4 Kluczowe obszary ryzyka Audytorzy wewnętrzni nie mogą przeoczyć

Niezależnie od tego, czy nazywasz to chutzpah, moxie, czy po prostu zwykłymi jelitami, audytorzy wewnętrzni muszą pokazać więcej.

To nadrzędne przesłanie raportu North American Pulse of Internal Audit z 2017 roku, Courageous Leadership: Wzbudzenie zaufania od wewnątrz , z Instytutu Audytorów Wewnętrznych (IIA).

“Potrzeba odważnego przywództwa, aby wzmocnić i chronić wartość organizacyjną”, stwierdza raport. “Dyrektorzy generalni ds. audytu [CAE] muszą mieć odwagę spojrzeć zarówno na zewnątrz organizacji, jak i do wewnątrz na funkcję audytu wewnętrznego. Musimy brać pod uwagę ryzyka, którym prawdopodobnie poświęcono niewiele uwagi, i wprowadzać zmiany”.

W związku z tym w porozumieniu międzyinstytucjonalnym wymieniono cztery często pomijane obszary ryzyka, które wymagają większej uwagi:

  • Komunikacja nie podlegająca tradycyjnie niezależnej weryfikacji, jak np. prezentacje analityków, sprawozdawczość dotycząca zrównoważonego rozwoju oraz niektóre raporty operacyjne.
  • Zagrożenia dla środowiska, zdrowia i bezpieczeństwa (EHS).
  • Audyt wewnętrzny wykorzystuje analitykę danych.
  • Dynamika interpersonalna pomiędzy audytem wewnętrznym a innymi osobami w organizacji.

Poniżej znajdują się kluczowe informacje dotyczące każdej kategorii ryzyka:

1. Ryzyko związane z komunikacją . Wszyscy w łańcuchu korporacyjnym – menedżerowie, inwestorzy i inni interesariusze – podejmują strategiczne decyzje na podstawie informacji, które otrzymują poza sprawozdaniem finansowym, o których mowa w raporcie.

Większość (66%) respondentów badania Pulse, którzy otrzymują takie informacje, twierdzi, że są one niedokładne, niekompletne, wprowadzające w błąd lub mylące, co stanowi poważne zagrożenie dla reputacji ich organizacji.

“Chociaż zewnętrzny audyt daje pewność co do formalnego sprawozdania finansowego, nie obejmuje on całej komunikacji ważnej dla organizacji, ani związanych z nią procesów i kontroli”, stwierdza raport. “Niezależne poświadczenie może pochodzić od audytu wewnętrznego, zewnętrznego lub niezależnej strony trzeciej”.

Oto, co mogą zrobić wewnętrzni audytorzy:

  • Zidentyfikuj procesy i narzędzia komunikacji w swojej organizacji.
  • Ustalić, które z informacji otrzymują największą uwagę – wewnętrznie lub zewnętrznie.
  • Ustalenie ryzyka związanego z informacjami niedokładnymi, wprowadzającymi w błąd, niekompletnymi lub mylącymi.
  • Włączenie przekazywania informacji, którym poświęca się najwięcej uwagi (tzn. które są najważniejsze dla procesu audytu wewnętrznego i planowanych audytów).
  • Oceniać i oceniać, kto daje zapewnienie o komunikacji.

2. Zagrożenia dla środowiska. W sprawozdaniu stwierdza się, że audyt wewnętrzny powinien podejść do ryzyka związanego z bezpieczeństwem i higieną pracy w taki sam sposób, jak do ryzyka informatycznego i nadużyć finansowych. Nieco mniej niż połowa wszystkich badanych działów kontroli wewnętrznej stwierdziła jednak, że zagrożenia te (takie jak uwolnienie toksycznego materiału, zanieczyszczona żywność, niebezpieczne warunki pracy i ergonomia wpływające na zdrowie lub wydajność pracowników) nie są częścią oceny ryzyka lub planu audytu wewnętrznego przeprowadzanego przez audyt wewnętrzny.

“Dla wielu osób jest to nieznane terytorium i trzeba będzie odwagi, aby zakwestionować istniejące przekonania dotyczące roli audytu wewnętrznego w zagrożeniach związanych z EHS” – stwierdza raport. Jednak brak pewności “może mieć katastrofalny wpływ na finanse i reputację organizacji”.

Chociaż nie można oczekiwać, aby audytorzy wewnętrzni posiadali wiedzę specjalistyczną w zakresie ochrony środowiska, powinni oni szybko znaleźć sposób na ocenę ryzyka związanego z EHS. Jednak współpraca między audytorami wewnętrznymi a audytorami EHS jest nietypowa. Prawie dwie trzecie respondentów badania Pulse, których organizacje pełnią funkcję audytorów BHP, wskazało, że BHP i audyt wewnętrzny działają oddzielnie. Obydwie pracują razem w około jednej trzeciej organizacji, podczas gdy EHS jest częścią audytu wewnętrznego w 6 procentach organizacji.

