[I]Управление своими собственными рисками может повысить эффективность функции Внутреннего Аудита и продемонстрировать, что он практикует то, что проповедует.[/I]
[B]Автор[/B]: Kevin Shen, CFA, CPA, вице-президент по внутреннему аудиту, HSBC (США, Нью-Йорк)
Август 2017
[B]Перевод [/B]Елены Фроловой-Ивановой под редакцией Евгения Зверева, CIA
Одной из задач Внутреннего Аудита (ВА) является обеспечение того, чтобы организация эффективно управляла рисками. А как обстоит дело с управлением рисками внутри самого Внутреннего Аудита?
Подразделения ВА сталкиваются с теми же рисками, что и другие корпоративные подразделения. Если внутренние аудиторы не могут правильно управлять своими собственными рисками, то им трудно обучать и говорить другим, что необходимо эффективно управлять рисками. Внутренние аудиторы должны сами практиковать то, что они проповедуют.
Программа управления рисками во Внутреннем Аудите должна иметь такие же результаты, как и любая другая компетентная программа управления рисками. Подразделению ВА необходимо определить все соответствующие риски; проанализировать оценку рисков; установить так называемый риск-аппетит; снизить, управлять, избегать, передавать или принимать риски; а также постоянно контролировать/ мониторить собственные риски.
Риск в контексте ВА может быть определен как неопределенное событие или условие, которое, если оно происходит, оказывает влияние на, по меньшей мере, одну внутреннюю цель аудита. Как таковой, ВА следует начать с изучения своей (Внутреннего Аудита) миссии и целей, которые обычно определены в уставе/регламенте ВА, утвержденном Советом директоров или Комитетом по аудиту. Понимая ключевые задачи ВА, аудиторы могут выявить риски, которые будут препятствовать достижению этих целей.
[B]Стратегический риск[/B]
Одним из наиболее значимых рисков является стратегический риск.
Он напрямую зависит от того, какую стратегическую позицию в рамках организации занимает Подразделение ВА и от того, позволяет ли эта позиция достигать ему своих целей.
Другие соображения касаются следующего: имеет ли Подразделение ВА полномочия, независимость и объективность, гарантирующие твердость своих убеждений, чтобы помочь организации улучшить управление рисками; ориентируется ли оно на предоставление гарантий или финансовое оздоровление; и работают ли в нем «правильные» сотрудники.
Стратегический риск может возникнуть, когда стратегия ВА не совпадает с общей стратегией организации. Например, это может произойти в организации, которая планирует расширять свое присутствие на развивающихся рынках, а Внутренний Аудит не имеет возможности покрыть риски за рубежом, относящиеся к взяточничеству и коррупции и связанные с этим расширением. У каждой организации своя специфика, но руководитель Службы внутреннего аудита (англ. – САЕ – the Chief Audit Executive), как правило, может управлять этим риском за счет совершенствования Устава внутреннего аудита; взаимодействия с Советом директоров, высшим руководством и другими заинтересованными сторонами (стейкхолдерами); и поддержания оценки рисков и планов аудита в актуальном состоянии.
[B]Репутационный риск[/B]
Доверие – самый важный актив любого аудита. Репутационный риск – это вероятность того, что негативная огласка в отношении практики ВА приведет к снижению доверия к его работе. Заблуждения, касающиеся ВА, могут свести на «нет» все попытки достичь нужных целей. Кроме того, репутационный риск может возникнуть из операционного или комплаенс-риска.
Репутационнный риск можно снизить путем:
· поддержания своевременной и эффективной коммуникации между заинтересованными сторонами (стейкхолдерами);
· усиления этических принципов;
· создания осведомленности у всех сотрудников компании на всех уровнях;
· разработки комплексной методологии анализа, ориентированной на риски и встроенные элементы контроля, которые позволят оперативно и качественно реагировать на них заинтересованным сторонам (стейкхолдерам);
· создания команды быстрого реагирования на случай серьезных действий/ситуаций, которые могут негативного повлиять на функцию ВА.
Стратегическое позиционирование функции ВА должно быть хорошо подготовлено, чтобы эффективно защитить собственную репутацию.
[B]Комплаенс-риск[/B]
Комплаенс-риск становится важным для внутренних аудиторов, особенно в сильно регулируемых отраслях: к примеру, в крупных банках. Например, американское Управление контролера денежного обращения создало более высокие стандарты, включающие в себя руководящие принципы в отношении роли и функций Внутреннего Аудита. Федеральный Резервный Банк выпустил Дополнение к заявлению о функции Внутреннего Аудита и его аутсорсинга.
