Embed Size (px)
Citation preview
PIKËPAMJE DHE NJOHURI GLOBALE
2018: Risqe Kryesore me të Cilat Përballen Drejtuesit e Auditimit të Brendshëm
Global Perspectives and Insights
Përmbajtja Hyrje ..................................................................................................................... 1
Menaxhimi i Talenteve ......................................................................................... 1
Analiza e të Dhënave ............................................................................................ 5
Kibernetika ........................................................................................................... 8
Rregulloret .......................................................................................................... 11
Monedhat Virtuale ......................................................................................... 12
Rregulloret mbi Mbrojtjen Globale të të Dhënave ........................................ 12
Përgjigja ndaj Ndërprerjes .................................................................................. 18
Mendime Përmbyllëse ....................................................................................... 21
Komiteti Këshillues Nur Hayati Baharuddin, CIA, CCSA, CFSA, CGAP, CRMA – Anëtar i IIA–Malaysia
Lesedi Lesetedi, CIA, QIAL – African Federation IIA
Hans Nieuwlands, CIA, CCSA, CGAP – IIA–Netherlands
Karem Obeid, CIA, CCSA, CRMA – Anëtar i IIA–United Arab Emirates
Carolyn Saint, CIA, CRMA, CPA – IIA–North America
Ana Cristina Zambrano Preciado, CIA, CCSA, CRMA – IIA–Colombia
Përkthimi dhe përshtatja në shqip Silvana Zoto, CIA -IIA Albania
Mirsida Kujunxhiu, CIA - IIA Albania
Stavri Pashko, CIA – IIA Albania
Botime të Mëparshme Për të parë botime të mëparshme të Pikëpamje dhe Njohuri Globale, vizitoni www.theiia.org/gpi.
Komente të Lexuesve Dërgoni pyetje ose komente në: [email protected].
globaliia.org
Global Perspectives and Insights
Hyrje Viti 2018 – një vit i ri, ligje, rregullore, opinione, ide, teknologji, dhe risqerisqe të reja. Mjedisi i sotëm i biznesit është krejtësisht i ndryshëm me atë në të shkuarën; është më i ndërlikuar dhe më i ndërlidhur. Organizatat ndeshin risqerisqe të reja dhe të panjohura, por gjithashtu edhe mundësi të reja dhe të pashfrytëzuara. Duke konsideruar mundësitë e reja, një sërë sfidash e risqesh të mundshme gjatë këtij viti – disa prej tyre të pritshme dhe disa të tjera unike për 2018 – planet e auditimit duhen parë si struktura që ndryshojnë kur ndodhin ngjarjet, duke përfshirë edhe ato ngjarje që pwrbwjnw ndryshime thelbësore.
Duke pasur një pamje mjaft të gjerë organizatës, auditimi i brendshëm e ndihmon atë të përmbushë objektivat e saj duke sjellë një qasje sistematike dhe të disiplinuar për të vlerësuar dhe përmirësuar efektivitetin e menaxhimit të risk, kontrollit dhe proçeseve të qeverisjes. Rregullatorët dhe komitetet e auditimit duan dhe kanë nevojë për t’u siguruar që përpjekjet për të menaxhuar risqet janë të përshtatshme për të adresuar kërcënimet e mundshme tw ardhura nga konkurrentë të zotë, teknologji në zhvillim, ndryshime në tregjevesi dhe zhvillime të rregullatorëve (shih Internal Audit Future Trends: Emerging Trends and High-impact Areas of Focus).
Duke qenë se ekziston nevoja që auditimi i brendshëm të japë më shumë mbështetje strategjike dhe me vlerë të shtuar për të gjitha industritë, audituesit duhet të sigurohen që puna e tyre është në linjë me të gjitha risqet kryesore, veçanërisht risqet strategjike dhe operacionale. Auditimi i brendshëm duhet të reagojë dhe të përshtatet lehtësisht me një mjedis risku dinamik.
Risqet ndryshojnë ndaj edhe planet më të mirëpërgatitura të auditimit duhet të jenë elastike dhe subjekt ndryshimesh kur risqe të reja shfaqen në çdo nivel të organizatës. Ky artikull trajton pesë risqet kryesore (për auditimin e brendshëm ose për organizatën) me të cilat përballen Drejtuesit e Auditimit të Brendshëm, siç janë identifikuar nga filialet e Institutit Global të Auditimit të Brendshëm (IIA). Këto risqe janë: Menaxhimi i Talenteve, Analiza e të Dhënave, Kibernetika, Rregulloret dhe Përgjigja ndaj Ndërprerjes1.
Menaxhimi i Talenteve Menaxhimi i Talenteve mbetet vazhdimisht një shqetësim prioritar për Drejtuesit dhe profesionistët e auditimit të brendshëm. Përgjatë viteve të fundit, Drejtuesit e Auditimit të Brendshëm janë përpjekur shumë për të gjetur kandidatët me aftësitë e nevojshme për të plotësuar rolet e reja dhe për të adresuar risqet e reja dhe ato ekzistuese. Duket qartë se ka një grup të kufizuar
1 Shënim i përkthyesit: Ndërprerje (Disruption në anglisht) do të përdoret në këtë dokument si një term për të shpjeguar ndryshimin e një mënyre tradicionale të të vepruarit të një industrie apo organizate në një mënyrë të re dhe efektive
globaliia.org
Global Perspectives and Insights
kandidatësh me aftësitë e duhura për të plotësuar nevojat në zhvillim për audituesit e brendshëm. Në vazhdim, ka një sfidë për të përshtatur mjedisin e punës me tiparet unike të gjeneratës së mijëvjeçarëve2, e cila ka pritshmëri më të mëdha dhe të ndryshme në lidhje me mbështetjen dhe vlerësimin, një përkufizim specifik për mjedisin e punës dhe parapëlqime për orare pune më fleksibël (shih 4 Strategies for Bridging the Internal Audit Talent Gap).
Në vitin 2015, tërheqja dhe mbajtja e talenteve u vlerësua si një prioritet i lartë ose kritik nga më shumë se 40% e të anketuarve në një studim global të IIA, ku më shumë se gjysma e të anketuarve e shpjegonin hendekun e njohurive me numrin e kufizuar tw audituesve me aftësitë e duhura. Sërish në 2017, në përgjigje të një anketimi të Qendrës së Audituesve Ekzekutivë të Institutit Global te Auditimit të Brendshëm (IIA Audit Executive Center®)), një shumicë e qartë (79%) prej përafërsisht 200 Drejtuesish të Auditimit të Brendshëm, identifikuan menaxhimin e talenteve si një risk kryesor e shumë të rëndësishëm për profesionin e auditimit të brendshëm. Sipas KPMG, talentet - ose mungesa e tyre - është konsideruar nga bordet drejtuese si një risk i vetë organizatave (enterprise risk). Ndërkohë që organizatat bëhen më globale, forca e punës që i mbështet ato vazhdon të zhvillohet, ndaj dhe menaxhimi i talenteve është kaq i rëndësishëm. Ndikimi dhe pasojat e mundshme të njëdefiçiti global të talenteve përfshijnë pamundësinë për të mbajtur aftësi udhëheqëse, sepse nuk ka frymë të shëndetshme për krijimin e udhëheqësve të ardhshëm, ndajdhe strategjitë e biznesit janë në dyshim sepse kandidatët nuk janë të aftë të marrin përsipër role kritike. Organizatat po kuptojnë se nuk janë të afta të trajnojnë dhe të këshillojnë brezat e rinj apo të mbajnë talentet kryesore ose të specializuara, duke shkaktuar kështu humbjen e kapitalit intelektual dhe të avantazhit konkurrues. Për më tepër dhe vazhdimisht, forca e punës që del në pension po shkakton mungesë të aftësive (shih Boardroom Questions: Talent Management...or Talent Risk?).
Për më tepër, për shkak të risqeve të reja që po shfaqen, si p.sh. analiza e të dhënave, menaxhimi i palëve të treta, siguria kibernetike, qëndrueshmëria, klima politike dhe pasiguri të tjera të ngjashme, organizatat presin më shumë prej audituesve të tyre të brendshëm. Ka ikur koha kur fokusi i auditimit të brendshëm ishte i kufizuar në detyra dhe projekte tradicionale të bazuara kryesisht në financë dhe në përputhshmëri.
Ndërkohë që auditimi i brendshëm nuk është në ”biznesin” e burimeve njerëzore, auditimit të brendshëm i duhet të vlerësojë se sa mirë menaxhimi po adreson këto risqe. Organizatat e ditëve të sotme kanë nevojë dhe presin që audituesit e brendshëm të ndërmarrin një qasje sa më të plotë auditimi, duke përfshirë mbikqyrjen e integruar të risqeve dhe krijimin e vlerës. Për këtë arsye, kërkimi për talentet më të mira, për aftësi dhe forcë në auditimin e brendshëm, është bërë shumë konkurrues.
2 Term në origjinal: Millenial Workforce
“
“Nëse auditimi i brendshëm do të jetë gati për të ardhmen, një nga pesë kriteret që duhet të zotërojë është zhdërvjelltësia. Ne duhet të jemi të zhdërvjellët mjaftueshëm që të dallojmë dhe reagojmë ndaj risqeve e reja, ta vlerësojmë riskun vazhdimisht dhe të përshtasim mbulimin me auditime sipas rastit. Gjithashtu, ne duhet të jemi të zhdërvjellët mjaftueshëm që të dallojmë mangësitë në aftësitë tona dhe t’i plotësojmë ato sa më shpejt. Sukses në të ardhmen do të kenë ato departamente të auditimit të brendshëm që do të kenë një strategji dinamike të
menaxhimit të talenteve.”
