Внутрішній аудит як засіб у боротьбі з шахрайством – експерт розповів чому це важливо

Боротьба із шахрайством в організації вимагає об’єднання зусиль багатьох різних підрозділів, починаючи з керівництвата поширюючись на всю організацію, в тому числі і внутрішній аудит. Завдяки своїй близькості до операційної діяльності та розумінню внутрішніх процесів організації внутрішній аудит має унікальну можливість виявляти потенційні недобросовісні дії та запобігати їм.

Про переваги внутрішнього аудиту розповів Павло Богдан, старший консультант, форензік, KPMG в Україні.

Процес внутрішнього аудиту передбачає оцінку достатності та ефективності внутрішнього контролю, зокрема, допомагає керівництву впроваджувати ефективні заходи щодо запобігання шахрайства та корупції. Його роль може змінюватись від оцінки потенціалу виникнення шахрайства до того, як організація управляє контролями щодо запобігання ризику шахрайства загалом.

Інститут внутрішніх аудиторів (IIA) сформував «модель трьох ліній», що базується на ідеї, що ці три лінії працюють разом для забезпечення внутрішнього управління та комплексного підходущодо управління ризиками. Бізнес-підрозділи, працівники функції комплаєнсу, аудиту та інші працівники з управління ризиками разом формуютьці три лінії захисту, і кожна з них виконує певну функцію. Ця модель надає гнучкий інструмент для встановлення чітких ролей та взаємозв’язків, що допомагають впровадити організаційні заходищодо усунення ризику шахрайства та корупції.

Перша лінія. Вище керівництво, керівники відділів чи власники процесіввиступають першою лінією захисту. Їх основний обов’язок полягає в тому, щоб контролювати та брати на себе відповідальність за ризики, пов’язані з повсякденною діяльністю. Вони також впроваджують засоби контролю, розробляють внутрішні політики, контролюють виконання політик співробітниками та контролюють фактори ризику за допомогою рішень і дій. Представники цієї лінії повинні контролювати ризики шахрайства та впровадження засобів відповідного контролю. Також вони несуть відповідальність за підтримку виявлення та оцінки ризиків шахрайства у відповідних бізнес-підрозділах.

Друга лінія. Друга лінія захисту включає в себе сферу управління ризиками та комплаєнс-функцію, а саме ризик-менеджера, спеціаліста з комплаєнсу чи спеціаліста з інформаційної безпеки. Друга лінія захисту надає підтримку у вдосконаленні програмиз управлінняризиками компанії, моніторинг самого процесу та дотриманнявідповідних політик, нормативних актів, норм етичної поведінки. Представники другої лінії також визначають ризики, що виникають у щоденній діяльності підприємства, та керують діяльністю з управління ризиками шахрайства, тісно співпрацюючи з вищим керівництвом.Склад другої лінії залежить від багатьох факторів, зокрема, галузь, зрілість організації та розмір. Спеціалісти цієї лінії гарантують, що належним чином розроблені процеси та засоби контролю для зменшення ризиків шахрайства існують і працюють ефективно під управлінням першої лінії.

Третя лінія. Третя лінія захисту – внутрішній аудит. Основнийобов’язок внутрішніх аудиторів – оцінка ефективності першої та другої лінії оборони. Вони перевіряють та оцінюють розробку та впровадження програми і заходів з управління ризиками. Діяльність внутрішнього аудиту надає правлінню та вищому керівництву впевненість у тому, наскільки ефективно організація застосовує внутрішні контролі для запобігання ризикам шахрайства.

Модель трьох ліній широко визнається багатьма галузями як модель управління ризиками, а також управління ризиками шахрайства та корупції. Форма їїреалізаціїзалежить від галузі та розміру компанії.

З огляду на ряд опрацьованих матеріалів, практик та багаторічного досвіду можна сформувати наступні оптимальні принципи, що допоможуть впровадити ефективну рольвнутрішнього аудиту у запобіганні шахрайствута корупційної діяльності в організації:

Як правильно позиціонувати внутрішній аудит

• Внутрішній аудит повиненбути частиною стратегічного управління шахрайством для більш ефективного та надійного процесу управління ризиками шахрайства, включаючи провідну роль в оцінці ризиків шахрайства в масштабах організації.
• Забезпечується незалежністьта об’єктивність внутрішнього аудиту.
• Основною роллю внутрішнього аудиту виступає оцінка ефективності системи управління ризиками, консультування та підтримка вищого керівництва організації в побудові внутрішніх контролів.

Які основні процеси внутрішнього аудиту

• Внутрішній аудит повинен враховувати ризики шахрайства як при формуванні плану аудитів, так і у межах окремих проєктів.
• Система управління ризиками шахрайства може виступати предметом окремого аудиту.
• Внутрішній аудит може надавати рекомендації вищому керівництву щодо можливостей покращення системи управління ризиками шахрайствата відповідних контролів для зниження впливу ризиків шахрайства.
• Внутрішній аудит бере участь як у реактивних розслідуваннях, так і у проактивних за наявності достатніх ресурсів та можливості бути гнучким у виконанні програми аудиту.

Ролі та комплаєнс

• Роль внутрішнього аудиту вуправлінні ризиками шахрайства повинна бути чітко визначена в затверджених політиках і процедурах.
• Внутрішній аудит повинен керуватися своєю прихильністю до належної професійної обережності та дотримання кодексу етики та правил поведінки, що стосуються чесності, об’єктивності, конфіденційності та компетентності.
• В організації має бути достатня наявність кадрових ресурсів внутрішнього аудиту, залучених до процесу управління ризиками шахрайства.
• Спеціалісти внутрішнього аудиту мають розвивати компетенції, що дозволяють оцінювати ефективність управління ризиками шахрайства та корупційної діяльності.

Варіації цих принципів можуть бути зумовлені розміром і сектором, місцевим середовищем і культурою організації, а також бажанням інвестувати в боротьбу з шахрайством на вищому рівні. Внутрішні аудитори в багатьох випадках мають хороші можливості для того, щоб відігравати дедалі важливішу роль в управлінні ризиками шахрайства та брати участь у більш стратегічному аналізі та прийнятті рішень.Наявність потужної та дієвої функції внутрішнього аудиту в організації забезпечить впевненість, що внутрішня система контролів ефективна та повна, що безумовно сприятиме успішній діяльності організації на довгострокову перспективу.