värdet av interna revisioner (och hur man genomför en)

Innehållsförteckning

i dagens digitala tidsålder har externa efterlevnadsrevisioner och tredjepartsintyg (t.ex. SOC 2) blivit allt viktigare i B2B-köpbeslut. De ger inte bara en objektiv tredjepartsverifiering av en leverantörs säkerhets-/efterlevnadsställning, men revisioner ger också användbar information om de mjuka fläckarna eller svagheterna i en organisations interna kontrollmiljö. Med andra ord kan resultat från en formell revision fungera som ett recept för att minska riskerna.

även om formella externa revisioner har sin plats, bör de inte åberopas som det enda sättet att lära sig om organisationens säkerhetsgap. I dagens snabbt utvecklande riskmiljö behöver organisationer en kombination av metoder för att skydda sig tillräckligt. Förutom planerade formella revisioner bör organisationer kontinuerligt genomföra interna revisioner för att identifiera sårbarheter och förstå deras efterlevnad och säkerhetsställning.

att inte ta itu med risker kontinuerligt är en farlig praxis, eftersom organisationer kontinuerligt utsätts för risker och hot.

med snabbt utvecklande riskmiljöer behöver organisationer en kombination av metoder för att skydda sig tillräckligt. Förutom planerade formella revisioner bör organisationer genomföra interna revisioner så att de kan identifiera sårbarheter och förstå deras efterlevnad och säkerhetsställning kontinuerligt.

faktum är att en undersökning utförd av Globalscape och Ponemon Institute fann att företag som deltog i frekventa efterlevnadsrevisioner minskade sina efterlevnadskostnader med i genomsnitt $2.86 miljoner. Å andra sidan fann undersökningen att företag som inte utför efterlevnadsrevisioner alls upplever de högsta efterlevnadskostnaderna.

genom att genomföra interna revisioner kan ditt företag förstå luckorna/mjuka fläckarna i din interna kontrollmiljö — så att du kan stänga dessa luckor innan externa revisorer dyker upp på ditt kontor och vara säker på att du kommer att klara den externa revisionen.

i den här artikeln kommer vi att diskutera de kritiska skillnaderna mellan interna och externa revisioner, vad interna revisorer gör, de olika typerna av interna revisioner som din organisation kan genomföra, samt de viktigaste stegen för att genomföra en framgångsrik internrevision.

 två vektortecken arbetar runt pengar, symboliskt för de 2,8 miljoner dollar som sparats av företag som gör frekventa interna revisioner

internrevisionens Roll

företagets anställda utför interna revisioner för att mäta övergripande risker för efterlevnad och säkerhet och avgöra om företaget följer interna riktlinjer. Interna revisioner bör ske under hela året. Ledningsgrupper kan använda rapporterna från interna revisioner för att identifiera områden som kräver förbättring. Internrevisioner mäter företagets mål mot resultat och strategiska risker.

interna vs. externa revisioner

interna och externa revisioner har olika syften, men i slutändan tjänar de båda samma syfte: att se till att ditt företag följer såväl regler som interna/externa standarder, så att du kan undvika affärsstörningar och böter, påföljder eller rykteskador som kan vara resultatet av överträdelser av efterlevnad.

externa revisioner är formella revisioner som utförs av en oberoende tredje part. En extern revision mäter organisationens processer och kontroller vid en tidpunkt mot någon form av externa standarder, såsom ISO 27001 eller NIST 800-53. Men de kan också vara obligatoriska om ett företag har ett dataintrång eller en annan säkerhetshändelse som inte överensstämmer med en lagstadgad standard.

å andra sidan utförs interna revisioner av utbildade anställda inom din organisation. Omfattningen av en internrevision kan vara ganska smal eller relativt bred.

internrevisorns Roll & ansvar

internrevisorer har en unik roll: de måste vara helt objektiva om de processer och team de utvärderar, och de kan inte vara direkt kopplade till de avdelningar de granskar. Internrevisorer rapporterar vanligtvis direkt till ledande befattningshavare eller styrelseledamöter. Deras jobb är att objektivt bedöma avdelningar eller affärsfunktioner och hur de uppfyller fastställda standarder. Det är viktigt att komma ihåg att en revisors jobb i slutändan är att hjälpa verksamheten, och deras feedback informerar hur man bygger ett starkare företag.

