Скоро многие отделы внутреннего аудита по всему миру начнут процесс планирования аудитов на предстоящий календарный год. Хотя я решительно выступаю за методологию непрерывной оценки рисков и динамичный план аудита, который постоянно обновляется, я был бы первым, кто признал бы, что проведение ежегодной оценки рисков, способствующей составлению плана аудита на календарный год, по-прежнему является наиболее распространенным подходом.
В этот же период начинают появляться первые подсказки о том, где руководители ВА видят риски и фокус внутреннего аудита на предстоящий год. Это одна из причин, по которой ежегодный отчет Risk in Focus: Hot Topics for Internal Auditors Европейской Конфедерации Институтов внутренних аудиторов (ECIIA) так востребован. На этой неделе ECIIA опубликовала отчет о рисках 2022 года. Прочитав и проанализировав несколько отчетов Risk in Focus («Риск в фокусе»), я считаю, что этот на данный момент лучший.
Отчет «Риск в фокусе» за 2022 год является результатом совместной работы 12 институтов IIA в Европе и основан на опросах 738 руководителей ВА со всей Европы. В дополнение к результатам опроса были проведены интервью с 35 руководителями ВА, 12 председателями комитетов по аудиту и 3 генеральными директорами европейских компаний. Выводы, полученные в результате исследования, составляют «обязательный к прочтению» документ, который не только содержит подробное описание того, как COVID-19 повлиял на профессию, но показывает, где находится профессия в то время, пока мир медленно выходит из пандемии. Для меня наиболее ценным аспектом отчета являются перспективы в отношении рисков и фокуса внутреннего аудита на ближайшие 3 года.
В отчете хорошо подмечено: «Организации и их функции внутреннего аудита сталкиваются с головокружительными темпами изменений и беспрецедентной неопределенностью. Пандемия дестабилизировала операции и работников, нарушила спрос и предложение и подорвала ранее надежные бизнес-модели до такой степени, что немногие могли бы подумать, что такое вообще возможно». В то время как 2021 год близится к концу, «во многих странах наблюдается кризис отставок, нехватка персонала и большое количество вакансий, демонстрирующие, насколько сильно пандемия усугубила риски управления талантами, которые существовали задолго до 2020 года». О будущем в отчете говорится, что «перемены и неопределенность определят 2022 и последующие годы. Внутренний аудит должен понять эти изменения во внешнем мире, четко сформулировать, насколько хорошо, по его мнению, организация адаптируется к этим нагрузкам, и определить, насколько эффективно учитываются и управляются связанные с этим риски».
Респонденты опроса дали ранние прогнозы о 15 рисках, с которыми, по их мнению, их организации столкнутся в 2022 году. 5 основных из них:
1. Кибербезопасность и безопасность данных 2. Изменения в законах и нормативных актах 3. Цифровые сбои, новые технологии и искусственный интеллект 4. Человеческий капитал, этнокультурное разнообразие и управление капиталом 5. Непрерывность бизнеса, антикризисное управление и реагирование на стихийные бедствия.
Непрерывность бизнеса, антикризисное управление и реагирование на стихийные бедствия являются новыми для Топ-5 по сравнению с 2021 годом, а «финансовые риски, риски ликвидности и неплатежеспособности» опустились с 5-го на 6-е место. Как это часто бывает при проведении подобных исследований, 5 основных рисков не всегда являются пятью основными направлениями в плане внутреннего аудита. Опрос показал, что 5 основными направлениями деятельности в плане внутреннего аудита на 2022 год, скорее всего, будут:
1. Кибербезопасность и безопасность данных 2. Организационное управление и корпоративная отчетность 3. Изменения в законах и нормативных актах 4. Непрерывность бизнеса, антикризисное управление и реагирование на стихийные бедствия 5. Финансовые риски, риски ликвидности и неплатежеспособности
Как отмечается в отчете (и я часто это наблюдаю), к разрывам между рисками организации и покрытием внутреннего аудита следует подходить с определенной осторожностью. Например, «Цифровые сбои, новые технологии и искусственный интеллект» рассматривались как 3-й по величине риск, с которым сталкиваются организации, но он занял 9-е место по охвату внутренним аудитом. Я опасаюсь, что разрыв между рисками, связанными с технологиями, и охватом аудиторской деятельностью отражает опыт внутреннего аудита в областях, связанных с технологиями, - просто проще проводить аудит в тех областях, которые мы знаем. Такие пробелы в охвате повышают риск возникновения ситуации «где были внутренние аудиторы?».
Интересны и прогнозы того, на чем внутренний аудит скорее всего будет сосредоточен на три года позже – в 2025 году:
1. Кибербезопасность и безопасность данных 2. Цифровые сбои, новые технологии и искусственный интеллект 3. Изменения в законах и нормативных актах 4. Организационное управление и корпоративная отчетность 5. Непрерывность бизнеса, антикризисное управление и реагирование на стихийные бедствия
Вы спросите: «А как насчет изменения климата и экологической устойчивости?» Когда я провел опрос по этой теме среди американских руководителей ВА в начале этого года для AuditBoard, выяснилось, что хотя среднесрочная и долгосрочная критичность рисков, связанных с изменением климата, широко признается, это часто не рассматривается как «горячая тема», достойная немедленного внимания внутреннего аудита. Но в отчете «Риск в фокусе» прогнозируется, что риски, связанные с технологиями, и риски, связанные с климатом, будут все чаще включаться в планы аудита в предстоящие годы. В то время как прогнозы рисков, связанных с технологиями, сделали наиболее очевидный скачок, войдя в Топ-5 на 2025 год, охват «изменение климата и экологическая устойчивость» не сильно отстал. Но, как отмечается в отчете: «Руководители ВА должны стремиться получить ресурсы для создания высококвалифицированных функций, которые могут с уверенностью решать меняющиеся потребности в предоставлении гарантий. Эту проблему следует решить в срочном порядке. Ждать до 2025 года может быть слишком поздно».
Отчет о рисках 2022 слишком большой, чтобы я мог обобщить его в одной статье. В нем освещены такие объемные темы как:
1. ИТ-безопасность: реагирование и восстановление 2. Ужесточение законодательства в части устойчивого развития 3. Сбои в цепочке поставок 4. Усталость рабочей силы и эрозия культуры 5. Здоровье и безопасность в условиях сохраняющейся угрозы COVID-19
Единственный способ по-настоящему оценить замечательные идеи, содержащиеся в этом отчете, - прочитать его полностью. Я призываю всех моих читателей обязательно это сделать.
Автор: Ричард Чемберс, CIA, QIAL, CGAP, CCSA, CRMA
Перевод: Елена Фролова-Иванова, Ассоциация «Институт внутренних аудиторов»