Richard Chambers, IIA President and CEO
globaliia.org
Global Perspectives and Insights
Pa zotëruar aftësitë e përshtatshme, auditimi i brendshëm do të anashkalojë apo nuk do të jetë në gjendje të auditojë plotësisht risqe specifike dhe jo tradicionale si: teknologjia, gjeopolitika, ekonomia, raportimet në zhvillim të korporatave, kultura, rregulloret e brendshme dhe ato globale. Sipas Society for Human Resource Management3, zotësia e auditimit të brendshëm që të zhvillohet përtej aftësive tradicionale financiare, operacionale dhe njohurive të përgjithshme të TI, si dhe fokusi në një pamje më të gjerë, janë faktorë vendimtarë.
Një aktivitet auditimi i brendshëm që zgjeron me kujdes aftësitë përkatëse dhe merr përsipër të kryejë punën bazuar në një arsyetim gjithëpërfshirës të profilit të riskut të organizatës, do të jetë i pregatitur më mirë që t’i shërbejë organizatës. Pjesë e kësaj përgatitje është rekrutimi i njerëzve me aftësi të avancuara në mendimt kritik dhe me njohuri të mirë të biznesit, së bashku me ekspertizë në fusha specifike ose me njohuri për industri specifike. Risqet jo tradicionale dhe të shfaqura rishtas do të ndikojnë universin e auditimit; për këtë arsye, auditimi i brendshëm duhet të zgjerojë gjerësinë dhe thellësinë e aftësive të tij.
Është thelbësore që Drejtuesit e Auditimit të Brendshëm t’i drejtojnë audituesit drejt zgjerimit të përvojës dhe aftësive të tyre, e të konsiderojnë “risinë e zakonshme” të risqeve gjatë vlerësimit dhe ekzekutimit të planeve të auditimit. Pa diskutim, trajnimet tradicionale mbi auditimin janë dhe do të mbeten gjithmonë të përshtatshme; por edukimi i vazhdueshëm dhe ekspozimi, përshtatshmëria, aftësitë e buta të mira, dhe njohuritë mbi proçeset dhe operacionet, janë të domosdoshme për t’ja dalë mbanë në botës së re të biznesit.
Aftësia për të menaxhuar gjithë talentin është jetike për suksesin e auditimit të brendshëm, dhe mund të sjellë përfitime afatgjata që shkojnë përtej plotësimit të mungesave rastësore të stafit. Për të optimizuar përpjekjet për menaxhimin e talenteve, Drejtuesit e Auditimit të Brendshëm dhe Menaxhimi i Lartë duhet të krijojnë qasje të mirë-menduara dhe të mirë-zhvilluara për të ristrukturuar dhe zgjeruar forcën e tyre të punës. Për të pasur efektivitet dhe për të ndërtuar, angazhuar dhe mbajtur aktivitetin e auditimit të brendshëm më të mirë të mundshëm, Drejtuesit e Auditimit të Brendshëm duhet të krijojnë strategji që të përfshijnë matjen çka pritet stafi ekzistues, çka pritet nga shtesat e parashikuara në stafin e tyre dhe po aq e rëndësishme, çfarë anëtarët e stafit duan të shohin dhe dëgjojnë nga drejtuesit e tyre për t’u rritur dhe për të arritur suksesin.
Një strategji e shëndetshme për menaxhimin e talenteve varet nga kombinimi i qasjeve. Drejtuesit e Auditimit të Brendshëm nuk do të munden t’i ”shpëtojnë” përgjigjësisë përsa i përket mungesës së talenteve. Ka një numër të kufizuar të kandidatëve me aftësitë e duhura për të adresuar risqet e së nesërmes, duke
3 Shoqëria për Menaxhimin e Burimeve Njerëzore
globaliia.org
Global Perspectives and Insights
përfshirë këtu ata kandidatë me aftësi në shkencën e të dhënave, mendimin inovativ, mendimin analizues/kritik, komunikimin e të tjera. Një strategji efektive përfshin të kuptuarit e aftësive dhe tipareve që nevojiten dhe kërkon përpjekje të vazhdueshme për të marrë, zhvilluar dhe mbajtur talentet më të mira.
Objektivat Kompetencat kolektive të auditimit të brendshëm drejtohen nga risqet që
vënë në lëvizje qëllimin e auditimit të brendshëm.
Drejtuesit e Auditimit të Brendshëm, komitetet e auditimit dhe menaxhimi ekzekutiv kanë një kuptim të plotë të aftësive që duhen për të mbështetur objektivat e organizatës dhe koston totale të stafit të auditimit të brendshëm.
Auditimi i brendshëm zbaton një proçes të qëndrueshëm të menaxhimit të performancës.
Drejtuesit e auditimit të brendshëm kanë aftësinë të trajnojnë, këshillojnë dhe angazhojnë brezat e rinj ose njerëz nga çdo brez që janë të rinj në profesionin e auditimit të brendshëm.
Plane të formalizuar për karrierën ekzistojnëgjithë stafin e auditimit të brendshëm.
Auditimi i brendshëm krijon programe për të tërhequr punonjësit e rinj dhe për të edukuar vazhdimisht çdokënd mbi kulturën e organizatës, oreksin për riskut dhe drejtimin strategjik.
Masat e veprimit Të rishikohet vlerësimi e riskut dhe plani i auditimit dhe të identifikohen
aftësitë që nevojiten për zbatimin e planit. Të ndërmerret një analizë mbi mungesat midis aftësive aktuale dhe aftësive të nevojshme dhe të zhvillohet një strategji për të plotësuar këto mungesa.
Të strukturohen apo dhe ri-sktrukturohen: rishikimet e performancës për të përfshirë kompetenca specifike të vendit të punës, objektiva të realizueshme që janë në linjë me planin strategjik të organizatës, si dhe struktura të pagës për profesionistë të specializuar si psh. analistët e të dhënave.
Të mbështeten dhe zhvillohen aftësitë brenda stafit ekzistues, në mënyrë që të përballohen më së miri ndërprerjet dhe të integrohen njohuritë ekzistuese në korporatë me aftësitë e reja të kërkuara.
Të kërkohen vazhdimisht aftësi të reja në tregun e punës. Të kërkohen kandidatë me përvoja të ndryshme, jo vetëm ata me diploma në financë dhe kontabilitet. Të konsiderohen palët e treta që ofrojnë shërbime si një burim për të siguruar në mënyrë të shpejtë aftësitë që duhen për të adresuar risqe komplekse dhe të specializuara.
Të krijohet një program efektiv për përfshirjen dhe transferimin e njohurive.
Audit Focus IIA Standard 1220: Due Professional Care Internal auditors must apply the care and skill expected of a reasonably prudent and competent internal auditor. Due professional care does not imply infallibility.
1220.A2 – In exercising due professional care internal auditors must consider the use of technology-based audit and other data analysis techniques.
globaliia.org
Global Perspectives and Insights
Analiza e të Dhënave Analiza e të dhënave është proçesi i mbledhjes dhe analizimit të të dhënave, dhe më pas përdorimi i rezultateve për të marrë vendime më të mira (Internal Auditing, 4th edition, 11-2, Internal Audit Foundation, 2017). Organizatat prodhojnë sasi të mëdha të dhënash nga operacionet e tyre, gjë që parashtron dy sfida kyçe për auditimin e brendshëm. E para është si të ndihmojë bordin dhe menaxhimin të kuptojnë sesi këto të dhëna mblidhen, administrohen, mbrohen dhe shfrytëzohen. E dyta është si mund të shfrytëzohen të dhënat në rritje, nga këndvështrimi i auditimit të brendshëm, në përdorimin e mjeteve analitike në proçeset ekzistuese të auditimit, automatizimi i auditimeve rutinë dhe fokusimi në zonat që shfaqin risk (shih Risk in Focus: Hot Topics for Internal Audit 2018).
Në thelb, analiza e të dhënave zbërthen sasi të mëdha të dhënash, dhe i rindërton përsëri në pjesë më të vogla, duke mundësuar kuptimin dhe interpretimin e këtyre të dhënave. Me këtë informacion, auditimi i brendshëm mund të analizojë riskun e të gjithë popullatës dhe korrelacionet e mundshme, mund të ofrojë njohuri dhe parashikime, dhe të raportojë mbi çështje që shqetësojnë dhe u interesojnë grupeve të interesit. Administrimi i analizës së të dhënave, dhe risqeve që lidhen me të, mund të jetë i vështirë. Të nxjerrësh rezultate kuptimplote nga moria e të dhënave -
Fokus për Auditimin IIA Standard 1210: Aftësia Audituesit e brendshëm duhet të zotërojnë njohuri, aftësi dhe zotësi të tjera të nevojshme, për të përmbushur përgjegjësitë individuale. Aktiviteti i auditimit të brendshëm bashkarisht duhet të zotërojë ose të fitojë njohuritë, aftësitë dhe zotësitë e nevojshme për të përmbushur përgjegjësitë përkatëse.
