Руководство COSO по мониторингу систем внутреннего контроля

Комитет спонсорских организаций Комиссии Тредуэя (COSO) после долгого периода разработки выпустил окончательную версию Руководства по мониторингу систем внутреннего контроля.

Организации могут использовать широкий набор процедур мониторинга, включая, но не ограничиваясь этим:

  • Периодические оценки и тестирование контролей внутренним аудитом,
  • Программы постоянного мониторинга, интегрированные в информационные системы,
  • Анализ (и соответствующее исследование) оперативных отчетов и показателей, которые могут выявлять отклонения, указывающие на недостатки в контроле,
  • Управленческие обзоры контролей, такие как сопоставительные сверки в рамках обычного проведения процессов,
  • Самооценки, проводимые советом директоров и менеджментом касательно эффективности выполнения своих контрольных функций и общей корпоративной дисциплины,
  • Специальные запросы комитета по аудиту к внутренним и внешним аудиторов,
  • Оценки качества работы служб внутреннего аудита.

Введение (краткое изложение): посмотреть.

Формирование службы внутреннего аудита

Газета, стр. 15, 9 июля 2008 — Василий Кудрин, CIA, CFE, CCSA, старший менеджер, руководитель направления услуг в области внутреннего аудита компании «Эрнст энд Янг».

В настоящее время эффективная служба внутреннего аудита (СВА) приобретает все большее значение для успешного ведения бизнеса. Основные ожидания от СВА со стороны комитета по аудиту и менеджмента включают оценку и отчет о недостатках в системе внутреннего контроля, информирование об основных рисках компании и рекомендации по совершенствованию процессов контроля и бизнес-процессов.

При формировании СВА необходимо, во-первых, уделить внимание должному тону сверху. Необходимо помнить, что внутренний аудит — это не просто инструмент собственника, с помощью которого осуществляется проверка работы менеджмента.

Внутренний аудит — это функция, созданная для предприятия, которая помогает ему достичь поставленные цели. Но при этом она должна быть организационно независимой и объективной, следовательно, быть функционально, по всем основным вопросам подотчетной совету директоров / комитету по аудиту.

Подотчетность внутреннего аудита именно комитету по аудиту в составе совета директоров имеет определенный смысл, поскольку комитеты по аудиту, особенно в публичных компаниях, состоят в основном или полностью из независимых директоров. При такой системе повышается независимость внутреннего аудита не только от менеджмента, но и от отдельных крупных акционеров / владельцев компании, имеющих больший контроль над бизнесом, нежели миноритарии и другие заинтересованные стороны.

Компаниям рекомендуется разработать стратегию внутреннего аудита. Стратегия, как правило, представляет собой краткую презентацию, в которой изложено видение руководителя СВА того, какие цели и задачи будет выполнять СВА, какая политика мотивации и развития персонала необходима в СВА и т. п.

Стратегия представляется и согласуется с советом директоров и высшим руководством компании. На этом же этапе руководителю внутреннего аудита рекомендуется получить и оценить положение о комитете по аудиту на предмет того, как комитет по аудиту осуществляет свои надзорные функции над СВА, а также выработать положение о СВА.

Следующая стадия — определение фронта работ СВА в рамках годового плана. Планирование работы внутреннего аудита следует основывать на общекорпоративной оценке рисков. Если в компании не проводятся процедуры оценки рисков, СВА может взять на себя процесс сбора информации о рисках. Таким образом, СВА, с одной стороны, проводит свою «независимую» оценку рисков, а с другой, показывает руководству на практическом примере, как эти процедуры оценки рисков можно осуществлять. Поняв, какие ключевые риски свойственны бизнесу компании, СВА определяет, в каких процессах, функциональных и бизнес подразделениях, проектах, корпоративных инициативах они проявляются. Так выбираются объекты для аудита и формируется план работы СВА. Необходимо помнить, что при этом рассматривается весь набор бизнес-процессов компании и, следовательно, весь спектр рисков, а не только риски в области учета и отчетности. Налоговые и нормативные, правовые риски в современной российской действительности являются критичными. Так же, как правило, очень существенны риски мошенничества, риски в области управления инвестициями и проектами капитального строительства, риски в закупках и снабжении, риски в продажах и маркетинге, риски в управлении крупными контрактами.