Institutet för internrevisorer (IIA) är den största och mest erkända föreningen som betjänar och fastställer standarder för internrevisorer. De tillhandahåller certifieringar inom olika områden av internrevision och de utvecklade standarderna & vägledning – ramverket för internationell professionell praxis, som ger interna revisorer obligatorisk och rekommenderad vägledning om deras roll och uppdrag för interna revisorer.

vilken typ av aktiviteter en revisor utför kommer att variera något beroende på vilken typ av revision de utför. Fortfarande, det finns vissa aktiviteter som är avgörande för alla typer av internrevision.

utvärdering av kontroller

oavsett om en revisor bedömer bokföringsavdelningens process för årsredovisning eller marknadsavdelningens efterlevnad av CCPA, kommer de att granska och utvärdera de kontroller som är avsedda att mildra risker och förhindra oönskade incidenter. Nästan alla affärsprocesser måste ha någon typ av kontroll och ansvarsskyldighet på plats för att säkerställa att det inte finns möjligheter att skära hörn eller skapa problem. Revisorer tittar på både de dokumenterade kontrollerna och de kontroller som faktiskt implementeras för att säkerställa att de exekveras och fungerar som avsett.

utvärdera risker

medan ledningen på alla nivåer behöver använda sin unika kunskap för att identifiera riskerna för sitt team och den större organisationen, är det en revisors uppgift att utvärdera dessa risker, förutse framtida problem med dessa risker och hitta sätt att antingen kontrollera eller ta bort dessa risker för organisationen.

analysera operationer

internrevisorer behöver förstå en organisations strategiska mål och hur saker och ting fungerar på taktisk nivå. De arbetar med chefer på lägre nivåer, analyserar verksamheten och bestämmer om dessa verksamheter passar in i företagets strategiska mål.

arbeta med andra försäkringsleverantörer

interna revisorer arbetar tillsammans med riskhanteringspersonal, compliance officers och andra för att försäkra chefer i deras företag att riskerna hanteras effektivt och effektivt. Medan många andra roller som försäkringsgivare implementerar processer och utvecklar kontroller för att mildra risker, utvärderar interna revisorer dessa kontroller och processer för att säkerställa att de fungerar och uppfyller de standarder de behöver, oavsett om de ställs in internt eller externt.

 en vektorrevisor sitter vid sitt skrivbord och gör en internrevision

5 typer av internrevisioner

det finns några olika typer av internrevisioner, och varje ger värde. Om du bara börjar utveckla din internrevisionsfunktion behöver du inte hoppa till att utföra alla dessa på en gång. Det är dock bra att du siktar på att så småningom utföra dessa typer av interna revisioner eftersom de gör att du kan optimera en annan del av din affärsverksamhet.

It Compliance Audit

en intern IT compliance audit granskar ett företags datasäkerhetspraxis för att avgöra om de överensstämmer med nödvändiga eller valda datasäkerhetsramar och standarder och juridiska krav som ett företag kan möta när det gäller datasäkerhet och integritet. En internrevision kan användas som en testkörning för att se hur den verksamheten skulle klara sig i en formell extern revision. Eftersom konsekvenserna av att falla ur överensstämmelse kan vara kostsamma för ett företag, bör efterlevnadsrevisioner göras ofta. Lägre risk, mindre komplexa processer kan granskas en eller två gånger om året, medan mer komplicerade och högre riskprocesser bör granskas oftare (t.ex. varje vecka).

