“Риск в фокусе 2023” рассматривает 5 рисков:
- геополитика,
- глобальное потепление,
- организационная культура,
- защита данных,
- искусственный интеллект.

Ниже приводятся примеры, какие вопросы могут поставить себе аудиторы при анализе рисков в организации.

✅Геополитика

1. Удостовериться, что понимание ключевых областей риска в организации отражает действительность и обстоятельства, которые с наибольшей вероятностью возникнут в 2023.
2. Учитывает ли компания мнение внешних экспертов при оценке рисков?

✅Глобальное потепление и экология

3. Понятны ли цели и уровень зрелости компании в вопросах воздействия на экологию? Отражается ли это в бизнес планах?
4. Проведите оценку имеющихся ключевых показателей эффективности в отношении экологического воздействия.

✅Человеческий капитал

5. Имеющиеся стратегии в отношении персонала обеспечивают привлечение и удержание сотрудников в компании?
6. Политики и процедуры обеспечивают баланс между меняющимися предпочтениями (требованиями) персонала и желаемой корпоративной культурой?
7. Насколько удачно сформирована и реализована на практике социальная миссия организации?

✅Защита данных

8. Стратегия отражает аспекты защиты и безопасности информации?
9. Сфокусируйтесь на возможных угрозах от деятельности третьих лиц - поставщиков технологии.

✅Цифровизация

10. Проводится ли мониторинг, насколько инициативы по инновациям соотносятся с корпоративными целями?
11. Корпоративная культура обеспечивает баланс между инновациями и мерами по снижению рисков?

🔸В заключение интересный, на мой взгляд, момент.

Одним из вопросов исследования было оценить, на анализ каких рисков внутренний аудит затрачивает больше ресурсов и как это соотносится с приоритетностью риска. Так вот, наибольшие “разрывы” показали

(1) организационное управление и отчетность,
(2) макроэкономика и геополитика и
(3) человеческий капитал.

В первом случае приоритет низкий, ресурсы затрачиваются значительные. Во втором и третьем - наоборот.

Буду рада обратной связи, была ли информация полезной и интересной)
✏️
#отчеты
#исследования
#лучшиепрактики

🎙 Коллеги, всем добрый день, у меня отличная новость!
В субботу, 19 ноября в 20:00 по времени Алматы (в 17.00 по Москве) для участников нашего сообщества состоится бесплатный вебинар о взаимодействии людей и процессов. Обсудим, какие ошибки могут быть связаны с людьми, а какие с процессами и что с этим делать.
Площадка: ZOOM (ссылочка будет позже).

👩‍💼Спикер - Динара Камолова
@Dinara_Kamolova:
🔘Эксперт по управлению бизнес-процессами
🔘руководитель процессного офиса,
🔘преподаватель - исследователь
🔘более 10 лет помогает компаниям перестраиваться от хаоса к понятной и управляемой системе
🔘автор статей и блога https://instagram.com/dinara_phd?igshid=NjZiMGI4OTY=

Мне очень откликается подход и ценности Динары, где процессы - это сильно "про людей", про менеджмент, принятие ответственности, развитие и т.д.

Оцениваете эффективность процессов / контролей в них, думаете над причинами "разорванных" или бесхозных процессов, предлагаете улучшения? - Вам точно будет полезно поучаствовать в этом вебинаре.

Позвать коллег / друзей - активно приветствуется🤝

Давно не было рубрики #аудитразминка
Кто ещё не в курсе - в ней можно потренироваться в решении каких-то актуальных повседневных задач.

Предлагаю провести её на болезненную для многих тему: невыполнение рекомендаций аудита / планов мероприятий по итогам аудита.

Как раз к концу года самое время расчистить у кого какие залежи, а у кого и завалы.

Кейс собирательный - из опыта наших участников, все совпадения случайны)

Дано: аудитор отвечает за мониторинг выполнения планов мероприятий по итогам внутреннего аудита.

Проблема: список неисполненных пунктов растёт, т.к. добавляются новые проверки.
Старые пункты - регулярно продлеваются, а часть выполняются совсем с другой скоростью, чем этого ожидалось.