Только потом детально прорабатываются вопросы ресурсообеспечения — кадрового (штатные сотрудники или аутсорсинг), материально-технического, финансового, а также определяется, какое методологическое и (впоследствии) программное обеспечение необходимо.

Модель компетенций внутреннего аудита

Theme:  Effective Internal Audit Competency Framework Тема: Эффективная модель компетенций внутреннего аудита
Master Class: Large Oil Company Мастер-класс: Крупная нефтяная компания
Date: April 29, 2008 Дата: 29 апреля 2008 года
Approach of development of effective internal audit competency framework integrated with current company’s human resourse management procedures. Подходы к построению эффективной модели компетенций внутреннего аудита с учетом принятых в компании процедур управления кадрами.
  • Components of Internal Audit people model.
  • Competency development approach.
  • Assessement tools.
  • Competency development program.
  • Integration with human resourse procedures.
  • Internal audit competency model.
  • Компоненты кадровой модели внутреннего аудита.
  • Подход к развитию компетенций.
  • Инструменты оценки.
  • Подготовка программы улучшения и развития компетенций.
  • Интеграция с процедурами управления кадрами.
  • Модель компетенций внутренний аудиторов.

Понятие внутреннего контроля и управление рисками (мастер-класс)

Theme: Internal Control and Risk Management Concept (Internal Audit Engagement Methodology: part 2) Тема: Понятие внутреннего контроля и управление рисками (Методология проекта внутреннего аудита: часть 1)
Project: CAE and Leadership Strategical Competence Проект: Развитие стратегических компетенций руководства внутреннего аудита
Dates, duration: July 5, 2007, 8 hours Даты, продолжительность: 5 июля 2007, 8 часов
Program: Effective practical approach to internal control and risk management implementation. Программа: Практика построения эффективной системы внутреннего контроля и управления рисками.
  • Definitions of internal control and risk management.
  • Conceptual frameworks for internal control and risk management integrated systems. COSO models and others.
  • Three-line defence model.
  • Practical approach to internal control system improvement.
  • Requirements of corporate governance regulation.
  • Определения внутреннего контроля и управления рисками.
  • Концептуальные модели интегрированных систем внутреннего контроля и риск менеджмента. Модели COSO и другие.
  • Модель «трёх линий защиты».
  • Практичный подход к построению системы внутреннего контроля.
  • Требования регуляторов корпоративного управления.

Понятие внутреннего аудита (мастер-класс)

Theme: Internal Audit Concept (Internal Audit Engagement Methodology: part 1) Тема: Понятие внутреннего аудита (Методология проекта внутреннего аудита: часть 1)
Project: CAE and Leadership Strategical Competence Проект: Развитие стратегических компетенций руководства внутреннего аудита
Dates, duration: July 3-4, 2007, 12 hours Даты, продолжительность: 3-4 июля 2007, 12 часов
Program: Internal audit role: practical implication, standards of internal audit profession. Программа: Роль внутреннего аудита: практическое понимание, стандарты профессии «Внутренний аудит».
  • Modern role and definition of internal auditing.
  • Independence and objectivity concepts. Assurance and consulting services of internal audit. Essence of systemic and disciplined approach.
  • Internal audit role in management of risk. Connection to internal control and risk management, conceptual frameworks.
  • Internal control and risk management  development program design.
  • The Standards of the Institute of Internal Auditors.
  • Современная роль и определение внутреннего аудита.
  • Концепция независимости и объективности. «Гарантии» и консультационные услуги внутреннего аудита. Cуть систематизированного и последовательного подхода.
  • Роль внутреннего аудита в управлении рисками. Взаимосвязь внутреннего аудита с внутренним контролем и управлением рисками. Концептуальные модели.
  • Стандарты международного Института внутренних аудиторов.

Combination: internal audit and fraud prevention (Комбинация: внутренний аудит и противодействие мошенничеству)

Master class: Internal Audit Function, Fraud Prevention and Investigation  Мастер-класс: Функция внутреннего аудита, предотвращение и расследование мошенничества
Project: Internal Control System Improvement (Coal Mining Enterprise) Проект: Совершенствование системы внутреннего контроля (предприятие угольной промышленности)
Date: January 18, 2007 Дата: 18 января 2007 года
Establishment of effective internal audit function as well as fraud prevention and investigation practice. Формирование эффективной службы внутреннего аудита и практики предотвращения и расследования мошенничества.
  • Combination of internal audit and anti-fraud practice.
  • Four lines of defense in anti-fraud.
  • Evolution of internal auditing.
  • Solution to develop integrated practice.
  • Комбинация работы функции внутреннего аудита и практики противодействия мошенничеству.
  • Четыре линии защиты в противодействии мошенничеству.
  • Развитие функции внутреннего аудита.
  • Решение и подход по построению комбинированной практики.
Link: presentation Ссылка: презентация (EN)