IIA Standard 1230: Zhvillimi i vazhdueshëm profesional Audituesit e brendshëm duhet të zgjerojnë njohuritë, të rrisin aftësitë dhe zotësitë e tjera të tyre nëpërmjet zhvillimit të vazhdueshëm profesional.
Fokus për Auditimin IIA Standard 1220: Kujdesi i duhur profesional Audituesit e brendshëm duhet të tregojnë kujdesin dhe aftësitë e pritshme nga një auditues i brendshëm kompetent dhe i matur në shkallë të arsyeshme. Kujdesi i duhur profesional nuk nënkupton pagabueshmëri.
1220.A2 – Në ushtrimin e kujdesit të duhur profesional, audituesit e brendshëm duhet të marrin parasysh përdorimin e auditimit të mbështetur në teknologji dhe në teknika të tjera të analizimit të të dhënave.
globaliia.org
Global Perspectives and Insights
dhe të kthesh këtë njohur në veprim - ndonjëherë është më e thjeshtë të thuhet se sa të realizohet. Në mënyrë që analiza e të dhënave të jetë efektive, duhet që njerëzit e duhur, formatet, proçeset dhe teknologjia e duhur të jenë të mirë organizuara.
Duke patur më shumë se kurrë një mori informacioni në dispozicion të menjëhershëm, menaxhimi dhe bordi duhet të kuptojnë që të dhënat në sasi të mëdha, e ekspozojnë organizatën ndaj risqeve të lidhura me të dhënat financiare dhe jo-financiare. Disa zona të riskut duhet të adresohen në çdo iniciativë për analizim të dhënash (shih Understanding and Managing the Risks of Analytics):
Risku i Cilësisë së të Dhënave dhe Informacionit – Vendimmarrësit kanë nevojë për të dhëna që komunikojnë dhe promovojnë një njohje të koncepteve komplekse. Të gjitha të dhënat dhe informacionet duhet të kenë përkufizime dhe standarte të qarta të cilësisë.
Risku i Përputhshmërisë së të Dhënave dhe Informacionit – Mungesa e përputhshmërisë me kërkesat e një agjenti të autorizuar apo të njohur (zakonisht bëhet fjalë pë autoritetet rregullatore, shtetin, apo autoritete ndërkombëtare) mund të sjellë rezultate jo të favorshme si gjoba financiare, punë shtesë, ose përgjegjësi personale.
Risku i Qeverisjes së të Dhënave dhe Informacionit – Të dhënat dhe informacioni duhet të kontrollohen me kujdes duke u bazuar tek parimet dhe proceset e administrimit të riskut, në nivele të përshtatshme, për të siguruar privatësinë, sigurinë, cilësinë dhe verifikimin.
Risku i Përdorimit të Papërshtatshëm ose të Parakohshëm të Analizave – Analizat nuk do të jenë të vlefshme kur nuk ka kohë të mjaftueshme për mbledhjen, përpunimin dhe interpretimin e të dhënave; kur nuk ka histori apo preçedentë që kanë lidhje me vendimet apo kur të dhënat historike janë çorientuese; ose kur variablat kyç nuk mund të maten apo kanë një shkallë të lartë pasigurie.
Risku i Ndikimit Kundërkulturor – Shtyrja e iniciativave analitike në një kulturë organizative që nuk është e orientuar drejt të dhënave mund të sjellë një risk domethënës tek drejtuesit; iniciativat analitike duhet të përfshijnë një vlerësim të sistemit vendimmarrës të organizatës dhe nivelin në të cilin organizata ka një kulturë të orientuar drejt të dhënave.
Risku i Etikës së të Dhënave – Iniciativat e analizës së të dhënave duhet të përputhen me vlerat kryesore, vendimmarrjen dhe sjelljet e organizatës. Kontrollet duhet të jenë të mirë vendosura në mënyrë që të sigurohet mbledhja dhe përdorimi etik i të dhënave.
Auditimi i brendshëm duhet të jetë gjithmonë në dijeni të rreziqeve që mund t’i shfaqen organizatës nga projektet me sasi të mëdha të dhënash, veçanërisht kur stafit i mungojnë aftësitë. Kërkesa për analizë të dhënash është në rritje
globaliia.org
Global Perspectives and Insights
dhe shumë shpejt, nëse nuk është tashmë, do të jetë një pjesë përbërëse e çdo organizate. Edhe pse është e rëndësishmë që organizatat të marrin pjesë në projekte me sasi të mëdha të dhënash në mënyrë që të vazhdojnë të jenë konkurruese dhe të mos mbeten mbrapa, ka disa risqe që duhet të merren parasysh:
Siguria e të dhënave.
Privatësia e të dhënave.
Kostot.
Të dhëna të pasigurta, të pavlefshme, të pamjaftueshme apo jo të duhura.
Proçese analitike të pasigurta, të pavlefshme, të pamjaftueshme apo jo të duhur.
Teknologjia po ndryshon botën ku jetojmë me shpejtësinë e dritës, dhe në qoftë se nuk jemi të përgatitur siç duhet, pasojat e këtij ndryshimi mund të jenë mjaft të rënda. Teknologjia gjeneron një sasi akoma dhe më të madhe të dhënash, dhe auditimi i brendshëm mund t’i përdorë këto të dhëna për të vlerësuar risqet më rrënjësisht, për të përmirësuar dorëzimin e auditimeve, dhe mundësisht për të rritur nivelin e sigurisë që ofron.
Rezultatet e rasteve studimore të kryera kohët e fundit, kanë treguar se përfitimet kryesore që vijnë nga analiza e të dhënave për auditimin e brendshëm përfshijnë: rritjen e efiçiencës, rritjen e efektivitetit, përmirësimin e siguridhënies, fokus më të madh tek risku strategjik, mbulim më të madh të auditimit, kursime domethënëse në terma kohore dhe vlera monetare në një periudhë afatgjatë. Megjithatë, në mënyrë që të ndjehen këto përfitime, auditimi i brendshëm duhet të vlerësojë se sa mirë programi i analizës së të dhënave i shërben qëllimit gjithëpërfshirës dhe aktiviteteve të dëshiruara.
Analiza e të dhënave është një mjet pune jetësor për auditimin e brendshëm, duke qenë se mund të sigurojë njohuri të groposura thellë tek të dhënat si dhe një testim më efiçient dhe efektiv. Shumë grupe të auditimit të brendshëm nuk kanë përshtatur ende teknologji të sofistikuara për analizën e të dhënave duke përdorur kështu akoma mjete dhe aplikacione të bazuara tek spreadsheets. Mbështetja nga komiteti i auditimit është thelbësore. Auditimi i brendshëm duhet të sigurohet që komiteti i auditimit është i informuar mbi rëndësinë e analizës së të dhënave (shih: Data Analytics: Is it Time to Take the First Step?).
Për të ndërtuar ose përmirësuar një program të analizës së të dhënave, Drejtuesit e Auditimit të Brendshëm duhet të marrin pjesë në diskutime me grupet e interesit për rezultatet e dëshiruara, duke përcaktuar objektivat për analizat dhe duke vendosur çfarë aftësish dhe teknologjish do të kërkohen.
Një nga pengesat kryesore për të ndërtuar një program efiçient për analizën e të dhënave – si dhe një risk i vazhdueshëm për auditimin e brendshëm - është një staf me aftësi të papërshtatshme që menaxhojë sasi të mëdha të dhënash. Duke qenë se ka një mungesë në këtë specialitet, programet analitike të
globaliia.org
Global Perspectives and Insights
auditimit të brendshëm mund të jenë aspak optimale, dhe kjo jo domosdoshmërisht për shkak të programit, por më tepër sepse nuk përdoret me potencial të plotë. Ashtu si me çdo iniciativë të re biznesi, projektet me sasi të mëdha të dhënash kanë një element risku. Në qoftë se mungon talenti për të administruar sasi të mëdha të dhënash, atëherë risku rritet akoma më shumë.
Objektivat Auditimi i brendshëm ka një kuptim të thellë të analizës së të dhënave dhe
teknologjisë, dhe si teknologji të avancuara mund të rrisin efektivitetin dhe efiçiencën e auditimit të brendshëm.
Auditimi i brendshëm vlerëson se sa mirë menaxhimi përgjigjet ndaj riskut të ri që sjell përdorimi i zgjeruar i analizës së të dhënave.
Auditimi i brendshëm përdor aftësitë e avancuara të programeve të analizës së të dhënave në dobi të plotë të organizatës (p.sh. vlefshmërinë dhe vëzhgimin e skemave dhe sjelljeve me risk të lartë, vlerësimin dhe saktësinë e proçeseve të vlerësimit të riskut që janë specifikë për organizatën, etj).
Auditimi i brendshëm shfrytëzojn teknologjinë për identifikimin që në faza të hershme të anomalive dhe treguesve të riskut të mashtrimit, dhe komunikon gjetjet kryesore.
Auditimi i brendshëm shfrytëzon teknologjinë për të përmirësuar mbulimin e përgjithshëm të riskut të organizatës me sa më pak orë pune dhe kosto.
Përshtatur pjesërisht nga First Steps in Building a Data Analytics Program for Your Internal Audit Team.
