Audytorzy wewnętrzni zwracają uwagę na kulturę, ryzyko związane z technologią

Większa koncentracja na kulturze organizacyjnej i technologii pomoże audytorom wewnętrznym podnieść się do poziomu zaufanych doradców w ich firmach, jak wynika z nowego raportu Instytutu Audytorów Wewnętrznych (IIA).

“Podczas gdy zawód robi wyraźne postępy, wciąż istnieją możliwości poprawy, ponieważ audytorzy wewnętrzni pracują nad bardziej kompleksowym podejściem do zagrożeń technologicznych związanych z bezpieczeństwem cybernetycznym i dużymi ilościami danych, jak również do zagrożeń związanych z kulturą”, powiedział prezes i dyrektor generalny IIA Richard Chambers w przygotowanym oświadczeniu.

Ale raport, Globalne perspektywy i spostrzeżenia: Emerging Trends , wyraźnie pokazuje, że nie będzie to łatwe. Większość (68%) osób zajmujących się audytem wewnętrznym, które odpowiedziały na badanie IIA, stwierdziła, że ich poziom zatrudnienia nie wzrasta, a ponad połowa (56%) stwierdziła, że ich budżet również nie wzrasta. A 74 procent szefów działów audytu wewnętrznego (CAE) stwierdziło, że nie są oni odpowiedzialni za inne funkcje.

W raporcie stwierdza się, że “kontynuacja ewolucji od prawdopodobnie przestarzałego podejścia do kontroli księgowej do prawdziwego audytu opartego na ryzyku w całym przedsiębiorstwie była dużym krokiem naprzód dla tego zawodu”. “Ponadto, kolejnym etapem dojrzewania w tym zawodzie było podjęcie przez CAE kroków mających na celu zapewnienie zgodności planu audytu wewnętrznego z priorytetami strategicznymi organizacji oraz zapewnienie wglądu w zdolność (lub niezdolność) organizacji do skutecznego osiągania jej celów strategicznych”.

Ale to nie wystarczy, stwierdza się w raporcie. Aby audyt wewnętrzny był naprawdę skuteczny, należy uznać go za zaufanego doradcę firmy.

“Jednak w wielu przypadkach audyt wewnętrzny wciąż prosi o zdobycie upragnionego “miejsca przy stole” (jeśli w ogóle je zdobędzie) – miejsca, gdzie omawiane są najbardziej palące kwestie organizacyjne i podejmowane są decyzje wykonawcze” – stwierdza raport. “Z kolei prawdziwie zaufany doradca otrzymuje miejsce przy stole ze względu na wartość, którą każdy przyjmuje jako daną. Nie proszą o zaangażowanie – są zapraszani”.

Ouch.

Przyjrzyjmy się więc głębiej dwóm pojawiającym się kwestiom zawartym w sprawozdaniu: kulturze i technologii.

Kultura

Podczas gdy większość ankietowanych stwierdziła, że nie przeprowadza audytu kultury korporacyjnej, “dowody zaczynają wskazywać, że audyt wewnętrzny staje się coraz bardziej świadomy kwestii związanych z kulturą jako potencjalnej przyczyny długoterminowej szkody dla organizacji”, stwierdza raport.

Co jest brane pod uwagę w kulturze audytowej? Na czele listy znajdują się kwestie zgodności, a następnie praktyki w zakresie zasobów ludzkich, dostosowanie zachowania organizacji do podstawowych wartości, szkolenia związane z kulturą, zadowolenie interesariuszy oraz ustalenia dotyczące gorącej linii/pomocy/głosu.

Trzy najważniejsze działy, z którymi audyt wewnętrzny współpracowałby przy ocenie kultury, to zasoby ludzkie, zarządzanie ryzykiem i zgodność.

Technologia

Zbyt mała liczba działów audytu wewnętrznego jest zaangażowana w audyt ryzyka technologicznego związanego z bezpieczeństwem cybernetycznym i dużymi danymi – stwierdza raport.

“Wyzwaniem dla audytu wewnętrznego będzie zapewnienie mu dostępu do umiejętności, wiedzy, zasobów i narzędzi w stale zmieniającym się i dynamicznym środowisku ryzyka”, stwierdza się w sprawozdaniu. “Wykorzystanie uzgodnień dotyczących co-sourcingu poprzez wprowadzenie odpowiedniej wiedzy specjalistycznej może okazać się niezbędne dla wielu funkcji audytu wewnętrznego w przyszłości”.

Krótko mówiąc, audyt wewnętrzny musi zwiększyć swój iloraz maniaków IT. Rzeczywiście, ponad połowa (61 proc.) ankietowanych na pytanie, dlaczego nie kontroluje dużych danych, odpowiedziała, że brakuje im do tego narzędzi, a prawie połowa (46 proc.), że brakuje im umiejętności i know-how.

W przypadku tych audytorów wewnętrznych, którzy przeprowadzają audyt dużych ilości danych, większość z nich ocenia kontrolę ich dostępności i bezpieczeństwa. Następnie ocenia się ryzyko związane z ich wykorzystaniem, ich dokładność i aktualność oraz wartość dla organizacji.

Jeśli chodzi o bezpieczeństwo cybernetyczne, nie ma wątpliwości, że audytorzy są świadomi jego znaczenia. Większość (74%) respondentów stwierdziła, że jest to element wysokiego ryzyka w organizacjach, a 63% stwierdziło, że CAE lub szef audytu wewnętrznego poruszył tę kwestię podczas rocznego planowania audytów.

Jednak tylko 27% respondentów powiedziało, że jest w zespole, który ma udzielić wskazówek dotyczących wyników w zakresie bezpieczeństwa cybernetycznego i planów wdrożeniowych.

A to wynika z braku wiedzy informatycznej. Aby faktycznie przeprowadzić audyt bezpieczeństwa cybernetycznego, audyt wewnętrzny musi obejmować kontrolę sposobu przechowywania i przetwarzania danych w systemach online, plan ciągłości działania, proces oceny ryzyka i środki zapobiegawcze oraz plany reagowania na incydenty i zarządzania kryzysowego.