Мы продолжаем рассматривать ключевые тенденции при планировании работы отделов внутреннего аудита на основе доклада компании Deloitte. Давление регуляторов приводит к серьезным изменениям в принципах корпоративного управления, в частности, в Великобритании была введена должность менеджера по сертификации (Senior Manager and Certification Regime, SMCR). Внутренние аудиторы уже фокусируются на данной области, поэтому ожидается увеличение проверок систем корпоративного управления. Основные направления деятельности включают:

  • Обзор механизмов управления
  • Надежность структуры управления рисками и ее соответствие стратегии фирмы
  • Мониторинг эффективности внесенных изменений
  • Оценка адекватности действий и способов коммуникаций для усиления основополагающих принципов поведения руководства фирмы.

К потенциальным областям внимания аудиторов также относятся обзор обязанностей для обеспечения функционирования второй линии защиты, оценка ресурсов первой и второй линий защиты с разработкой стратегии их взаимозаменяемости, а также мониторинг проблем регулирования в указанной сфере.

Риск-аппетиты и риск-культура

FCA ожидает от компаний документирования риск-аппетитов в таких документах, как самооценка операционного риска, с целью принятия правильных решений. Аудиторам стоит сосредоточиться на:

  • Проверке соблюдения риск-аппетитов согласно установленным политикам и процедурам компании
  • Пересмотре средств контроля для управления конфликтами интересов в рамках коммерческих соглашений
  • Анализе индикаторов корпоративной культуры, их роли в стратегии фирмы, методах измерения и контроля
  • Обзоре механизмов вознаграждения и стимулирования в структурных подразделениях для поощрения культуры, ориентированной на клиента.

Помимо названного, FCA фокусируется на создании психологически безопасной среды внутри предприятия, что позволит сотрудникам добиваться лучших результатов ввиду отсутствия страха преследований либо высказывания собственного мнения. Внутренним аудиторам следует оценить дизайн и операционную эффективность инициатив, направленных на поддержку психологической безопасности, а также активизироваться в обсуждении методов ее создания, в том числе с привлечением руководства компании.

Поведение на рынке

Уязвимость компаний по-прежнему занимает важное место в повестке дня регулирующих органов. FCA признает, что оценка кредитоспособности не является точной наукой, а факторы, находящиеся за пределами контроля, такие как изменение обстоятельств клиента или значимые экономические события, могут повлиять на доступность компаний. Направления деятельности аудиторов должны включать:

  • Оценку «цифровых» каналов и предложений клиентов через удаленные каналы коммуникации для обеспечения надлежащего рассмотрения проектов пользователей
  • Проверка средств бизнес-контроля, с целью разумной оценки способности клиентов погашать долги
  • Оценка методов обращения с клиентами через механизм погашения задолженности.

Чтобы предотвратить неправомерное поведение компаний и поддержать доверие к рынкам валют и товаров с фиксированным доходом (FICC), FCA предложила соответствующие кодексы поведения. Такие стандарты поведения призваны содействовать созданию надежной, справедливой, ликвидной и прозрачной системы, где разнообразные участники могут уверенно совершать сделки по конкурентным ценам и получать информацию по вопросам рынка. Должность SMCR был введена для того, чтобы переложить ответственность за деятельность компаний на топ-менеджеров и расширить сферу полномочий неисполнительных директоров. Аудиторы должны оценить соответствие фирмы кодексам поведения в следующих областях:

  • Мониторинг управления, подотчетности, навыков и знаний персонала, участие высшего руководства
  • Проверка соблюдения соответствующих норм и стандартов
  • Проверка средств контроля через подтверждение и установление эффективных и прозрачных процессов обработки результатов сделок, с минимальной степенью риска
  • Проверка надежности систем контроля и эффективности обнаружения отклонений от установленных рыночных практик.

Кибер-устойчивость и диджитализация

FCA уделяет особое внимание усилению стресс-тестирования на устойчивость компаний, а также установлению жестких допусков к персональным данным и показателям эффективности предприятия. Ожидается, что фирмы установят собственные уровни устойчивости (например, максимальное время простоя) в соответствии с базовыми стандартами и с учетом партнерских отношений. Аудиторам стоит сосредоточиться на:

  • Управлении и определении обязанностей менеджера по кибер-устойчивости
  • Оценке применения целостного подхода к кибернетической и операционной устойчивости фирмы для стимулирования ее гибкости в технологической среде
  • Качестве ключевых показателей сбоев производительности и допусков к системе для эффективного мониторинга данных.