Masat Të vendoset se cilat rezultate nga analizat i shërbejnë më shumë
objektivave të auditimit të brendshëm, duke përcaktuar cilat janë nevojat kryesore dhe specifike për programin e analizës së të dhënave.
Të kuptohen përfitimet që programet analitike mund t’i ofrojnë organizatës dhe auditimit të brendshëm përsa i përket inovacionit dhe mundësive. Të identifikohen aftësitë e kërkuara për të implementuar më së miri programet dhe përcakto përfitimet.
Të konsiderohet analiza e të dhënave si një element kritik për biznesin, dhe të përshtatet angazhimi i auditimit për të arritur qasjen më të mirë të mundshme, të qëndrueshme dhe cilësore për menaxhimin e kuadrit të plotë të përputhshmërisë dhe kontrollit të organizatës.
Të angazhohet me menaxhimin për sa i përket rregullave specifike, pikave të të dhënave, kodeve dhe hipotezave në program që do të zbulojnë saktësisht parregullsitë ose modelet e mashtrimit.
Kibernetika Kriminelët kibernetikë, të sofistikuar dhe të mirëfinancuar, janë kundërshtarë të frikshëm, qoftë në rastet e sulmeve të pamëshirshme të grabitjes së
globaliia.org
Global Perspectives and Insights
informacionit të organizatave, ashtu edhe në rastet e pafundme të vjedhjes së identitetit. Ndërlidhja globale që kemi sot krijon një bote komplekse dhe plot me risqe, një vend i përshtatshëm për kriminelët kibernetikë. Teknikat që ata përdorin vazhdojnë të zgjerohen dhe zhvillohen aq shumë sa është e vështirë për të ndjekur hapin e tyre.
Të ndërtosh një plan kundër sulmeve kibernetike dhe të sigurosh që ky plan është efektiv, është një punë që kërkon 24 orë çdo ditë; nuk është një çështje nëse do të ndodhë sulmi – pasi ky sulm do të ndodhë - por kur do të ndodhë. Ka një ndryshim të madh midis ndërgjegjësimit për riskun kibernetik dhe gatishmërisë ndaj këtij risku. Të gjithë janë në dijeni të riskut sepse përballen me vërtetësinë e tij çdo ditë. Megjithatë, gatishmëria përfshin aftësinë e organizatës për të penguar sulmin e synuar apo për ta përballuar sulmin, duke lejuar kështu organizatën që “të marrë veten” tërësisht apo me dëme tepër të vogla pas këtij sulmit. Në mënyrë që organizatat të kenë qoftë edhe një mbrojtje të vogël ndaj fatkeqësisë së rrjedhjes së informacionit, duhet të jenë të afta të rezistojnë, të reagojnë dhe ta marrin veten nga sulmi kibernetik, pra të jenë mbijetues ndaj kibernetikës4.
Me rritjen e shqetësimit për çështjet kibernetike (p.sh. pirateria/ndërhyrja informatike, spear phishing, spiunazhi ekonomik, etj.), grupet e interesit po kërkojnë një vizibilitet më të madh të programeve të administrimit të riskut kibernetik që zotëron organizata, po ashtu dhe bordet kërkojnë një rishikim të pavarur, objektiv dhe gjithëpërfshirës të riskut kibernetik dhe programeve kibernetike nga auditimi i brendshëm. Kështu, auditimi i brendshëm duhet të ketë njohuri mbi riskun e mundshëm dhe duhet të luajë një rol të rëndësishëm në zhvillimin e mbijetesës kibernetike5.
Fatkeqësisht, risku i sigurisë kibernetike nuk kufizohet tek risku i jashtëm, por një kërcënim potencial mund të vijë dhe nga vetë punonjësit apo partnerët e biznesit. Kështu, një komponent thelbësor i mbijetesës kibernetike është edhe administrimi i përshtatshëm dhe efektiv i kulturës organizative, ashtu si edhe vlerësimi i risqeve të saj. Kur bordet konsiderojnë kulturën, ata marrin parasysh edhe riskun e kulturës sepse është baza e çdo vendimi, sjelljeje dhe marrjeje përsipër të riskut për të gjithë organizatën. Auditimi i brendshëm mund të auditojë kulturën e riskut gjatë auditimeve standarte operacionale dhe financiare, duke mbledhur të dhëna dhe kryer rishikime joformale.
Duke qenë në krye, auditimi i brendshëm mund të ndihmojë menaxhimin të kuptojë më mirë efektivitetin e kontrolleve të sigurisë kibernetike në çdo fushë, edhe në nivelin në të cilin kultura e organizatës ndikon tek kërkesat, proçeset dhe aftësitë. Kultura nxit produktivitetin, vlerat, qëndrimet dhe praktikat e një organizate, dhe formohet e mirëmbahet nga disa faktorë të ndryshëm, prandaj auditimi i brendshëm mund të vlerësojë kulturën e riskut në të njëjtën mënyrë që vlerëson edhe fushat e tjera të organizatës (shih Internal Audit Future 4 Term në origjinal: cyber resilient 5 Shiko 4
globaliia.org
Global Perspectives and Insights
Trends). Auditimi i brendshëm mund të maksimizojë vlerën e vet duke arritur të kuptojë se si të vlerësojë kulturën dhe duke edukuar menaxhimin për rëndësinë e saj.
Në mënyrë që ekipi drejtues të kapërcejë riskun kibernetik, duke përfshirë këtu dhe kulturën, është e rëndësishme që ky ekip të ndërmarrë masa parandaluese, duke përfshirë trajnimet dhe programet e ndërgjegjësimit, dhe të sigurohet që këto masa parandaluese të shfaqen vazhdimisht dhe në sjelljen e vetë anëtarëve të këtij ekipi. Më pas, punonjësit, tregtarët, partnerët dhe kontraktorët e ngjashëm duhet të trajnohen dhe duhet të kuptojnë saktësisht se çfarë pritet nga ata duke u bazuar tek masat dhe protokollet e sigurisë kibernetike.
Strategjitë e vlerësimit të riskut të auditimit të brendshëm duhet të zhvillohen duke mbajtur parasysh të gjitha risqet që janë specifike për sigurinë kibernetike, dhe duke siguruar që ka përputhje me politikat dhe kontrollet e brendshme. Auditimi i brendshëm duhet të zhvillojë një qasje intensive auditimi që përputhet me nevojat e organizatës dhe të grupeve të interesit në çdo fushë që ka lidhje me çështjet kibernetike. Për të rritur efektivitetin, kjo gjë kërkon minimalisht instalimin e: aktiviteteve të kontrollit, një mjedisi kontrolli, vlerësimit të riskut, komunikimit dhe monitorimit, ashtu dhe një kornizë për vlerësimin e masave të sigurisë kibernetike (shih Risk in Focus: Hot Topics for Internal Audit 2018).
Si linjë e tretë e mbrojtjes, auditimi i brendshëm duhet të punojë me menaxhimin dhe bordin ndërkohë që këta të fundit zhvillojnë strategji dhe politika për sigurinë kibernetike në mënyrë që organizata të përmirësojë aftësinë për të identifikuar dhe zbutur riskun e sigurisë kibernetike; të përmirësojë marrëdhëniet me komitetin e auditimit dhe bordin në mënyrë që të sigurohet që janë të përfshirë; dhe të sigurohet që risku i sigurisë kibernetike është i integruar në mënyrë zyrtare tek plani i auditimit, me aftësitë e nevojshme (të brendshme6 - ose nëpërmjet bashkëpunimit me palë të jashtme7) për të zbatuar planin. Teknologjitë në zhvillim dhe tendencat e reja ndikojnë tek profili i riskut të sigurisë kibernetike të organizatës, prandaj auditimi i brendshëm duhet të ndjekë gjithashtu hapin e teknologjisë në zhvillim dhe të vlerësojë nivelin e dobësisë së organizatës dhe aktivitetet me risk që ndikojnë planin e preferuar të sigurisë kibernetike.
Objektivat Organizata ka një kulturë të mbijetesës kibernetike
Auditimi i brendshëm të kontribuojë nëpërmjet elementëve kyçë për ekzaminimin dhe gatishmërinë e sigurisë kibernetike:
o Mbrojtja dhe Zbulimi: Auditimi i brendshëm siguron një qasje të plotë për të identifikuar pikat ku një organizatë mund të jetë e dobët, dhe
6 Term në origjinal: in house 7 Term në origjinal: Cosourcing
“Drejtuesit nuk është e nevojshme të jenë teknikë për të luajtur një rol efektiv në mbikqyrjen e riskut kibernetik, por çdo bord drejtues mund të gjej mundësinë për të përmirësuar efektivitetin e praktikave të mbikqyrjes kibernetike.”
NACD Director's Handbook on Cyber-Risk Oversight, National
Association of Corporate Directors (NACD), 20177
Burimi: The Value of Visibility: Cybersecurity risk management
examination
globaliia.org
Global Perspectives and Insights
përfshin analizën e të dhënave që i përkasin fushës së tij të përgjegjësisë, për të dhënë alarmin kur diçka është e gabuar.
o Vazhdimësia e Biznesit: Auditimi i brendshëm siguron këshillim duke bashkëpunuar me menaxhimin për të planifikuar se si të përballen dhe kapërcehen skenarët e riskut që mund të ndikojnë vazhdimësinë e operacioneve, duke përfshirë sulmet kibernetike, fatkeqësitë natyrore ose vargjet.
o Menaxhimi i Krizës/Komunikimet: Auditimi i brendshëm ndihmon në planifikimin e menaxhimit të krizës dhe gatishmërinë e komunikimit duke siguruar kontrolle sigurie për efektivitetin dhe afatet kohore, dhe gjithashtu kryen analiza të planeve të ekzekutuara.
o Përmirësim i Vazhdueshëm: Auditimi i brendshëm shton vlerë duke siguruar njohuri dhe duke përmirësuar strategjitë dhe protokollet për një përgatitje më të mirë ndaj sulmit kibernetik.
