b) проверку полноты выявления и корректности оценки рисков руководством организации на всех уровнях ее управления;
c) проверку эффективности контрольных процедур и иных мероприятий по управлению рисками, включая эффективность использования выделенных на эти цели ресурсов;
d) проведение анализа информации о реализовавшихся рисках (выявленных по результатам внутренних аудиторских проверок нарушениях, фактах не достижения поставленных целей, фактах судебных разбирательств).
(4) Оценка эффективности осуществляется по двум основным направлениям:
- самостоятельная оценка;
- независимая оценка (внешним аудитором, внутренним аудитором).
Раздел 2. Показатели эффективности
(1) Самостоятельная оценка эффективности систем внутреннего контроля и рисков может оцениваться через систему индикаторов.
(2) Разработка индикаторов эффективности базируется на основных составляющих эффективности: действенности и результативности.
(3) Действенность системы управления рисками и внутреннего контроля определяется функционированием компонентов и значимостью принципов систем управления рисками и внутреннего контроля. Определение степени воздействия элементов на принципы демонстрирует правильность политики высшего руководства.
(4) Результативность системы управления рисками и внутреннего контроля оценивается через достижение результатов управления рисками и внутреннего контроля, которые выражаются в отсутствии серьезных нарушений, фактов повторения ранее выявленных ошибок, а также в отсутствии реализовавшихся рисков.
Результативность может быть оценена с использованием системы ключевых индикаторов - количественных или качественных показателей источников (факторов) риска. Данные показатели характеризуют концентрацию рисков, в том числе накопившиеся негативные события в соответствующем подразделении организации.
(5) Эффективность можно оценить с качественной и количественной точек зрения.
Качественные характеристики определяются через логическую оценку изменений в системах управления рисками и внутреннего контроля, которая реализуется путем аналитического обобщения результатов контрольных воздействий с позиций снижения различного рода рисков организации.
Количественные показатели представляют собой числовые данные, в том числе выраженные через коэффициенты, характеризующие конкретные процессы или события, происходящие либо в системе управления рисками и внутреннего контроля, либо в связи с изменениями под воздействием данных систем. Количественные оценки основываются на экономико-математических расчетах, связанных с исследованием относительных или усредненных величин.
(6) Количественными показателями измерения эффективности являются также целевые показатели по ограничению рисков и пороговые значения, присваиваемые ключевым индикаторам рисков.
Глава XI. Внутренний аудит
Раздел 1. Возможности
(1) Внутренний аудит должен способствовать организации в поддержании действенной системы внутреннего контроля и системы управления рисками, оценивая их эффективность и результативность, а также содействуя постоянному совершенствованию систем.
(2) Вовлеченность внутреннего аудита в процесс оценки, мониторинга систем управления рисками и внутреннего контроля.
(3) Принципы, сформированные на основе лучшей профессиональной практики и представляющие собой основу для его проведения:
a) Независимость и объективность
Внутренний аудит должен быть независимым, а внутренние аудиторы должны быть объективными при выполнении своих обязанностей.
b) Организационная независимость
Руководитель подразделения внутреннего аудита (сотрудник/сотрудники организации, соответствующий Комитет) должен отчитываться органу управления такого уровня, который позволил бы подразделению внутреннего аудита выполнять свои обязанности.
c) Недопустимость вмешательства
Внутренний аудитор должен быть свободен от влияния третьих лиц в процесс определения объема внутреннего аудитора, проведения работ и представления отчетности о результатах.
d) Прямое взаимодействие с советом директоров
Руководитель подразделения внутреннего аудита (сотрудник/сотрудники организации, соответствующий Комитет) должен быть подотчетен совету директоров.
e) Индивидуальная объективность
Внутренний аудитор должен быть беспристрастным и непредвзятым в своей работе и избегать конфликта любого рода.
f) Профессионализм
Высокий уровень профессионализма, знание особенностей деятельности организации.
(4) Требуемый набор качеств и навыков определяется, исходя из роли внутреннего аудитора в организации и поставленных задач. К таким качествам можно отнести:
Ключевые качества и навыки:
- объективность;
- здравость суждений;
- профессиональный скептицизм;
- работоспособность;
- аналитические способности;
- коммуникативные навыки.
