logo

Доверяй, но проверяй: чем отличается аудит компании от внутреннего контроля

meeting-2284501_960_720.jpg

Фото: pixabay.com

Понятия «внутренний аудит» и «внутренний контроль» зачастую воспринимают как синонимы. Несмотря на то, что оба подразделения призваны улучшить эффективность работы организации и обеспечить принятие правильных решений руководством, их путать не стоит. Эксперт в области аудита Наталья Андреева в колонке для Realist объясняет разницу между процедурами и рассказывает про концепцию «трёх линий защиты компании».  

Я часто сталкиваюсь с тем, что люди смешивают понятия «внутренний контроль» и «внутренний аудит». Однако это не совсем одно и то же. Давайте разберем «на пальцах», в чём разница между этими подразделениями. Внутренний аудит имеет два основных отличия. 

Во-первых, аудит должен функционально подчиняться и отчитываться перед советом директоров или собственником. Любые другие конструкции, такие как СЕО, CFO, Deputy CEO и прочее, к хорошему не приведут. По сути, аудит – это «глаза и уши» совета директоров и собственников компании. К тому же, аудит не вовлечён в бизнес и операционку, он смотрит незамыленным взглядом на то, что происходит в компании.

Во-вторых, In God We Trust, The Others We Audit. Иначе говоря, аудит проверяет всех, всё и вся, в том числе, работу внутреннего контроля. Грамотный аудит разберёт процессы компании на запчасти, чтобы понять, почему процессы дорогие, долгие и почему клиенты уходят. Аудит будет копать на три метра вглубь и отвечать на такие вопросы как «почему в контролях дырки и компания несет убытки». Если аудитор профи и ему доверяют, он будет не только «консалтинг in-house», но и во многом заменит внешних недешёвых экспертов. Аудит в любом случае повлияет на принятие решений, поэтому для компании эффективнее и дешевле обратиться к услугам аудитора до запуска какого-то ключевого проекта или принятия стратегии.

Внутренний контроль, который может называться комплаенс, служба внутреннего контроля или СВК, предотвращает, отслеживает и управляет только регуляторными рисками, которые заключаются в том, что компания и топ-менеджмент нарвутся на штрафы или, допустим, отзыв лицензии, если не будут соблюдать требования законодательства. Внутренний контроль выполняет роль буфера, который обязан уберечь от таких рисков.

В 2013 появилась концепция «трёх линий защиты компании». Считается, что компания надежно защищена, если у неё есть эффективные контроли на трёх уровнях. Первая линия защиты состоит из самоконтроля, службы безопасности, контроля внутри каждой команды и финансовой службы. Вторая линия – это служба рисков и внутренний контроль.Третья линия представляет собой внутренний аудит. По требованиям биржи, именно это подразделение должно быть в публичных компаниях. Если акции компании не котируются, то создание внутреннего аудита зависит от желания совета директоров или собственника. Как правило, внутренний контроль и внутренний аудит есть в крупных компаниях.

Обойтись без внутреннего контроля можно в трёх случаях:

  • Компания не контролируется Банком России. То есть это не банк, не брокер, не пенсионный фонд, не управляющая компания;

  • Финансовая отчётность компании не подлежит обязательному внешнему аудиту. В этом случае, в компании может не быть службы внутреннего контроля или специального сотрудника. Однако процесс контроля всё равно должен быть выстроен;

  • Собственник автоматизировал процессы или правильно распределил обязанности службы внутреннего контроля. Также возможен вариант, когда собственник верит, что он сам всё успешно контролирует и неприятности случаются только с чужим бизнесом.





  • Facebook
Подписывайтесь на Telegram-канал @realistmedia