Masat Të vlerësohet kultura organizative në lidhje me mbijetesën kibernetike.
Të kryehet vlerësimi i riskut për modelet e sigurisë dhe proçeset e sigurisë kibernetike dhe të bëhen rekomandime për përmirësime.
Të kryehen testime për sa i përket depërtimit të të dhënave8 nëpërmjet stafit të TI dhe kontraktuesve të jashtëm për të vlerësuar aftësinë e palëve të treta për t’u përshtatur me protokollet e vendosura.
Të kryhet analiza e ndryshimeve për mbijetesën kibernetike, të rekomandohen përmirësime, dhe të ndiqen aktivitetet e përmirësimit.
Të ndikohet kultura duke theksuar monitorimin dhe përgjigjen ndaj sigurisë kibernetike si përparësi kryesore.
Të sigurohet që plani i vazhdimësisë së biznesit testohet në mënyrë periodike dhe që merren masa korrigjuese ndaj mangësive të identifikuara.
Të zbatohet dhe nxitet një kulturë e fortë kibernetike dhe risku në gjithë organizatën, e cila me kalimin e kohës, do të influencojë dhe rrisë masat dhe protokollet e sigurisë kibernetike.
Rregulloret Në nivel global, organizatat përballen me kërkesa rregullatore të reja ose të ndryshuara, të projektuara pjesërisht për të mbrojtur konsumatorët ose interesin publik. Rregulloret e profilit më të lartë fokusohen në risqet dhe kontrollet financiare, privatësinë dhe sigurinë e të dhënave dhe kanë impakt në organizatat e të gjitha industrive.
8 Term në origjinal: Penetration testing
Fokus për Auditimin IIA Standard 2130: Kontrolli Aktiviteti i auditimit të brendshëm duhet të ndihmojë organizatën në mbajtjen e kontrolleve efektive, duke vlerësuar efektivitetin dhe efiçiencën e tyre dhe duke promovuar përmirësimin e vazhdueshëm.
2130.A1 – Aktiviteti i auditimit të brendshëm duhet të vlerësojë mjaftueshmërinë dhe efektivitetin e kontrolleve që vendosen si përgjigje ndaj risqeve brenda sistemeve të qeverisjes, të operacioneve dhe të sistemeve të informacionit të organizatës, në lidhje me:
o Arritjen e objektivave strategjikë të organizatës;
o Besueshmërinë dhe integritetin e informacionit financiar dhe operacional;
o Efektivitetin dhe efiçiencën e operacioneve dhe programeve;
o Ruajtjen e aktiveve; dhe o Përputhshmërisë me ligjet,
rregulloret, politikat, procedurat dhe kontratat.
globaliia.org
Global Perspectives and Insights
Monedhat Virtuale9 Sipas CNBC, monedhat virtuale mund të kalojnë nivelin e trillion dollarëve përsa i përket shumës, në vijim të një shitje të madhe të të gjitha monedhave dixhitale. Vlera e Bitcoin është e paqëndrueshme: Në fillim të 2018, luhatej midis $6,000 dhe $10,000. Thomas Glucksmann, drejtuesi i zhvillimit të biznesit në bursën e monedhave virtuale Gatecoin, shprehet se: “Njohja rregullatore në rritje e bursave të monedhave virtuale, hyrja e kapitalit institucional dhe zhvillimet e mëdha teknologjike, do të kontribuojnë në kthimin e tregjeve dhe do të nxisin rritjen e çmimeve të monedhave virtuale në nivele të larta këtë vit. Nuk ka arsye përse të mos shohim çmimin e Bitcoin të arrijë $50,000 në Dhjetor (2018)"
Globalisht, ndërkohë që institucionet e mëdha financiare përfshihen më shumë në teknologjinë blockchain dhe në tregtimin e monedhave virtuale, ato duhet të kuptojnë si të menaxhojnë konfliktet që mund të krijohen kur punonjësit tregtojnë monedha dixhitale në llogaritë e tyre personale. Çmimet në rritje të monedhave dixhitale nuk kanë tërhequr vetëm interesin e investitorëve dhe bankave, por departamentet e përputhshmërisë po i kushtojnë më shumë vëmendje. Konfliktet mund të lindin kur punonjësit e përfshirë ose ata që duan të investojnë në vendet e monedhave virtuale vendosin pozicionet duke pasur një avantazh të padrejtë. Zakonisht, punonjësit duhet të marrin leje përpara se të bëjnë investime që përfaqësojnë një konflikt interesi; megjithatë politikat janë shumë më të forta kur veprohet me monedhat virtuale, sepse tregtimet kryhen nëpërmjet një rrjeti të copëtuar të bursave, ndonjëherë në mënyrë anonime, dhe janë të vështira për t’u gjurmuar.
Përveç sa më sipër, ka një mungesë të rregullave të qarta nga rregullatorët në nivel global, duke e bërë më të vështirë për organizatat financiare të vendosin rregullat e tyre. Disa i konsiderojnë monedhat virtuale si mallra, të tjerë thonë që disa monedha virtuale mund të jenë letra me vlerë, por nuk përcaktojnë se cilat prej tyre. Rregullatorët globalë kanë qenë të shqetësuar për shkak të paqëndrueshmërisë së vrullshme gjatë kohëve të fundit të vlerës së Bitcoin dhe monedhave të tjera dixhitale, dhe mund të vendosin rregullore që mund të godasin rëndë (shih: Compliance Officers Sweat as Cryptocurrency Trades Go Mainstream).
Rregulloret mbi Mbrojtjen Globale të të Dhënave Mjaft qeveri po rrisin rregulloret mbi privatësinë e të dhënave. Dy shembuj janë Bashkimi Europian (BE) dhe Kina.
Pas katër vjetësh përegatitje dhe diskutimesh, Rregullorja për Mbrojtjen e të Dhënave të Përgjithshme (General Data Protection Regulation - GDPR) e BE, e cila zëvendëson Direktivën e Mbrojtjes së të Dhënave 95/46/EC, u miratua nga Parlamenti i BE në Prill 2016. GDPR hyri në fuqi në Maj 2018, në një kohë që vit
9 Term në origjinal: - Cryptocurrencies
“GDPR dhe pasojat po fitojnë mjaft rëndësi. Nga këndvështrimi i siguridhënies, komiteti i auditimit do të dëshironte që fillimisht ne ta vlerësojmë programin, por më pas të zhvillojmë një program të tonin në mënyrë të vazhdueshme, për t’u siguruar që biznesi i ka të gjitha proçeset e duhura në rregull, në mënyrë që të vazhdohet përputhja.”
Drejtuesi i Auditimit i një grupi bankar ndërkombëtar
Burimi: Risk in Focus: Hot Topics For Internal Audit 2018
globaliia.org
Global Perspectives and Insights
pas viti, thyerja e të dhënave10 është bërë më e madhe, më e ndërlikuar dhe më e kushtueshme. Thyerja e të dhënave është rritur thellësisht në 2017, shumë më tepër se rritja e raportuar me 40% nga 2015 në 2016. (Për më shumë detaje, shiko “Thyerja e të Dhënave 2017” - “2017 Data Breaches,” në faqen tjetër.)
Megjithëse shumë kompani kanë politika privatësie në linjë me direktivën e vjetër, rregullorja e re GDPR përmban disa mbrojtje të reja për të dhënat e BE dhe premton të gjobisë ose penalizojë kontrolluesit dhe përpunuesit e të dhënave për mospërputhje kur ajo të hyjë në fuqi. Thënë thjesht, çdo organizatë (lokale apo ndërkombëtare) që bën biznes në Europë ose që trajton të dhëna personale të rezidentëve të BE, duhet të veprojë në përputhje me rregullat e reja.
Për thyerjet më të rënda nga mospërputhjet me dispozitat kryesore, rregullatorët kanë autoritetin të vendosin gjoba që shkojnë deri në më të madhen midis €20 milionë ose 4 % të xhiros global vjetore gjatë vitit të mëparshëm. Ka një qasje me nivele të ndryshme përsa i përket gjobave (psh. një kompani mund të gjobitet 2% për mosmbajtjen e të dhënave në rregull [Neni 28], për mosnjoftimin e autoritetit mbikqyrës dhe subjektit të të dhënave në lidhje me thyerjen, ose për moskryerjen e një vlerësimi të impaktit). Është me rëndësi të theksohet se këto rregulla aplikohen te të dy palët, kontrolluesit dhe përpunuesit, që do të thotë se serverat në re nuk do të përjashtohen nga detyrimet e rregullores GDPR. Shembuj të tjerë në këtë kategori janë mosndjekja e parimeve bazë të përpunimit të të dhënave personale, shkelja e të drejtave të subjektit të të dhënave, transferimi i të dhënave personale në vende të treta ose në organizata ndërkombëtare që nuk sigurojnë një nivel të mjaftueshëm të mbrojtjes së të dhënave (shih The EU General Data Protection Regulation).
