Цифры говорят сами за себя!

Всегда ли они говорят правду?🤔 Мы периодически обсуждаем тему искажения показателей.

Немного интересной теории:
Закон, который нужно знать каждому аудитору / представителю контрольной функции:

Любой количественный показатель, используемый для контроля, ненадежен (Закон Гудхарта).

В практике аудитора он встречается постоянно, когда речь идёт о вопросах типа:
▶️KPI / исполнение бизнес-планов / управленческий учет и отчетность;
▶️закупки;
▶️бюджет;
▶️маркетинг и реклама;
▶️NPS и других метриках.

Проверяете процессы, где есть цифры? Полагаетесь на результаты отчетов / исследований? - Обратите внимание на надёжность показателей, на основании которых вы делаете выводы.

Если нужно - классный пример из судебной практики.

! Кстати, при составлении выборки знание этого Закона тоже пригодится.

#полезное
#проаудит_основы
#kpi #управление_данными

🗣 Друзья, у меня к вам просьба. Мне сейчас очень важно получить от вас обратную связь. Напишите, пожалуйста, как давно вы читаете мой блог / состоите в сообществе, чем оно вам полезно/интересно?

Дифирамбы не нужны, буду признательна за честный отзыв 🙌

Коллеги, спасибо огромное всем, кто поделился своим отзывом (и тем, кто пока не успел) 💛.

Очень информативно, тепло, местами повеселилась))). Есть над чем подумать.

Строю планы развития, оцениваю свои ресурсы для новых идей и проектов🤔, обязательно потом поделюсь.

Спасибо вам!

Барби-аудиторы

Ребята, с пятницей!
Девочки, ссылочка, скорее для вас https://www.bairbie.me/ - можно сгенерировать Барби с вашим лицом (можно выбирать цвет волос, кожи,рассу и запускать несколько раз, получим разные образы).
! Осторожно, залипательно, я вчера в пробках "поигралась"

Кстати, там можно примерить и мущинский образ - Кена🤭

Для самых веселых и креативных - можно попробовать сгенерировать весь отдел и представить как мы в таком образе аудит проводим))

Каверзный вопрос: вы бы эффективнее провели аудит: в имидже типа советского бухгалтера с портфелем / Барби / или никак вообще бы не повлияло?

#пятничное

🔢 Где в отчетах аудита живут цифры и как их использовать?

Продолжаем серию постов о том, чего может не хватать в аудиторском отчете. Начало про ценность тут
Здесь писала свои мысли о новизне, динамике и болоте, в которое может затягивать и компанию, и сам аудит.

Третий фактор, который вы выделили в опросе - это нехватка цифр в отчетах. Обсудим?

Задуматься о цифрах надо не на этапе формирования отчета (не вариант просто добавить какую-то статистику поверх текста), а сразу при подготовке к проверке.

Где в вашем процессе/проекте цифры? - Время, деньги, объемы операций, количество клиентов, данные по доходности?

Цифры - не тяжелый камень, который упал на пути, а гибкая, динамичная материя. Показатели "на ХХ.ХХ.2033" ни о чём не скажут читателям отчета.
Подсветите - это хорошо или плохо, показатели бюджета/плана/стратегии/ нормативы регулятора выполняются?
А как у конкурентов?
А в прошлый раз как было?
В целом, при таких значениях что у нас будет в конце года?

Цифры отлично раскладываются, что помогает генерить новые идеи и гипотезы, например:
🧩хит-продукт по продажам может быть убыточным;
🧩ТОП 3 клиента / партнера могут представлять 90% всего бизнеса и поэтому требовать другого подхода / процедур мониторинга;
🧩30% закупок завязаны на одном поставщике и большинство из них заключены в один период на суммы нижнего порога, до которого действуют упрощенные процедуры одобрения сделок (дробление);
🧩80% портфеля - высокорисковые клиенты;
🧩показатели по просрочке одного менеджера сильно выделяются на общем фоне - повод получше присмотреться к его сделкам и т.д.

Цифры хорошо масштабировать и показывать, например, недополученные комиссионные доходы не по одной сделке, а сколько всего таких операций / услуг было всего. Или, аналогично, по штрафам. Покажите расчет: штраф за 1 случай =..., из расчета количества таких кейсов, штраф составит ХХХ.

