COVID priniesol nové riziká – Interný audit 2.0

V uplynulých mesiacoch sa pod vplyvom pandémie mnohé veci spomalili alebo dokonca zastavili, no jednou z oblastí, ktorá nepochybne urobila obrovský skok vpred, bolo využívanie práce z domu.

Z hľadiska digitalizácie pracovných postupov sme v priebehu iba 3 až 4 mesiacov zaznamenali zrýchlenie o 3 až 4 roky. Biznis sa navždy zmenil.

Úlohou interného auditu (IA) vždy bude poskytovať transparentnosť, istotu a prehľad o oblastiach, na ktorých skutočne záleží z hľadiska rizika. Dnes však popri prispôsobovaniu plánovania a poskytovania auditu na virtuálnu bázu, odborníci na IA musia stáť aj na čele posúdenia nových rizík, ktoré sa formujú v dôsledku pandémie.

Nový spôsob práce priniesol pre mnohé organizácie zvýšené prevádzkové riziká a najmä riziká kybernetickej bezpečnosti s dopadom na ľudí, procesy a technológie.

Toto sú zmeny, ktoré nastali v daných kategóriách:

• Nárast počtu zamestnancov pracujúcich na diaľku avšak s obmedzenými zdrojmi v oblasti IT a kybernetickej bezpečnosti
• Obmedzenia riadenia a dohľadu spôsobené vzdialenou pracovnou silou
• Nárast neetických postupov spôsobených vnútornými kybernetickými hrozbami

• Procesy sa rýchlo prispôsobili digitálnym podmienkam a nie vždy boli aplikované adekvátne kontroly
• Nedostatok konzistentnosti a zosúladenia medzi podnikovými požiadavkami a novými obchodnými procesmi
• Absencia skutočného komplexného programu kybernetickej bezpečnosti, čo pod ťarchou súčasného prostredia odhalilo medzery v procesoch a kontrolách

• Rýchle prijatie nových technológií na podporu práce z domu bez dôsledných protokolov, testovania alebo školenia
• Nedostatok kontrolných mechanizmov monitorovania technológií, ktoré by zabránili strate údajov
• Prepojenie osobných a profesionálnych zariadení na podporu práce z domu

• CYBER: Posúďte hlavné kybernetické oblasti a zvážte použitie definovaného rámca (napr. NIST CSF, ISO 27001/2) a modelu kybernetickej zrelosti. Do akej miery je súčasné monitorovanie dostatočné a ako bolo podporené povedomie používateľov o kybernetickej bezpečnosti?
• Financie a likvidita: bude potrebné posúdiť obsluhu dlhu, zákazníkov a platby, likviditu dodávateľov a plány CAPEX vrátane účinnosti kontrol úverov a likvidity.
• Prevádzka: výroba a dodávky môžu čeliť vážnemu narušeniu alebo nedostupnosti, prevádzkové riziko bude predmetom záťažových testov.
• Krízový manažment: ako sa dajú využiť skúsenosti získané z reakcie na krízu a manažmentu obnovy na riešenie potenciálnych budúcich udalostí?
• Ľudia: ako sa organizácie posunuli v podpore svojich talentov, aby priniesli spokojnosť a výkonnosť zamestnancov v rámci nových a budúcich hybridných pracovných modelov.