Автоматизация внутреннего контроля, внутреннего аудита и управления рисками (часть 4)
Одним из основных инструментов управления рисками (УР) выступает внутренний контроль (ВК), который в свою очередь состоит из трех линий защиты. Указанные линии защиты организация должна выстраивать для минимизации вероятности возникновения и минимизации последствий опасных событий и рисков недостижения целей.
Первая линия защиты — это набор процедур и процессов, которые встраиваются на уровне подразделений и осуществляется самими подразделениями, например: 1. Единое информационное пространство в организации с доступом к информационной системе через единый личный кабинет, систему уведомлений, визуализации (дашборды) и управления задачами. 2. ВК и УР на уровне каждого подразделения с интеграцией с системами операционной деятельности, КПЭ подразделений и соответствующим мониторингом. 3. Постоянная работа с рисками, а именно идентификация и оценка, предиктивная аналитика, учет и мониторинг сценариев реализации рисков. 4. Управление доступом и разделение полномочий для минимизации рисков мошенничества и ошибок в том числе с использованием разграничения функциональности.
Вторая линия защиты – это наличие соответствующих служб Внутреннего аудита (ВА), ВК и УР, которые отвечают за наличие и эффективное функционирование централизованной системы УР, ВК и УР, соответствующих методологий и методик работы, например: 1. Управление рисками через оценку уровня риск-культуры с установлением и мониторингом риск-аппетита. 2. Формализация централизованной системы внутреннего контроля с документированием оценки эффективности внутренний процессов организации, мониторингом контрольных процедур. 3. Наличие службы комплаенса, мониторинг законодательства и системы государственного регулирования на предмет соответствия деятельности, анализ конфликтов интересов. 4. Обеспечение непрерывности бизнеса, формализация, обновление и тестирование планов по восстановлению деятельности. Создание системы оповещения и группового взаимодействия на случай форс-мажорных обстоятельств. 5. Создание службы информационной безопасности и противодействие мошенничеству с управлением индикаторами и инцидентами. Автоматизация централизованной системы, системы расследований, отчетов и аналитики ВК, ВА и УР.
Третья линия защиты – контроль рисков, требования к системам ВК, ВА и УР со стороны собственников и совета директоров (СД). Именно собственники и СД формируют стратегию организации и определяют риск аппетит, а также обеспечивают достижение целей через систему мониторинга и контроля в том числе с использованием комитетов (комитет по рискам, комитет по аудиту и т.п.), например: 1. Риск-ориентированный план внутреннего аудита с формализацией вселенной аудита и выявлением риск-факторов для проверки. Непрерывный аудит и анализ данных с интеграцией в систему управления организацией (интеграция с источниками данных, наличие автоматизированной системы аудита с дашбордами и отчетами, формирование программ проверок и чек-листов, ведение документооборота в процессе проверки). 2. Формализация требований к качеству исходных данных, наличие следа в системах, контроль качества документирования. Например: логи активности в системы, документирование всех изменений в ПО, наличие необходимых инструкций, разграничение полномочий и т.п. 3. Автоматизация рабочего процесса с контролем этапов, сроков процессов. Использование конструкторов процессов и постоянный мониторинг их эффективности.