Внутренний аудит: перестройка имиджа

О развитии профессиональной услуги «Внутренний аудит», которая приобрела огромный интерес в последние годы как в международном, так и (теперь) в российском бизнесе — в статье Василия Кудрина, CIA, «Внутренний аудит: перестройка имиджа». Статья (с небольшими изменениями) впервые была опубликована в корпоративном журнале «ЮКОС-Ревю» № 4 (октябрь 2004 г.).

Что такое внутренний аудит?

Это «… деятельность по предоставлению независимых и объективных гарантий и консультаций, направленных на создание добавленной стоимости и совершенствование хозяйственной деятельности компании» (из Стандартов профессиональной практики внутреннего аудита). Гарантии и консультации — два продукта аудита. В одних аудиторских проектах (assurance) внутренние аудиторы дают разумные гарантии — ответ на вопрос, работает ли система внутреннего контроля, требует ли она улучшений. В других проектах (consulting) внутренние аудиторы могут работать как фасилитаторы, содействующие менеджерам в процессе принятия управленческих решений … при этом вовсе не участвуя в самом процессе принятия решений роли не участвуют.

Внутренний аудит развивается и эволюционирует. В настоящее время выделяется 4 роли внутреннего аудита в компаниях: (1) оценка соблюдения процедур, (2) оценка составляющих внутреннего контроля, (3) содействие менеджменту в совершенствовании и ре-инжиниринге бизнес-процессов (performance improvement), (4) в реализации принятой стратегии бизнеса.

«Внутренний аудит помогает компании достичь поставленные цели, используя систематизированный и последовательный подход к оценке и повышению эффективности управления рисками, контроля и системы корпоративного управления». Так понимается внутренний аудит в лучшей международной практике. Именно с таким пониманием сегодня работают уже многие внутренние аудиторы, практикующие в России.

Внутренний аудит — это искусство, наука и техника одновременно. Современный внутренний аудит — это не просто проверка соблюдения регламентов. Это скорее похоже на творческий изыскательский проект, где каждый пласт информации требует нового осмысления, объяснения, дополнительного анализа. Потребности современного бизнеса усложняются и изменяются. Сам бизнес это и есть перемены, движение вперед, а внутренний аудит — услуга, которая всецело этому содействует. Перемены неизбежны! Мы всегда живем в период перемен — и очень часто почему-то этому удивляемся! Вместо того, чтобы пассивно наблюдать, как они на нас влияют, нам необходимо уметь их предвидеть, предпринимать инициативу и помогать Компании извлекать преимущества из данных перемен.

Управление рисками и внутренний аудит.

Лучшая практика внутреннего аудита ориентирована на поиск эффективных методов управления рисками. Под бизнес-риском мы понимаем вероятность того, что событие или действие при своем наступлении повлияют на способность достижения целей либо приведут к убыткам, ущербу для Компании. По сути это то, что препятствует нашей качественной работе, удовлетворенности клиентов и мотивации сотрудников, — то, что препятствует достижению наших бизнес-целей. Значит, соответствующее построение риск-менеджмента — это главная предпосылка корректного, должного функционирования функции «Внутренний аудит» в Компании. Именно коренные изменения в управлении рисками (risk management), революция в некотором смысле, сделают возможным полноценное использование внутреннего аудита в компаниях.

Однако в России внутренний аудит исторически, по инерции воспринимается как контрольно-ревизионная работа. Именно поэтому сегодня внутренний аудит сталкивается с трудностями. Даже в тех компаниях, где функция «Внутренний аудит» развивается по международных примерам, один из существенных рисков аудиторского проекта — это предвзятое восприятие  работы внутренних аудиторов.

В чем перемены?

