Уже в самом названии конференции заложена путаница, которая отражает неразбериху в терминах и практике, существующую до сих пор. Так что сначала давайте разберемся в понятиях.
Комплаенс - это внутренние меры компании по обеспечению соблюдения (а не контролю) любого законодательства, внутренних правил и этических стандартов (различают антисанкционный, антимонопольный, по персональным данным и т.п.) Данное понятие законодательно не закреплено. (можно отнести к 1/2 линии защиты) Также комплаенс скорее бизнес-функция, чем контрольная.
Внутренний контроль - для КО и НФО обязателен и регулируется нормативными актами Банка России, направлен на минимизацию регуляторного риска. (2 линия защиты)
Внутренний аудит - в его функции входит оценка эффективности системы внутреннего контроля и риск-менеджмента. Требования к аудиту также закреплены в нормативных актах Банка России. (3 линия защиты)
На практике часто происходит смешение понятий комплаенс и внутренний контроль, т.к. оба они относятся ко 2 линии защиты. В некоторых компаниях и банках также происходит дублирование функций между подразделениями комплаенс/внутреннего контроля и аудитом. Внутренний аудит также занимается проверками и контролем на предмет соответствия требованиям законодательства, что некорректно.
Зачастую это происходит потому что в небольших и непубличных компаниях бенефициар и генеральный директор - одно лицо, и ему не нужно несколько ступеней контроля внутри компании. Вместе с тем компания обязана исполнять требования по формальному наличию внутреннего аудита.
Заметки по интересным выступлениям, которые дают пищу для размышлений.
IT в аудите. Много говорилось про IT составляющую внутреннего контроля и аудита. Посещение контролерами офисов или запрос бумажных документов безвозвратно уходят в прошлое, т.к. большинство клиентов пользуется услугами через цифровые каналы. Специалисту по внутреннему контролю необходимо обладать "цифровыми компетенциями" - уметь анализировать большие массивы данных с помощью специальных программ, обращаться к базам данных для выгрузок и т.п.
Внутренние аудиторы экономят свои ресурсы и не занимаются выгрузкой "первички" и ее сверкой с тем, "как надо", скорее они так формулируют параметры выгрузок информации, чтобы сразу получить массив данных, которые содержат признаки несоответствий (как "не надо").
Также аудиторы при проверке внутренних процессов (process mining) все реже проверяют документы или проводят интервью с работниками, все чаще они проводят выгрузку "логов" действий работников при исполнении своих обязанностей и отрисовывают как фактически выглядит бизнес процесс. Так сразу видны слабые места или неисполнение каких-либо действий.
Еще одним важным аспектом аудита является оценка внутренних моделей, которые использует бизнес (скорринг при выдаче кредитов, выявление манипулирования, выявление и блокировка нарушителей ПОД/ФТ и т.п.) Для такой работы создаются отдельные подразделения, набираются специалисты с математическим образованием.
Некоторые применяют Agile, т.к. каждая проверка по сути - проект. Аудиторы ведут "бэклог" каждой проверки, где подробно описывают его цель, план, ответственных исполнителей, а также подзадачи, которые появляются в процессе. Имея такую базу удобно работать над ошибками, над сокращением времени проверки и повышением их результативности, а также легче по ход управлять результатом.
Также из важных навыков для внутреннего контролера участники отметили фокус на поиск решений проблем, а не идентификацию нарушений (зачастую технических, не несущих существенных рисков), а также прогнозирование изменений и адаптацию к ним деятельности компании.