Для риск-менеджера еще более важным, чем снижение уровня риска, является определение угроз, влияющих на достижение поставленных целей, – стратегических, тактических, операционных.
Определяя особенности и цели функционирования служб внутреннего контроля и риск-менеджмента, следует помнить о том, что не столько риск-менеджер, сколько владельцы рисков (обычно это руководители структурных подразделений, в ведении которых выполнение поставленных целей в рамках контролируемого бизнес-процесса) отвечают за идентификацию и управление угрозами, а также за контроль исполнения процедур.
Отмечу также, что для внутреннего аудита оценка рисков может и не зависеть от принятия решений по управлению ими, тогда как менеджмент и риск-менеджер оценивают риск и управляют им.
На мой взгляд, общей у риск-менеджмента и внутреннего аудита является цель – путем постоянного сокращения угроз содействовать достижению организацией поставленных задач.
Управление рисками выполняет преимущественно превентивную функцию, в то время как аудиторская деятельность носит в основном детективный характер.
Может сложиться ложное впечатление, что функции внутреннего аудита и риск-менеджмента схожи и тесно связаны. В действительности между ними есть огромная разница. Главное отличие состоит в том, что внутренний аудит не зависит от менеджмента предприятия, тогда как риск-менеджмент является частью операционного бизнеса, отвечающего за выполнение стратегических и тактических целей компании.
Внутренний аудит анализирует прежде всего меры по контролю над рисками, идентифицированными менеджментом. К основным функциональным обязанностям внутреннего аудитора я отнес бы оценку адекватности установленного контроля. Кроме того, внутренний аудит предоставляет независимые и объективные консультации, цель которых – совершенствование деятельности организации.
Внутренний аудитор также является одним из получателей информации от службы риск-менеджмента, основным источником которой служит карта рисков. В регистре особый интерес для внутреннего аудитора представляют сведения о подразделениях, где содержатся наиболее существенные риски. Также специалисту важны данные о динамике изменений этих рисков за отчетный период. Такая информация используется при планировании внутренних аудиторских проверок.
В свою очередь, внутренний аудит поставляет информацию о вновь выявленных рисках, требующих принятия мер по их снижению.
Риск-менеджмент получает от внутреннего аудита независимую оценку величины остаточных рисков, что позволяет ему оценить эффективность контрольных процедур.
Внутренний аудитор производит оценку рисков при принятии управленческих решений и высказывает свое мнение в совещательной форме о мерах по управлению угрозами. При этом он не участвует в голосовании по принятию управленческих решений и не несет за них ответственности.
Внутренний аудитор проводит независимую оценку системы внутреннего контроля и системы управления рисками в областях соответствия внешним регуляциям. Также он определяет достоверность отчетности для внешних потребителей, эффективность бизнес-процессов и реализации стратегии. Для такого анализа аудитору приходится оценивать риски, выявленные в ходе проведения внутренних проверок, определять толерантность к угрозам, а также оценивать эффективность контрольных процедур и принимаемых мер по снижению уровня опасности.
Получается, что общая задача и риск-менеджмента, и внутреннего аудита – это оценка рисков. Вместе с тем необходимо учесть, что каждое из этих подразделений использует различные подходы к такому анализу. Риск-менеджер оценивает риск без рассмотрения вызвавших его причин. Основная работа специалиста направлена скорее на то, чтобы минимизировать вероятность реализации риска. Внутренний аудитор, напротив, в большей степени заинтересован в выявлении причин, приведших к возникновению риска. Этот специалист оценивает риски, связанные с неэффективностью контрольных процедур.