Стратегия предотвращения рисков неизменно основывается на конкретных потребностях компании. Ротационные аудиты уходят в прошлое, все чаще претендуя на роль консультанта, способного спрогнозировать будущие угрозы и адекватно на них среагировать. Поэтому отчет компании Chief Audit Executives (CAE) служит ценным источником информации, как для внутренних аудиторов, так и для членов правления. Согласно результатам исследования, необходимо обратить внимание на следующие зоны опасности:

1.  Кибер-безопасность и конфиденциальность данных

Согласно выводам CAE, 78% респондентов считают оцифровку рабочих процессов и внедрение технологических инноваций одним из пяти основных рисков будущего года. А 75% полагают, что кибер-безопасность войдет в тройку лидирующих угроз к 2025 году (Пресс-релиз «Online Trust Alliance’s 2018 Cyber Incident Report» для Internet Society, 2019). Причиной такой уверенности является ряд громких инцидентов, связанных с утечкой данных. К известным примерам относятся обнаружение уязвимостей в компаниях Spectre и Meltdown, влияющих на разработку процессорных чипов Intel, обнародование персональной информации более 50 млн. пользователей Facebook, а также компрометация более 500 млн. клиентов сети отелей Marriott.

Внутренним аудиторам необходимо постоянно обновлять методы обнаружения кибер-угроз, поскольку, во-первых, инструментарий хакеров постоянно совершенствуется, и, во-вторых, сам периметр компаний не является статичным объектом. Предприятия переходят на новые географические рынки, практики слияния и системы внутреннего контроля, все чаще обращаясь к платформе Интернет вещей (IoT) и другим цифровым возможностям.

Так, одним из новых методов кибер-преступников является компрометация чат-ботов обслуживания клиентов. Такая информация актуальна ввиду инициатив внедрения ботов в качестве средств расчета эффективности затрат компании. Поэтому любая аудиторская проверка должна включать оценку защищенности чат-ботов, облачных сервисов и цепочек поставок как элемента IT-инфраструктуры фирмы.

Эксперты CAE рекомендуют снабдить отделы внутреннего аудита необходимыми ресурсами посредством:

  • привлечения временных внешних экспертов
  • найма постоянных аудиторов информационной безопасности
  • использования подхода, основанного на экспертных знаниях
  • найма отдельного специалиста по технической безопасности, который в дальнейшем может быть обучен аудиту.

Ценность разработки внутренних ресурсов аудита информационной безопасности должна быть доведена до сведения совета директоров. В большинстве случаев тестирование на проникновение в третью линию защиты будет проводиться совместно с внешними экспертами, обладающие современными знаниями для репликации реальных атак.

2.  Бремя регуляторов

В 2018 году вступил в силу новый регламент GDPR (General Data Protection Regulation), побудив крупные и малые предприятия переосмыслить сбор, обработку и хранение персональных данных пользователей. Так, 61% компаний заявили, что тратят на соблюдение нормативных требований большую часть своего времени (Пресс-релиз «GPPR Data Breach Survey» для DLApiper, 2019). AML-штрафы достигли нового рекорда после приписывания 775 млн. евро выплат компании ING за неспособность обнаружить подозрительные действия, связанные с отмыванием денег. В Великобритании компания Standard Chartered выплатила штраф в размере 102 млн. фунтов стерлингов за нарушения правил AML.

Столь усиленное соблюдение правил по борьбе с отмыванием денег связано с одобрением принципов Пятой Директивы ЕС (5AMLD) в национальных законах к январю 2020 года. Директива расширяет сферу действий правил за счет фирм, занимающиеся электронными кошельками, и поставщиков виртуальных валют, а также требует усиленных мер по соблюдению должной осмотрительности для мониторинга подозрительных транзакций с участием стран с высоким риском, таких как Афганистан, Ирак, Иран, Сирия и другие.

Компании могут оказаться соучастниками, даже если не имеют дело напрямую с санкционированной стороной. Если бизнес экспортирует определенную продукцию, зная, что она будет реэкспортирована в страну из черного списка, фирма несет полную ответственность. Результаты опроса показали, что компании, предоставляющие финансовые услуги, тратят до 10% своего годового дохода на соблюдение нормативных требований, что составляет 780 млрд. дол.