Первые задачи, связанные с построением службы внутреннего аудита во многих крупных компаниях, уже решены. Какие-то компании, чьи акции котируются в Нью-Йоркской фондовой бирже, к этому подтолкнули требования акта Сарабенса-Оксли (SOA, Sarbanes-Oxley Act); кто-то сам пришел к необходимости комплексной перестройки. Разработаны политики в области внутреннего аудита, приняты положения о внутреннем аудите, главное — выстроены организационные связи: в лучших практиках, а для кого-то по требованиям законодательства, внутренний аудит должен быть функционально подотчетен аудиторскому комитету совета директоров. Так обеспечивается независимость службы внутреннего аудита, а также формируется возможность постоянного контакта и конструктивном взаимодействия как с менеджментом, так и с советом директоров.

Проект внутреннего аудита можно рассмотреть как проект, задание (engagement), включающее 4 фазы:

  1. Определение предметной области и объема аудита (engagement scope);
  2. Планирование (engagement plan), в основном связанное с составлением программы проекта и планирование ресурсов;
  3. Выполнение (execute), или «полевые работы» (field work);
  4. Завершение (conclude), результатом которого является отчет (report). Отчет по результатам аудиторского проекта включает также план действий (action plan), разработанный менеджментом по результатам согласованных рекомендаций.

Определение предметной области.

    • Проект открывается (инициируется) — как на основе годового плана (annual plan / program) внутреннего аудита, утверждаемого советом директоров, так и по согласованию с топ-менеджментом компании.
    • Осуществляется сбор и анализ информации из различных источников, в том числе путем проведения интервью, составления опросников (questionnaires), организации выездов на объекты, «в поля» (preliminary surveys).

Важный шаг в аудиторском проекте — это встречи с клиентом. Аудиторы исходят из того, что встреча с клиентом должна быть тщательно подготовлена и проведена в конструктивной атмосфере. Ключевой фактор здесь — это всесторонняя подготовка встречи и профессионализм аудитора (due diligence).

Аудитор должен быть уверен, что работа, которую он делает, приносит пользу Компании и ее акционерам. Он должен понимать и уметь объяснять клиенту, в чем польза внутреннего аудита, почему и как им добавляется стоимость («add value» approach).

На этом же этапе совместно с клиентом рассматривается схема бизнес-процесса, определяются и оцениваются на SMART бизнес-цели, обсуждается с клиентом список бизнес-рисков, оценивается их «вероятность» и «значимость», то есть составляется карта, или профиль / матрица, бизнес-рисков (risk profile / matrix).

Принцип SMART (SMART, Specific, Measurable, Agreed to, Realistic, Time-bound) — специфично, измеримо, согласованно, реалистично, своевременно. Критерий или стандарт, в соответствии с которым измеряются бизнес-цели и управленческие планы действий.

  • Далее организуется встреча с куратором проекта со стороны клиента, где аудиторами добывается новая информация, и собирается информация, которая ранее не могла быть получена по различным причинам. На основе обсуждений, встреч, анализа информации формируется «техническое задание» (engagementproposal), необходимое для определения предметной области, или фронта и объема работ (engagementscope).

Планирование. В рамках «Планирования» аудиторы готовят программу внутреннего аудита и формируют команду аудиторов в соответствии с их компетенциями — знаниями, навыками и опытом. Далее организуется встреча аудиторов и менеджеров, на которую аудиторы приходит не только с концепцией аудиторского проекта, но и с программой проекта — графиком работ и конкретной аудиторской командой. По результатам такой встречи появляется письмо о взаимодействии, т.е. письма-обязательства (аналог engagement letter), которое является стандартом аудиторской практики. Данное письмо — есть договоренность между аудиторами и менеджерами о том, кто и что делает для того, чтобы на выходе получить результат в виде отчета внутренних аудиторов, включая разработанный менеджментом необходимый план действий.

Выполнение. После вступительной встречи стартует фаза «Выполнение». Некоторые аудиторские проекты теперь все больше охватывают всю Компанию, ведь бизнес в Компании все больше интегрируется, а с ним и система внутреннего контроля, и система управления рисками. При этом внутри стадии «Выполнение», как правило, организуются «полевые работы», выезды, особенно там, где необходимо понять, как система контролей выстроена на уровне бизнес-подразделений (business units).

«Выполнение» делится на 2 этапа — 2 части оценки системы внутреннего контроля: оценка дизайна контроля (control design evaluation) и тестирование контролей (testing). Цель оценки дизайна контроля — понять, насколько менеджмент при построении системы внутреннего контроля учел все необходимые критерии и цели контроля (control objectives, control criteria).

