Управление своими собственными рисками может повысить эффективность функции Внутреннего Аудита и продемонстрировать, что он практикует то, что проповедует.
Автор: Kevin Shen, CFA, CPA, вице-президент по внутреннему аудиту, HSBC (США, Нью-Йорк)
Август 2017
Перевод Елены Фроловой-Ивановой под редакцией Евгения Зверева, CIA
Одной из задач Внутреннего Аудита (ВА) является обеспечение того, чтобы организация эффективно управляла рисками. А как обстоит дело с управлением рисками внутри самого Внутреннего Аудита?
Подразделения ВА сталкиваются с теми же рисками, что и другие корпоративные подразделения. Если внутренние аудиторы не могут правильно управлять своими собственными рисками, то им трудно обучать и говорить другим, что необходимо эффективно управлять рисками. Внутренние аудиторы должны сами практиковать то, что они проповедуют.
Программа управления рисками во Внутреннем Аудите должна иметь такие же результаты, как и любая другая компетентная программа управления рисками. Подразделению ВА необходимо определить все соответствующие риски; проанализировать оценку рисков; установить так называемый риск-аппетит; снизить, управлять, избегать, передавать или принимать риски; а также постоянно контролировать/ мониторить собственные риски.
Риск в контексте ВА может быть определен как неопределенное событие или условие, которое, если оно происходит, оказывает влияние на, по меньшей мере, одну внутреннюю цель аудита. Как таковой, ВА следует начать с изучения своей (Внутреннего Аудита) миссии и целей, которые обычно определены в уставе/регламенте ВА, утвержденном Советом директоров или Комитетом по аудиту. Понимая ключевые задачи ВА, аудиторы могут выявить риски, которые будут препятствовать достижению этих целей.
Стратегический риск
Одним из наиболее значимых рисков является стратегический риск.
Он напрямую зависит от того, какую стратегическую позицию в рамках организации занимает Подразделение ВА и от того, позволяет ли эта позиция достигать ему своих целей.
Другие соображения касаются следующего: имеет ли Подразделение ВА полномочия, независимость и объективность, гарантирующие твердость своих убеждений, чтобы помочь организации улучшить управление рисками; ориентируется ли оно на предоставление гарантий или финансовое оздоровление; и работают ли в нем «правильные» сотрудники.
Стратегический риск может возникнуть, когда стратегия ВА не совпадает с общей стратегией организации. Например, это может произойти в организации, которая планирует расширять свое присутствие на развивающихся рынках, а Внутренний Аудит не имеет возможности покрыть риски за рубежом, относящиеся к взяточничеству и коррупции и связанные с этим расширением. У каждой организации своя специфика, но руководитель Службы внутреннего аудита (англ. – САЕ – the Chief Audit Executive), как правило, может управлять этим риском за счет совершенствования Устава внутреннего аудита; взаимодействия с Советом директоров, высшим руководством и другими заинтересованными сторонами (стейкхолдерами); и поддержания оценки рисков и планов аудита в актуальном состоянии.
Репутационный риск
Доверие – самый важный актив любого аудита. Репутационный риск – это вероятность того, что негативная огласка в отношении практики ВА приведет к снижению доверия к его работе. Заблуждения, касающиеся ВА, могут свести на «нет» все попытки достичь нужных целей. Кроме того, репутационный риск может возникнуть из операционного или комплаенс-риска.
Репутационнный риск можно снизить путем:
· поддержания своевременной и эффективной коммуникации между заинтересованными сторонами (стейкхолдерами);
· усиления этических принципов;
· создания осведомленности у всех сотрудников компании на всех уровнях;
· разработки комплексной методологии анализа, ориентированной на риски и встроенные элементы контроля, которые позволят оперативно и качественно реагировать на них заинтересованным сторонам (стейкхолдерам);
· создания команды быстрого реагирования на случай серьезных действий/ситуаций, которые могут негативного повлиять на функцию ВА.
Стратегическое позиционирование функции ВА должно быть хорошо подготовлено, чтобы эффективно защитить собственную репутацию.
