Уставшие аудиторы - работают "устало"
🪁Друзья, пол лета уже пролетело, заметили, успели подзарядить батарейки?

Если засомневались и боитесь пропустить лето, присоединяйтесь, давайте начинать его "проживать"!
Напомню, лето не равно отпуск, даже в рабочие дни можно вполне законно им наслаждаться. А уж в выходные тем более.

Прошлая неделя меня экстренно вымотала семейными событиями (здоровье) и я почти израсходовала запас накопленного в отпуске ресурса. Надо срочно пополнять, ждать следующего отпуска - не вариант и киснуть мне сейчас нельзя.

У одной чудесной девушки наткнулась сегодня на летний пост, где она отмечает летние планы 2х категорий:
- дела / действия (поездки, события);
- эмоции / впечатления / приятности для себя.

По ощущениям, мне сейчас нужна именно вторая категория, попробую сегодня накидать варианты, пока появились идеи:
- летней прогулки-фотосессии с семьёй или подругами или даже совместить));
- летнего меню (смузи и фреши, арбузы на ужин, фруктово-ягодные перекусы на работе);
- сходить на какое-то интересное мероприятие/мастеркласс;
- погулять вечером в Ботаническом саду (у нас там очень красиво) или сразу запланировать любой парк каждую неделю (у нас город парков и ⛲).

Обязательно нужен какой-нибудь офисный летний ритуал, у нас обычно это были раньше арбузные пятницы.

Присоединяйтесь и подкидывайте свом идеи - как проходит ваше лето и что еще планируете чтоб прожить его на полную?
#проаудит_прожизнь

#коррупция
#новости
Цена детской безопасности

Не так давно в чате обсуждали контроли в сферах, связанных с детьми, но сегодняшняя новость это трэш полный.
Это какими тварями нужно быть?

Ребят, вдруг кто-то из ваших коллег участвует в каких-то приёмочных комиссиях / работает в гос секторе, тендерах и т.д. не пропустите подобного! Кто-то же дал на это добро, кто-то в нужный момент "отвернулся", не заметил.

Если вдруг проверяете то, что связано с детством, считаю, здесь можно и нужно включать и ревизора, и даже следователя.

Злая, не могу.

🐸 Причина болота - в болоте

Второе место в опросе уверенно занимает фактор отсутствие новизны для "читателей" аудиторских отчетов.

Как вам моя версия: в аудиторских отчетах нет ничего нового, потому что в компании ни-че-го не меняется.

И одно дело, если все по прежнему хорошо из раза в раз. Думаю, вряд ли кто-то против такого однообразия.
А если "все плохо как всегда и все об этом итак знают"?

Это далеко не всегда связано с формированием отчетов и требует отдельного внимания. Почему так?
1️⃣ слабые / непроработанные рекомендации в отчетах аудиторов/ формальный план мероприятий у подразделений / неисполнение плана или его затягивание;
2️⃣ руководители, ответственные за эти участки не вовлечены в развитие, повышение зрелости своих процессов и уровня контрольной среды (влияет и на п.1);
Но у этих руководителей же есть вышестоящее руководство? И да, про это следующий пункт.
3️⃣ есть проблемы в корп.управлении и корп.культуре, тон сверху не помогает или даже препятствует выстраиванию и изменению контрольной среды (ни с кого не спрашивают/никому ничего не прилетает) / фокус и интерес только на бизнес-показателях;
4️⃣ улучшать / вносить положительные изменения просто некому - что у вас с hr процессами и метриками?
5️⃣ низкий уровень автоматизации/ высокая зависимость от вендоров, недостаточно своих ИТ-компетенций, а п.1 требует доработок, синхронизаций, а то и полной смены систем. Но этого не происходит - нет бюджета/плохое управление проектами или влияние п.2 и 4.

Если читатели ваших отчетов не довольны отсутствием в них динамики, может аудиторские отчеты это всего лишь индикаторы совсем других проблем?

А если в компании жизнь кипит, изменения внедряются, зрелость процессов растёт, а в отчетах СВА нет новизны и динамики, то, друзья, держите тапки с 🍅, они наши)))

Согласны или поспорим обсудим? Почему ещё в отчетах аудиторов нет ничего нового, это вина аудиторов или..?

Какой фактор из этих следующим разберём?

#отчеты
#управление
#мнение

Картинка из этого канала так и тянет обсудить эту тему)

Цифры говорят сами за себя!

Всегда ли они говорят правду?🤔 Мы периодически обсуждаем тему искажения показателей.

Немного интересной теории:
Закон, который нужно знать каждому аудитору / представителю контрольной функции:

Любой количественный показатель, используемый для контроля, ненадежен (Закон Гудхарта).

В практике аудитора он встречается постоянно, когда речь идёт о вопросах типа:
▶️KPI / исполнение бизнес-планов / управленческий учет и отчетность;
▶️закупки;
▶️бюджет;
▶️маркетинг и реклама;
▶️NPS и других метриках.

Проверяете процессы, где есть цифры? Полагаетесь на результаты отчетов / исследований? - Обратите внимание на надёжность показателей, на основании которых вы делаете выводы.