10 Term në original: Data breach
globaliia.org
Global Perspectives and Insights
Thyerjet e të Dhënave 2017
Muaji Organizata Shkelja/Thyerja
8 Janar 2017 E-Sports Entertainment Association (ESEA)
1,503,707 të dhëna të shtuara në bazën e të dhënave dhe rrjedhje të dhënash përfshirë informacione personale/private.
2 Shkurt 2017 Xbox 360 ISO dhe PSP ISO
Janë prekur 1.2 milionë përdorues të Xbox 360 ISO dhe 1.3 milionë përdorues të PSP ISO; janë vjedhur informacione personale/private.
15 Mars 2017 Dun & Bradstreet Mbi 33 milionë kontakte korporative janë shpërndarë nëpërmjet internetit, përfshirë Departamentin e Mbrojtjes të SHBA dhe Shërbimet Postare të SHBA; janë vjedhur informacione personale/private.
6 Prill 2017 FAFSA: IRS Data Retrieval Tool
Mbi 100,000 tatimpagues/studentë mund të kenë pasur informacion personal/privat të vjedhur.
10 Maj 2017 Bronx Lebanon Hospital Center
Të paktën 7,000 pacientë midis 2014 dhe 2017 mund të kenë pasur të kompromentuara informacione tepër personale, përfshirë varësitë, diagnostikime të shëndetit mendor dhe mjekësor, statuse HIV dhe raportime mbi përdhunime.
20 Qershor 2017 Deep Root Analytics
Përafërsisht 198 milionë qytetarë amerikanë të ndikuar, sepse organizata Deep Root Analytics e kontraktuar nga Komiteti Kombëtar Republikan, ruajti informacione private/personale në një server re pa mbrojtje me fjalëkalim, duke e lënë të ekspozuar për më shumë se dy javë.
13 Korrik 2017 Verizon Informacioni i 14 milionë nënshkruesve i ekspozuar, sepse informacioni mbahej në një server të pasiguruar; të dhënat e marra ishin skedarë të shënuar, të nxjerrë kur klientët kontaktonin Verizonin nëpërmjet telefonit.
30 Gusht 2017 Online Spambot 711 milionë adresa e-maili dhe fjalëkalime të mbledhura nga një server i pasiguruar.
7 Shtator 2017 Equifax 143 milionë klientë mund të kenë qenë të prekur për shkak të hakerave që shfrytëzonin një pikë të dobët në softwarin e faqes së internetit; informacion personal/privat i ekspozuar, përfshirë numra të sigurimeve shoqërore dhe numra të kartave të kreditit.
12 Tetor 2017 Hyatt Hotels Hyrje e paautorizuar në informacionin e pagesave me kartat e debitit dhe kreditit, përfshirë numra të kartave të kreditit, kode verifikimi të brendshëm dhe emra të mbajtësve të kartave që ishin përdorur (swiped) në 41 prona në 11 shtete.
21 Nëntor 2017 Uber Informacion personal i ekspozuar i 57 milionë shoferëve dhe klientëve, përfshirë emra, adresa e-maili dhe numra telefoni.
10 Dhjetor 2017 TIO Networks (PayPal)
Mbi 1.6 milionë klientë të identifikuar si të kompromentuar, përfshirë informacione mbi llogaritë bankare, informacione mbi pagesat me karta, fjalëkalime, emra përdoruesish dhe numra të sigurimeve shoqërore.
Përshtatur nga: Therja e të Dhënave 2017 – Më e keqja deri tani
globaliia.org
Global Perspectives and Insights
Gjithashtu përcaktimi dhe kushtet e “pëlqimit11” janë kufizuar ndjeshëm. Më parë, kontrolluesit e të dhënave lejoheshin të mbështeteshin në pëlqimin e nënkuptuar dhe “përjashtimor” në disa rrethana. Që prej 25 Maj 2018, rregullorja GDPR shtrëngon kushtet për “pëlqimin” dhe kompanitë nuk do të jenë më në gjendje të përdorin terma dhe kushte të gjata dhe të pakuptueshme mbushur me gjuhë ligjore, sepse kërkesa për pëlqim duhet dhënë në një formë lehtësisht të kuptueshme, ku qëllimi për përpunimin e të dhënave të jetë bashkëngjitur këtij pëlqimi. Pëlqimi duhet të jetë i qartë dhe i dallueshëm nga çështjet e tjera dhe i ofruar në një gjuhë të qartë dhe të thjeshtë. Ashtu si jepet, pëlqimi duhet të jetë i lehtë për tú tërhequr prapa. Për më tepër, kur pëlqimi tërhiqet, subjektet e të dhënave kanë të drejtë të kenë të dhënat e tyre personale të fshira dhe të papërdorshme për përpunim të mëtejshëm (shih The Top 10 Operational Impacts of the EU's General Data Protection Regulation).
Rregullorja GDPR do të ndikojë ndjeshëm përpjekjet për sigurinë kibernetike të Gjermanisë. Në Maj 2017, legjislacioni përshtati një version të rishikuar të Aktit Federal të Mbrojtjes së të Dhënave, i cili hyri në fuqi së bashku me Rregulloren GDPR në 25 Maj 2018. E njohur për ligje të forta kombëtare për mbrojtjen e të dhënave, me gjoba deri në €300,000, Gjermania po shkon tani drejt standardeve të rrepta të sigurisë kibernetike duke ngarkuar përgjegjësinë e mbrojtjes së përdoruesve dhe sigurimit të informacionit kibernetik tek ofruesit e shërbimeve dhe operatorët e
11 Term në origjinal: Consent
Fokus për Auditimin IIA Standard 2120: Menaxhimi i Riskut Aktiviteti i auditimit të brendshëm duhet të vlerësojë efektivitetin dhe të kontribuojë në përmirësimin e proceseve të administrimit të riskut.
2120.A1 – Aktiviteti e auditimit të brendshëm duhet të vlerësojë ekspozimet ndaj riskut të lidhura me qeverisjen, operacionet dhe sistemet e informacionit të organizatës në lidhje me:
o Arritjen e objektivave strategjikë të organizatës;
o Besueshmërinë dhe integritetin e informacionit financiar dhe operacional;
o Efektivitetin dhe efiçiencën e operacioneve dhe programeve;
o Ruajtjen e aktiveve; dhe o Përputhshmërinë me
ligjet, rregulloret, politikat, procedurat dhe kontratat.
globaliia.org
Global Perspectives and Insights
infrastrukturave kritike. Akti i ri përmban 85 dispozita, ëshumë prej të cilave të referuara edhe në Rregulloren GDPR të BE. Operatorët e infrastrukturave kritike duhet të zbatojnë masat e duhura të mbrojtjes organizative dhe teknike si dhe masa të tjera në përputhje me shkallën më të lartë të mundshme brenda dy viteve pas hyrjes në fuqi të legjislacionit ndihmës që do të përcaktojë këto masa mbrojtje. Për më tepër, operatorët e infrastrukturës kritike duhet të provojnë rregullisht që i përmbushin kërkesat e sigurisë dhe të njoftojnë Bundesamt für Sicherheit in der Informationstechnik (BSI) menjëherë për çdo ndërprerje të rëndësishme të disponueshmërisë, integritetit, vërtetësisë dhe konfidencialitetit të sistemeve të tyre të TI, përbërësve dhe proçeseve që mund të rezultojnë ose kanë rezultuar në dështim ose dëmtim të funksionimit të infrastrukturës kritike në përdorim të tyre (shih What You Need to KnoW About Germany’s Cybersecurity Law).
Ndërkohë që Kina kishte dhe më parë ligje, rregulla dhe rregullore të rrepta në lidhje me sigurinë e informacionit, kohët e fundit vendosi një ligj gjithëpërshirës që plotëson boshllëqet midis sigurisë kibernetike dhe mbrojtjes së të dhënave (në fuqi që prej Qershorit 2017) dhe që bashkohet me dispozitat e Rregullores GDPR të BE. Në shumë aspekte, Ligji i Sigurisë Kibernetike i Republikës Popullore të Kinës pajtohet me Rregulloren GDPR (shih Risk in Focus: Hot Topics For Internal Audit 2018). Ky Ligj ka sjellë ndryshime që i kushtojnë më shumë vëmendje mbrojtjes së të dhënave personale dhe privatësisë, duke standartizuar mbledhjen dhe përdorimin e informacionit. Për shembull, më parë ndërmarrjet e huaja transferonin informacion jashtë Kinës; tani ligji përcakton që të dhënat e ndjeshme duhet të ruhen brenda vendit, dhe ka gjoba të forta për shkeljet e ligjit, duke përfshirë pezullimin e aktivitetit të biznesit. Gjobat mund të arrijnë në RMB 1,000,000. (Për më shumë detaje, shih: Ndryshimet në Ligjin e Sigurisë Kibernetike të Kinës”, në faqen tjetër).
