10 Klucze do skutecznej oceny ryzyka w ramach audytu wewnętrznego

Nowy raport z badania dostarcza spostrzeżeń na temat tego, w jaki sposób funkcje audytu wewnętrznego mogą udoskonalić obecne procesy oceny ryzyka i planowania audytów oraz bada, w jaki sposób audytorzy mogą lepiej zrozumieć i skontrolować pojawiające się i strategiczne ryzyka, przed którymi stoją ich organizacje.

Raport, “Enhancing Risk Assessments & Audit Planning: 10 Key Considerations” , został wydany 5 października przez Wolters Kluwer i TeamMate, wewnętrzny system zarządzania audytem, który jest częścią Wolters Kluwer Tax & Accounting. Trzon raportu stanowią wyniki badania TeamMate Global Audit Technology Survey 2016 , które w lipcu i sierpniu ubiegłego roku objęło prawie 600 światowych liderów audytu.

“Naszym zamiarem było zebranie użytecznych danych na temat obecnych i przewidywanych praktyk w trzech powiązanych i współzależnych procesach audytu – ocenie ryzyka, planowaniu audytu i raportowaniu tych działań do kierownictwa i komitetu audytu”, stwierdza raport.

W oparciu o wyniki badania, oto 10 najlepszych praktyk, które liderzy audytu wewnętrznego mogą wykorzystać do wzmocnienia swoich wysiłków w zakresie oceny ryzyka.

1. Przejść do bardziej ciągłego procesu oceny ryzyka. Prawie połowa respondentów badania wskazuje, że albo ocenia ryzyko w sposób ciągły, albo łączy roczną ocenę ryzyka z jakąś formą ciągłej oceny ryzyka. Patrząc na respondentów, którzy obecnie oceniają ryzyko albo w skali rocznej albo okresowej, 56 procent oczekuje przejścia na bardziej ciągły proces oceny ryzyka w ciągu najbliższych dwóch lat.

2. Zajęcie się ryzykiem strategicznym organizacji. Większość respondentów stwierdziła, że ich procesy oceny ryzyka obejmują formalną ocenę ryzyka strategicznego ich organizacji. Ponadto 70 procent jest bardzo lub dość pewnien, że ich pracownicy odpowiedzialni za audyt wewnętrzny zidentyfikowaliby wszelkie istotne zmiany w profilu ryzyka strategicznego przedsiębiorstwa lub zostaliby poinformowani o takich zmianach w odpowiednim czasie.

3. Ukierunkowanie na pojawiające się zagrożenia. Coraz większy nacisk kładzie się na ryzyko nowo powstające, ponieważ 55 procent respondentów zgłasza, że posiada formalny proces identyfikacji, oceny i raportowania na temat tych ryzyk, podczas gdy 44 procent dostarcza swoim komitetom audytowym regularne sprawozdania z oceny ryzyka nowo powstającego przez audyt wewnętrzny.

Spośród tych, którzy obecnie nie uwzględniają pojawiających się zagrożeń w swoich ocenach, 62 procent planuje to zrobić w ciągu dwóch lat.

4. Rozważyć wpływ czynników ryzyka makro. Prawie połowa (49%) respondentów stwierdziła, że obecnie ocenia zewnętrzne czynniki ryzyka makro, takie jak ryzyko systemowe, polityczne lub makroekonomiczne. Ponadto prawie połowa tych respondentów, których oceny ryzyka nie obejmują obecnie ryzyka makro, planuje dodanie tego składnika w ciągu kilku lat.

5. Skup się bardziej na cyber-ryzyku. Dane z badania Wspólnego Organu Wiedzy Instytutu Audytorów Wewnętrznych wskazują, że bezpieczeństwo cybernetyczne jest obecnie największym ryzykiem związanym z technologią, przed którym stoją audytorzy wewnętrzni. W rezultacie, jak wynika z badania TeamMate, większość (85 proc.) grup audytorów wewnętrznych zmienia swoje procesy oceny ryzyka, aby zwiększyć ich zasięg w zakresie ryzyka cybernetycznego.