В мире существует несколько общепринятых принципов при построении системы внутреннего контроля. Наибольшую известность имеет модель, разработанная Комитетом спонсорских организаций — COSO (в которую входят такие организации, как AICPA, IIA, IMA, FEIAAA. Именно на эту модель дана прямая ссылка в 404-й статье акта Сарбанеса-Оксли. По модели COSO Internal Control — Integrated Framework система внутреннего контроля состоит из 5 взаимосвязанных компонентов, каждый из которых имеет отношение ко всем категориям бизнес-целей (стратегическим, операционным, целям отчетности и соответствия требованиям законодательства):

  • Контрольная среда — Control Environment;
  • Система выявления и оценки рисков — Risk Assessment;
  • Контрольные процедуры — Control Activities;
  • Информационная среда и система коммуникаций — Information and Communicatoin;
  • Мониторинг СВК — Monitoring.

В октября 2004 года издана новая разработка COSO — модель COSO ERM — Integrated Framework (ERM — enterprise risk model), которая объединила в себе как компоненты системы внутреннего контроля, так и компоненты системы управления рисками.

В настоящее время во многих крупных компаниях уже идет работа по формированию единого подхода к системе внутреннего контроля (internal control system) и оценке ее функционирования менеджментом (management assessment of controls). Внутренний аудит со своей риск-ориентированной методологией (risk — based approach) играет при этом важную роль в формировании эффективной системы внутреннего контроля, включая процесс управления рисками. В некоторых компаниях внутренний аудит даже берет на себя роль инициатора (trigger) этого процесса, без дальнейшего участия в формировании самой системы внутреннего контроля, т.к. это могло бы повлечь за собой нежелательное воздействие на независимость внутреннего аудита в компании.

Завершение. Завершается проект формированием отчета, который направляется ответственным менеджерам для обсуждения и согласования. По результатам согласования рекомендаций менеджмент составляет план действий (action plan), который становится неотъемлемой частью окончательного отчета (final report) аудитора.

Развитие внутреннего аудита.

Внутренний аудит развивается в 3-х взаимосвязанных составляющих: технология, люди и управление знаниями.

Технология. Сегодня о развитии внутреннего аудита можно говорить, если осваивается специализированное аудиторское программное обеспечение (ПО), в дальнейшем интегрированное с единым ПО в области управления рисками, а также прочими программными продуктами, имеющими общекорпоративный масштаб.

Людиосновной капитал любой службы внутреннего аудита. Их знания, навыки, опыт, профессионализм и креативность. Эффективная аудиторская команда включает специалистов в разных областях. Отдельный внутренний аудитор не обязан быть специалистом во всех направлениях. Но в совокупности команда должна обладать набором знаний и навыков, достаточным для реализации эффективного аудиторского проекта. Если во внутреннем аудите нет таких людей, то есть 2 выхода.

Первый — нанять человека извне, но, как правило, не из самой компании, т.к. по Стандартам в целях объективности и независимости аудитор не может оценивать контроли в тех процессах, где он был исполнителем, собственником в недавнем прошлом.

Другие решение — аутсорсинг внутреннего аудита — услуга, которую в России предлагают сегодня некоторые консультационные компании. Аутсорсинг, кроме того, может быть общим решением по компании.

Настоящий аудитор обладает 3 видами знаний:

  • профессиональное знание аудиторских принципов, подходов и процедур;
  • хорошее знание принципов управления, в том числе корпоративного управления;
  • специальное знание в одной из областей, например финансы, право, ИТ, учет, логистика, закупки, производство и др.

Часто можно услышать, что аудиторы — дженералисты (от «general» — «общий», «общего характера»), ведь в своих проектах аудиторам приходится осваивать самые разные области деятельности. В дальнейшем из аудиторов получаются хорошие руководители высшего звена.

Одно из требований, предъявляемое к практикующим внутренним аудиторам, — это постоянное развитие, обучение. Во-первых, оно достигается само собой: аудиторы постоянно переключаются с одного проекта на другой — с одной области знаний на другую. Во-вторых, для внутренних аудиторов должны проводиться тренинги 2-х планов: на «аудиторскую» тематику и тренинги на развитие гибких навыков (soft skills) — коммуникационные, презентационные, управление проектами. В-третьих, аудиторы проходят профессиональное обучение и сдают экзамены на степень CIA (Certified Internal Auditor), поддерживаемую Институтом внутренних аудиторов (IIA, Institute of Internal Auditors).