Представьте, что вы и есть этот аудитор, до конца года нужно сократить кол-во неисполненных пунктов.

Что будете делать?
Какие есть варианты?
Кому актуально, были в такой ситуации?
🤔Или не надо ничего делать, ведь выполнение - это уже не область ответственности аудитора.

На случай, если проблема знакома, но решения нет или сомневаетесь, попробуйте предложить какое-то одно действие. А я поделюсь своим "сценарием".
#рекомендации
#планымероприятий

Сокращаем кол-во неисполненных мероприятий/рекомендаций

Классная вчера получилась #аудитразминка, спасибо всем, кто поддержал💪
Кто не успел - присоединиться можно в любой момент.

Идей было много, на все случаи жизни, но не затронули один важный момент - причины.
А почему не исполняют?

Поэтому, я б предложила начать с анализа:
- какие-то определенные подразделения не выполняют или это общая история?
- не исполняют вообще или всё зависло "в процессе"
- можно ли сформировать группы / признаки, какого рода не исполняются, в основном?
- насколько "древние" залежи? (чтоб понять, это вообще актуально, может процесс давно уже поменялся, а пункты зависли в прошлом);
- на связи ли "владелец" пункта (может причина в том, что ответственные давно не работают, новые не найдены и на запросы о статусе тишина?)
- не хочет или не может? (связаны ли пункты с 💰, внешним поставщиком или зависит от реализации какого-то другого пункта);
- понятно ли тому, кому делегировано исполнение, что вообще делать нужно?

Далее - анализ того, что получилось и отработка причин - гипотез. Лучше пройтись по всем.

Например,
⭕не исполнено больше всего пунктов, связанных с разработкой новых документов или внесением изменений в текущие. И несколько периодов подряд статус: в процессе.

Уточняем:
- на каком этапе (согласование внутри, документы шеф не подписывает, не пропускает дальше) и с какого времени?
- на ком зависло, почему, с какого времени? (простите юристы - часто документы провисают именно здесь);
- какие они планируют шаги, чтоб продвинуться, и нужна ли им здесь какая-то помощь.
Если там проблема - кто уже о ней знает и кто может помочь?

⭕проблема с бюджетом / вендором / еще с чем-то, что сильно снижает перспективы исполнения. Да, это они запланировали сами мероприятия. Но ситуация изменилась (или недооценили). Прорабатываем и обсуждаем сценарии по замене мероприятий.
Дорого и не одобрили тех поддержку на систему? А по плану именно она? Может есть вариант найма специалиста с соответствующими компетенциями, что поможет покрыть риски, отмеченные аудитом?
❗помним, что изменения должны сопровождаться процедурными моментами.

⭕проблема перестала быть актуальной, решилась за счет чего-то другого, а пункт висит в неисполненных. Мероприятие не выполнено, но сейчас оно и не нужно.
Получаем подтверждение, формируем документы и выносим вопрос об отмене / утрате актуальности.

Если причины похожи на те, что в примерах - действовать через kpi или через контроль свыше чаще (на мой взгляд) не поможет в разрешении ситуации. Они точно помогут, если проблема в "могут, но не делают".

И т.д., то есть действуем - по обстановке.

Ну, и, конечно, помним, что бывает проблема с переработкой рекомендаций и мероприятий (это отдельная история, тоже вчера чуть обсудили). И это - также решается, через анализ➡️осознание ➡️взаимодействие и коммуникации ➡️ поиск альтернатив ➡️ действие.

Как вам план, дополните?
Точно знаю, что работает, сама проходила по такому сценарию.
Если вдруг у кого-то всё же есть кейсы, бесперспективные на ваш взгляд и это всё не то, пишите, давайте вместе подумаем.

#планымероприятий
#рекомендации

Добрый день, на связи Мария!

Ничто так не укрепляет взаимоотношения с коллегами, партнерами и третьими лицами, как вручение или обмен подарками. Если только вы не внутренний контроль.

