До вашої уваги чергова стаття з нашого циклу про звітність у ризик-менеджменті. Ми пройшли шлях від звітів власників ризиків до квартальних оглядів і реакцій на них. Але є ще один учасник, без якого вся система стає вразливою і навіть небезпечною. Це внутрішній аудит.

Внутрішній аудит — це не просто «контролери з червоною ручкою», які шукають помилки у звітах. Це критичний нерв організації, який показує: сигнали, що йдуть від власників ризиків до CRO, правління і ради, є правдивими й обґрунтованими.

Бо що буде, якщо в системі зникне цей нерв? Усе просто: компанія може жити в ілюзії, що «ризики під контролем», але насправді дані спотворені, інциденти замовчуються, оцінки «підмальовані». І тоді навіть найкраща система звітності стає фікцією.

У цій статті ми спробуємо поговорити про:

• роль внутрішнього аудиту у перевірці звітності;
• як він взаємодіє з CRO та наглядовою радою;
• типові проблеми, коли аудит і ризик-менеджмент працюють «паралельними світами»;
• і що дає правильна інтеграція аудиту у систему звітності.

Роль внутрішнього аудиту у системі звітності

У класичній моделі трьох ліній захисту внутрішній аудит — це третя лінія. Але у звітності він виконує особливу функцію: аудитори перевіряють, чи всі попередні сигнали правдиві і чи доходять вони до адресата у незміненому вигляді.

1. Верифікація даних

Аудитори перевіряють, чи звіти власників ризиків не прикрашені, чи CRO не пропустив критичні інциденти, чи правлінню та наглядовій раді не подають «відшліфовану» картинку. Це як перевірка пульсу: чи справді сигнали від нервової системи збігаються з реальністю.

2. Тест на повноту

Внутрішній аудит завжди дивиться на звіти з іншого ракурсу: «А чи всі ризики потрапили у звіт? Чи немає сфер, які систематично випадають?» Це запобігає ситуації, коли компанія бачить лише частину ризикової картини.

3. Незручні питання

Аудитори мають право й обов’язок ставити ті самі питання, які інші бояться озвучити:

• Чому оцінка ризику не змінюється три квартали поспіль?
• Чому інциденти по окремому ризику не потрапляють у звітність?
• Чому план дій є на папері, але немає виконання?

Такі питання дратують, але саме вони захищають компанію від самообману.

4. Звітність аудиту до наглядової ради

Ключове: внутрішній аудит напряму звітує наглядовій раді. Це означає, що навіть якщо CRO чи правління намагатимуться «загладити кути», у ради завжди є незалежне джерело інформації.

Фактично, внутрішній аудит — це не опонент CRO, а його страховка. Він дає змогу системі звітності бути не лише регулярною, а й чесною.

Як виглядає правильна взаємодія CRO та внутрішнього аудиту

Найбільша помилка багатьох компаній у тому, що CRO і внутрішній аудит живуть у «паралельних всесвітах». Перші готують звіти про ризики, другі проводять перевірки й пишуть власні звіти. І зустрічаються вони лише тоді, коли регулятор запитує: «А у вас взагалі є комунікація між цими функціями?»

А насправді ефективна модель виглядає інакше.

1. Спільне розуміння ризиків

CRO та аудитори мають працювати з одним і тим самим «каталогом ризиків» — тим, що затверджений у Політиці. Якщо в аудиті з’являється «свій список» ризиків, а у CRO — інший, це прямий шлях до хаосу.

2. Координація планів

Коли CRO планує заходи з управління ризиками, аудит має знати: які саме сфери в пріоритеті. І навпаки — коли аудит планує перевірки, CRO повинен розуміти, де очікувати «аудиторського тесту». Це економить ресурси і виключає дублювання.

3. Взаємне підсилення

• CRO: дає аудиторам матеріал для перевірок (звітність, карти ризиків, динаміку).
• Аудит: перевіряє, наскільки цей матеріал відповідає реальності, і дає CRO фідбек: де система працює, а де вона лише «красиво написана».

4. Спільна мова для наглядової ради

Найсильніший ефект — коли CRO і внутрішній аудит виходять перед наглядовою радою не як конкуренти, а як дві частини однієї системи:

• CRO показує, «які ризики ми бачимо і що робимо»;
• аудит підтверджує або коригує: «так, це відповідає реальності».

Це створює довіру: рада розуміє, що отримує не лише «внутрішній піар», а перевірену картину.

Отже, правильна взаємодія CRO та аудиту — це не боротьба за вплив, а альянс, де один генерує сигнали, а інший перевіряє їхню правдивість.

