Институт внутренних аудиторов (Великобритания и Ирландия), август 2003
Профессиональная позиция. Источник: www.iia.org.uk. Перевод: Василий Кудрин.
Введение
Фокус работы внутреннего аудита за последние годы значительно изменился. Произошло смещение от системно-ориентированного аудита к процессно-ориентированному аудиту, и акцент в настоящее время делается на риск-ориентированный внутренний аудит.
Риск-ориентированный аудит – широко используемый, но часто не понимаемый термин. Данный документ имеет целью довести определенную точку зрения (позицию) относительно риск-ориентированного внутреннего аудита и предложить Вашему вниманию высококачественный подход его достижения.
Описание ситуации
Сегодня под внутренним аудитом понимается следующее.
«Внутренний аудит есть деятельность по предоставлению независимых и объективных гарантий и консультаций, направленных на создание добавленной стоимости и совершенствование хозяйственной деятельности компании. Внутренний аудит помогает компании достичь поставленные цели, используя систематизированный и последовательный подход к оценке и повышению эффективности управления рисками, контроля и системы корпоративного управления.»
Риск-ориентированный внутренний аудит – подход, способствующий достижению указанных требований. Стандарты профессиональной практики внутреннего аудита и связанные с ними Практические советы уделяют особое значение внедрению риск-ориентированного подхода во внутреннем аудите.
Данный подход также соответствует общеизвестному руководству Тернбулла (Turnbull) «Внутренний контроль: Руководство для директоров по корпоративному кодексу», которое требует от руководства применения «риск-ориентированного подхода в создании надежной системы внутреннего аудита и мониторинга ее эффективности» и внедрение риск-менеджмента и системы внутреннего контроля в корпоративную культуру.
Внутренним аудиторам следует внедрять риск-ориентированный подход в соответствии с тем, что уже применяется в компании. Имеется много подходов, которые могут быть применимы внутренним аудитом в зависимости от степени надежности процессов риск-менеджмента, используемых в компании, на которые внутренний аудит может полагаться. Это позволяет аудиторам избегать дублирования процессов, уже исполняемых менеджментом, и исследовать эти процессы и результаты.
Возможно, можно сказать, что внутренние аудиторы, итак, всегда концентрировали свои усилия на наиболее рисковых областях компании. Однако, такой подход исторически нацелен на оценку рисков, сделанную собственно внутренним аудитом. Ключевое отличие риск-ориентированного внутреннего аудита в том, что фокус должен быть нацелен на то, чтобы понять и проанализировать оценку рисков, сделанную самим руководством, и чтобы сосредоточить все усилия аудиторов вокруг этого процесса.
Что же такое риск-ориентированный внутренний аудит?
Цель риск-ориентированного внутреннего аудита состоит в том, чтобы дать независимые гарантии совету директоров в том, что:
- Процессы риск-менеджмента, которые внедрены руководством в компании, а именно все процессы риск-менеджмента на уровне всей компании, отдельных подразделений, бизнес-единиц, бизнес-процессов и т.п., – работают должным образом.
- Данные процессы риск-менеджмента надежно спланированы.
- Менеджмент адекватно и эффективно реагирует на принятые к управлению риски в плане их уменьшения до уровня, приемлемого для совета директоров.
- Также внедрена система контроля, достаточно надежно смягчающая риски, которые приняты к управлению.
Риск-ориентированный внутренний аудит начинается с бизнес-целей и, далее, фокусируется на тех рисках, которые выделяются самим руководством и которые могут препятствовать достижению целей.
Роль внутреннего аудита состоит в том, чтобы определить области, которые охвачены процессами риск-менеджмента, исполняемыми самим руководством в целях сокращения рисков до уровня, приемлемого для совета директоров (риск-«аппетита»).
В то время, как основной вклад внутреннего аудита в том, чтобы дать менеджменту гарантии качества работы с рисками, осуществляемой посредством процессов корпоративного управления и внутреннего контроля, он также может консультировать менеджмент по вопросам реагирования на риски, состоящим в решениях по ограничению, передаче или допущению рисков.
Риск-ориентированный подход во внутреннем аудите приведен схематично ниже:
Практика риск-ориентированного подхода во внутреннем аудите
Общая информация:
- Объем риск-ориентированного аудита, включает стратегические риски и бизнес-риски.
- Ключевая начальная точка – определение, установлены ли компанией соответствующие бизнес-цели и, далее, определение, есть ли у бизнеса адекватный процесс выявления (идентификации), оценки и управления рисками, который воздействует на достижение этих целей.
- В устоявшейся среде риск-менеджмента внутренний аудит может быть сосредоточен на:
– аудите инфраструктуры риск-менеджмента, например: ресурсах, документации, методах, отчетности;
– аудите всей системы внутреннего контроля всей организации и отдельных подразделений;
– проведении отдельных аудиторских заданий, которые преимущественно посвящены специфическим рискам. Там, где набор рисков контролируется посредством обычной системы или процесса, может быть правильнее проводить совмещенный аудит этой системы или процесса.
- В менее устоявшейся среде риск-менеджмента, там, где отдельные аудиторские задания преимущественно сфокусированы на законченных системах, процессах или бизнес-единицах, внутренний аудит включает обзор бизнес-целей и процессов риск-менеджмента в рамках каждой данной аудируемой единицы.
- Там, где процессы риск-менеджмента адекватны и внедрены, внутренний аудит, где это возможно, полагается на представление (видение) самой компании о рисках для того, чтобы определить объем необходимой аудиторской работы.
- Там, где на процессы риск-менеджмента нельзя положиться, внутренний аудит берет на себя оценку рисков (действуя вместе с руководством), чтобы определить точный необходимый объем работ и только после этого сфокусироваться на том, а как же руководство удостоверяется в том, что процессы риск-менеджмента работают должным образом.
- Конечный результат каждого аудиторского задания состоит в том, чтобы подтвердить, что риски управляются на приемлемом уровне (как определено риск-«аппетитом») или в том, чтобы содействовать необходимым улучшениям или договориться о них.
Диапазон риск-менеджмента
Очень важно понимать, что не все организации находятся на одной и той же стадии внедрения риск-менеджмента. Нижеприведенная диаграмма показывает стадии завершенности управления рисками и подход внутреннего аудита, который может быть применен на каждой стадии.
Каждая компания должна сама определить, как внедрять риск-менеджмент. Это поможет определить ее риск-«аппетит» и стадию развития риск-менеджмента. Например, не все компании будут стремиться быть полностью приспособленными к рискам, так как требуется сопоставлять затраты с предполагаемыми потенциальными выгодами. Диапазон риск-менеджмента – это прерогатива совета директоров и высшего руководства.
В дополнение к завершенности риск-менеджмента внутри компании масштаб (объем) области, к которой внутреннему аудиту нужно предпринять собственную оценку рисков, зависит от степени и скорости стратегических и организационных преобразований.
При аудите какого-либо проекта также должны быть охвачены процедуры риск-менеджмента, как покрывающие проекты в общем, так и касающиеся конкретно данного проекта.
Выводы
Риск-ориентированный аудит не препятствует использованию системно-ориентированных или процессно-ориентированных аудиторских процедур в случае необходимости. Однако, это все же подход, который сосредоточен на вопросах, имеющих отношение к компании, и на предоставлении гарантий в рамках системы риск-менеджмента, внедренного в компании. Риск-ориентированный аудит позволяет внутреннему аудиту быть непосредственно связанным со структурой риск-менеджмента, таким образом создавая синергетический эффект.