Oto, co mogą zrobić wewnętrzni audytorzy:

  • Zapoznaj się z pełnym zakresem skutków ryzyka związanego z BHP.
  • Współpracuj z innymi zespołami w celu ustalenia najlepszego sposobu dzielenia się wiedzą.
  • Ustalić, czy poziom pewności i kto go zapewnia jest współmierny do poziomu ryzyka.

3. Analityka danych. Podczas gdy CAE obejmują analitykę danych, mogą je wykorzystać zanim struktury i procesy organizacji zostaną ukończone, raport stwierdza. Wyniki badań ankietowych wykazały, że gdyby CAE miały kontrolować własne procesy analizy danych, wiele z nich nie miałoby dobrych wyników.

Według raportu, wykorzystanie analizy danych przez audyt wewnętrzny rośnie, a ponad dziewięciu na dziesięciu respondentów ankiety twierdzi, że włącza ją do swoich audytów. Ponad czterech na dziesięciu respondentów “zawsze” lub “często” wykorzystuje analitykę danych w swoich audytach.

Jednak ci, którzy regularnie korzystają z analizy danych, stwierdzili, że słaba konstrukcja analizy danych spowodowała dodatkową pracę, której można było uniknąć dzięki odpowiedniemu planowaniu i zasobom.

Audyt wewnętrzny w największym stopniu wykorzystuje analitykę danych do bezpośredniego testowania kontroli wewnętrznych (37%), a następnie do oceny ryzyka przy planowaniu konkretnego zlecenia audytu (35%) i identyfikacji potencjalnych błędów w danych przekazywanych kierownictwu w celu ich skorygowania (33%).

Oto, co mogą zrobić wewnętrzni audytorzy:

  • Określenie wszystkich zastosowań do analizy danych.
  • Dowiedz się, jakie procesy, technologie, ludzie i dane są potrzebne dla programu do analizy danych.
  • Oceń, jak i gdzie program do analizy danych może wykoleić się przed jego uruchomieniem.
  • Uzyskać opinie wszystkich zainteresowanych stron i zespołów na temat sposobu opracowania programu do analizy danych.
  • Udokumentowanie podejścia do analizy danych w strategicznym planie audytu wewnętrznego.

4. Interpersonalna dynamika. “Skuteczność audytorów wewnętrznych koncentruje się na umiejętności poruszania się w interakcjach osobistych i potencjalnie spornych kwestiach, przy jednoczesnym budowaniu zaufania – nie jest to łatwe zadanie”, stwierdza raport.

Jednak większość (59%) respondentów badania pulsu stwierdziła, że negatywna wymiana interpersonalna rzadko była przypisywana ich roli audytora wewnętrznego.

Nadal jednak czuwa się nad jakością interpersonalnych interakcji pomiędzy audytem wewnętrznym a resztą organizacji.

“Po negatywnej wymianie informacji z audytem wewnętrznym, kierownictwo może być mniej przychylne informacjom, a także mniej skłonne do wdrażania zaleceń audytu”, stwierdza raport. “Osłabia to zdolność audytu wewnętrznego do przeprowadzenia audytu i przyczynia się do pozytywnych zmian w organizacji”.

Połowa ankietowanych stwierdziła, że negatywna wymiana mogłaby lub mogłaby zaszkodzić zdolności do przeprowadzenia badania.

I, jak w przypadku większości rzeczy korporacyjnych, “umiejętności miękkie” odgrywają dużą rolę w tym, jak dobrze medycyna idzie w dół.

“Większość audytorów doświadczyła przypadków, w których członek kierownictwa próbował zrzucić winę za swoje słabe wyniki na audytora lub próbował zakwestionować audytora jako mechanizm odwracający uwagę od swoich własnych niedociągnięć”, stwierdza raport. “Po negatywnej wymianie zdań międzyludzkich, kuszące dla audytora wewnętrznego może być obwinianie drugiej osoby. Jednak niektórych z tych negatywnych interakcji można było uniknąć dzięki lepszemu wykorzystaniu umiejętności miękkich”.

Spróbuj trochę empatii, jak sugeruje raport. Spójrzcie na to, jak wygląda audyt z perspektywy menedżerów. Jeśli audyt wewnętrzny pomoże kierownictwu wyglądać dobrze, to kierownictwo pomoże audytowi wewnętrznemu. W tym przypadku pomocna może być również dodatkowa dawka moxie.

Oto jak zrobić te ciepłe i rozmyte rzeczy:

  • Naucz się umiejętności miękkich. Zdobądź mentora, trenera, cokolwiek będzie trzeba.
  • Ocenić, w jaki sposób kultura korporacyjna wpływa na wymianę między audytorami wewnętrznymi.
  • Dowiedz się, jak poprawić kulturę korporacyjną.

Wyniki badania Pulse opierają się na danych zebranych od 538 respondentów, z czego 86 procent to CAE.