Сегодня обзор про то, как подготовиться к праздникам без ущерба политике по конфликту интересов.

Готовимся к праздникам

🔸 “Проблемные” подарки можно свести на нет за счет механизма их предварительного одобрения. Иными словами, хорошая практика - когда контроль превентивный, из разряда чтобы сотрудник “остановился и подумал” прежде чем перейти к действию.

Аналогичный пример, когда в форму отчета о расходах включена стандартная фраза о том, что сотрудник понимает и берет на себя ответственность за достоверность данных, а тот кто одобряет отчет, проверил документацию на соответствие требованиям.


🔸 На что обратить внимание при анализе контролей в отношении подарков:

1️⃣ Уровень должности сотрудника, кто принимает решение об одобрении расхода (или подарка) в конкретном случае.

2️⃣ Чем подтверждается, что подарок был или планируется для надлежащей цели, релевантной бизнесу?

3️⃣ Направлены ли контроли в большей степени на предотвращение или на обнаружение конфликта интересов?

4️⃣ Если контроль не выполняется, возможно ли обнаружить несоответствие другими существующими контролями без привлечения комплаенс?


🔸 В заключение Предпраздничная памятка для сотрудников, как не создавать конфликт интересов:

1. Подумайте, как подарок может быть воспринят окружающими. Не принимайте подарок, если он создает чувство долга.

2. Оценивайте объективную стоимость подарка: даже если на нем логотип поставщика, или поставщик приобрел его для вас по специальной цене, это не снижает его фактическую стоимость.

3. Поделитесь подарком с коллегами. Если поставщик сделал подарки всем отделам кроме вашего, никогда не указывайте на это поставщику и не требуйте себе подарок.

4. Подарки денежными средствами, или подарочными картами, неприемлемы. Исключение: если у подарочной карты есть альтернатива сделать пожертвование на сумму номинала на цели благотворительности.

5. Не умалчивайте, если сомневаетесь - обратитесь к руководителю или кодексу делового поведения.


Расскажите, пожалуйста, на вашем опыте были экстравагантные или необычные подарки?
✏️

Тушить пожары или не допускать их возникновения?

♨️Обращать внимание на искорки в процессах,
♨️выяснять причины возможного возгорания
♨️снижать уровень пожароопасности
♨️предлагать не самые популярные, а порой и дорогостоящие решения
- важная, но рутинная, временами незаметная /недооцененная роль в компании.

Другое дело - тушить пожары:
🧯всё активно, море эмоций (не скучно);
🧯наглядно - не надо никого убеждать в серьёзности ситуации;
🧯участники - крайне нужные люди, а некоторые так вообще - герои;
🧯чем дольше тушили/чем ярче горело - тем масштабнее кажется проведенная работа;
🧯солидный довод для неожиданной премии и попадания в список "ключевого персонала";
🧯не надо заранее ломать голову о бюджетах и согласовании изменений.
Второй список явно выигрывает по привлекательности.

Но, мы-то с вами знаем, как дорого это может обойтись в итоге.

Что можно делать:
📎Просмотрите свои отчеты, планы работ, программы, выборки - помогают ли они не допускать пламени и вовремя выявить проблемы в процессах/проектах?
📎Позволяют ли ваши методы работы "выявлять болезни" на ранних стадиях?
📎Подумайте, как можно повысить ценность первого списка и в чём тут может быть роль внутреннего аудита.

Особенно полезно это упражнение сделать после хорошего "пожара" и ретроспективно оценить свою работу на этом участке. Нужно ли что-то скорректировать на будущее?

Внесите свой вклад - расскажите о примерах, когда в компаниях тушили пожары вместо их предотвращения.

Друзья, уже завтра Динара Камолова приглашает нас на вебинар в Zoom.

Тема: Поговорим о взаимодействии людей и процессов
Время: 19 нояб. 2022 07:00 PM Исламабад, Карачи, Ташкент

Подключиться к конференции Zoom
https://us06web.zoom.us/j/81930289536?pwd=eEFvUkRDc1FvWHBJL0dWcmtldkd0UT09

Идентификатор конференции: 819 3028 9536
Код доступа: 429232

Добрый день, коллеги,

На связи Мария.

