www.pwc.com Практические аспекты применения модели «Трех линий защиты» и решения автоматизации средствами GRC Ноябрь 2015 Влияние системы внутреннего контроля на эффективное функционирование организации Миссия и стратегия Соответствие & Выполнение Цели Препятствия Риски Система внутреннего контроля PwC ноябрь 2015 1 Модель «Трех линий защиты». Методологические основы. ЕС 8-ая директива ЕС, статья 41 (8th EU Company Law Directive, article 41) ИВА Три линии защиты в среде эффективной оценки риска и контроля (The three lines of defense in effective risk management and control) КОСО Применение КОСО, используя модель «Трех линий защиты» (Leveraging COSO across the three lines of defense) ЦБ PwC Кодекс корпоративного управления ноябрь 2015 2 Модель «Трех линий защиты» Акционеры Внешние регуляторы Совет директоров / Наблюдательный совет Высшее руководство / Правление Президент Административное подчинение Комитет по аудиту Функциональное подчинение Внутренний аудит Управление рисками Внутренний Контроль Соблюдение требований / бизнесэтика / честность / устойчивость 3-я линия 2-я линия 1-я линия Оценка ключевых рисков, включая: • Финансовые Соблюдение регулятивных требований Бизнес партнеры PwC • Операционные/ИТ/стратегические • Новые/появляющиеся риски • Мониторинг функций 2-й линии защиты • Особые поручения руководства и контроль выполнения корректирующих мероприятий • Небольшие дочерние предприятия и зарубежные структуры (на ротационной основе) Сотрудники Покупатели ноябрь 2015 3 Модель «Трех линий защиты» 1-ая линия защиты (бизнес-функции) Совет директоров / Операционное руководство, которое несет Наблюдательный совет ответственность за оценку, регулирование и минимизацию рисков, а также за обеспечение эффективной Высшее системы руководство внутреннего / контроля. Президент Правление Административное Комитет по аудиту Функциональное подчинение подчинение PwC 2-ая линия защиты (функции мониторинга) – обеспечение и отслеживание Внутренний Контроль внедрения эффективной практики управления рисками, внутреннего Соблюдение требований контроля, соблюдение / бизнес-этика / законодательства и честность / устойчивость административных правил/ внутренних регламентов и Соблюдение расследование фактов регулятивных мошенничества. требований 3-я линия 2-я линия 1-я линия Управление рисками Внутренний аудит 3-я линия защиты (независимая Оценка ключевыхфункция): рисков, включая: Используя • Финансовые рискориентированный подход, • Операционные/ИТ/стратегические Внутренний Аудит • Новые/появляющиеся риски предоставляет подтверждение Совету • Мониторинг директоров функций и высшему 2-й линии защиты руководству организации относительно того, насколько • Особые поручения руководства и эффективно организация контроль выполнения оценивает свои риски и управляет корректирующих мероприятий ими, включая эффективность • Небольшие дочерние предприятия и работы первойструктуры и второй (на линии зарубежные защиты. ротационной основе) ноябрь 2015 4 Модель «Трех линий защиты» Сопоставление 1-ой линии защиты и 2-ой линии защиты 1-ая линия защиты 2-ая линия защиты • Владеет и управляет рисками; • Предоставляет консультации руководству по разработке дизайна/ внедрению контрольных процедур, управлению рисками, применимым комплаенс требованиям, предотвращению мошенничества и т.д.; • Несет ответственность за организацию эффективной среды внутреннего контроля (СВК), в т.ч. за разработку корректирующих мероприятий по выявленным недостаткам СВК; • Выполняет контрольные процедуры; • Разрабатывает и внедряет политики и процедуры, регламентирующие действующие бизнес-процессы. • Определяет единую концепцию (framework) в части выявления, оценки, пересмотра и разработки мер реагирования на риски; • Отслеживает поддержание эффективной практики внедрения СВК, оценки рисков, комплаенса и т.д. • Оказывает поддержку руководству в процессе разработки и внедрения политик и процедур по вопросам, затрагивающим аспекты внутреннего контроля, оценки рисков и т.