Линии защиты компании. Карта гарантий
Авторы: Михаил Токун, Наталья Садова, члены Ассоциации «Институт внутренних аудиторов»
Читайте предыдущие статьи цикла «Введение во внутренний аудит»:
-
Понятие внутреннего аудита и различие между внешним и внутренним аудитом
-
Внутренний аудит: риски и контроли
-
Виды внутреннего аудита
Повышению результативности любого бизнеса способствует надежные и эффективные системы внутреннего контроля и управления рисками. Ответственность за бесперебойное функционирование этих систем несет руководство компании, которое призвано внедрить интегрированную систему управления рисками и внутреннего контроля с учетом отраслевой специфики.
При построении интегрированной системы, помимо отраслевой принадлежности, необходимо учитывать размер организации, нормативно-правовую среду, в которой она осуществляет деятельность, корпоративную культуру и ряд других факторов.
В 2013 году международный Институт внутренних аудиторов (The IIA) разработал модель Трех линий защиты. Данная модель координирует процессы управления рисками и внутреннего контроля за счет четкого определения и разграничения соответствующих функций и обязанностей.
Структурные подразделения формируют первую линию защиты с помощью механизмов контроля, отвечающих за внедрение элементов управления рисками в процесс принятия решений и ключевые бизнес-операции компании. Структурные подразделения являются владельцами рисков и несут ответственность за выявление, управление, снижение уровня рисков, анализ и формирование отчетности по ключевым рискам. Руководители структурных подразделений обязаны разработать, внедрить и обеспечить функционирование контрольных процедур в курируемых бизнес-процессах.
Подразделения, отвечающие за управление рисками в компании, разрабатывают и внедряют методологический подход к управлению рисками, определяют стандарты и координируют действия компании в области управления рисками, включая соответствующие процессы, технологии и культуру. В компетенцию этих подразделений не должна входить ответственность за своевременное выявление и оценку рисков, т.к. этим занимаются подразделения первой линии защиты.
- Необходимые навыки внутренних аудиторов
- Мошенничество и внутренний аудит
- Стандарты внутреннего аудита и методические документы для внутреннего аудитора
- Написание и презентация отчета
- Мониторинг выполнения плана мероприятий/действий по устранению недостатков (по результатам отчетов ВА)
Во вторую линию обычно входят подразделения, ответственные за управление рисками, систему внутреннего контроля, безопасность, комплаенс, юридическое сопровождение и т.п. Они обеспечивают непрерывный мониторинг процесса разработки и функционирования контрольных процедур, относящихся к первой линии защиты, консультируют по вопросам управления рисками, проводят обучение сотрудников компании.
Сопоставление 1-й и 2-й линий защиты:
Совет директоров оценивает и утверждает уровень рисков компании с учетом стратегических целей и задач в области управления рисками. Комитеты по аудиту, по управлению рисками и др. помогают совету директоров осуществлять контроль над эффективностью системы управления рисками организации.
Служба внутреннего аудита проводит независимую оценку качества действующих процессов управления рисками, выявляет нарушения, даёт предложения по совершенствованию системы управления рисками. Совет директоров принимает это заключение как руководство к действию. Под надзором комитета по аудиту служба внутреннего аудита проводит мониторинг функций первой и второй линий защиты, а также осуществляет контроль выполнения корректирующих мероприятий по совершенствованию системы управления рисками.
Необходимо четко определить функции и обязанности лиц, принимающих участие в процессах управления рисками и внутреннего контроля, обеспечив эффективное взаимодействие и обмен информацией между ними, а также подготовку соответствующей отчетности.
Внутренний аудит может использовать в своей деятельности результаты работы других субъектов системы внутреннего контроля, которые осуществляют мониторинг и оценку системы внутреннего контроля по отдельным направлениям деятельности.
С целью четкого разделения зон ответственности в организации создается Карта гарантий.
Карта гарантий – документ, который отражает покрытие рисков и бизнес-процессов контрольными функциями компании, а также позволяет более эффективно координировать работу структурных подразделений, осуществляющих контрольную функцию на различных уровнях.
Карта гарантий может включать следующую информацию:
-
перечень бизнес-процессов компании;
-
перечень рисков компании;
-
владельцы риска (ответственные за управление рисками организации);
-
субъекты системы внутреннего контроля, осуществляющие мониторинг/оценку в отношении каждого из рисков.
При разработке Карты гарантий используются внутренние документы компании, а именно: классификатор рисков и процессов, карта рисков и другие документы, определяющие взаимодействие субъектов системы внутреннего контроля, осуществляющих мониторинг и оценку системы внутреннего контроля по отдельным направлениям деятельности.