Сегодня предлагаю рассмотреть концепцию трех линий защиты. Обзор будет на примере руководства ИВА “Внутренний аудит и мошенничество” (май 2022).

По ссылке можно скачать документ на английском языке: https://drive.google.com/file/d/1HodElxxzmxq00S_t7V5DklttwT12HLa0/view?usp=sharing
В этом же документе описаны компоненты системы COSO по управлению рисками мошенничества.

По традиции мини-тест проверить себя или свою интуицию.

🔸Модель трех линий защиты призвана установить четкое распределение ролей, структуру, взаимоотношение руководства и управления.

Модель акцентирует внимание на:
- ясный и последовательный тон сверху,
- сотрудничество на всех уровнях организации,
- независимость внутреннего аудита.

🔸Выделяют следующие уровни организационных ролей:

1. Совет директоров (и аудиторский комитет, который контролирует внутренний аудит)
2. Менеджмент
- Первая линия
- Вторая линия
3. Внутренний аудит - третья линия

1️⃣ Совет директоров
непосредственно отвечает перед собственниками за деятельность и результаты, распределяет ресурсы и делегирует полномочия, устанавливает тон сверху и риск-аппетит, контролирует менеджмент, изучает отчеты менеджмента, внутреннего аудита и привлеченных экспертов.

2️⃣ Менеджмент
использует полученные ресурсы для достижения одобренных свыше целей, устанавливает и обеспечивает эффективную систему внутреннего контроля. Немаловажная роль - оценка и анализ узких мест в системе управления.

Менеджмент, первая линия защиты - это деятельность по внедрению и мониторингу процессов по управлению рисками и внутреннего контроля. Например, в случае подозрения на мошенничество сотрудники первой линии первыми “сигнализируют” и инициируют соответствующие процедуры. Иногда первая линия участвует в идентификации и оценке рисков, в разработке политик и процедур, анализе рисков.

Менеджмент, вторая линия - это непосредственная деятельность по управлению рисками, подразумевает тесную работу с руководством. Сотрудники второй линии обеспечивают, что процедуры и контроли разработаны должным образом и работают на эффективное снижение рисков в зоне ответственности первой линии. Сюда также относят менеджеров по предотвращению убытков, тех кто расследует мошенничество, специалистов по финансовым преступлениям, юристов.

3️⃣ Внутренний аудит - третья линия защиты
- независимая функция, подотчетная совету директоров (аудиторскому комитету).
Внутренний аудит не участвует в управлении организацией, а подтверждает совету директоров и руководству, насколько эффективно компания проводит оценку рисков, управляет рисками и как это соотносится со стратегией. Во всех случаях от внутренних аудиторов ожидается профессиональная осмотрительность, объективность, конфиденциальность и компетентность.

✏️

🥁Друзья, wow новость!
Наша Александра Власова @Aleksandra_Futureaudit стала официальным ментором по программе Института Внутренних Аудита - IIA Mentoring Program.
Отличный повод поздравить Александру от всего нашего сообщества!

Друзья, хочу поделиться с вами отзывом об очень "теплом" вебинаре, который проводила Динара @dinara_phd для участников нашего сообщества.

Получилась отличная встреча - о людях и процессах.
Как всегда наделала кучу скринов и заметок, которые мне откликаются на 💯, например:
- никто не приходит на работу с намерением что-то испортить, но текущая система может не позволить ему сделать работу хорошо;
- 98% ошибок связано с кривыми/поломанными или невыстроенными процессами и только 2% - с людьми;
- найти виновного - иллюзия, а не решение проблемы,
- можно и нужно улучшать процессы / тестировать новое, не наказывая за ошибки;
- если у вас работа hr сводится только к кадровому делопроизводству - компания не сможет развиваться, именно здесь кроется огромный потенциал;
- не надо описывать процессы через "насилие", не создавайте людям психологических травм, (которые скорее всего будут "лечить" те, кто придут на ваше место 😁 - моё дополнение);
- до сих пор инструкции пишутся не для тех, кто ими будет пользоваться;
- есть варианты описания/закрепления важного в документах даже в гибкой среде - выбирайте другие форматы;
- формат описания процессов, требований имеет значение, не всем и не всегда нужны схемы и карты.