Поскольку Подразделения ВА углубляются в аналитику данных, может возникнуть озабоченность, связанная с соблюдением правил по защите данных о потребителях и законов о трансграничной неприкосновенности частной жизни. Ключом к управлению риском является тщательная оценка законов и положений, а его устранение осуществляется посредством собственных политик и процедур, а также обеспечением способности демонстрировать соблюдение правил. Внутренние проверки, проведенные независимой группой по контролю и обеспечению качества, могут помочь выявить потенциальные проблемы и предотвратить инциденты, связанные с несоответствием.
[B]Операционный риск[/B]
В отличие от предыдущих рисков, категория, наиболее актуальная в повседневной деятельности Внутреннего Аудита – это операционный риск, который состоит из рисков, возникающих в связи с нехваткой людей, процессов или технологий.
Как и другие подразделения, Служба внутреннего аудита имеет конкретные оперативные цели такие как: выполнение годового плана по ВА, утверждение/обоснование проблем, выявленных в ходе аудита, поддержание расходов в рамках определенного бюджета, подготовка квалифицированных кадров.
Для того, чтобы управлять операционным риском, нужно применять системный подход, включающий определение/создание операционного риск-аппетита, разработку ключевых показателей эффективности и показателей риска, мониторинг и принятие мер для снижения рисков. Например, для обеспечения своевременного выполнения плана по ВА, возможно, будет полезно внимательно следить за началом аудиторской проверки, завершением «полевых» работ, а также датами отчетов. Доска в кабинете, на которой наглядно отображен ход выполнения работ каждой из команд, поможет управлять рисками, связанными с исполнительностью каждой команды. Графа о гарантиях качества результатов для каждой из команд также может дать возможность руководителю Подразделения ВА выявить команды, имеющие проблемы с выполнением проверок, и провести соответствующее обучение для устранения этого риска.
После идентификации и определения самих рисков, Подразделению ВА следует установить пороговые значения для мониторинга и снижения этих рисков. Цветовые коды могут выделить направления, на которых надо сфокусироваться. Например, если более 20% выполняющихся проверок задерживается более чем на 30 дней, «красный статус» может указать на риск срыва сроков плана по ВА. Если «коэффициент оборачиваемости» одной команды составляет более 20%, возможно, настало время подчеркнуть риск как красный для действий.
Пороговые значения зависят от риск-аппетита CAE, но он также должен учитывать «вклад» стейкхолдеров в возникновение рисков. Например, CAE может указать, что на следующий календарный год может быть перенесено не более 5% плана ВА. И если поставленная цель под угрозой, то CAE должен принять меры для снижения рисков. Например, если объем работ в определенное время года увеличивается, помочь снизить риск невыполнения плана по ВА может частичное привлечение сторонних экспертов/консультантов (косорсинг).
Кроме того, Внутренний Аудит должен, по крайней мере в принципе, практически применять Политику управления рисками предприятия (где он функционирует) в ситуациях, где это уместно. Например, оперативные инциденты в деятельности Внутреннего Аудита, такие как потенциально-опасные происшествия без последствий (инциденты, которые «почти случились»), должны быть зафиксированы во внутреннем отчете, их причины должны быть проанализированы, чтобы предотвратить подобные события в будущем.
[B]Минимизация[/B][B] рисков Внутреннего Аудита[/B]
В дополнение к установлению показателей риска, пороговых значений и отслеживанию инцидентов существуют и другие полезные инструменты. Например, ВА может использовать матрицу контроля рисков для проведения самооценки по контролю рисков, что определяет адекватность внутреннего контроля в рамках Подразделения ВА. Можно улучшить управление собственными рисками путем создания Библиотеки рисков и соответствующего контроля, а также проведением периодической самооценки.
Комплексный подход к управлению стратегическим, репутационным, комплаенс, операционным и другими рисками Внутреннего Аудита приведет к его большей эффективности. Кроме того, он может позволить Подразделению ВА помочь улучшить процесс управления рисками в самой компании.
Источник - [URL=https://iaonline.theiia.org/2017/Pages/Internal-Audit-Needs-Risk-Management,-Too.aspx#.WZMHQsSWTko.email]https://iaonline.theiia.org/2017/Pages/Internal-Audit-Needs-Risk-Management,-Too.aspx#.WZMHQsSWTko.email[/URL]