Как проводить эффективные аудиты: согласование рисков и связанный подход к GRC
Мировой рынок GRC демонстрирует устойчивый рост: ожидается увеличение объема с примерно 72 млрд долларов в 2025 году до более чем 200 млрд долларов к 2033 году. Основным драйвером выступает рост регуляторной сложности в Европе и за ее пределами, а также усиливающееся давление на организации в части подтверждения эффективности систем управления рисками и соответствием требованиям.
Однако обсуждения специалистов по аудиту и управлению рисками показывают иную картину: многие организации по-прежнему сталкиваются с фрагментированными системами, разрозненными данными и процессами аудита, которые не успевают за скоростью изменения рисков.
Ключевой вывод, который повторяетсяся в большинстве обсуждений: качество аудита напрямую зависит от качества и полноты данных о рисках. Если данные разрознены или неполны, аудит неизбежно становится ретроспективным, а не проактивным инструментом управления.
Однако обсуждения специалистов по аудиту и управлению рисками показывают иную картину: многие организации по-прежнему сталкиваются с фрагментированными системами, разрозненными данными и процессами аудита, которые не успевают за скоростью изменения рисков.
Ключевой вывод, который повторяетсяся в большинстве обсуждений: качество аудита напрямую зависит от качества и полноты данных о рисках. Если данные разрознены или неполны, аудит неизбежно становится ретроспективным, а не проактивным инструментом управления.
Что показала профессиональная дискуссия
Профессиональные мероприятия в области управления рисками и комплаенса объединяют специалистов, которые ежедневно работают с отчетностью по аудиту, взаимодействуют с регуляторами и формируют риск-профиль организаций.
Общий вывод участников можно сформулировать следующим образом: основные проблемы носят не методологический, а системный характер.
На практике это выражается в следующем:
Общий вывод участников можно сформулировать следующим образом: основные проблемы носят не методологический, а системный характер.
На практике это выражается в следующем:
- данные о рисках устаревают до проведения аудита;
- реестры рисков не связаны с проверкой контролей;
- требования регуляторов фиксируются отдельно от остальных процессов управления;
- системы учета данных не интегрированы между собой;
- отсутствует единая картина состояния рисков организации.
Проблема фрагментации систем управления рисками
Фрагментацию часто ошибочно воспринимают как исключительно технологическую проблему. На самом деле это проблема управляемости и прозрачности.
Когда элементы системы распределены между разными инструментами:
Потеря контекста
Контроль проверяется без учета полного риск-профиля.
Дублирование работы
Одинаковые данные собираются и проверяются несколько раз.
Запоздалое выявление проблем
К моменту выявления несоответствий окно для реагирования уже закрыто.
Когда элементы системы распределены между разными инструментами:
- требования хранятся отдельно;
- данные о рисках находятся в изолированных реестрах;
- результаты проверок фиксируются в отдельных хранилищах;
- доказательная база разбросана по разным системам.
Потеря контекста
Контроль проверяется без учета полного риск-профиля.
Дублирование работы
Одинаковые данные собираются и проверяются несколько раз.
Запоздалое выявление проблем
К моменту выявления несоответствий окно для реагирования уже закрыто.
Почему аудит невозможен без качественного управления рисками
Аудит является производной функцией от управления рисками. Его эффективность зависит от качества входных данных.
Если данные о рисках:
В такой ситуации аудит превращается в формальную проверку, а не в инструмент повышения устойчивости организации.
Если данные о рисках:
- неполные;
- устаревшие;
- не связаны с контрольными процедурами,
В такой ситуации аудит превращается в формальную проверку, а не в инструмент повышения устойчивости организации.
Как меняется подход при связанной модели управления
При интеграции процессов управления рисками, контролями и аудитом формируется единая информационная модель.
В этом случае:
В этом случае:
- реестр рисков связан с контрольными процедурами;
- результаты проверок автоматически обновляют риск-профиль;
- данные доступны в режиме, близком к реальному времени;
- формируется единая версия данных для всех участников процесса.
Переход от реактивного аудита к непрерывной оценке
В традиционной модели аудит выполняется периодически и фиксирует уже произошедшие события. В связанной модели управления:
- риски отслеживаются постоянно;
- контрольные процедуры проверяются непрерывно;
- отклонения выявляются на ранних этапах;
- корректирующие действия запускаются автоматически.
Значение связанного подхода к управлению GRC
Интегрированный подход к управлению GRC позволяет объединить:
- управление рисками;
- контроль соответствия требованиям;
- внутренний аудит;
- управление контролями;
- управление инцидентами.
Принципы построения связанной модели GRC
Единая модель данных
Все элементы управления описываются в рамках одной логической структуры:
Сквозная связность процессов
Каждый элемент связан с другими элементами системы.
Актуальность данных
Информация обновляется в процессе выполнения операций, а не постфактум.
Прослеживаемость
Каждое изменение фиксируется и может быть проверено.
Все элементы управления описываются в рамках одной логической структуры:
- риски;
- контролирующие меры;
- требования;
- результаты проверок;
- доказательная база.
Сквозная связность процессов
Каждый элемент связан с другими элементами системы.
Актуальность данных
Информация обновляется в процессе выполнения операций, а не постфактум.
Прослеживаемость
Каждое изменение фиксируется и может быть проверено.
Роль современных цифровых платформ
Современные подходы к управлению GRC предполагают использование единой цифровой среды, в которой:
Такие решения позволяют:
- риск-менеджмент;
- аудит;
- комплаенс;
- контрольные процедуры
Такие решения позволяют:
- автоматизировать сбор доказательной базы;
- связывать риски с контролями;
- отслеживать статус выполнения требований;
- формировать отчеты в режиме реального времени;
- выявлять отклонения до проведения аудита.
Применение интеллектуальных технологий
Современные системы управления GRC все чаще используют элементы анализа данных и автоматизации.
Это позволяет:
Это позволяет:
- выявлять потенциальные нарушения;
- анализировать эффективность контролей;
- оценивать вероятность рисков;
- формировать рекомендации по корректирующим действиям.
Основные эффекты интегрированного подхода
Организации, переходящие к связанному управлению GRC, получают:
- повышение прозрачности процессов;
- снижение количества несоответствий;
- ускорение подготовки аудиторских материалов;
- повышение качества управленческих решений;
- улучшение взаимодействия между функциями.
Ключевой вывод
Главная проблема современных систем управления рисками заключается не в отсутствии методологий, а в отсутствии связности данных и процессов.
Аудит не может быть эффективным, если он работает с фрагментированной информацией.
Связанный подход к GRC позволяет устранить разрыв между рисками, контролями и аудитом и превратить аудит из ретроспективной функции в непрерывный механизм управления устойчивостью организации.
Аудит не может быть эффективным, если он работает с фрагментированной информацией.
Связанный подход к GRC позволяет устранить разрыв между рисками, контролями и аудитом и превратить аудит из ретроспективной функции в непрерывный механизм управления устойчивостью организации.