Если нужно - классный пример из судебной практики.

! Кстати, при составлении выборки знание этого Закона тоже пригодится.

#полезное
#проаудит_основы
#kpi #управление_данными

🗣 Друзья, у меня к вам просьба. Мне сейчас очень важно получить от вас обратную связь. Напишите, пожалуйста, как давно вы читаете мой блог / состоите в сообществе, чем оно вам полезно/интересно?

Дифирамбы не нужны, буду признательна за честный отзыв 🙌

Коллеги, спасибо огромное всем, кто поделился своим отзывом (и тем, кто пока не успел) 💛.

Очень информативно, тепло, местами повеселилась))). Есть над чем подумать.

Строю планы развития, оцениваю свои ресурсы для новых идей и проектов🤔, обязательно потом поделюсь.

Спасибо вам!

Барби-аудиторы

Ребята, с пятницей!
Девочки, ссылочка, скорее для вас https://www.bairbie.me/ - можно сгенерировать Барби с вашим лицом (можно выбирать цвет волос, кожи,рассу и запускать несколько раз, получим разные образы).
! Осторожно, залипательно, я вчера в пробках "поигралась"

Кстати, там можно примерить и мущинский образ - Кена🤭

Для самых веселых и креативных - можно попробовать сгенерировать весь отдел и представить как мы в таком образе аудит проводим))

Каверзный вопрос: вы бы эффективнее провели аудит: в имидже типа советского бухгалтера с портфелем / Барби / или никак вообще бы не повлияло?

#пятничное

🔢 Где в отчетах аудита живут цифры и как их использовать?

Продолжаем серию постов о том, чего может не хватать в аудиторском отчете. Начало про ценность тут
Здесь писала свои мысли о новизне, динамике и болоте, в которое может затягивать и компанию, и сам аудит.

Третий фактор, который вы выделили в опросе - это нехватка цифр в отчетах. Обсудим?

Задуматься о цифрах надо не на этапе формирования отчета (не вариант просто добавить какую-то статистику поверх текста), а сразу при подготовке к проверке.

Где в вашем процессе/проекте цифры? - Время, деньги, объемы операций, количество клиентов, данные по доходности?

Цифры - не тяжелый камень, который упал на пути, а гибкая, динамичная материя. Показатели "на ХХ.ХХ.2033" ни о чём не скажут читателям отчета.
Подсветите - это хорошо или плохо, показатели бюджета/плана/стратегии/ нормативы регулятора выполняются?
А как у конкурентов?
А в прошлый раз как было?
В целом, при таких значениях что у нас будет в конце года?

Цифры отлично раскладываются, что помогает генерить новые идеи и гипотезы, например:
🧩хит-продукт по продажам может быть убыточным;
🧩ТОП 3 клиента / партнера могут представлять 90% всего бизнеса и поэтому требовать другого подхода / процедур мониторинга;
🧩30% закупок завязаны на одном поставщике и большинство из них заключены в один период на суммы нижнего порога, до которого действуют упрощенные процедуры одобрения сделок (дробление);
🧩80% портфеля - высокорисковые клиенты;
🧩показатели по просрочке одного менеджера сильно выделяются на общем фоне - повод получше присмотреться к его сделкам и т.д.

Цифры хорошо масштабировать и показывать, например, недополученные комиссионные доходы не по одной сделке, а сколько всего таких операций / услуг было всего. Или, аналогично, по штрафам. Покажите расчет: штраф за 1 случай =..., из расчета количества таких кейсов, штраф составит ХХХ.

В цифрах можно и нужно показывать масштабы проблем / взаимосвязи / узкие горлышки в процессах / метрики успеха или наоборот / отклонения, минимумы, максимумы / совпадения, в том числе, там, где их быть не должно.

Как у вас с цифрами? Что не получается оцифровать или наоборот круто помогает готовить качественные отчеты, поделитесь примерами?

Это точно не всё, что можно рассказать о цифрах, продолжение следует....

#отчеты
#цифры
#проаудит_основы
#полезное

Этическая (?) дилемма
Вчера в чате прошла интересная дискуссия на тему "профессионал-звезда, но сволочь" или "хороший человек, но спец так себе" - готовы ли мы будем расстаться с первым товарищем?
У нас как обычно нет полутонов, вариант норм.человек и специалист ничего мы не рассматривали))

Все решалось просто, пока с легкой руки Александра профессионал не стал хирургом по профессии. И тема заиграла новыми красками. Большинством мнений хирург был спасен от увольнения с учетом критичной сложности / высокой ценности в его работе и таланта.

Друзья, спасибо всем, кто поддерживает в обсуждении такие интересные темы, это помогает прокачивать и логику, и мыслительную мышцу💪🧠

Алексею спасибо за крутую мысль об эффективности умеренно-токсичных. Предлагаю опросом (ниже) попробовать определить границы допустимой "сволочности" для аудитора - профессионала. Что по вашему ок, а после чего - прощаемся.