Por Ligji i Sigurisë Kibernetike ka pasur edhe kundërshtime. Siç është raportuar nga The New York Times në Maj 2017, “një koalicion i grupeve lobuese të biznesit që përfaqëson kompani Europiane, Amerikane dhe Aziatike, i është drejtuar Kinës që të vonojë zbatimin e Ligjit, ndërkohë që Dhoma e Tregtisë së Bashkimit Europian në Kinë ka kërkuar për kohë shtesë për t’i mundësuar kompanive që të përmbushin “detyrimet e konsiderueshme për përputhshmëri”.
globaliia.org
Global Perspectives and Insights
Pavarësisht faktit nëse po bëjnë biznes në Bashkimin Europian, Kinë apo në ndonjë prej vendeve të tjera me rregullore në rritje përsa i përket privatësisë së të dhënave, organizatat po ndjejnë efektet përkatëse. Bordet janë duke shtyrë për korniza qeverisëse më të forta brenda organizatave të tyre, ndërkohë që vetë bordet janë duke u shtyrë nga rregullatorët, investitorët, dhe grupe të tjera të interesit që i bëjnë ata përgjegjës për efektivitetin e proçeseve të tyre të përgjithshme (shih Of Corporate Governance, Risk Management, and Internal Audit). Rregulloret e reja rrisin kostot dhe vendosin presion mbi organizatat duke shtuar kompleksitetin e menaxhimit të riskut, kontrollit dhe proçeseve të qeverisjes.
Ndërkohë që presioni mbi bordet rritet, po ashtu ushtrohet presion dhe mbi auditimin e brendshëm. Organizatat hedhin syte nga auditimi i brendshëm me pritshmëri të mëdha. Ato njohin nevojën që auditimi i brendshëm të ofrojë këshillim dhe siguri në të njëjtën kohë që ato shndërrojnë forcat ndërprerëse
12 Term në anglisht: E- governance
Ndryshimet në Ligjin e Sigurisë Kibernetike të Kinës
Neni Varianti përfundimtar Ndryshimet e rëndësishme
31 Në lidhje me mbrojtjen e sigurisë kibernetike, shteti thekson mbrojtjen e infrastrukturës së informacioneve kritike në komunikimin publik dhe shërbimet informatike, energji, financë, transport, ruajtjen e ujit, shërbimet publike dhe shërbimet e- qeverisëse12, si dhe informacione të tjera kritike që do të mund të shkaktonin dëmtime serioze në sigurinë kombëtare, në ekonominë kombëtare dhe në interesin publik në rast shkatërrimi, humbje funksionaliteti dhe rrjedhje të dhënash.
Ky nen përcakton industritë dhe sektorët në të cilët do të ketë përparësi mbrojtja e infrastrukturës së informacioneve kritike.
43 Individët kanë të drejtë të kërkojnë nga operatorët e rrjetit të korrigjojnë gabimet në informacionin personal të mbledhur apo të ruajtur nga ata. Operatorët e rrjetit duhet të marrin masa të heqin ose të korrigjojnë gabimet.
Ky nen u jep qytetarëve më shumë të drejta për të mbrojur informacionin e tyre personal dhe rrit detyrimin e operatorëve të rrjetit të korrigjojnë gabimet në kohën e duhur.
46 Individët ose organizatat janë përgjegjëse për përdorimin e rrjetit e tyre dhe nuk duhet të krijojnë adresa interneti ose grupe komunikimi për qëllime mashtrimi ose për aktivitete të tjera të paligjshme.
Ky nen thekson që individët dhe organizatat mbajnë përgjegjësinë për përdorimin e rrjeteve të tyre.
76(5) “Informacion personal” i referohet të gjitha llojeve të informacionit, të rregjistruara elektronikisht ose nëpërmjet mjeteve të tjera, që mund të përcaktojnë identitetin e personave fizikë në mënyrë të pavarur ose në kombinim me informacione të tjera, përfshirë, por pa u kufizuar në, emrin e një përsoni fizik, datën e lindjes, numrin e identifikimit, informacione biometrike personale, adresën dhe numrin e telefonit.
Ky nen zgjeron qëllimin e mbrojtjes së informacionit personal nga “qytetarët” te “personat fizikë”.
63 Njerëzit që shkelin Nenin 27 të ligjit dhe angazhohen në aktivitete që riskojnë sigurinë kibernetike mund të mbahen për 5 deri në 15 ditë dhe mund të gjobiten RMB100,000–RMB1,000,000, në varësi të rëndësisë së rastit.
Gjoba më e lartë për shkeljen e Ligjit të Sigurisë Kibernetike është rritur deri në RMB 1,000,000.
Burimi: Pasqyrim mbi Ligjin e Sigurisë Kibernetike të Kinës
globaliia.org
Global Perspectives and Insights
në mundësi, duke vepruar në përputhje me ndryshimet e vazhdueshme rregullative (shih KPMG Internal Audit: Top 10 Key Risks in 2016).
Çelësi për t’i mbijetuar forcave ndërprerëse është arritja e qeverisjes, menaxhimit të riskut, përputhshmërisë rregullative dhe një ekuilibri performance. Menaxhimi i këtyre sfidave mund të mbrojë dhe të rrisë vlerën e biznesit dhe të çojë drejt efiçiencës operacionale.
Objektivat Qartësimi i oreksit të riskut gjatë vlerësimit të projekteve dhe strategjive.
Ndërgjegjësim i mbarë organizatës për rregulloret aktuale kombëtare dhe ndërkombëtare.
Ndërmarrja e masave për përputhshmëri me rregulloret aktuale kombëtare dhe ndërkombëtare.
Koordinim i ofruesve të brendshëm dhe të jashtëm të sigurisë.
Masat Të kuptohen sistemet ndërkombëtare të përputhshmërisë dhe standardet e
sigurisë.
Të kryhet një inventar i autoriteteve rregullative aktuale dhe kërkesave të tyre.
Të vlerësohet qasja e organizatës në menaxhimin e aktiviteteve për përputhshmëri globale, përfshirë integrimin e organizatave të blera rishtas.
Të vlerësohet përgjigjja e organizatës ndaj rasteve të dukshme të mospërputhshmërisë.
Të rishikohen programet e trajnimit të përputhshmërisë dhe të vlerësohen sa të përshtatshme janë rolet përkatëse.
Të krijohet një koordinim midis ofruesve të brendshëm dhe të jashtëm të sigurisë për të siguruar mbulimin e duhur dhe për të zvogëluar mbivendosjen e përpjekjeve.
Të përmirësohet komunikimin në linjë me interesat dhe përparësitë e organizatës për të inkurajuar një kulturë përputhshmërie.
Të vlerësohet ndarja dhe ngarkimi i përgjegjësive për përputhshmërinë rregullative në organizatë.
Përgjigja ndaj Ndërprerjes Një ditë e re, një thirrje e re, një sinjal i re. Teknologjia e ditëve të sotme ndryshon vazhdimisht; është më e shpejtë, më e fortë, më e madhe (dhe më e vogël); arrin më larg dhe është më e fuqishme. Është si asnjëherë më parë. Çdo ditë audituesit e brendshëm ndeshen me mundësi të reja për të ofruar njohuri dhe largpamësi te grupet e interesit, por ata mund të mos kenë të zhvilluara
Fokus për Auditimin IIA Standard 2210: Objektivat e Angazhimit Objektivat duhet të vendosen për çdo angazhim.
2210.A3 – Për të vlerësuar qeverisjen, administrimin e riskut dhe kontrollet, nevojiten kritere të përshtatshme. Audituesit e brendshëm duhet të gjejnë deri në çfarë mase menaxhimi dhe/ose bordi kanë vendosur kritere të përshtatshme për të përcaktuar nëse janë përmbushur objektivat dhe synimet. Nëse janë të përshtatshme, audituesit e brendshëm duhet të përdorin këto kritere në vlerësimin e vet. Nëse nuk janë të përshtatshme, audituesit e brendshëm duhet të identifikojnë kritere të përshtatshëm vlerësimi përmes diskutimeve me menaxhimin dhe/ose bordin.
IIA Standard 2050: Koordinimi dhe Mbështetja
Drejtuesi i auditimit të brendshëm do duhet të shpërndajë informacion,të koordinojë aktivitete, si dhe të marrë parasysh mbështetjen në punën e ofruesve të shërbimeve të siguridhënies dhe këshillimit, si të brendshëm dhe të jashtëm, për të garantuar mbulimin e duhur dhe për të minimizuar mbivendosjen e përpjekjeve.
globaliia.org
Global Perspectives and Insights
aftësitë që lidhen me risitë, si psh. mendimin kritik dhe kreativitetin. Si pasojë, pa risinë, ata e gjejnë veten të paaftë që të trajtojnë të papriturat dhe duke u bërë kështu dhe më të ekspozuar ndaj vetëkënaqësisë. Audituesit e brendshëm duhet të përshtasin metodologjitë e tyre që të përdorin teknologjinë, të bëhen të zhdërvjellët dhe proaktiv dhe të ndryshojnë lehtësisht drejtimin që të mbajnë të njëjtin ritëm me risitë.
Ndërkohë që risitë, si psh teknologjitë e reja, ofrojnë mundësi të shkëlqyera për auditimin e brendshëm për të kryer projektet e auditimit, në shumë raste, inovacioni është i shoqëruar me risqe të reja, kërcënime dhe ndërprerje të cilat shtojnë çështjet e auditimit të brendshëm. Për shembull, në vend që të fokusohen (si zakonisht) vetëm te risqet, audituesit e brendshëm tani duhet të jenë të zotë që të identifikojnë shpejt ndërprerjet që mund të ndodhin dhe të përcaktojnë se cilat prej tyre kërkojnë vëmendje të menjëhershme ose të shtuar.
