met de boekhoudkundige en financiële functies van het bedrijf; als ze iets illegaals of frauduleus vinden, moeten ze onmiddellijk met hun zorgen naar het management kunnen gaan.
operationele audit
een operationele audit is gericht op de uitvoering van een afdeling of een zakelijke functie. De auditor kijkt naar de processen en outputs van de afdeling en evalueert hoe deze bijdragen aan de belangrijkste doelstellingen van het bedrijf. De auditor zal rekening houden met het personeel, het beheer van de activa in de afdeling, outputs, productiviteit en organisatiestructuur.Onderzoeksaudit
Onderzoeksaudit
een onderzoeksaudit vindt plaats naar aanleiding van een rapport of klacht over verdacht gedrag van een werknemer of team binnen het bedrijf. In dit geval zou de audit de output van een werknemer of afdeling omvatten. Als het verslag dan geloofwaardig is, zouden zij de omvang van de verliezen beoordelen, vaststellen welke zwakke punten het mogelijk maakten dat het gebeurde, en aanbevelingen formuleren voor wat er gedaan moet worden om te voorkomen dat het in de toekomst opnieuw gebeurt.
hoe een interne Audit wordt uitgevoerd
omdat elk bedrijf verschillend is en verschillende soorten audits verschillende stappen en overwegingen vereisen, is er geen enkel auditproces dat voor elke audit in elk bedrijf zal werken. U kunt echter een basisformule voor uw audits volgen om ervoor te zorgen dat u alle benodigde informatie verzamelt en effectief gebruikt wat u leert. Dit zijn de vier fasen van elke succesvolle interne audit:
Planning
voordat met een audit wordt begonnen, moet het interne auditteam de reikwijdte en het doel van de audit vaststellen. Het benaderen van een audit Zonder een duidelijk gedefinieerd doel leidt tot scope creep, dat is wanneer de scope van het project blijft groeien om extra problemen of processen die het team tegenkomt op te nemen. Beslissen wat wel en niet binnen het bereik van uw audit voordat u begint zal uw team om efficiënt te werken en beslissingen te nemen over wat op te nemen gemakkelijk.
tijdens deze fase bepaalt u ook wie de stakeholders zijn, welke proceseigenaren bij de audit betrokken zullen zijn, stelt u een tijdlijn in en kijkt u naar eerdere audits (indien aanwezig) om te zien of er problemen zijn waarvoor u voorbereid moet zijn. U moet van deze planningsfase afkomen met een gedocumenteerd auditplan dat u zal begeleiden bij het uitvoeren van de audit.
om een solide auditplan te maken, moet u een paar elementen overwegen:
- bestaande verordeningen: Inzicht in de wettelijke vereisten van het(de) gebied (en) dat (die) u gaat controleren is van cruciaal belang voor het uitvoeren van een effectieve audit.
- zorgen van werknemers: als werknemers eerder bezorgdheid hebben geuit over specifieke processen, moet u vragen opnemen in uw auditplan om de problemen te onderzoeken.
- bewijs dat nodig is om controles te testen: U dient na te denken over welke soorten bewijs u moet verzamelen om de controles binnen het kader van de audit te testen.
veldwerk (ook bekend als “evidence collection and testing”)
veldwerk omvat meestal interviews met proceseigenaren, zodat u het proces en de besturingselementen kunt begrijpen, procesdocumentatie kunt bekijken, de besturingselementen kunt testen die momenteel voor het proces worden gebruikt, en uw bevindingen en aanbevelingen kunt documenteren.
tijdens deze stap moet u alle beschikbare gegevens over het gecontroleerde proces bekijken. Gegevens die voor uw audit worden gegenereerd, moeten u een ongefilterde blik geven op hoe het proces werkt en of er verschillen zijn tussen wat de geïnterviewde u vertelt en de realiteit. Het zal u mogelijk ook een back-up bieden voor uw aanbevelingen wanneer u wijzigingen presenteert waarvan u denkt dat ze moeten worden aangebracht aan het hogere management.