IT-revision

en IT-revision är inriktad på IT-kontroller och processer. Även om detta har viss överlappning med en efterlevnadsrevision, finns det några IT-funktioner som inte ingår i efterlevnadsrevisioner som fortfarande bör utvärderas. Förutom att säkerställa att IT-kontrollerna på plats skyddar information, granskar en intern IT-revision också om IT-processer och tillgångar (hårdvara och mjukvara) fungerar effektivt. Till skillnad från en efterlevnadsgranskning jämförs inte IT-processer med en extern standard i en IT-revision. I stället tittar granskningen på om de tjänar sitt syfte och hjälper företaget att uppfylla sina mål.

finansiell revision

en finansiell revision tittar på ett företags ekonomi för att säkerställa att finansiella aktiviteter registreras korrekt och att rätt redovisningspraxis används. Det är absolut nödvändigt att dessa typer av revisioner utförs av någon opartisk och frånkopplad från redovisnings-och finansfunktionerna i verksamheten.om de hittar något olagligt eller bedrägligt måste de kunna gå till ledningen med sina bekymmer omedelbart.

operativ revision

en operativ revision är inriktad på utförandet av en avdelning eller affärsfunktion. Revisorn kommer att titta på avdelningens processer och resultat och utvärdera hur de bidrar till företagets huvudmål. Revisorn kommer att överväga personal, förvaltning av tillgångar i avdelningen, utgångar, produktivitet och organisationsstruktur.

Utredningsrevision

en utredningsrevision sker som svar på en rapport eller ett klagomål om misstänkt beteende av en anställd eller ett team inom företaget. I detta fall skulle revisionen omfatta en anställd eller avdelningens produktion. Då, om rapporten är trovärdig, skulle de bedöma omfattningen av förlusterna, bestämma vilka svagheter som gjorde det möjligt att hända och skapa rekommendationer för vad som behöver göras för att förhindra att det händer igen i framtiden.

 två vektortecken arbetar med nyckelfaserna i en internrevision

hur en internrevision görs

eftersom varje företag är annorlunda och olika typer av revisioner kräver olika steg och överväganden finns det inte en enda revisionsprocess som fungerar för varje revision i varje företag. Du kan dock följa en grundläggande formel för dina revisioner för att säkerställa att du samlar in all nödvändig information och använder det du lär dig effektivt. Dessa är de fyra faserna i varje framgångsrik internrevision:

planering

innan en revision påbörjas bör internrevisionsteamet definiera revisionens omfattning och mål. Att närma sig en revision utan ett tydligt definierat mål leder till scope creep, vilket är när projektets omfattning fortsätter att växa för att inkludera ytterligare problem eller processer som teamet stöter på. Att bestämma vad som är och inte ligger inom ramen för din revision innan du börjar gör att ditt team kan arbeta effektivt och fatta beslut om vad som ska inkluderas enkelt.

under denna fas kommer du också att avgöra vem intressenterna är, vilka processägare som kommer att vara involverade i revisionen, ställa in en tidslinje och titta på tidigare revisioner (om det finns några) för att se om det finns några problem du bör vara beredd att stöta på. Du bör komma bort från denna planeringsfas med en dokumenterad revisionsplan som hjälper dig att utföra revisionen.

generellt sett, för att skapa en solid revisionsplan, bör du överväga några element:

  • befintliga regler: Att förstå de regulatoriska kraven i det eller de områden du kommer att granska är avgörande för att genomföra en effektiv revision.
  • anställdas oro: om anställda tidigare har uttryckt oro över specifika processer, bör du införliva frågor i din revisionsplan för att gräva i frågorna.
  • bevis som behövs för att testa kontroller: du bör tänka igenom vilka typer av bevis du behöver samla för att testa kontrollerna inom ramen för revisionen.

fältarbete (aka ”evidence collection and testing”)

fältarbete innebär vanligtvis intervjuer med processägare så att du kan förstå processen och kontrollerna, granska processdokumentation, testa de kontroller som för närvarande finns på plats för processen och dokumentera dina resultat och rekommendationer.

