В большинстве крупных компаний в целях обнаружения и управления рисками используется Модель трех линий защиты. Данная модель представляет собой три фильтра или барьера для всех входящих в компанию рисков.

Данная модель позволяет не только эффективно функционировать каждой отдельной линии защиты на своем уровне, но и помогает четко сформулировать и разграничить цели и функции всех трех линий защиты, а также помогает им работать в едином системном и эффективном взаимодействии друг с другом.

На рисунке 1 схематично изображена данная модель. Подробнее ознакомиться с данной моделью (с описанием всех характеристик, присущих каждой линии защиты) вы можете в приложении № 1.

Рисунок 1. Модель трех линий защиты

Первую линию защиты представляют руководители отделов, ответственные за исполнение бизнес-процессов (так называемые, владельцы рисков). Они стараются эффективно исполнять свои ежедневные задачи, а также управлять рисками, как до начала осуществления бизнес-процессов, так и во время их исполнения. Это первая преграда для рисков.

На второй линии защиты представлены методологический и консультационный отделы, а также отделы по управлению рисками, внутреннего контроля, комплаенса и служба безопасности. Вторая линия обнаруживает и управляет рисками. Перечисленные выше структурные единицы (отделы) контролируют процесс эффективного и безрискового выполнения функций первой линии. И это второй барьер на пути входящих рисков.

Отмечу, что по существу, первые две линии защиты могут рассматриваться, как полноценная система внутреннего контроля (на практике принято использовать аббревиатуру – СВК).

Третья линия защиты или последний рубеж – это департамент по внутреннему аудиту. Данное подразделение проверяет эффективность работы всей СВК в целом (первой и второй линий защиты) и дает высшему руководству независимое заключение о том, что организация управляет рисками должным образом и ее система управления рисками и система внутреннего контроля являются эффективными.

Как мы видим, следует четко разграничивать внутренний контроль и внутренний аудит. При этом СВК выстраивает управление компанией: выполнение бизнес-процессов и работу с рисками, а СВА, в свою очередь, дает оценку: как и насколько эффективно работает СВК.

В этой связи обращаю ваше внимание, что в данной книге я постарался раскрыть основные составляющие эффективного функционирования именно третьей Линии защиты: внутреннего аудита (ВА). Данный вопрос представлен в книге в системном аспекте. Системность внутреннего аудита заключается во взаимодействии всех его элементов, которое принято называть системой внутреннего аудита или СВА.

Практика применения первой и второй линий защиты будут рассмотрены в последующих изданиях.

Глава 1. Системный подход во внутреннем аудите

Системный подход к контролю за компанией представляет собой совокупность методов и способов, необходимых для выполнения определенных задач и достижения поставленных целей. Данный подход к мониторингу деятельности формируется индивидуально под каждую компанию, в зависимости от потребностей и требований, которые ставят перед ним собственники.

В системном подходе к контролю (мониторингу) за хозяйственной деятельностью компании, именно внутренний аудит, по сравнению с другими видами контрольных процедур, такими как обязательный аудит, инициативный аудит, комплаенс, дью-диллидженс и прочие, занимает главенствующее положение.

Дело в том, что по отношению к внутреннему аудиту, остальные виды контрольных мероприятий, как показывает практика, являются «специальными». При этом они могут существовать как отдельно, так и в составе процедур внутреннего аудита, являясь его элементами.

Внутренний аудит, в свою очередь, представляет собой комплекс мероприятий, направленных на всесторонний и всеобъемлющий контроль за деятельностью компании (группы компаний). Причем эти мероприятия реализуются, как правило, силами специалистов, состоящих в штате компании и находящихся в постоянном взаимодействии с ее остальным персоналом.

Учитывая данное обстоятельство, именно штатные внутренние аудиторы более глубоко, по сравнению с внешними консультантами, понимают особенности деятельности их компании, что позволяет в большинстве случаев быть более эффективными в своей профессиональной деятельности.

Однако есть и обратная сторона медали: в ходе внутренней проверки между штатным внутренним аудитором и лицом, ответственным за объект контроля, не исключен конфликт интересов. Этот конфликт может вылиться, например, в скрытое или явное противостояние сторон. Аудитору в такой ситуации важно придерживаться принципа независимости профессионального суждения и помнить, что он действует в интересах собственников, а не нанятых ими для управления компанией менеджеров.

Тем не менее, штатный внутренний аудитор и лицо, ответственное за объект проверки трудятся у одного работодателя. Это значит, что они пересекаются по рабочим вопросам, ведут переписку, телефонные разговоры, ходят на деловые встречи, посещают корпоративные мероприятия, т. е. так или иначе – взаимодействуют друг с другом.

При таких обстоятельствах, нельзя исключать, что аудитор попадет под влияние лицо, ответственное за объект проверки и важность внутрикорпоративных отношений окажется для аудитора более значимой и ценной, в сравнении и выражением полного и независимого профессионального мнения.

Например, при обнаружении замечаний штатный аудитор, не желая ссориться с лицом, ответственным за объект контроля, может предоставить искаженное профессиональное мнение в пользу проверяемого.

Как мы видим, внутрикорпоративные отношения могут негативно повлиять на профессиональное суждение аудитора. Чтобы этого не произошло, собственникам компании следует выстроить структуру подчиненности таким образом, чтобы внутренние аудиторы были подотчетны только Комитету по аудиту. Да и самим аудиторам рекомендуется избегать неформального общения с проверяемыми лицами вне контрольных процедур, а также помнить об Этике аудитора и, наверное, главном принципе в аудите – независимости профессионального суждения.

Внешний же аудитор или консультант, напротив: не стеснен необходимостью сохранения «добрососедских» отношений с персоналом компании. Одновременно с этим, он не вступает в соперничество с лицами, ответственными за объект контроля. Он беспристрастен и просто выражает свое независимое мнение. Влияние персонала компании на его профессиональное суждение минимальное, хотя возможны варианты…

Раздел 1.1. Внутренний аудит и его виды. Основа контроля или последний рубеж

В этой главе, мы рассмотрим виды внутреннего аудита, в качестве его составных элементов; проанализируем порядок нормативного регулирования внутреннего аудита; перечислим его основные принципы и разберемся с их толкованием.

Сразу хочу обратить ваше внимание, что единого подхода к определению того или иного вида аудита, раскрытию целей и задач и однозначного их понимания и толкования на практике не сложилось. Фактически, в каждой компании, в штате которой имеется хотя бы один внутренний аудитор, разработаны свои собственные процедуры контроля, адаптированные под нужды данной организации.