rapportage
nadat u uw veldwerk hebt voltooid, zult u uw bevindingen en aanbevelingen in een auditverslag samenbrengen. Een auditverslag bevat een samenvatting van het auditplan, een beschrijving van uw resultaten — met name wat u vond was niet in overeenstemming met interne normen of externe vereisten — en bespreekt uw aanbevelingen.
onthoud dat het doel van een interne audit is om problemen op te sporen en een plan voor het verbeteren van processen of functies uit te werken. Het auditrapport gaat niet over het toewijzen van schuld of het Wijzen van vingers; het gaat over het identificeren van waar processen niet werken, wat de gevolgen zijn, en hoe deze problemen kunnen worden verholpen. Geïdentificeerde problemen moeten serieus worden genomen en niet geminimaliseerd of weg uitgelegd. Het auditverslag moet uiteindelijk de sterke punten van het bedrijf laten zien en hoe die problemen kunnen oplossen die in de audit zijn vastgesteld.
Follow-up
de laatste fase van een audit is de follow-up van de aanbevelingen om te zorgen voor de uitvoering en hoe de problemen zijn opgelost. Deze follow-up moet worden geregistreerd samen met de rest van de auditinformatie waarmee bij toekomstige audits rekening moet worden gehouden.
wat Interne Audit niet mag doen
interne auditors dienen de controles niet te ontwerpen of uit te voeren — het beleid, de procedures, de processen en de technische componenten die binnen hun organisatie zijn opgezet. Hun taak is het objectief beoordelen van de controles van de operations teams (bijv., engineering, sales, HR, finance, etc.) hebben vastgesteld om te bepalen of de controleontwerpen geschikt zijn voor het beoogde doel van de controles, of de controles doeltreffend zijn uitgevoerd en of de controles consistent zijn uitgevoerd.
Hyperproof maakt interne & externe Audits efficiënter
Hyperproof vermindert de administratieve overhead in typische auditprocessen. In feite is de applicatie speciaal gebouwd om interne auditors en compliance professionals te helpen bij het verzamelen en beheren van het compliance-bewijs dat ze nodig hebben om te begrijpen en te controleren hoe goed de huidige processen werken en wat niet werkt.
Hyperproof kan dienen als een centrale opslagplaats voor alle compliance-eisen van een organisatie, risicobeoordelingen, controles (samen met hun beschrijving, eigenaar) en bewijsmateriaal. In Hyperproof is het gemakkelijk voor een interne auditor om verzoeken te doen om operators en bedrijfsproceseigenaren in een organisatie te controleren om bewijs in te dienen dat ze moeten testen. Controle-eigenaren kunnen direct in Hyperproof komen om bewijs te leveren voor de controles waarvoor ze verantwoordelijk zijn, en die informatie is gekoppeld aan een specifiek verzoek in uw auditplan.
in plaats van e-mails te sturen en een handmatige agenda aan collega ‘ s uit te nodigen om hen eraan te herinneren bewijsmateriaal te herzien of nieuw bewijsmateriaal in te dienen, kunnen interne auditors Hyperproof gebruiken om taken met vervaldata en herinneringen uit te geven. Vervolgens worden controleoperators automatisch op de hoogte gebracht wanneer het tijd is voor hen om nieuw bewijs te beoordelen en in te dienen.
daarnaast kunnen interne auditors Hyperproof configureren om automatisch bewijs van de effectiviteit van specifieke controles uit veel zakelijke apps en ontwikkeltools te halen (bijvoorbeeld Pull requests en goedkeuringen van GitHub). Op deze manier kunnen interne auditors zich richten op het testen van het bewijs in plaats van veel tijd te besteden aan het verzamelen van de gegevens.
collega ‘ s in de business units zullen ook blij zijn dat ze niet zo vaak op auditaanvragen hoeven te reageren. Zodra een interne audit of compliance team voelt dat ze voorbereid zijn op een externe audit, kunnen ze “hun werk delen” met de externe auditor direct in Hyperproof en alleen de informatie die ze willen delen blootleggen. Voor meer informatie over Hyperproof of bekijk een demo van al zijn mogelijkheden, bezoek Hyperproof.io vandaag.