Система управления знаниями (knowledge management). Управление знаниями — основа роста внутреннего аудита. Эта задача представляется особенно важной, т.к. внутреннему аудиту свойственна текучка, а знания должны оставаться именно там, где «проживает» внутренний аудит.

Итак, внутренний аудит развивается — в России и во всем мире. Но каждый продукт ценен благодаря его оценке своим потребителям. Клиенты — это прежде всего менеджеры Компании — люди, принимающие решения. Надо понимать, что высокоэффективный внутренний аудит — это уже не просто миф в российской деловой практике, а выраженная потребность. Сегодня нашим внутренним аудиторам остается сделать важный шаг — на деле подтвердить свою роль и подкрепить имидж. Наградой за это будут более эффективные аудиторские проекты и возросшая оценка услуги «внутренний аудит» со стороны акционеров и топ-менеджеров.

Риск-ориентированный аудит

Институт внутренних аудиторов (Великобритания и Ирландия), август 2003
Профессиональная позиция. Источник: www.iia.org.uk. Перевод: Василий Кудрин.

Введение


Фокус работы внутреннего аудита за последние годы значительно изменился. Произошло смещение от системно-ориентированного аудита к процессно-ориентированному аудиту, и акцент в настоящее время делается на риск-ориентированный внутренний аудит.

Риск-ориентированный аудит — широко используемый, но часто не понимаемый термин. Данный документ имеет целью довести определенную точку зрения (позицию) относительно риск-ориентированного внутреннего аудита и предложить Вашему вниманию высококачественный подход его достижения.

Описание ситуации


Сегодня под внутренним аудитом понимается следующее.

«Внутренний аудит есть деятельность по предоставлению независимых и объективных гарантий и консультаций, направленных на создание добавленной стоимости и совершенствование хозяйственной деятельности компании. Внутренний аудит помогает компании достичь поставленные цели, используя систематизированный и последовательный подход к оценке и повышению эффективности управления рисками, контроля и системы корпоративного управления.»

Риск-ориентированный внутренний аудит – подход, способствующий достижению указанных требований. Стандарты профессиональной практики внутреннего аудита и связанные с ними Практические советы уделяют особое значение внедрению риск-ориентированного подхода во внутреннем аудите.

Данный подход также соответствует общеизвестному руководству Тернбулла (Turnbull) «Внутренний контроль: Руководство для директоров по корпоративному кодексу», которое требует от руководства применения «риск-ориентированного подхода в создании надежной системы внутреннего аудита и мониторинга ее эффективности» и внедрение риск-менеджмента и системы внутреннего контроля в корпоративную культуру.

Внутренним аудиторам следует внедрять риск-ориентированный подход в соответствии с тем, что уже применяется в компании. Имеется много подходов, которые могут быть применимы внутренним аудитом в зависимости от степени надежности процессов риск-менеджмента, используемых в компании, на которые внутренний аудит может полагаться. Это позволяет аудиторам избегать дублирования процессов, уже исполняемых менеджментом, и исследовать эти процессы и результаты.

Возможно, можно сказать, что внутренние аудиторы, итак, всегда концентрировали свои усилия на наиболее рисковых областях компании. Однако, такой подход исторически нацелен на оценку рисков, сделанную собственно внутренним аудитом. Ключевое отличие риск-ориентированного внутреннего аудита в том, что фокус должен быть нацелен на то, чтобы понять и проанализировать оценку рисков, сделанную самим руководством, и чтобы сосредоточить все усилия аудиторов вокруг этого процесса.

Что же такое риск-ориентированный внутренний аудит?

Цель риск-ориентированного внутреннего аудита состоит в том, чтобы дать независимые гарантии совету директоров в том, что:

  • Процессы риск-менеджмента, которые внедрены руководством в компании, а именно все процессы риск-менеджмента на уровне всей компании, отдельных подразделений, бизнес-единиц, бизнес-процессов и т.п., – работают должным образом.
  • Данные процессы риск-менеджмента надежно спланированы.
  • Менеджмент адекватно и эффективно реагирует на принятые к управлению риски в плане их уменьшения до уровня, приемлемого для совета директоров.
  • Также внедрена система контроля, достаточно надежно смягчающая риски, которые приняты к управлению.