Тенденции в области расширенной аналитики, автоматизации процессов и искусственного интеллекта (AI) стимулируют трансформации фирм. Ограниченная доступность нужного качества и количества данных, недостаточное понимание рисков, присущих AI, выступают в качестве барьеров для широкой диджитализации компаний. Хотя регулирование в этой области все еще находится в зачаточном состоянии, недавно комиссия ЕС опубликовала руководство для «укрепления доверия к искусственному интеллекту», с включением вопросов этики и управления рисками.

Роль внутренних аудиторов в данном контексте двойственна. Во-первых, необходимо обеспечить надлежащие меры контроля для предотвращения и выявления новых рисков. Во-вторых, следует выяснить, какие требования комиссии ЕС должны быть реализованы фирмой. Т.е. внутренний аудит обязан ответить на вопрос, стоит ли обновлять структуры управления рисками (Risk Management Frameworks) или риск-аппетитами (Risk Appetite Frameworks) согласно руководству, если такие нововведения не соответствуют стратегии компании. Аудиторы также могут анализировать входные данные, базовые алгоритмы, соответствие инструментов AI бизнес-целями фирмы.

Блокчейн и облачные ресурсы

Технологии блокчейна все больше тестируются компаниями в плане его способности поддерживать изменения в бизнесе. К рискам корпоративного использования блокчейна относятся:

1. Технологические и операционные угрозы. Например, из-за несоответствующей архитектуры решений блокчейн может не охватить масштаб долгосрочных бизнес-операций. Кроме того, потеря или повреждение закрытого ключа персональных данных приведет к необратимой потере доступа к криптоактивам.

2. Риски переноса стоимости. Ввиду одноранговой передачи стоимости в обход центрального посредника, взаимодействующие стороны подвергаются новым рискам, которые ранее могли управляться центральными субъектами.

3. Смарт-контрактные риски. Они связаны с кодированием сложных деловых, финансовых и юридических механизмов на блокчейне. Например, интеллектуальные контракты не могут быть признаны юридически применимыми в судах из-за отсутствия соответствующего прецедента.

Роль внутреннего аудита зависит от скорости внедрения технологии блокчейн, но преимущественно связана с консультированием и прогнозированием новых рисков для компании. Учитывая технологическую сложность блокчейна, аудиторы должны уметь отделять факты от вымыслов, а также контролировать внедрение технологии.

Преимущества облачных вычислений привели к экспоненциальному росту их популярности. Но в последнее время появились сообщения о существенных проблемах в этой области, например, сбой в работе крупнейшего поставщика облачных услуг CSP в 2017 г. По прогнозам Ллойдс, если один из ведущих облачных провайдеров отключится на 3-6 дней, такой инцидент обойдется американским предприятиям в 15 млрд. дол (Пресс-релиз «Financial Services Internal Audit: Planning Priorities» для Deloitte, 2020). Аудиторам следует уделить внимание следующим моментам:

  • Облачное управление и стратегия
  • Инсайдерский риск в облаке, коммуникация и хранение профилей после развертывания в облаке
  • Сложность интеграции технологий с унаследованными платформами
  • Вопросы конфиденциальности данных

Кроме того, после появления Генерального регламента ЕС о защите персональных данных (GDPR), аудиторы должны оценить корпоративные процедуры безопасности данных, их эффективность в соответствии с требованиями GDPR, а также структуру подотчетности и обработки данных за рубежом.

Таким образом, описанные приоритеты помогут внутренним аудиторам не только достичь установленных целей, но и предоставить качественную и независимую оценку текущего положения компании, для стимуляции необходимых изменений и создания гибкой корпоративной атмосферы.

Источник:

https://www2.deloitte.com/content/dam/Deloitte/uk/Documents/audit/deloitte-uk-high-level-summary-financial-services-internal-audit-planning-priorities-2020.pdf

Читайте также: