Внутрішній аудит – дієвий інструмент у боротьбі із шахрайством

Джерело: mind.ua

Боротьба із шахрайством в організації вимагає об’єднання зусиль багатьох різних підрозділів, починаючи з керівництва та поширюючись на всю організацію, в тому числі і внутрішній аудит. Завдяки своїй близькості до операційної діяльності та розумінню внутрішніх процесів організації внутрішній аудит  має унікальну можливість виявляти потенційні недобросовісні дії та запобігати їм.

Процес  внутрішнього аудиту передбачає оцінку достатності та ефективності внутрішнього контролю, зокрема,  допомагає  керівництву впроваджувати ефективні заходи щодо запобігання шахрайства та корупції. Його роль може змінюватись від оцінки потенціалу виникнення шахрайства до того, як організація управляє контролями щодо запобігання ризику шахрайства загалом.  

Інститут внутрішніх аудиторів (IIA) сформував «модель трьох ліній», що базується на ідеї, що ці три лінії працюють разом для забезпечення внутрішнього управління та комплексного підходу щодо управління ризиками. Бізнес-підрозділи, працівники функції комплаєнсу, аудиту та інші працівники з управління ризиками разом формують ці три лінії захисту, і кожна з них виконує певну функцію. Ця модель надає гнучкий інструмент для встановлення чітких ролей та взаємозв’язків, що допомагають впровадити організаційні заходи щодо усунення ризику шахрайства та корупції.

Перша лінія. Вище керівництво, керівники відділів чи власники процесів виступають першою лінією захисту. Їх основний обов’язок полягає в тому, щоб контролювати та брати на себе відповідальність за ризики, пов’язані з повсякденною діяльністю. Вони також впроваджують засоби контролю, розробляють внутрішні політики, контролюють виконання політик співробітниками та контролюють фактори ризику за допомогою рішень і дій. Представники цієї лінії повинні контролювати ризики шахрайства та впровадження засобів відповідного контролю. Також вони несуть відповідальність за підтримку виявлення та оцінки ризиків шахрайства у відповідних бізнес-підрозділах.

Друга лінія. Друга лінія захисту включає в себе сферу управління ризиками та комплаєнс-функцію, а саме ризик-менеджера, спеціаліста з комплаєнсу чи спеціаліста з інформаційної безпеки. Друга лінія захисту надає підтримку у вдосконаленні програми з управління ризиками компанії, моніторинг самого процесу та дотримання відповідних політик, нормативних актів, норм етичної поведінки. Представники другої  лінії також визначають ризики, що виникають у щоденній діяльності підприємства, та керують діяльністю з управління ризиками шахрайства, тісно співпрацюючи з вищим керівництвом. Склад другої лінії залежить від багатьох факторів, зокрема,  галузь, зрілість організації та розмір. Спеціалісти цієї  лінії гарантують, що належним чином розроблені процеси та засоби контролю для зменшення ризиків шахрайства існують і працюють ефективно під управлінням першої лінії.

Третя лінія. Третя лінія захисту –  внутрішній аудит. Основний обов’язок внутрішніх аудиторів – оцінка ефективності першої та другої лінії оборони. Вони перевіряють та оцінюють розробку та впровадження програми і заходів з управління ризиками. Діяльність внутрішнього аудиту надає правлінню та вищому керівництву впевненість у тому, наскільки ефективно організація застосовує внутрішні контролі для запобігання ризикам шахрайства.

Модель трьох ліній широко визнається багатьма галузями як модель управління ризиками, а також  управління ризиками шахрайства та корупції. Форма її реалізації залежить від галузі та розміру компанії.

З огляду на ряд опрацьованих матеріалів, практик та багаторічного досвіду можна сформувати  наступні оптимальні принципи, що допоможуть впровадити ефективну роль внутрішнього аудиту у запобіганні шахрайству та корупційної діяльності в організації:

• Внутрішній аудит повинен бути частиною стратегічного управління шахрайством для більш ефективного та надійного процесу управління ризиками шахрайства, включаючи провідну роль в оцінці ризиків шахрайства в масштабах організації.
• Забезпечується незалежність та об’єктивність внутрішнього аудиту.
• Основною роллю внутрішнього аудиту виступає оцінка ефективності системи управління ризиками, консультування та підтримка вищого керівництва організації в побудові внутрішніх контролів.

• Внутрішній аудит повинен враховувати ризики шахрайства як при формуванні плану аудитів, так і у межах окремих проєктів.
• Система управління ризиками шахрайства може виступати предметом окремого аудиту.
• Внутрішній аудит може надавати рекомендації вищому керівництву щодо можливостей покращення системи управління ризиками шахрайства та відповідних контролів для зниження впливу ризиків шахрайства.
• Внутрішній аудит бере участь як у реактивних розслідуваннях, так і у проактивних за наявності достатніх ресурсів та можливості бути гнучким у виконанні програми аудиту.

• Роль внутрішнього аудиту в управлінні ризиками шахрайства повинна бути чітко визначена в затверджених політиках і процедурах.
• Внутрішній аудит повинен керуватися своєю прихильністю до належної професійної обережності та дотримання кодексу етики та правил поведінки, що стосуються чесності, об’єктивності, конфіденційності та компетентності.
• В організації має бути достатня наявність кадрових ресурсів внутрішнього аудиту, залучених до процесу управління ризиками шахрайства.
• Спеціалісти внутрішнього аудиту мають розвивати компетенції, що дозволяють оцінювати ефективність управління ризиками шахрайства та корупційної діяльності. 

Варіації цих принципів можуть бути зумовлені розміром і сектором, місцевим середовищем і культурою організації, а також бажанням інвестувати в боротьбу з шахрайством на вищому рівні. Внутрішні аудитори в багатьох випадках мають хороші можливості для того, щоб відігравати дедалі важливішу роль в управлінні ризиками шахрайства та брати участь у більш стратегічному аналізі та прийнятті рішень. Наявність  потужної та дієвої функції внутрішнього аудиту в організації забезпечить впевненість, що внутрішня система контролів ефективна та повна, що безумовно сприятиме успішній діяльності організації на довгострокову перспективу. 

Павло Богдан, старший консультант, форензік, KPMG в Україні