Atitikties akademija: vidaus auditoriaus vaidmuo valdant įmonių rizikas
Dalia Katinaitė, „Noewe“ rizikų valdymo ir tvarumo paslaugų vadovė
Besikeičianti verslo aplinka, globalios permainos ir neįprastos pandeminės aplinkybės įmonėms kelia naujų rizikų ir galvosūkių. Kibernetinė sauga, informacijos valdymas, trečiųjų šalių ir tiekimo grandinės priežiūra – tik keletas sričių, patiriančių nemažai iššūkių, bet juos padeda įveikti profesionalus vidaus auditorius.
Kibernetinė ir duomenų sauga
Daugelis darbuotojų tebedirba nuotoliniu būdu ir naudoja namų bevielį tinklą, tad jei įmonės nėra įdiegusios tinklo saugumą užtikrinančių priemonių, darbo kompiuteris lieka neapsaugotas. Būna atvejų, kai, naudodamas įmonės įdiegtas tinklo saugumo priemones, darbuotojas negali prisijungti prie nuotolinio skambučio ar konferencijos, nes tinklų apsaugos nedera tarpusavyje. Kartais priimamas greičiausias sprendimas – atsijungti nuo apsaugos ir naudoti namų bevielį tinklą, bet taip lieka didelė spraga duomenims nutekėti.
Kitas pavyzdys – darbuotojas perka elektroninius bilietus į spektaklį, naudodamas darbo elektroninio pašto adresą, o galbūt žiūri filmą „uždraustoje“ interneto svetainėje.
Kaip šiuo atveju gali padėti vidaus auditorius?
Vidaus auditorius turėtų peržiūrėti, ar įmonėje buvo organizuojami mokymai, per kuriuos darbuotojai buvo supažindinti su galimomis kibernetinio saugumo atakomis, koks buvo mokymų periodiškumas. Svarbu patikrinti, ar buvo atnaujinta darbo tvarka atsižvelgiant į darbo aplinkos pakeitimus, ar darbuotojai supažindinti su įmonės informacinių ir komunikacinių technologijų naudojimo taisyklėmis. Pavyzdžiui, kad darbuotojams griežtai draudžiama naudoti įmonės elektroninį paštą asmeninei, komercinei, teisės aktais draudžiamai veiklai; parsisiųsti arba platinti tiesiogiai su darbu nesusijusią grafinę, vaizdo ar garso medžiagą, žaidimus, programinę įrangą; naudojantis darbo nešiojamuoju kompiuteriu ir mobiliuoju telefonu jungtis prie bevielio tinklo, neapsaugoto slaptažodžiais ir (ar) kitomis saugumo priemonėmis.
Trečiųjų šalių ir tiekimo grandinės priežiūra
Trečiųjų šalių priežiūra tampa vis svarbesnė, nes vis daugiau įmonių dalį funkcijų perduoda trečiosioms šalims. Svarbus ir tiekimo grandinės patikimumas, ypač aktuali ši rizika tapo pandemijos laikotarpiu – kai nutrūksta sklandus tiekėjų darbas ir įmonė susiduria su iššūkiu užtikrinti veiklos tęstinumą.
Vidaus auditorius turėtų peržiūrėti, kaip buvo sudarytos sutartys su paslaugų tiekėjais. Ar buvo atliktas tiekėjo patikimumo vertinimas, įvertinant finansinį stabilumą, patirtį, kvalifikaciją, reputaciją, interesų konfliktų riziką? Ar vertinimo rezultatai dokumentuojami ir pristatomi vadovui ar kitam už sutarčių kontrolę atsakingam asmeniui?
Vidaus auditorius gali įvertinti, ar įmonė pakankamai dėmesio skyrė tiekimo grandinėms ir užsakomosioms paslaugų strategijoms peržiūrėti, kad pagerintų veiklos atsparumą. Pavyzdžiui, ar įmonė turi numačiusi saugiklius, jei pandemija neslūgs arba jei dėl politinių priežasčių, tokių kaip Kinijos ar Baltarusijos rinkos uždarymas, nutrūks sklandi tiekimo grandinė.
Informacijos valdymas
Viena svarbiausių verslo rizikos valdymo priemonių – tinkama komunikacija ir informacijos pateikimas laiku, kad būtų galima priimti sprendimus ir greitai reaguoti į besikeičiančią aplinką.
Šiuo atveju vidaus auditorius turėtų įvertinti valdybai ar vadovybei teikiamos informacijos sklandumą, skaidrumą, tikslumą ir aktualumą.