6. Rozszerzenie danych wejściowych z powiązanych funkcji w celu wzmocnienia oceny ryzyka. Respondenci badania przyjęli założenie, że im silniejszy wkład w proces oceny ryzyka, tym lepszy wynik.

Siedemdziesiąt trzy procent respondentów zgłasza, że koordynuje lub dostosowuje swoje oceny ryzyka do innych jednostek zarządzania ryzykiem i kontroli, takich jak zarządzanie ryzykiem w przedsiębiorstwie (ERM), zgodność z przepisami, technologia, finanse i prawo. Prawie trzy czwarte respondentów ubiega się również o wkład w swoje oceny ryzyka od kierownictwa.

7. Udoskonalenie technik oceny ryzyka. Techniki oceny ryzyka w dalszym ciągu ewoluują w kierunku zaawansowania. Zgodnie z wynikami badania 22 procent respondentów stosuje obecnie analizę scenariuszy, 15 procent prognozowanie lub inne modelowanie ryzyka, a 11 procent przeprowadza testy warunków skrajnych w odniesieniu do głównych założeń ekonomicznych.

W ciągu najbliższych dwóch lat 37 procent respondentów spodziewa się monitorowania kluczowych wskaźników ryzyka, 35 procent oczekuje, że będzie przeprowadzać dane lub analizy statystyczne, a 22 procent prawdopodobnie będzie oceniać wpływ innowacyjnych lub destrukcyjnych technologii.

Mówiąc o technologii, nieco mniej niż połowa respondentów wykorzystuje ją obecnie do wspierania procesu oceny ryzyka, ale 76 procent spodziewa się, że w ciągu najbliższych kilku lat będzie ją wykorzystywać w większym stopniu.

8. Spraw, aby planowanie audytu było bardziej dynamiczne. Mimo że 57 procent respondentów informuje o prowadzeniu rocznego planu audytu z pewnymi okresowymi aktualizacjami, duża liczba (40 procent) aktualizuje swoje plany audytu co miesiąc lub po zakończeniu prac audytowych.

Jednakże, mając na uwadze przyszłość, 5 procent respondentów już teraz przeprowadza całkowicie odnawialne audyty, podczas gdy kolejne 28 procent prawdopodobnie przejdzie na odnawialny plan audytu w ciągu najbliższych dwóch lat.

9. Usprawnij raportowanie ryzyka. Oprócz udoskonalenia procesów oceny ryzyka, audytorzy wewnętrzni wydają się również usprawniać sprawozdawczość w zakresie wyników procesów.

Podczas gdy 61 procent respondentów korzysta z dokumentacji Microsoft Word, Excel lub PowerPoint do raportowania ryzyka, 22 procent korzysta z nowych metod raportowania ryzyka, począwszy od map cieplnych, pulpitów sterowania ryzykiem i SharePoint, a skończywszy na raportowaniu połączonym z funkcją ERM.

10. Odniesienie się do oczekiwań kierownictwa i komitetu audytu. “Ostatecznie, grupa audytu wewnętrznego musi zapewnić, że jej oceny ryzyka i procesy planowania audytu są dostosowane do oczekiwań kluczowych interesariuszy i spełniają je, jeśli nie przekraczają”, mówi raport.

W związku z tym 42 procent respondentów stwierdziło, że zapewnianie ogólnej pewności w zakresie praktyk zarządzania ryzykiem w organizacji macierzystej jest postrzegane przez ich komitety audytu jako podstawowa rola audytu wewnętrznego.

Ponadto 58 procent przekazuje komitetom audytowym opinię na temat adekwatności procesów zarządzania ryzykiem w organizacji, a 75 procent informuje zarówno komitet audytowy, jak i kierownictwo o tym, w jaki sposób zmiany w profilu ryzyka organizacji są odzwierciedlone w planie audytu.