Риск-ориентированный внутренний аудит начинается с бизнес-целей и, далее, фокусируется на тех рисках, которые выделяются самим руководством и которые могут препятствовать достижению целей.

Роль внутреннего аудита состоит в том, чтобы определить области, которые охвачены процессами риск-менеджмента, исполняемыми самим руководством в целях сокращения рисков до уровня, приемлемого для совета директоров (риск-«аппетита»).

В то время, как основной вклад внутреннего аудита в том, чтобы дать менеджменту гарантии качества работы с рисками, осуществляемой посредством процессов корпоративного управления и внутреннего контроля, он также может консультировать менеджмент по вопросам реагирования на риски, состоящим в решениях по ограничению, передаче или допущению рисков.

Риск-ориентированный подход во внутреннем аудите приведен схематично ниже:

rbia2

Практика риск-ориентированного подхода во внутреннем аудите


Общая информация:

  • Объем риск-ориентированного аудита, включает стратегические риски и бизнес-риски.
  • Ключевая начальная точка – определение, установлены ли компанией соответствующие бизнес-цели и, далее, определение, есть ли у бизнеса адекватный процесс выявления (идентификации), оценки и управления рисками, который воздействует на достижение этих целей.
  • В устоявшейся среде риск-менеджмента внутренний аудит может быть сосредоточен на:

— аудите инфраструктуры риск-менеджмента, например: ресурсах, документации, методах, отчетности;

аудите всей системы внутреннего контроля всей организации и отдельных подразделений;

проведении отдельных аудиторских заданий, которые преимущественно посвящены специфическим рискам. Там, где набор рисков контролируется посредством обычной системы или процесса, может быть правильнее проводить совмещенный аудит этой системы или процесса.

  • В менее устоявшейся среде риск-менеджмента, там, где отдельные аудиторские задания преимущественно сфокусированы на законченных системах, процессах или бизнес-единицах, внутренний аудит включает обзор бизнес-целей и процессов риск-менеджмента в рамках каждой данной аудируемой единицы.
  • Там, где процессы риск-менеджмента адекватны и внедрены, внутренний аудит, где это возможно, полагается на представление (видение) самой компании о рисках для того, чтобы определить объем необходимой аудиторской работы.
  • Там, где на процессы риск-менеджмента нельзя положиться, внутренний аудит берет на себя оценку рисков (действуя вместе с руководством), чтобы определить точный необходимый объем работ и только после этого сфокусироваться на том, а как же руководство удостоверяется в том, что процессы риск-менеджмента работают должным образом.
  • Конечный результат каждого аудиторского задания состоит в том, чтобы подтвердить, что риски управляются на приемлемом уровне (как определено риск-«аппетитом») или в том, чтобы содействовать необходимым улучшениям или договориться о них.

Диапазон риск-менеджмента


Очень важно понимать, что не все организации находятся на одной и той же стадии внедрения риск-менеджмента. Нижеприведенная диаграмма показывает стадии завершенности управления рисками и подход внутреннего аудита, который может быть применен на каждой стадии.

rbia3

Каждая компания должна сама определить, как внедрять риск-менеджмент. Это поможет определить ее риск-«аппетит» и стадию развития риск-менеджмента. Например, не все компании будут стремиться быть полностью приспособленными к рискам, так как требуется сопоставлять затраты с предполагаемыми потенциальными выгодами. Диапазон риск-менеджмента – это прерогатива совета директоров и высшего руководства.

В дополнение к завершенности риск-менеджмента внутри компании масштаб (объем) области, к которой внутреннему аудиту нужно предпринять собственную оценку рисков, зависит от степени и скорости стратегических и организационных преобразований.

При аудите какого-либо проекта также должны быть охвачены процедуры риск-менеджмента, как покрывающие проекты в общем, так и касающиеся конкретно данного проекта.

Выводы


Риск-ориентированный аудит не препятствует использованию системно-ориентированных или процессно-ориентированных аудиторских процедур в случае необходимости. Однако, это все же подход, который сосредоточен на вопросах, имеющих отношение к компании, и на предоставлении гарантий в рамках системы риск-менеджмента, внедренного в компании. Риск-ориентированный аудит позволяет внутреннему аудиту быть непосредственно связанным со структурой риск-менеджмента, таким образом создавая синергетический эффект.