Vidaus auditorius turėtų ieškoti įrodymų, kad įmonėje priimti sprendimai vadovybei iškomunikuoti laiku: nevėluoja strateginių duomenų pateikimas, finansinėse rezultatų ataskaitose pateikiama informacija teisinga. Svarbu įvertinti, ar priimti valdybos ar vadovybės sprendimai buvo tinkamai iškomunikuoti darbuotojams, ar buvo užtikrinta sprendimų vykdymo kontrolė.
Tvarumas
Didėjant Europos Sąjungos reguliavimo spartai ir atsižvelgiant į tai, kad bankų sektorius greitu metu gali nesuteikti kreditų įmonėms, nesilaikančioms tvarumo principų, įmonės turėti suskubti ir įsivertinti tvarumo lygį.
Vidaus auditorius gali peržiūrėti įmonės veiklą ir procesus, atitinkančius aplinkosaugos, socialinės atsakomybės ir valdysenos kriterijus (angl. ESG) ir nustatyti jų reikšmingumo lygį. Pavyzdžiui, ar įmonė pasirengusi spręsti šiltnamio efektą sukeliančių dujų mažinimą pertvarkydama savo transporto parką, ar užtikrinamas skaidrus tiekimo grandinės procesas.
Sukčiavimo rizika
Ypač pandemijos laikotarpiu, dirbant nuotoliniu būdu, dėl sumažėjusių kontrolės priemonių padidėjo sukčiavimo rizika.
Vidaus auditorius gali įžvelgti verslo sukčiavimo riziką, nustatydamas neseniai įvykusių veiklos sutrikimų padarinius, t. y. išsiaiškinti, kuri įmonės veikla buvo sutrikusi. Tarkim, ar tiekėjai yra pateikę skundų dėl suteiktų paslaugų ar prekių apmokėjimo laiku.
Pažymėtina, kad vidaus auditorius per kiekvieną auditą turėtų nustatyti galimą sukčiavimo riziką ir įvertinti, ar nustatyta kontrolė, turinti užkirsti kelią sukčiavimui, vis dar veiksminga.
Darbuotojų kaita ir talentų valdymas
Įmonės, nusibrėžusios aiškius tikslus, vertybes ir turinčios tikslingas motyvacines sistemas, yra sėkmingesnės ir dažniau išvengia darbuotojų kaitos kaštų. Tačiau vis daugiau įmonių susiduria su didele darbuotojų kaita.
Vidaus auditorius galėtų atlikti auditą ir įvertinti įmonės kultūros „temperatūrą“: ar laikomasi įmonės tvarkose numatytų darbuotojų lojalumą skatinančių ir darbuotojus motyvuojančių priemonių, ar darbuotojai žino ir supranta savo funkcijas, atsakomybes ir jiems priskirtus įgyvendinti tikslus, kaip bus matuojamas jų rezultatas. Taip pat svarbu įvertinti, ar, siekiant pristatyti įmonės tikslus ir vertybes, vyko darbuotojų mokymai. Apie tai ir daugiau buvo kalbama vienoje iš Atitikties akademijos mokymų dienų.
Norėdama pristatyti aktualiausias atitikties pareigūnų veiklos tendencijas ir padėti sustiprinti žinias, reikalingas efektyviems atitikties procesams versle užtikrinti, „Noewe“ kartu su „Verslo žiniomis“ organizuoja praktinius Atitikties akademijos mokymus.
Kitos mokymų temos:
- Atitikties vadovo funkcija ir jos reikalavimai;
- Kodėl tvarumas versle yra svarbus ir kodėl verslas turi jį diegti? Žingsniai, kuriuos įmonė turi atlikti, kad atitiktų tvarumo principus;
- Prekybos atitiktis ir jos praktiniai iššūkiai;
- Virtualiosios valiutos ir kiti rizikingesni PPTF sektoriai;
- Individualus PPTF klientų rizikos vertinimas – ar gerai, kad įmonėje 99 proc. aukštos rizikos klientų?
- Asmens duomenų apsaugos reikalavimų įgyvendinimas: duomenų apsauga elektroninėje komercijoje;
- Verslas keliasi į elektroninę erdvę – kokie konkurencijos iššūkiai laukia? Aktuali teismų ir priežiūros institucijų praktikos apžvalga.
Registruotis kviečiame www.verslodirbtuves.vz.lt. Paklausimus ir klausimus pranešėjams jau dabar galite siųsti el. paštu akademija@noewe.eu.
Straipsnis Verslo žiniose.