д. • Акцентирует внимание на новых рисках; • Обучает руководство и сотрудников. PwC ноябрь 2015 5 Определение поставщиков гарантий Акционеры Внешние регуляторы Менеджмент предоставляет гарантии в качестве первой Совет директоров / Комитет по Внешние аудиторы линии защиты от рисков и Наблюдательный совет аудиту предоставляют гарантии средств контроля, за в отношении финансовой которые они руководство отвечают / Функциональное Высшее Президент подчинение Правление Административное отчетности компании подчинение Служба управления рисками предоставляет гарантии в отношении того, что риски выявляются и менеджмент ими управляет Внутренний аудит Управление рисками Оценка ключевых рисков, включая: Внутренний • Финансовые PwC 3-я линия 2-я линия 1-я линия аудит Внутренний контроль Внутренний Контроль • Операционные/ИТ/стратегическиепредоставляет предоставляет гарантии в гарантии по • Новые/появляющиеся риски отношении дизайна и Соблюдение организации в • Мониторинг функций 2-й линии требований / бизнесоперационной целом, включая защиты этика / честность / эффективности контролей устойчивость процессы • Особые поручения руководства и контроль выполнения управления корректирующих мероприятий Соблюдение рисками, Комплаенс предоставляет регулятивных • Небольшие дочерние предприятия и корпоративное гарантии в отношении требований зарубежные структуры (на управление и того, что нормативные, ротационной основе) внутренний законодательные и др. Бизнес партнеры требования Сотрудники Покупатели контроль выполняются ноябрь 2015 6 Сложности в организации и функционировании «Трех линий защиты» Неэффективная и (или) ненадлежащая организация «Трех линий защиты». Недостаточное взаимодействие в части выявления рисков, разработки мер реагирования и мониторинга выявленных рисков. Недостаточная координация деятельности, в том числе дублирование усилий и недостаточная интеграция применяемого инструментария. Незначительное использование специализированных информационных систем в части автоматизации внутреннего контроля, оценки рисков и внутреннего аудита. Недостаточная компетенция персонала в части выявления, разработки мер реагирования и мониторинга новых возникающих рисков (emerging risks). PwC ноябрь 2015 7 Концепция непрерывного мониторинга и непрерывного аудита Непрерывный мониторинг/ аудит • Автоматизация; • Анализ 100% транзакций; • Проактивное выявление несоответствий; • Сопоставление данных из различных баз данных и информационных систем; • Постоянное отслеживание событий. PwC Традиционный мониторинг • Преимущественно ручной подход; • Анализ ограниченного объема транзакций; • Задержки в выявлении несоответствий/ отклонений; • Отслеживание событий на периодической основе. Непрерывный мониторинг/аудит – методика, позволяющая выполнять непрерывную оценку рисков, контролей, соответствия действующих процедур установленным, отклонений от заданных показателей с помощью преднастроенного постоянного потока аналитической информации по выбранным объектам. ноябрь 2015 8 SAP и модель «Трех линий защиты» Управление рисками SAP Risk Management 3-ая линия защиты Управление бизнес-процессами SAP Process Control Управление доступом SAP Access Control Противодействие мошенничеству SAP Fraud Management 1-ая линия защиты PwC 2-ая линия защиты Управление аудитом SAP Audit Management ноябрь 2015 9 Управление рисками (SAP Risk Management) Преимущества автоматизации процесса управления рисками Формирование развернутой аналитической отчетности по управлению рисками, в том числе визуализация взаимосвязи рисков Упреждающий мониторинг рисков на основе установленных ключевых индикаторов рисков Внедрение и стандартизация системы раннего оповещения Унификация процесса управления рисками Ограничения традиционного (ручного) процесса управления рисками Отсутствие сводной/ информативной отчетности по управлению за рисками Недостаточная проработка мер реагирования на выявленные риски Отсутствие единой информации по случившимся событиям, понесенному ущербу Сложности коллективной оценки рисков, ограниченные возможности количественной оценки рисков Ненадлежащий контроль исполнения мер реагирования на выявленные риски Использование несогласующихся критериев, различных шаблонов документирования PwC ноябрь 2015 10 Управление бизнес-процессом (SAP Process Control) Преимущества автоматизации управления бизнес-процессами Внедрение автоматических процедур по мониторингу действующих контролей, регистрация выявленных отклонений Использование единой нормативной базы: организационная структура, каталог процессов, план счетов, цели контролей и риски. Риск-ориентированное управление процессами компании Унификация процедур контроля Ограничения традиционного подхода управления бизнес-процессам Неэффективное управление изменениями бизнес-процессов и их влиянием на СВК Несвоевременное реагирование на новые возникающие риски Несвоевременное выявление нарушения действующих процедур контроля Недостаточное/ ненадлежащее соотнесение рисков и контрольных процедур Недостаточная интеграция СВК в действующие бизнес-процессы PwC ноябрь 2015 11 Управление доступом (SAP Access Control) Преимущества автоматизации процесса управления доступом Управление и мониторинг использования экстренного доступа Управление функциональными ролями пользователей Автоматизация процесса предоставления доступа Управление рисками разделения полномочий и критичными операциями Ограничения традиционного процесса управления доступом Отсутствие и (или) ненадлежащий мониторинг пользователей с расширенным уровнем доступа Отсутствие и (или) несвоевременная актуализация матрицы рисков доступа Неэффективное управление правами доступа PwC ноябрь 2015 12 Противодействие мошенничеству (SAP Fraud Management) Преимущества автоматизации процесса противодействия мошенничеству Автоматическое информирование при возникновении подозрения на злоупотребление Автоматизация расчета возможных схем мошенничества Полный анализ данных в режиме реального времени Предупреждение случаев мошенничества или выявление на этапе, когда сумма ущерба незначительная Ограничения традиционного подхода в части противодействия мошенничеству Ручной процесс выявления случаев мошенничества Длительное проведение расследований по фактам мошенничества Несвоевременное реагирование на возможные случаи мошенничества Фиксирование потерь, выявление случаев мошенничества post factum PwC ноябрь 2015 13 Основные преимущества автоматизации Унификация процедур, использование единого прозрачного подхода по выявлению, анализу и мониторингу рисков. Интегрирование контрольных процедур в бизнес-процессы. Снижение количества ручных и увеличение автоматических контролей. Снижение трудозатрат по планированию, мониторингу и тестированию системы внутреннего контроля. Своевременное выявление нарушений и (или) отклонений от установленных процедур Гибкая и масштабируемая поддержка документирования. Формирование развернутой аналитической отчетности Проведение полного анализа данных, вместо использования выборок на основе правил PwC ноябрь 2015 14 Контакты Оксана Марусевич +7 (495) 967-6000 доб. 5620 щksana.marusevich@ru.pwc.com Руководитель практики: Юрий Горин Директор +7 (495) 287-1169 yuri.gorin@ru.pwc.com PwC www.pwc.ru Спасибо за внимание! PwC в России (www.pwc.ru) предоставляет услуги в области аудита и бизнес- консультирования, а также налоговые и юридические услуги компаниям разных отраслей. В офисах PwC в Москве, Санкт-Петербурге, Екатеринбурге, Казани, Новосибирске, Ростове-на-Дону, Краснодаре, Воронеже, Владикавказе и Уфе работают более 2 500 специалистов. Мы используем свои знания, богатый опыт и творческий подход для разработки практических советов и решений, открывающих новые перспективы для бизнеса. Глобальная сеть фирм PwC объединяет более 208 000 сотрудников в 157 странах. * Под "PwC" понимается ООО "ПрайсвотерхаусКуперс Консультирование" или, в зависимости от контекста, другие фирмы, входящие в глобальную сеть PricewaterhouseCoopers International Limited (PwCIL). Каждая фирма сети является самостоятельным юридическим лицом. © 2015 ООО «ПрайсвотерхаусКуперс Консультирование». Все права защищены.