Коллеги, я тут чуть скорректировала настройки чата, надоело удалять предложения по заработку зарубежом))

Теперь в чат могут писать только участники чата, а новички могут постучаться - я добавлю. Если вдруг что-то не сработает, пишите в личку мне @Katerina_proaudit, решим.

Коллеги, приветствую!
На связи Мария.

Хочу открыть эту неделю с вопроса-теста от международной ассоциации ISACA - Information Systems Audit and Control Association. Речь о процессе управления инцидентами информационной безопасности (incident management).

Немного о годовых / полугодовых отчетах

Получила на днях очередной #вопросотучастника:

"Екатерина, здравствуйте
По содержанию годового отчёта, что вы обычно отражаете помимо исполнения плана, обучения, статистики?"

Какие разделы я встречала в дополнение к тем, что есть в вопросе:
🔸️общие выводы / мнение СВА по итогам периода об уровне контрольной среды, СВК, СУР;
🔸️о важных событиях / реализованных рисках / динамике ключевых показателей компании;
🔸️сведения о работе вне плана / о достижениях / о консалтинговых услугах;
🔸️раздел о внесённых изменениях в подходы / процедуры / ВНД СВА;
🔸️о кадровых перестановках в СВА;
🔸️о взаимодействии с Правлением (трудности?);
🔸️о выявленных существенных недостатках (в приложениях) и мерах, которые по ним приняты (или не приняты);
🔸️о невыполненных рекомендациях СВА или планах мероприятий (в приложении);
🔸️о результатах выполнения Программы обеспечения качества (включая внутренние, внешние оценки).

Вроде всё, что-то чаще встречается, что-то реже, зависит от многих факторов, ожиданий руководства, масштабов компании.

А что из этого есть у вас? Или может есть что-то ещё, что у меня не вошло в список?

#отчеты

Добрый день, коллеги!

С вами Мария. Предлагаю разобрать вопрос от ISACA про управление инцидентами.

В работоспособной организации отдел информационной безопасности наряду с отделами внутреннего аудита, безопасности, риск менеджмента, управления персоналом, комплаенса, маркетинга и продаж, по связям с общественностью, юристами и руководством - все вместе относятся к ресурсам управления инцидентами (incident management).

Делаю акцент на “работоспособности” компании, потому что на днях пришлось общаться с горячей линией известного телекома из трех букв, доказывая уязвимость в безопасности данных.

В обязанности специалиста по инцидентам (incident handler) входит:
▫️реагировать на инциденты,
▫️документировать их,
▫️обеспечивать соблюдение процедур,
▫️составлять отчеты и описывать усвоенные уроки.

Если говорить о главном качестве специалиста по инцидентам, то, по мнению ISACA:

1️⃣навыки презентации будут полезны, но не существенны

2️⃣способность придерживаться политик и процедур важна, но инциденты, как правило, непредсказуемы и хаотичны и случаются вне имеющихся процедур

3️⃣честность несомненно важна, но в ее отсутствие сотрудник скорее всего не должен работать в организации

4️⃣и наконец, стрессоустойчивость. Специалисты по инцидентам работают в условиях высокого нервного напряжения. И если сотрудник не справляется с нагрузкой, высока вероятность принятия неверных решений. Следовательно, именно стрессоустойчивость - главное качество из предложенных вариантов.

Убедила ли вас аргументация от ISACA?
На ваш взгляд, у кого больше стресса на работе: специалиста по инцидентам или внутреннего аудитора?

Лично для меня, вариант про честность - тире порядочность - оказался “со звездочкой”.
И конечно же поздравления всем, кто выбрал стрессоустойчивость!
✏️

#кибербезопасность
#исследования
#персональныеданные
#полезно #аудит_ИБ

Пусть сегодня у нас будет #цифроваясреда.

👉Коллеги поделились рекомендациями по кибербезопасности от Комитета по информационной безопасности МЦРИАП Казахстана.

Рекомендации простые, здравые и полезные, возможно, материал пригодится для разработки / пересмотра правил ИБ в своих компаниях или станут ещё одним поводом обсудить их с близкими.

👉Маргарита в своём канале подготовила обзор к рекомендациям Роскомнадзора РФ для операторов персональных данных.

Рекомендации подготовлены на основе реальных инцидентов компроментации баз данных, а значит есть шанс обойти чужие грабли)

Ну и для коллекции на эту тему:
👉 SEC выпустила новые правила, требующие от публичных компаний раскрывать больше информации о киберрисках, которым они подвергаются, и о конкретных кибератаках, которым они подвергаются. 
Из интересного:
- про возможность отсрочки по раскрытию информации для компаний;
- о "безлимите" времени для компаний на то, чтоб определить существенность атаки
- о сути раскрытия: акцент на раскрытии влияния, последствий таких инцидентов, а не на деталях их совершения.

Если что встречали из нового на эту тему, поделитесь, пожалуйста, в комментариях.

Коллеги, приветствую! На связи Мария.

Предлагаю вам обзор документа на тему персональной ответственности банковского руководства, подготовленного Институтом финансовой стабильности при Банке международных расчетов (Базель, Швейцария).