Спасибо всем, кто составил нам компанию в этот день, особенно @sandra2business за её живые включения и классные вопросы-тезисы.

Это очень здорово, когда есть такие, как Динара, процессники с горящими глазами, верой в хорошее и как написал в отзыве об этом вебинаре Олег К. "с щепоткой идеализма", которая необходима, чтоб менять мир.

Коллеги, если у вас в отчетах правило 98/2 не соблюдается, может пора задуматься, что что-то не так?

Ссылка на запись вебинара есть в нашем чате в телеграм, присоединяйтесь!
https://www.instagram.com/p/ClX4voAjEZB/?igshid=MDJmNzVkMjY=

Добрый день, коллеги!

На связи Мария.

Сегодня на повестке обзор одного банкротного дела, начавшегося буквально неделю назад.

Тестов сегодня не будет, но для разнообразия предлагаю 2-минутный рекламный ролик (47 млн. просмотров) c чемпионата США по футболу этого года (Super Bowl). Финал Суперкубка - знаковое событие для американцев, но многие смотрят его исключительно из-за шедевров рекламы с миллионными бюджетами.

https://www.youtube.com/watch?v=BH5-rSxilxo

Почему FTX войдет в учебники по корпоративному управлению?


Банкротство криптобиржи FTX - одна из горячих новостей, объединившая в какой-то степени сторонников и противников криптовалют.

🔸 Немного предыстории

На начало года FTX оценивалась в $32 млрд. Ее основатель Сэм Бэнкман-Фрид, выпускник MIT, является также соучредителем торговой компании на рынках криптовалют Alameda Research. FTX периодически выводила средства в пользу Alameda, на общую сумму $10 млрд., включая депозиты клиентов FTX. Судя по всему, вывод денежных средств происходил лично Бэнкманом-Фридом с использованием “двойной бухгалтерии”, когда и внутренний контроль, и внешний аудит фактически лишались возможности выявить подозрительные сделки. В результате - совершение высокорискованных операций за счет средств клиентов FTX со стороны Alameda и крах бизнес-империи Бэнкмана-Фрида.

🔸 О чем же говорится в заявлении на банкротство FTX за подписью нового CEO

1️⃣ Отсутствует перечень банковских счетов; есть сомнения в кредитоспособности банков, обслуживающих FTX; неизвестно, сколько собственных средств в распоряжении FTX.

2️⃣ Отсутствует достоверная финансовая отчетность, несмотря на имеющиеся финансовые аудиты.

3️⃣ Отсутствуют списки сотрудников; невозможно связаться с рядом сотрудников для подтверждения их статуса.

4️⃣ Отсутствует контроль расходов. В случае необходимости произвести платежи, сотрудники отправляли сообщение в групповой чат с менеджерами FTX. Последние, как правило, отвечали в виде смайликов, это и был весь процесс.

5️⃣ Отсутствуют бухгалтерские книги и отчетность.

6️⃣ В FTX и ее подразделениях не было заседаний совета директоров, соответственно нет протоколов. Важные решения принимались Бэнкманом-Фридом и доводились до сотрудников через приложения с функцией автоматического удаления спустя какое-то время. Он призывал других менеджеров поступать таким же образом.

🔸 Один из экспертов по делу высказал мнение, что в главе управления FTX были малоопытные и наивные личности, многие из которых, если не все, скомпрометированные и неблагонадежные.

▪️Как считаете, в чем основная проблема такого корпоративного управления?

Кто пропустил видео - там как раз реклама FTX.
▪️Вопрос тем, кто посмотрел ролик - поделитесь, пожалуйста, какие вызвал эмоции?

✏️