В цифрах можно и нужно показывать масштабы проблем / взаимосвязи / узкие горлышки в процессах / метрики успеха или наоборот / отклонения, минимумы, максимумы / совпадения, в том числе, там, где их быть не должно.

Как у вас с цифрами? Что не получается оцифровать или наоборот круто помогает готовить качественные отчеты, поделитесь примерами?

Это точно не всё, что можно рассказать о цифрах, продолжение следует....

#отчеты
#цифры
#проаудит_основы
#полезное

Этическая (?) дилемма
Вчера в чате прошла интересная дискуссия на тему "профессионал-звезда, но сволочь" или "хороший человек, но спец так себе" - готовы ли мы будем расстаться с первым товарищем?
У нас как обычно нет полутонов, вариант норм.человек и специалист ничего мы не рассматривали))

Все решалось просто, пока с легкой руки Александра профессионал не стал хирургом по профессии. И тема заиграла новыми красками. Большинством мнений хирург был спасен от увольнения с учетом критичной сложности / высокой ценности в его работе и таланта.

Друзья, спасибо всем, кто поддерживает в обсуждении такие интересные темы, это помогает прокачивать и логику, и мыслительную мышцу💪🧠

Алексею спасибо за крутую мысль об эффективности умеренно-токсичных. Предлагаю опросом (ниже) попробовать определить границы допустимой "сволочности" для аудитора - профессионала. Что по вашему ок, а после чего - прощаемся.

Коллеги, я тут чуть скорректировала настройки чата, надоело удалять предложения по заработку зарубежом))

Теперь в чат могут писать только участники чата, а новички могут постучаться - я добавлю. Если вдруг что-то не сработает, пишите в личку мне @Katerina_proaudit, решим.

Коллеги, приветствую!
На связи Мария.

Хочу открыть эту неделю с вопроса-теста от международной ассоциации ISACA - Information Systems Audit and Control Association. Речь о процессе управления инцидентами информационной безопасности (incident management).

Немного о годовых / полугодовых отчетах

Получила на днях очередной #вопросотучастника:

"Екатерина, здравствуйте
По содержанию годового отчёта, что вы обычно отражаете помимо исполнения плана, обучения, статистики?"

Какие разделы я встречала в дополнение к тем, что есть в вопросе:
🔸️общие выводы / мнение СВА по итогам периода об уровне контрольной среды, СВК, СУР;
🔸️о важных событиях / реализованных рисках / динамике ключевых показателей компании;
🔸️сведения о работе вне плана / о достижениях / о консалтинговых услугах;
🔸️раздел о внесённых изменениях в подходы / процедуры / ВНД СВА;
🔸️о кадровых перестановках в СВА;
🔸️о взаимодействии с Правлением (трудности?);
🔸️о выявленных существенных недостатках (в приложениях) и мерах, которые по ним приняты (или не приняты);
🔸️о невыполненных рекомендациях СВА или планах мероприятий (в приложении);
🔸️о результатах выполнения Программы обеспечения качества (включая внутренние, внешние оценки).

Вроде всё, что-то чаще встречается, что-то реже, зависит от многих факторов, ожиданий руководства, масштабов компании.

А что из этого есть у вас? Или может есть что-то ещё, что у меня не вошло в список?

#отчеты

Добрый день, коллеги!

С вами Мария. Предлагаю разобрать вопрос от ISACA про управление инцидентами.

В работоспособной организации отдел информационной безопасности наряду с отделами внутреннего аудита, безопасности, риск менеджмента, управления персоналом, комплаенса, маркетинга и продаж, по связям с общественностью, юристами и руководством - все вместе относятся к ресурсам управления инцидентами (incident management).

Делаю акцент на “работоспособности” компании, потому что на днях пришлось общаться с горячей линией известного телекома из трех букв, доказывая уязвимость в безопасности данных.

В обязанности специалиста по инцидентам (incident handler) входит:
▫️реагировать на инциденты,
▫️документировать их,
▫️обеспечивать соблюдение процедур,
▫️составлять отчеты и описывать усвоенные уроки.

