Ներքին աուդիտն ի տարբերություն արտաքին աուդիտի շարունակական գործառույթ է, այն իրականացվում է ոչ թե տարին մեկ անգամ, այլ ամբողջ տարվա ընթացքում, ընդ որում՝ հաճախ աչքի առաջ ունենալով 3 տարվա հեռանկար։ Ներքին աուդիտ իրականացնելու համար նախ պետք է ապահովել դրա գործելու համար բավարար և բարենպաստ պայմաններ (Խորհրդի գործառույթ), կազմակերպել և պլանավորել աշխատանքը (Ներքին աուդիտի ղեկավարի գործառույթ)։
Ներքին աուդիտի կազմակերպումը և պլանավորումը
Ներքին աուդիտի նոր միջազգային ստանդարտների համաձայն ներքին աուդիտի մանդատը պետք է ամրագրվի Ներքին աուդիտի կանոնադրության մեջ և հաստատվի Խորհրդի կողմից։ Ներքին աուդիտն իր հերթին պետք է ունենա ռազմավարություն, մեթոդաբանություն և տարեկան պլան։ Դրանք կազմելու համար Ներքին աուդիտը պետք է լավ պատկերացում կազմի կազմակերպության կորպորատիվ կառավարման, ռիսկերի կառավարման և հսկողական գործընթացների վերաբերյալ։
Ռիսկերի կառավարման և հսկողական գործընթացները հասկանալու համար ներքին աուդիտի ղեկավարը պետք է հաշվի առնի, թե ինչպես է կազմակերպությունը բացահայտում և գնահատում էական ռիսկերը և ընտրում համապատասխան հսկողական գործընթացները: Սա ներառում է, թե ինչպես է կազմակերպությունը նույնականացնում և կառավարում հետևյալ հիմնական ռիսկային ոլորտները`
- Ֆինանսական և գործառնական տեղեկատվության հուսալիություն և ամբողջականությունը,
- Գործառնությունների և ծրագրերի արդյունավետությունը ու էֆեկտիվությունը,
- Ակտիվների անվտանգ պահպանումը,
- Համապատասխանությունը օրենքներին և/կամ կարգավորումներին։
Ներքին աուդիտի պլան
Տարվա ընթացքում Ներքին աուդիտն իրականացվում է Ներքին աուդիտի (տարեկան) պլանի հիման վրա։ Այդ պլանը կազմելու համար նախ անհրաժեշտ է սահմանել Աուդիտի բազմությունը, որը ներառում է բոլոր հնարավոր աուդիտի միավորները (աուդիտորական հանձնառության թեմաները)։ Աուդիտի հնարավոր միավորները կարող են ներառել․
- բիզնես միավորներ կամ ստորաբաժանումներ,
- գործընթացներ,
- ծրագրեր կամ նախագծեր և
- համակարգեր։
Դրանք կարող են ներառել նաև առաջին հայացքից այնպիսի անսովոր թեմաներ, ինչպիսին է կորպորատիվ մշակույթի աուդիտը, որն այս դասակարգումների տակ չի ընկնում։
Առևտրային բանկի աուդիտի բազմության աուդիտի միավորները կարելի է խմբավորել ստորև ներկայացված ուղղություններով, իսկ ավելի համապարփակ աուդիտի բազմությունը ենթադրում է բացվածք ենթագործընթացների մակարդակում։
Առևտրային բանկի աուդիտի բազմության օրինակ
1. Կառավարում և ռիսկերի կառավարում
2. Վարկային և վարկավորման գործընթացներ
3. Ֆինանսների կառավարում և հաշվետվություններ
4. Գործառնություններ և back office
5. Տեղեկատվական տեխնոլոգիաներ (ՏՏ) և կիբերանվտանգություն
6. Համապատասխանության և իրավական հարցեր
7. Մանրածախ և մասնաճյուղային բանկինգ
8. Ներդրումների և գանձապետարանի գործառույթներ
9. Մարդկային ռեսուրսներ և անձնակազմի կառավարում
10. Երրորդ կողմերի և մատակարարների կառավարում
11. Խարդախությունների կանխարգելում և հայտնաբերում
12. Մարքեթինգ և ապրանքի զարգացում
Այնուհետև այդ աուդիտի բազմության միավորները համակարգված ձևով ենթարկվում են ռիսկերի գնահատման։ Սա ռիսկերի վրա հիմնված աուդիտի առաջին կարևոր նախապայմանն է՝ թե ինչ ենք աուդիտ անում և ինչու՞։ Հաճախ բանկերում տեսնում ենք, որ ներքին աուդիտը մասնաճյուղ է «ստուգում», ընդ որում տարբեր գործընթացներ։ Այդ ստուգումները Կորպորատիվ կառավարման հետ ոչ մի ուղղակի կապ չունեն, իսկ ռիսկերի կառավարման հետ թերևս աղոտ կապ ունեն։ Հիմնականում սա հսկողական գործառույթների ստուգում է, որը առաջին կամ երկրորդ գծի գործառույթ է։ Հետևաբար սա չի կարող համարվել ռիսկերի վրա հիմնված աուդիտ։
Ռիսկերի գնահատումը ցանկալի է սկսել Ռիսկերի կառավարման ստորաբաժանման գնահատականների հիման վրա, երբ այդպիսիք առկա են։ Դա աուդիտի միավորների (Բանկի գործընթացների) նկատմամբ ընտրված ռիսկերի գնահատումն է, որը Ներքին աուդիտը ճշգրտում է իր նպատակներից ելնելով՝ հիմնվելով իր փորձի, ղեկավարության ակնկալիքների և այլ գործոնների վրա։ Ռիսկերի օրինակներ են․
- Ֆինանսական
- Հեղինակության
- Գործառնական
- Խարդախության
- ՏՏ
Ռիսկը չափվում է բնորոշ և մնացորդային ռիսկի (ներքին հսկողությունը հաշվի առնելուց հետո) մակարդակով։ Այն ազդեցության և հավանականության արտադրյալն է։ Ռիսկի դասակարգումը հաճախ պատկերում են Ռիսկերի ջերմային քարտեզի միջոցով։
Ռիսկերի ջերմային քարտեզի օրինակ (Risk Heat Map)
Համադրելով աուդիտի միավորները/գործընթացները և ռիսկի գնահատականը ստանում ենք աուդիտի միավորների ռիսկերի հիման վրա դասակարգում։ Ըստ կարևորության կարելի է նաև կշիռներ տալ ռիսկերին։
Ռիսկերի դասակարգման հիման վրա ընտրվում են միավորները և կազմվում է աուդիտի պլանը այն տրամաբանությամբ, որ ավելի բարձր ռիսկային միավորներն ավելի հաճախ են աուդիտի ենթարկվում, օրինակ բարձր ռիսկային ոլորտներն ամեն տարի, միջին ռիսկայինները՝ երկու տարին մեկ, իսկ ցածր ռիսկայինները՝ երեք տարին մեկ։ Արդյուքնում տարեկան պլանը ներառում է բարձր ռիսկային գործընթացները, միջին ռիսկայինների մի մասը և ավելի քիչ ցածր ռիսկայինները։
