Две большие разницы
Внутренний аудитор проводит независимую оценку системы внутреннего контроля и системы управления рисками в областях соответствия внешним регуляциям. Также он определяет достоверность отчетности для внешних потребителей, эффективность бизнес-процессов и реализации стратегии. Для такого анализа аудитору приходится оценивать риски, выявленные в ходе проведения внутренних проверок, определять толерантность к угрозам, а также оценивать эффективность контрольных процедур и принимаемых мер по снижению уровня опасности.
Получается, что общая задача и риск-менеджмента, и внутреннего аудита – это оценка рисков. Вместе с тем необходимо учесть, что каждое из этих подразделений использует различные подходы к такому анализу. Риск-менеджер оценивает риск без рассмотрения вызвавших его причин. Основная работа специалиста направлена скорее на то, чтобы минимизировать вероятность реализации риска. Внутренний аудитор, напротив, в большей степени заинтересован в выявлении причин, приведших к возникновению риска. Этот специалист оценивает риски, связанные с неэффективностью контрольных процедур.
Перечислим еще несколько отличий между внутренним аудитом и риск-менеджментом.
Риск-менеджер имеет право принимать решение о воздействии на риск, а внутренний аудитор такого права не имеет.
Владелец процесса и основной потребитель информации от службы риск-менеджмента – это исполнительное руководство компании, а внутренний аудит является инструментом совета директоров.
Риск-менеджер ответственен за создание системы управления рисками в компании, а внутренний аудитор – за ее оценку.
УСЛОВИЯ ЭФФЕКТИВНОГО ВЗАИМОДЕЙСТВИЯ РИСК-МЕНЕДЖМЕНТА И ВНУТРЕННЕГО АУДИТА
Оценка рисков не должна зависеть от принятия решений по управлению ими.
Распределение функций и полномочий между подразделениями внутреннего аудита и риск-менеджмента должно быть грамотным и четким.
Процессы взаимодействия между риск-менеджером, менеджментом и внутренним аудитом должны быть регламентированы.
Все участники процессов должны четко понимать свою роль в системе риск-менеджмента и сознательно стремиться к налаживанию взаимодействия между участниками системы управления рисками.
Получается, что общая задача и риск-менеджмента, и внутреннего аудита – это оценка рисков. Вместе с тем необходимо учесть, что каждое из этих подразделений использует различные подходы к такому анализу. Риск-менеджер оценивает риск без рассмотрения вызвавших его причин. Основная работа специалиста направлена скорее на то, чтобы минимизировать вероятность реализации риска. Внутренний аудитор, напротив, в большей степени заинтересован в выявлении причин, приведших к возникновению риска. Этот специалист оценивает риски, связанные с неэффективностью контрольных процедур.
Перечислим еще несколько отличий между внутренним аудитом и риск-менеджментом.
Риск-менеджер имеет право принимать решение о воздействии на риск, а внутренний аудитор такого права не имеет.
Владелец процесса и основной потребитель информации от службы риск-менеджмента – это исполнительное руководство компании, а внутренний аудит является инструментом совета директоров.
Риск-менеджер ответственен за создание системы управления рисками в компании, а внутренний аудитор – за ее оценку.
УСЛОВИЯ ЭФФЕКТИВНОГО ВЗАИМОДЕЙСТВИЯ РИСК-МЕНЕДЖМЕНТА И ВНУТРЕННЕГО АУДИТА
Оценка рисков не должна зависеть от принятия решений по управлению ими.
Распределение функций и полномочий между подразделениями внутреннего аудита и риск-менеджмента должно быть грамотным и четким.
Процессы взаимодействия между риск-менеджером, менеджментом и внутренним аудитом должны быть регламентированы.
Все участники процессов должны четко понимать свою роль в системе риск-менеджмента и сознательно стремиться к налаживанию взаимодействия между участниками системы управления рисками.