Если говорить о главном качестве специалиста по инцидентам, то, по мнению ISACA:

1️⃣навыки презентации будут полезны, но не существенны

2️⃣способность придерживаться политик и процедур важна, но инциденты, как правило, непредсказуемы и хаотичны и случаются вне имеющихся процедур

3️⃣честность несомненно важна, но в ее отсутствие сотрудник скорее всего не должен работать в организации

4️⃣и наконец, стрессоустойчивость. Специалисты по инцидентам работают в условиях высокого нервного напряжения. И если сотрудник не справляется с нагрузкой, высока вероятность принятия неверных решений. Следовательно, именно стрессоустойчивость - главное качество из предложенных вариантов.

Убедила ли вас аргументация от ISACA?
На ваш взгляд, у кого больше стресса на работе: специалиста по инцидентам или внутреннего аудитора?

Лично для меня, вариант про честность - тире порядочность - оказался “со звездочкой”.
И конечно же поздравления всем, кто выбрал стрессоустойчивость!
✏️

#кибербезопасность
#исследования
#персональныеданные
#полезно #аудит_ИБ

Пусть сегодня у нас будет #цифроваясреда.

👉Коллеги поделились рекомендациями по кибербезопасности от Комитета по информационной безопасности МЦРИАП Казахстана.

Рекомендации простые, здравые и полезные, возможно, материал пригодится для разработки / пересмотра правил ИБ в своих компаниях или станут ещё одним поводом обсудить их с близкими.

👉Маргарита в своём канале подготовила обзор к рекомендациям Роскомнадзора РФ для операторов персональных данных.

Рекомендации подготовлены на основе реальных инцидентов компроментации баз данных, а значит есть шанс обойти чужие грабли)

Ну и для коллекции на эту тему:
👉 SEC выпустила новые правила, требующие от публичных компаний раскрывать больше информации о киберрисках, которым они подвергаются, и о конкретных кибератаках, которым они подвергаются. 
Из интересного:
- про возможность отсрочки по раскрытию информации для компаний;
- о "безлимите" времени для компаний на то, чтоб определить существенность атаки
- о сути раскрытия: акцент на раскрытии влияния, последствий таких инцидентов, а не на деталях их совершения.

Если что встречали из нового на эту тему, поделитесь, пожалуйста, в комментариях.

Коллеги, приветствую! На связи Мария.

Предлагаю вам обзор документа на тему персональной ответственности банковского руководства, подготовленного Институтом финансовой стабильности при Банке международных расчетов (Базель, Швейцария).

Персональная ответственность банковского руководства

🔸История вопроса

Тема персональной ответственности стала активно обсуждаться в результате финансового кризиса 2007-2008. В 2015 Базельский комитет по банковскому надзору обновил принципы корпоративного управления для банков, а позднее концепции по снижению риска неправомерного поведения (misconduct risk).

🔸Предпосылки

Для большинства банков, корпоративная ответственность - это сфера ведения советов директоров или акционеров. Однако было бы наивно полагаться на механизмы саморегуляции, когда дело доходит до персональной ответственности. Причина в конфликте интересов:

▫️у банка нет стимула проводить внутреннее расследование в отношении конкретного лица в случае скандала
▫️боязнь вызвать еще больший вред для репутации банка
▫️советы директоров - коллегиальные органы, что снижает желание этих директоров привлекать собственных коллег к ответственности.

Регуляторы, в свою очередь, также склонны штрафовать банки нежели привлекать конкретных лиц к персональной ответственности из-за:

▫️трудности выявить одного ответственного из состава коллегиального органа (“when everyone is responsible, no one is responsible”)
▫️обязанности доказывания
▫️значительных затрат, необходимых для проведения расследования.

🔸Концепция персональной ответственности руководителей банков

Сейчас концепция официально существует в трех юрисдикциях: Австралия, Великобритания и Сингапур.
Их регуляторные механизмы включают следующие элементы:

🔹Стандарты поведения для определенной категории персонала

🔹Система вознаграждения, помогающая выявить неправомерное поведение и воздержаться от принятия повышенных рисков

🔹Ограничения в страховании правления и руководства от исков третьих лиц чтобы уменьшить сумму штрафов, наложенных на высшее руководство

🔹Проверка регулятором рекомендаций от предыдущих работодателей, чтобы исключить найм в банки руководителей, ранее допускавших неправомерные действия (“rolling bad apples” - “гнилое яблоко” “перекатывается” между финансовыми учреждениями без раскрытия фактов неправомерного поведения на предыдущем месте работы)

🔹Требование эффективной программы уведомлений о подозрительных действиях (whistleblowing) для защиты персонала, сообщающего о таких действиях, совершаемых коллегами или руководителями.