Комплаенс-риск
Комплаенс-риск становится важным для внутренних аудиторов, особенно в сильно регулируемых отраслях: к примеру, в крупных банках. Например, американское Управление контролера денежного обращения создало более высокие стандарты, включающие в себя руководящие принципы в отношении роли и функций Внутреннего Аудита. Федеральный Резервный Банк выпустил Дополнение к заявлению о функции Внутреннего Аудита и его аутсорсинга.
Поскольку Подразделения ВА углубляются в аналитику данных, может возникнуть озабоченность, связанная с соблюдением правил по защите данных о потребителях и законов о трансграничной неприкосновенности частной жизни. Ключом к управлению риском является тщательная оценка законов и положений, а его устранение осуществляется посредством собственных политик и процедур, а также обеспечением способности демонстрировать соблюдение правил. Внутренние проверки, проведенные независимой группой по контролю и обеспечению качества, могут помочь выявить потенциальные проблемы и предотвратить инциденты, связанные с несоответствием.
Операционный риск
В отличие от предыдущих рисков, категория, наиболее актуальная в повседневной деятельности Внутреннего Аудита – это операционный риск, который состоит из рисков, возникающих в связи с нехваткой людей, процессов или технологий.
Как и другие подразделения, Служба внутреннего аудита имеет конкретные оперативные цели такие как: выполнение годового плана по ВА, утверждение/обоснование проблем, выявленных в ходе аудита, поддержание расходов в рамках определенного бюджета, подготовка квалифицированных кадров.
Для того, чтобы управлять операционным риском, нужно применять системный подход, включающий определение/создание операционного риск-аппетита, разработку ключевых показателей эффективности и показателей риска, мониторинг и принятие мер для снижения рисков. Например, для обеспечения своевременного выполнения плана по ВА, возможно, будет полезно внимательно следить за началом аудиторской проверки, завершением «полевых» работ, а также датами отчетов. Доска в кабинете, на которой наглядно отображен ход выполнения работ каждой из команд, поможет управлять рисками, связанными с исполнительностью каждой команды. Графа о гарантиях качества результатов для каждой из команд также может дать возможность руководителю Подразделения ВА выявить команды, имеющие проблемы с выполнением проверок, и провести соответствующее обучение для устранения этого риска.
После идентификации и определения самих рисков, Подразделению ВА следует установить пороговые значения для мониторинга и снижения этих рисков. Цветовые коды могут выделить направления, на которых надо сфокусироваться. Например, если более 20% выполняющихся проверок задерживается более чем на 30 дней, «красный статус» может указать на риск срыва сроков плана по ВА. Если «коэффициент оборачиваемости» одной команды составляет более 20%, возможно, настало время подчеркнуть риск как красный для действий.
Пороговые значения зависят от риск-аппетита CAE, но он также должен учитывать «вклад» стейкхолдеров в возникновение рисков. Например, CAE может указать, что на следующий календарный год может быть перенесено не более 5% плана ВА. И если поставленная цель под угрозой, то CAE должен принять меры для снижения рисков. Например, если объем работ в определенное время года увеличивается, помочь снизить риск невыполнения плана по ВА может частичное привлечение сторонних экспертов/консультантов (косорсинг).
Кроме того, Внутренний Аудит должен, по крайней мере в принципе, практически применять Политику управления рисками предприятия (где он функционирует) в ситуациях, где это уместно. Например, оперативные инциденты в деятельности Внутреннего Аудита, такие как потенциально-опасные происшествия без последствий (инциденты, которые «почти случились»), должны быть зафиксированы во внутреннем отчете, их причины должны быть проанализированы, чтобы предотвратить подобные события в будущем.
Минимизация рисков Внутреннего Аудита
В дополнение к установлению показателей риска, пороговых значений и отслеживанию инцидентов существуют и другие полезные инструменты. Например, ВА может использовать матрицу контроля рисков для проведения самооценки по контролю рисков, что определяет адекватность внутреннего контроля в рамках Подразделения ВА. Можно улучшить управление собственными рисками путем создания Библиотеки рисков и соответствующего контроля, а также проведением периодической самооценки.
Комплексный подход к управлению стратегическим, репутационным, комплаенс, операционным и другими рисками Внутреннего Аудита приведет к его большей эффективности. Кроме того, он может позволить Подразделению ВА помочь улучшить процесс управления рисками в самой компании.
Источник -