KPMG: Evaluarea riscurilor ar trebui sa fie o activitate continua

Aproape 300 de organizatii din aproximativ 20 de tari din Europa, Orientul Mijlociu si Africa au participat la acest sondaj.

Actuala criza economica creste presiunea asupra managerilor executivi pentru diminuarea costurilor tehnologice, imbunatatirea performantei operationale si, in acelasi timp, mentinerea riscului rezidual la un nivel acceptabil. De cele mai multe ori, masurile se concretizeaza in restructurarea si reorganizarea rapida a activitatii operationale. Toate aceste activitati trebuie sa aiba la baza o evaluare riguroasa a riscurilor.

Cum tehnologia este vitala pentru managementul oricarei afaceri, Aurelia Costache (foto), Partener responsabil de serviciile IT Advisory in cadrul KPMG Romania avertizeaza ca “o restructurare rapida a activitatii ce nu va fi urmata de alinierea sistemelor IT la noile nevoi ale afacerii si de o reevaluare corespunzatoare a controalelor pot lasa in urma vulnerabilitati de care sa profite atat persoane din afara cat si din interiorul organizatiei”. O contributie importanta in aceasta privinta ar putea-o avea auditorii interni IT. „Acestia ar trebui sa se implice mai mult in evaluarea riscurilor si sa ajute organizatia sa faca fata noilor riscuri generate de mediul economic actual”.

Acelasi studiu evidentiaza ca in sectorul bancar si al asigurarilor, mai putin de 20 de procente din timpul activitatii de audit intern sunt dedicate auditului IT. Mai mult de 20% dintre companiile ce activeaza in sectorul industrial nu efectueaza o evaluare a riscurilor. Sunt oare aceste masuri suficiente?

In urma cu cativa ani, numeroase organizatii atribuiau auditorilor IT doar activitati din domeniul securitatii, lasand celelalte riscuri IT in grija auditorilor non-IT. Studiul arata ca doar 41% dintre respondenti aliniaza activitatile de audit intern activitatilor de guvernanta generale ale afacerii.

O crestere a colaborarii cu nivelele executive, in limita respectarii cerintelor de independenta, si cu auditorii non-IT pot imbunatati profilul auditului IT, transformand functia de audit intern IT intr-un instrument de guvernanta. Pentru a indeplini acest deziderat, auditorii IT trebuie sa posede atat cunostinte tehnice, cat si de business. „Este imbucurator sa vedem ca sefii departamentelor de audit intern se orienteaza catre auditorii IT care poseda mai mult decat cunostinte in domeniul securitatii”, declara Aurelia Costache. Cele mai cautate competente raman, desigur, cele in domeniul securitatii, urmate de cele referitoare la framework-uri de audit, aplicatii si business.

Conform rezultatelor studiului, 55% dintre participanti aleg sa recruteze persoane cu experienta, iar 40% sustin ca externalizeaza anumite activitati pentru a putea folosi resurse cu o pregatire adecvata. Avand in vedere constrangerile actuale legate de costuri, reprezentantii KPMG apreciaza ca tendinta in domeniul auditul intern va fi de utilizare a serviciilor de co-sourcing.

Un alt factor important semnalat , in relatia dintre auditori si managementul executiv il constituie comunicarea rezultatelor auditului. Daca 97% dintre organizatiile participante comunica in mod formal rezultatele auditului, 55% dintre acestea nu includ in raportul de audit raspunsul managementului, ceea ce poate sugera fie o lipsa a sustinerii din partea executivului, fie nediscutarea observatiilor inainte de raportare . De asemenea, doar 6 % dintre organizatii prezinta rezultatele managementului executiv. Aurelia Costache insista pe o mai buna colaborare intre auditori si managementul executiv, atat in faza de planificare cat si in faza de comunicare a rezultatelor; “experienta noastra a aratat ca o comunicare adecvata si discutarea deficientelor cu managementul executiv cresc rapiditatea implementarii recomandarilor si sporeste suportul nivelului executiv pentru activitatea de audit” ,

Aurelia Costache, concluzioneaza ca, in conditiile economice actuale, auditorii IT pot aduce un aport important in activitatea de management al riscurilor iar „o colaborare adecvata intre auditorii si managementul executiv, atat in faza de planificare cat si in faza de comunicare a rezultatelor auditului, poate reduce semnificativ riscurile determinate de turbulentele pietei.”