В следующий раз остановлюсь на механизмах контроля более подробно.
Какой из механизмов заинтересовал в большей степени?

✏️

Офис и/или семья
Подсмотрела у коллеги, она так уже много лет делает.
Впервые по ее примеру взяла 1 день отпуска на день рождения сына.
Масса вроде как незаметных (естественных) плюсов.

Но все такие дорогие 💔 и ценные:
- поздравила первой, как только проснулся (а не по телефону, потому что уходишь на работу, а он спит);
- услышала тысячу раз как он меня любит));
- вместе встречали гостей, разбирали подарки, писали ответные видео-поздравления;
- не потратила на дорогу 3.5+часа;
- была со всеми за праздничным столом и отметили детский день рождения днём, а не когда пришла с работы уставшая мама (или, что вероятнее, праздновали бы днем, но без меня).

И ни-че-го страшного не произошло за 1 день моего отсутствия на работе.

Классно, если у вас/ваших коллег есть возможность брать в течение года отпуск 1-2 дня на какие-то важные личные события и это будет воспринято нормально.

Кстати, чаще такая возможность есть, но нам "неудобно" или мы не подозреваем, что она есть.

Господа-трудоголики, кому неудобно взять короткий отпуск / отпуск без содержания / отпроситься на пару часов на детский утренник и т.п., присмотритесь, может имеет смысл пересмотреть свои установки?

Не обязательно "работа или семья", есть варианты)

Заказ сверху...
✉Друзья, получила классный кейс - вопрос #вопросотучастника.

Наш коллега попросил разместить и обсудить в чате, у кого был похожий опыт или в целом, какие мысли есть по этому поводу:

"У нас крупный холдинг, в двух компаниях неожиданно одновременно ген.директора решили уволиться. В связи с чем, акционер до их ухода хочет провести проверки по их деятельности. Четкой задачи от акционера что проверить, каких-то ожиданий - нет. Например, один из них курирует продажи. Мы их итак проверяем раз в год. Но там и задачи другие. Буду благодарен, если коллеги поделятся своими идеями".

Ситуация не частая, плюс обычно такие задания не очень приятные. Смысл может быть от "накопать то, что есть" до "убедиться, что всё чисто".
Сам кейс полезный, каждый может столкнуться и хорошо бы иметь решение на такой случай.

Коллеги, кто не хочет светиться публично, можно ответить в личку (размещу потом обобщенно).

Если такой опыт был не у вас, а у знакомых, - можно поделиться чужим примером.
Если такого ещё не было в практике - самое время попробовать свои силы и решить этот кейс в качестве #аудитразминка.

Автору спасибо за доверие🙌

#сообщество
#вопросотучастника
Коллеги, всем спасибо, кто откликнулся и поделился своим опытом и идеями по проверкам такого рода.

Присоединяюсь к предложенным рекомендациям в комментариях к посту (все полезные и рабочие👍), не буду дублироваться.
Добавлю о чём ещё не отметили, но где может встретиться "интересное" (из моего опыта и моих коллег):
- представительские расходы, сомнительные командировки / индивидуальные доплаты кому-то / консультационные услуги;
- выплаты годовых премий/kpi без одобрения СД / Головной компании (если оно нужно).

Возможно, имеет смысл поднять решения / поручения СД, акционера - что с их фактическим исполнением?

Если в компаниях есть какие-то значимые проекты с большими бюджетами (ИТ/стройка?) - можно свериться с тем, что по бумагам с реальной картиной, чтобы избежать "сюрпризов" в будущем.

Ну и параллельно, конечно, важно понимать и подсветить, какие ещё изменения потянутся за увольнением директоров (уход ключевых сотрудников, клиентов, влияние на взаимоотношения с партнерами и т.д.). Что "завязано" только на них?
В этом направлении рекомендации аудита также могут быть полезны для компании.

Этика, мораль, порядочность
- для аудитора имеет особое значение.

Хочу поделиться ссылкой на запись эфира об Этических рисках от @Margo1919 автора канала ComplianceCraft (ранее уже рекомендовала, но вдруг кто пропустил).

🎁Плюсом Маргарита всегда к записи прилагает интересные доп.материалы по теме эфира.

#комплаенс
#рекомендации
#этика