Një nga arsyet që një organizatë duhet të jetë në gjendje tѱ vazhdueshme inovacioni, është që të veçojë veten nga konkurrentët - dhe auditimi i brendshëm mund ta marrë një rol kryesor në këtë nismë. Sipas studimit “2018 North American Pulse of Internal Audit”, inovacioni paraqet dy alternativa përpara auditimit të brendshëm: ose të rishikojë sërish aftësitë e tij për të përmbushur një rol me rëndësi në rritje brenda organizatës, ose të konsiderojë praktikat e shkuara dhe t’i mbartë ato në të ardhmen. Alternativa e fundit është pothuajse një garanci për një dështim të sigurtë; prandaj auditimi i brendshëm duhet të jetë i hapur ndaj ideve krijuese (edhe atyre rrënjësore) dhe të jetë i gatshëm të përqendrohet në menaxhimin efektiv të risqeve përkatëse.
Sigurisht që sfidat do të të jenë të pranishme. Menaxhimi mund të mos ndjehet rehat me idenë e të bërit të gjërave ndryshe; buxhetet mund të kufizohen në varësi të mjedisit të biznesit, dhe mund të mungojnë ose të jenë të paktë kandidatët me aftësitë e kërkuara. Por lajmi i mirë është që auditimi i brendshëm nuk është vetëm. Auditimi i brendshëm mund të mësojë nga njësitë e tjera të biznesit, të organizatës, ose nga aktivitete të auditimit të brendshëm që kanë zhvilluar tashmë teknika specifike për të menaxhuar proçesin e inovacionit.
Inovacioni, kur “përqafohet” në mënyrën e duhur, është jashtëzakonisht me vlerë për auditimin e brendshëm dhe për gjithë organizatën:
Kostot zvogëlohen.
Vlera rritet.
Arrihet rritja dhe performanca e përmirësuar.
Produktet dhe shërbimet lëshohen më shpejt në treg.
Eksperienca dhe kënaqësia e klientit përmirësohet.
Fleksibiliteti dhe zhdërvjelltësia e organizatës rriten.
Kënaqësia e grupeve të interesit rritet.
“Unë besoj fort që auditimi i brendshëm ka një rol kyç në suksesin e organizatave tona. Por gjithashtu besoj se për të qenë në krye të detyrës, duhet të rifreskojmë angazhimin tonë për inovacion tek auditimi i brendshëm. Inovacioni duhet të jetë në thelb të detyrës së auditimit të brendshëm në qoftë se dëshiron të mbajë të njëjtin ritëm me zhvillimet në organizatat tona dhe përtej.”
Shannon Urban, Kryetare e Bordit të IIA Amerika e Veriut
(2017 – 2018)
Burimi: Audituesi i Brendshëm - Internal Auditor
globaliia.org
Global Perspectives and Insights
Inovacioni nuk çon vetëm drejt auditimit më të mirë dhe më efiçient, por inovacioni mbështet drejpërsëdrejti zhdërvjelltësinë kur mundëson një përgjigje më të shpejtë, më të zgjuar dhe më të fokusuar ndaj ndërprerjes (shih 2018 North American Pulse of Internal Audit: The Internal Audit Transformation Imperative). Kryetarja e Bordit të Institutit IIA të Amerikës së Veriut, Shannon Urban, inkurajon inovacionin në auditimin e brendshëm si kritik për rritjen e tij dhe të domosdoshëm për të përmbushur nevojat e ndryshueshme të grupeve të interesit. Mund të jetë një rrugë pak e parehatshme dhe e lodhshme, por është e vazhdueshme dhe kërkon dedikim dhe kurajë. Inovacioni mund të jetë gjithashtu shumë shpërblyes. Nëse auditimi i brendshëm dëshiron të njohë grupet e interesit dhe t’u shërbejë atyre mirë në të ardhmen, inovacionit është e vetmja alternativë (shih artikullin The Innovative Internal Auditor).
Objektivat Auditimi i brendshëm njeh ndryshimet në mjedisin e biznesit.
Auditimi i brendshëm përpiqet të zhvillojë një kulturë inovacioni dhe të forcojë aftësitë dhe performancën.
Auditimi i brendshëm synon drejt praktikave më të mira dhe për përmirësime që mund të përfitohen nëpërmjet inovacionit.
Auditimi i brendshëm kërkon për më shumë efiçiencë nëpërmjet inovacionit.
Masat Të hartohen dhe dhe zbatohen ide të reja, duke e bërë inovacionin një
themel qendror në praktikën e auditimit të brendshëm.
Të merret një rol drejtues, të parashikohen ndërprerjet e biznesit, të monitorohen ndryshimet në mjedis dhe të jepen një gamë më e gjerë përgjigjesh.
Të ndërtohet dhe investohet në marrëdhënie. Të ketë një lidhje me biznesin dhe të jihet i/e vetëdijshëm për inovacionet që janë duke ndodhur.
Të sqarohet tabloja e risqeve në zhvillim duke përcaktuar cilat ndërprerje kërkojnë vëmendje të shtuar.
Të jepen njohuri dhe një këndvështrim rreth risqeve në zhvillim që janë të shoqëruara me ngjarje ndërprerëse.
Të gjenden dhe tërhiqen kandidatët me kompetencat e duhura për t’u përgjigjur me shpejtësi dhe vendosmëri risqeve të reja apo në zhvillim.
Të bashkëpunohet me funksionet e tjera të menaxhimit të riskut dhe përputhshmërisë.
globaliia.org
Global Perspectives and Insights
Mendime Përmbyllëse Risqet e theksuara në këtë raport - të cilat janë identifikuar si zonat shqetësuese më të rëndësishme nga Institutet e IIA - nuk përfaqësojnë të gjitha risqet me të cilat përballohen organizatat ose auditimi i brendshëm. Përveç këtyre risqeve, Institutet identifikuan gjithashtu risqe që lidhen me komitetet e auditimit, buxhetet, linjat e mbrojtjes dhe strategjinë, të gjitha zona të rëndësishme të qeverisjes së organizatave që duhet të pranohen dhe të shqyrtohen. Risku hap derën për dështim në arritjen e misionit dhe objektivave strategjike të organizatës dhe kërcënon vlerën e përgjithshme të organizatës. Prandaj, përgjegjësia e auditimit të brendshëm, si një këshilltar i besuar që ndihmon në proçeset e menaxhimit të riskut, kontrollit dhe qeverisjes, kërkon që të konsiderohen të gjitha mundësitë e risqeve dhe të bëhen rekomandimet e duhura.
Në mbarë botën, organizatat mbështeten tek auditimi i brendshëm dhe në vlerësimet e tij. Për të mbetur i përshtatshëm dhë për t’u njohur si këshilltar i besuar, auditimi i brendshëm ka një detyrim që të marrë në konsideratë risqet që ndikojnë në përmbushjen e objektivave të tij, si dhe objektivave të organizatës. Për këtë arsye, auditimi i brendshëm duhet të jetë i fokusuar te rezultatet dhe i angazhuar të përmirësojë aftësitë e tij për të mirën e gjithë organizatës. Kjo kërkon zotësinë që të kapërcehen sfida dhe pengesa, të menduarit kritik; të qënurit i pavarur dhe objektiv; të vepruarit me zhdërvjelltësi; të ketë një fokus te drejtimi kundër riskut, real apo imagjinar; të lundrohet në “kohë” duke funksionuar si këshillues kur duhet; të ofrohet siguri kur duhet; dhe të kuptohet ndërvarësinë e të gjitha sistemeve, proçeseve, rregulloreve dhe operacioneve.
Filialet e IIA Institutet e IIA janë blloqet ndërtuesetë IIA. IIA ka bashkëpunim me Institutet e IIA në më shumë se 170 shtete dhe territore, në mënyrë që të përmbushë misionin e saj për të zhvilluar profesionin e auditimit të brendshëm dhe i shërben më shumë se 190,000 anëtarëve në nivel global. Institutet e IIA shërbejnë si përfaqësuesit ekskluzive të IIA-së, që kolektivisht, përfaqësojnë zërin e profesionit të auditimit të brendshëm duke promovuar standarte të larta etike dhe praktika profesionale në komunitetet e tyre të auditimit të brendshëm.
Rreth IIA Instituti i Audituesve të Brendshëm (IIA) është avokati, edukatori, dhe ofruesi i standarteve, instruksioneve dhe çertifikimeve të profesionit të auditimit të brendshëm më i njohur globalisht. Themeluar në 1941, IIA i shërben sot më shumë se 190,000 anëtarëve nga më shumë se 170 shtete dhe territore. Zyrat qendrore të institutit ndodhen në Lake Mary, Fla., USA. Për më shumë informacione, vizitoni www.globaliia.org.
Shënim Opinionet e shprehura në Pikëpamje dhe Njohuri Globale nuk janë domosdoshmërisht të individëve kontribues ose të punëdhënësve të kontribuesve.
E drejta e autorit E drejta e autorit © 2018 nga The Institute of Internal Auditors, Inc. Të gjitha të drejtat të rezervuara.
globaliia.org