Ключевые общие знания:
- стандарты внутреннего аудита;
- методология внутреннего аудита;
- принципы внутреннего контроля и управления рисками;
- финансовый анализ;
- теория управления;
Специальные знания:
- специфика профессиональной деятельности;
- нормативные правовые акты и нормативные документы в сфере профессиональной деятельности;
- действующие внутренние документы организации, регламентирующие профессиональную деятельность и систему внутреннего контроля;
- стратегические планы организации.
(5) Взаимосвязь внутреннего аудита и внутреннего контроля на основе риск-ориентированного подхода состоит в следующем:
a) предоставление информации по наиболее существенным рискам организации для формирования плана проверок;
b) оценка эффективности системы внутреннего контроля и разработка рекомендация по оптимизации систем;
c) анализ существующей практики.
(6) Использование внешних источников во внутреннем аудите (аутсорсинг, ко-сорсинг).
В случае, если в организации не создается подразделение внутреннего аудита (не назначен сотрудник/сотрудники либо соответствующий Комитет), для проведения внутреннего аудита могут привлекаться внешние эксперты, в частности, сотрудники саморегулируемых организаций, которые имеют достаточные знания и практику в области профессиональной деятельности на рынке ценных бумаг.
Раздел 2. Степень координирования с функциями управления рисками и внутреннего контроля
(1) В процессе осуществления внутреннего аудита происходит концентрация работы на существенных (значимых) рисках, определенных руководством организации, аудит процессов управления рисками в организации.
(2) Внутренний аудит содействует в идентификации/оценке рисков и в обучении персонала, задействованного в процессах управления рисками и внутреннего контроля.
(3) Внутренний аудит дает оценку эффективности мероприятий по управлению рисками и внутреннему контролю.
Степень координирования подразделений и их полная либо частичная независимость определяют надежность существующей в организации системы внутреннего контроля и возможность для высшего руководства полагаться на выводы внутреннего аудитора об оценке эффективности исполнительного руководства.
Глава XII. Документирование (регламентация) систем управления рисками и внутреннего контроля
(1) Качественное документирование помогает определить структуру систем управления рисками и внутреннего контроля. Документация определяет порядок функционирования систем управления рисками и внутреннего контроля, способствует осуществлению надлежащего мониторинга и упрощает отчетность по эффективности, особенно при анализе заинтересованными лицами.
(2) Тип и объем документации определяется организацией в зависимости от масштаба деятельности и сложности процессов и контрольных процедур.
(3) Регламентация систем управления рисками и внутреннего контроля осуществляется в следующих основных документах (группах документов):
a) Учредительные документы организации и внутренние документы, регламентирующие работу органов управления организации - определяют цели и задачи деятельности, полномочия и структуру органов управления, в том числе содержат сведения о системе органов внутреннего контроля и рисков, порядке образования данных органов и их полномочиях.
b) Стратегия (программы) развития организации – конкретизирует и структурирует стратегические и иные цели деятельности организации, в соответствии с которыми функционирует система управления рисками и внутреннего контроля.
c) Положение (я) о системе управления рисками и системе внутреннего контроля в организации – определяют организацию системы управления рисками и системы внутреннего контроля, цели и задачи управления рисками и внутреннего контроля, принципы и методы деятельности, составляемую отчетность.
К таким документам относится Инструкция о внутреннем контроле профессионального участника рынка ценных бумаг, Правила организации и осуществления внутреннего контроля специализированного депозитария, Правила внутреннего контроля в целях противодействия легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма, а также Стратегия (Концепция) системы управления рисками организации, Политика в области управления рисками организации, Регламент управления рисками, Методика оценки рисков и т. д.;
d) Положение (я) о службе управления рисками, внутреннего контроля и аудита (регламент деятельности)[1] – определяет статус служб в организационной структуре, задачи, полномочия, права и обязанности, а также взаимоотношения с другими подразделениями организации, устанавливает распределение функций между сотрудниками служб;
e) Должностные инструкции сотрудников организации - определяют функции, полномочия и ответственность каждого сотрудника, в том числе в части осуществления внутреннего контроля и управления рисками.
Глава XIII. Информационно-технологическая инфраструктура
(1) К информационно-технологической инфраструктуре относится комбинация автоматизированных и неавтоматизированных процессов, компьютерное оборудование и программное обеспечение, соответствующая методология и процессы их использования. При этом, компьютерные технологии воздействуют на разработку, внедрение и осуществление управления рисками и внутреннего контроля, не влияя на них, и принципы управления рисками и внутреннего контроля остаются соответствующими и сохраняют значимость.
|
Из за большого объема этот материал размещен на нескольких страницах:
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 |