Такая высокая сумма объясняется системой расходящихся национальных правил, когда даже общий стандарт может интерпретироваться по-разному в зависимости от юрисдикции. В данном случае существует риск размывания второй и третьей линий защиты, поэтому следует ввести меры предосторожности для обеспечения независимости и объективности внутреннего аудита. Аудиторы также могут оценить степень эффективного управления бизнес-изменениями и сложность регулирования. Если компания изо всех сил пытается адаптировать свою систему контроля на регулярной основе, но не может примирить противоречивые нормативные ожидания, об этом следует сообщить правлению.

3.  Диджитализация и нарушение бизнес-модели

Новые технологии могут не только не оправдать возврат инвестиций, но и радикально изменить текущие бизнес-процессы, что приводит к разрушению среды внутреннего контроля. Кроме этого, можно говорить о появлении каскадных эффектов, связанных с вводом недостоверных данных, а также о сопротивлении персонала новым технологиям, что также представляет угрозу для компании.

Оцифровка разрушает традиционные бизнес-модели во многих секторах. Речь идет о появлении компаний, бросающих вызов действующим предприятиям посредством использования новых бизнес-моделей. Они стремятся удовлетворить потребности за счет упущенных рыночных ниш, часто по привлекательным ценам. Кризис бизнес-моделей возникает, когда такие нарушители увеличивают масштабы своей продукции или услуги. Netflix является ярким примером подобной практики.

Внутренние аудиторы должны консультировать совет директоров относительно поддержки усилий по цифровизации, например, путем разработки уникальной методики контроля диджитал-рисков. Более того, у внутреннего аудита есть возможность оценить способность организации использовать возможности цифровых приложений с позиции стратегической целесообразности.

4.  Риски третьих сторон

Аутсорсинг, цепочки поставок и риски третьих лиц по-прежнему занимают важное место в списке 36% внутренних аудиторов. Важно отметить, что четвертые стороны не подвергаются столь тщательному контролю как юридически обязательная третья сторона. Популярной тенденцией аутсорсинга является миграция критически важной IT-инфраструктуры и активов данных в облачные ресурсы, часто предоставленные крупными техническими фирмами, такими как Google и Amazon.

Внутренним аудиторам следует сфокусироваться на проведении инвентаризации основных процессов и функций, которые передаются на аутсорсинг, проанализировав систему управления закупками и контрактами. Управление рисками сторонних организаций требует понимания степени доверия между ключевыми третьими сторонами и субподрядчиками. Внутренний аудит должен оценить уровень подверженности риску со стороны поставщиков и существующие меры контроля. Необходимо учитывать мониторинг эффективности предоставляемых услуг, их коммерческую жизнеспособность, риск концентрации жизненно важных функций у небольшого числа поставщиков, а также наличие возможностей менять партнеров без сбоев в работе.

5.  Устойчивость бизнеса и репутация

10 марта 2019 года, в результате одного из самых серьезных нарушений в области охраны труда и техники безопасности, самолет Boeing 737 Max потерпел крушение через шесть минут после взлета, повторив трагедию 2018 года. Аварии привели к замедлению производства продукции на 19% и развитию бизнеса в целом. По этой причине планы обеспечения непрерывности бизнеса особенно актуальны сегодня. На базовом уровне компании должны располагать профилактическими мерами и корректирующие возможностями для бесперебойного функционирования.

Профилактические меры могут затрагивать, как средства контроля за кибер-безопасностью, так и способы обеспечения безопасности продукции. Внутренний аудит должен проводить оценку рисков на регулярной основе, чтобы понять основные угрозы для непрерывности бизнеса и возможные инструменты их управления. Кроме того, компаниям следует разработать документированный план обеспечения непрерывности бизнеса (Business Continuity Plan), в котором рассматривается не только вопрос о том, как вернуть фирму в оперативный режим в случае определенных инцидентов, но и как справиться с репутационными угрозами.

Внутренний аудит может оценить степень совпадения бренда и репутации компании как доказательства эффективности управления репутационным риском. Любой разрыв между ними должен быть рассмотрен высшим руководством. Компании, располагающие указанным планом, могут на раннем этапе выявлять потенциальные риски и возможности, оценивая их влияние на принятие решений.

В данной статье представлена только часть основных рисков в области внутреннего аудита в 2020 году. Обзор остальных угроз читайте в следующей статье «Внутренний аудит: риски 2020 (часть II)».

 

Источник:

https://www.eciia.eu/wp-content/uploads/2019/09/Risk-in-Focus.pdf

Читайте также: