прочитано
#качество управления #производственный контроль #аудит #внутренний аудит

Как внутренний аудит, так и внутренний контроль помогают компаниям достигать поставленных целей. И если вопрос, который вынесен в заголовок, задать руководителям и сотрудникам компаний, то ответ может зависеть от того, какой вид деятельности они осуществляют. В этой статье детально разберем эту тему с точки зрения кредитных и некредитных организаций.

0 1

Ответ для кредитных организаций

Деятельность коммерческих банков детально определена требованиями Банка России, соблюдение которых контролируется не только регулятором, но и внешним аудитом в рамках обязательного аудита.

Положение Банка России 242-П «Об организации внутреннего контроля в кредитных организациях и банковских группах» от 16.12.2023 определяет функции подразделений как  , так и  внутреннего контроля

В семи из девяти функций внутреннего аудита, перечисленных в гл. 4 вышеуказанного Положения, есть слово «проверка», что подчеркивает приоритет контрольной функции внутреннего аудита. Спектр функций внутреннего контроля более широкий и включает 14 функций, в том числе и такие действия, как анализ, информирование, участие, выявление и т.д. 

Отличие между внутренним аудитом и внутренним контролем состоит и в том, какое место занимает каждое подразделение в организационно-штатной структуре организации, что также однозначно определено данным нормативным документом. 

Независимость функции внутреннего аудита обеспечивается за счет того, что она действует под непосредственным контролем  наблюдательного совета  (п. 4.7.1 Положения), что на практике реализуется таким образом, что подразделение внутреннего аудита подчиняется только наблюдательному совету, не подчиняясь даже генеральному директору кредитной организации. Вместе с тем руководитель внутреннего контроля может быть членом  коллегиального исполнительного органа  кредитной организации или подчиняться напрямую члену такого исполнительного органа (п. 4.1.10). 

Схожесть функций состоит в том, что к ним предъявляется требование о постоянстве деятельности обоих подразделений

В последнее время стали часто встречаться публикации на тему «непрерывного аудита». Представляется, что в этом смысле это требование регулятора не только коррелирует с этим понятием, но и предлагает использовать и «непрерывный контроль» как второй неотъемлемый элемент постоянства функционирования системы внутреннего контроля.   

Схожесть для руководителей внутреннего аудита и внутреннего контроля в кредитных организациях еще и в требованиях  к квалификации  и деловой репутации, которые к ним предъявляет  Банк России .

Может показаться, что делается слишком сильный акцент на контрольную функцию внутреннего аудита. Однако это не так, в данном случае нет противоречий с требованиями Международных профессиональных стандартов внутреннего аудита. Так, например, в Стандарте 2100 «Сущность работы внутреннего аудита» указано:

Внутренний аудит должен проводить оценку и способствовать совершенствованию корпоративного управления, управления рисками и контроля, используя систематизированный, последовательный и риск-ориентированный подход

Другими словами, внутренний аудит проводит оценку системы управления рисками и внутреннего контроля, чтобы обеспечить ее совершенствование. 

Система внутреннего контроля в организации включает в себя широкий круг деятельности в рамках  компонентов :

  • среда контроля;

  • процедуры оценки рисков организации;

  • процесс мониторинга организацией системы внутреннего контроля;

  • информационная система и информационное взаимодействие;

  • контрольные действия;

  • контрольные виды деятельности.

При анализе ее эффективности надо оценить:

  • установлены ли основные риски в организации; 

  • разработаны ли планы действий по снижению этих рисков; 

  • проводится ли информирование руководства компании; 

  • есть ли подразделения, которые выполняют контрольную функцию, каким образом оценивается их эффективность; 

  • какие контроли установлены и исполняются ли они, каковы их результаты и т.д.

Ответ для некредитных организаций

Для сотрудников  некредитных организаций  ответ на вопрос об отличии внутреннего аудитора и внутреннего контролера будет гораздо менее очевиден. И многие это отличие видят только в названии. Этому способствует не только отсутствие жестко законодательно установленных правил игры в части разделения функций внутреннего аудита и внутреннего контроля, как в случае с кредитными организациями, но и отсутствие требований к месту данных подразделений в организационно-штатной структуре компании. 

Несмотря на это, практика показывает, что обычными функциями внутреннего контроля в некредитной организации могут быть: 

  1. анализ и мониторинг рисков. Внутренний контролер должен организовать работу таким образом, чтобы иметь полное представление обо всех существенных  негативных происшествиях , которые произошли. Например, жалобы клиентов на качество продукции, происшествия, связанные с соблюдением техники безопасности, факты мошенничества, подтвержденные факты нарушения законодательства, хакерские атаки, прерывание ключевых бизнес-процессов, факты задержки оплаты поставщикам или сотрудникам и т.д. Такой мониторинг позволит ему сформировать объективное понимание того, в каких бизнес-процессах требуется  внедрить  внутренний контроль; 

  2. помощь руководителям подразделений в разработке дизайна внутренних контролей. В данном случае внутренний контролер выступает как методолог и помогает определить ключевые параметры внутреннего контроля: какие действия необходимо выполнять, кто их выполняет, какова периодичность этих действий, что является подтверждением выполнения контроля, как оценить результат контроля. В подразделении казначейства это может быть выборочный или сплошной последующий контроль за проведением оплаты, в бухгалтерии – контроль за полнотой отражения операций с наличными денежными средствами, в подразделении некоммерческих закупок – соблюдение правил проведения тендера, в подразделении по управлению персоналом – контроль за правильностью перечисления заработной платы на счета сотрудников и т.д.;

  3. проведение контроля второго уровня. После завершения  внедрения контроля  внутренний контролер сам выполняет выборочный контроль того, что было им реализовано совместно с бизнес-подразделениями. Цель – понять, насколько объективно реализуются те контроли, дизайн которых был ранее разработан. Например, если дизайн контроля предполагает, что сотрудник ИТ-подразделения будет ежемесячно делать выборку из десяти заявок на предоставление доступа в ИТ-систему, чтобы проверить post factum их правильность, то внутренний контролер может делать такой же контроль, но ежеквартально, и увеличить выборку до 50 заявок. Это особенно уместно, если у него появилась информация, что, несмотря на внедренный ранее контроль, были выявлены инциденты, связанные с неправомерным предоставлением доступа. В эту выборку можно включить как заявки, которые были ранее проверены, так и заявки, которые первоначально не вошли в выборку. Это позволит понять, в чем причина недостаточной эффективности внедренного контроля в этом бизнес-процессе.

Внутренний аудит при реализации своей основной функции по оценке системы внутреннего контроля, мониторингу устранения нарушений и оказанию помощи в повышении эффективности систем контроля проводит аудиторские проверки. В рамках этих проверок:

  • определяется, необходимы ли какие-либо дополнительные настройки внутри организации, чтобы минимизировать риски, связанные с ее деятельностью;

  • анализируется информация о проведенных внутренних контролях;

  • используются данные о выявленных внутренним контролем рисках при планировании своей деятельности.

Подходы к структурной иерархии подразделений внутреннего аудита

При принятии решения о подчиненности данных структурных подразделений можно увидеть разные подходы, каждый из которых имеет свои плюсы и минусы.

Классическая банковская схема

Классическая банковская схема полностью соответствует требованиям, предъявляемым к кредитным организациям, и нередко используется и в других крупных компаниях, которые не являются кредитными. 

Достоинство схемы в том, что она полностью обеспечивает независимость внутреннего аудита. 

Недостатком же является производная от этой независимости: внутренний аудит полностью исключен из участия в операционной деятельности и нередко изолирован, что в том числе не дает ему возможности доступа к необходимой информации, оперативного понимания проблем, которые стоят перед организацией.

01_схема.png

Объединение функций

Объединение функции внутреннего аудита и внутреннего контроля, с одной стороны, обеспечивает участие этого подразделения в операционной деятельности, но, с другой стороны, не обеспечивает независимость. Кроме того, сложность четкого разделения функций в рамках одного подразделения может привести к тому, что внутренний аудит должен будет делать оценку системы внутреннего контроля, в создании которой он будет принимать непосредственное участие, что можно классифицировать как конфликт интересов. 

02 схема.png

Частичное разделение функций

Схема является разновидностью предыдущего подхода и позволяет частично разделить функции. Но с учетом того, что одно и то же лицо является руководителем «объединенного» подразделения, у него может возникнуть конфликт интересов. Так как он не будет заинтересован в негативной оценке внутреннего аудита, которая опосредованно негативно будет оценивать часть его работы по поддержанию функции внутреннего контроля. 

03 схема.png

Высокий уровень вовлеченности в операционную деятельность

Такой вариант построения взаимодействия внутреннего аудита и внутреннего контроля встречается уже редко. Он хотя и обеспечивает большую вовлеченность внутреннего аудита в операционную деятельность, но полностью исключает объективность оценки деятельности внутреннего контроля, что является одной из важнейших функций внутреннего аудита. 

схема 04.png

Решение о месте подразделений внутреннего аудита и внутреннего контроля принимает руководство организации. И какой бы ни была схема, важно руководствоваться принципом  организационной независимости . Этот принцип требует обеспечения подотчетности руководителя внутреннего аудита органу управления такого уровня, который бы позволил подразделению выполнять свои функции. Именно поэтому на практике в схемы 2-4 включают два типа подчинения – иерархическое и функциональное – показанное пунктиром на схемах 2-4. 

Функция консалтинга

В последнее время все более актуальной становится тема консультирования со стороны внутреннего аудита и внутреннего контроля. 

Отличия:

  • внутренний аудитор проводит такое консультирование по запросу бизнес-подразделений, и его результаты носят  рекомендательный характер ;

  • внутренний контролер консультирует  «первую линию контроля»  в рамках выполнения своей функции, то есть будучи полностью вовлеченным в операционную деятельность, и имеет полное право требовать исполнения своих рекомендаций. 

Рекомендации

В заключение хотелось бы отметить, что внутренний аудитор и внутренний контролер являются частью одного целого – системы внутреннего контроля. Функционал подразделений, в которые они входят, дополняет друг друга, но не дублирует. Это, безусловно, не исключает взаимодействия между ними. 

Рекомендуется:

  1. использовать опыт кредитных организаций и устанавливать внутренними документами компании квалификационные требования к кандидатам на должности; 

  2. формировать организационно-штатную структуру таким образом, чтобы это были два разных подразделения. Это позволит обеспечить относительно независимое функционирование линий защиты бизнеса, которые они представляют. 

Перефразируя слова А.С. Пушкина из поэмы «Полтава», задача состоит в том, чтобы все-таки впрячь в одну телегу «коня и трепетную лань». 

Внутренний контролер в большей степени вовлечен в построение системы внутреннего контроля, а внутренний аудитор – в оценку ее эффективности, а вместе они делают одно общее дело

Роль конструктора системы внутреннего контроля в большей степени находится в периметре ответственности внутреннего контролера. Роль контролера качества этой системы возложена на внутренний аудит. Представляется, что численность «конструкторов» должна быть больше, так как для конструирования требуется больше рабочих рук, чем для контроля его качества.