under det här steget bör du granska alla tillgängliga data om processen under granskning. Data som genereras före din revision bör ge dig en ofiltrerad titt på hur processen fungerar och om det finns skillnader mellan vad intervjuaren berättar för dig och verkligheten. Det kommer också potentiellt ge dig backup för dina rekommendationer när du presenterar ändringar du tycker bör göras till högsta ledningen.

rapportering

när du har slutfört ditt fältarbete kommer du att sammanställa dina resultat och rekommendationer i en revisionsrapport. En revisionsrapport kommer att sammanfatta revisionsplanen, beskriva dina resultat-specifikt, vad du hittade var inte i överensstämmelse med interna standarder eller externa krav — och diskutera dina rekommendationer.

kom ihåg att målet med en internrevision är att identifiera problem och komma undan med en plan för att förbättra processer eller funktioner. Revisionsrapporten handlar inte om att tilldela skuld eller peka fingrar; det handlar om att identifiera var processer inte fungerar, vad konsekvenserna är och hur dessa frågor kan åtgärdas. Identifierade problem bör tas på allvar och inte minimeras eller förklaras bort. Revisionsrapporten bör i slutändan visa företagets styrkor och hur de kan lösa problem som identifierats i revisionen.

uppföljning

det sista steget i en revision är att följa upp rekommendationerna för att säkerställa genomförandet och hur problem har lösts. Denna uppföljning bör registreras tillsammans med resten av den revisionsinformation som ska beaktas vid framtida revisioner.

vad internrevision inte bör göra

internrevisorer bör inte utforma eller genomföra kontrollerna-de policyer, procedurer, processer och tekniska komponenter som införts inom deras organisation. Deras jobb är att objektivt bedöma kontrollerna verksamhetsteam (t.ex. teknik, försäljning, HR, ekonomi, etc.) har inrättats för att avgöra om kontrollkonstruktionerna är lämpliga för det avsedda syftet med kontrollerna, om kontrollerna genomfördes effektivt och om kontrollerna fungerade konsekvent.

Hyperproof gör interna & externa revisioner effektivare

Hyperproof minskar mängden administrativa kostnader i typiska revisionsprocesser. Faktum är att applikationen är speciellt byggd för att hjälpa interna revisorer och efterlevnadspersonal att samla in och hantera de efterlevnadsbevis de behöver granska för att förstå och verifiera hur väl nuvarande processer fungerar och vad som inte fungerar.

Hyperproof kan fungera som ett centralt arkiv för alla en organisations efterlevnadskrav, riskbedömningar, kontroller (tillsammans med deras beskrivning, ägare) och bevis. I Hyperproof är det enkelt för en internrevisor att göra förfrågningar om att kontrollera operatörer och affärsprocessägare i en organisation för att lämna in bevis som de behöver testa. Kontrollägare kan komma direkt i Hyperproof för att tillhandahålla bevis för de kontroller de ansvarar för, och den informationen är kopplad till en specifik begäran i din revisionsplan.

istället för att skicka e-post och manuella kalenderinbjudningar till kollegor för att påminna dem om att granska bevis eller lämna in nya bevis kan interna revisorer använda Hyperproof för att utfärda uppgifter med förfallodatum och påminnelser. Då meddelas kontrolloperatörer automatiskt när det är dags för dem att granska och skicka in nya bevis.

dessutom kan interna revisorer konfigurera Hyperproof för att automatiskt extrahera bevis på specifika kontrollers effektivitet från många affärsappar och utvecklarverktyg (t.ex. Pull-förfrågningar och godkännanden från GitHub). På så sätt kan interna revisorer fokusera på att testa bevisen istället för att spendera mycket tid på att bara försöka samla in data.

kollegor i affärsenheterna kommer också att vara glada att de inte behöver svara på revisionsförfrågningar så ofta. När en internrevision eller compliance-team känner att de är förberedda för en extern revision kan de ”dela sitt arbete” med den externa revisorn direkt i Hyperproof och bara avslöja den information de vill dela. För att lära dig mer om Hyperproof eller se en demo av alla dess funktioner, besök Hyperproof.io idag.

Write a Comment

Din e-postadress kommer inte publiceras.