Коли CRO і внутрішній аудит сваряться: типові конфлікти

У теорії CRO і внутрішній аудит мають бути союзниками. На практиці ж вони часто нагадують двох сусідів, які живуть через стінку: начебто обоє дбають про безпеку будинку, але весь час сперечаються, хто мав винести сміття і хто залишив світло в під’їзді.

1. «Ви дублюєте мою роботу!»

CRO показує карту ризиків, а аудитори кажуть: «Ми теж це перевіряли».
У відповідь CRO зітхає: «То, може, ви тоді й звіт напишете замість мене?»
Результат — взаємне роздратування і відчуття, що обидві функції роблять одне й те саме.

Вирішення: чітко розвести ролі. CRO управляє ризиками, аудит перевіряє якість управління. Не навпаки.

2. «Аудит-поліція»

Іноді аудитори з’являються у відділі так, ніби приїхав ОБЕП: суворі обличчя, питання «з підковиркою», тон — як на допиті.
Risk owners нервують, CRO скаржиться: «Ви ж мені всю систему зіпсуєте, люди тепер бояться чесно писати у звіти!»

Вирішення: аудит повинен залишатися «лікарем, а не прокурором». Він приходить лікувати систему, а не карати людей.

3. «Хто більше довіряє раді»

Класика жанру: і CRO, і аудит напряму звітують наглядовій раді. І тут починається негласне змагання: хто виглядає більш переконливо, чию презентацію рада «оцінила» краще.
CRO бурчить: «Вони знову зіпсували мій меседж своїми коментарями».
Аудит відповідає: «Ми просто сказали правду. Якщо вона відрізняється від твоєї версії — то це вже не наша проблема».

Вирішення: синхронізувати виступи. CRO говорить «ось ризики і наші дії», аудит додає «так, ми це перевірили, підтверджуємо» або «ось де бачимо прогалини».

4. «Нуль довіри»

Буває й так: CRO підозрює, що аудит «підправляє» його меседж для ради, а аудит думає, що CRO замовчує частину проблем.
У результаті — замість спільної роботи дві лінії захисту воюють між собою, а система ризиків перетворюється на арену для з’ясування стосунків.

Вирішення: регулярні зустрічі CRO й аудиту ще до рад і комітетів. Бо краще з’ясувати все на кухні, ніж сваритися на людях.

Отже, конфлікти бувають яскравими й емоційними. Але якщо їх не приборкати, компанія отримує «подвійну бухгалтерію» у ризиках: CRO говорить одне, аудит — інше. І хто тоді правий?

Коли CRO і аудит працюють разом: виграш для всієї компанії

Коли CRO та внутрішній аудит не воюють за увагу правління чи ради, а грають в одній команді, компанія отримує зовсім інший результат.

1. Довіра наглядової ради

Уяви: на засіданні CRO каже — «Ризик ІТ-постачальника критичний, ми вже запускаємо план диверсифікації».
Аудит додає — «Ми перевірили, так, справді є залежність від одного вендора, і план дій адекватний».
У залі немає ані скепсису, ані сумнівів. Рада чує узгоджений сигнал і ухвалює рішення швидко.

2. Синергія замість дублювання

Коли CRO і аудит працюють разом, у компанії зникає відчуття «двох паралельних реальностей». Risk owners знають: якщо вони щось приховають, аудит це все одно виявить. Але якщо вони чесні — і CRO, і аудит будуть їхнім щитом. Це створює здорову дисципліну без зайвого страху.

3. Реальне навчання

Аудит часто бачить прогалини, які CRO міг пропустити. CRO, у свою чергу, має глибший контакт із risk owners. Коли ці два погляди поєднуються, компанія отримує справжній обмін знаннями, а не «паралельні звіти».

4. Єдина мова для регулятора

Регулятори дуже швидко відчувають, коли в компанії «щось не зростається». Якщо CRO говорить одне, а аудит у звіті пише інше — довіра падає миттєво. А коли обидві функції підтверджують одна одну, регулятор розуміє: система працює.

5. Менше диму, більше дій

Нарешті, головне: коли CRO і аудит не витрачають час на взаємні підозри, вони витрачають його на реальні зміни. Це означає швидше виявлення ризиків, оперативніші рішення і, як наслідок, менше втрат.

У результаті компанія отримує не дві паралельні лінії, а єдиний нерв, який і відчуває, і перевіряє, і передає правду далі.

Висновки: аудит як критичний нерв

Внутрішній аудит — це не поліцейський із лупою, не бухгалтер із червоною ручкою і навіть не «контролер для галочки». Це критичний нерв системи управління ризиками. Саме він гарантує, що сигнали, які біжать від risk owners до CRO, а далі до правління і ради, не спотворюються в дорозі. Без цього нерва організація може жити у комфортній ілюзії: «ризики під контролем, система працює». Але ілюзії закінчуються тоді, коли стається криза — і виявляється, що інциденти замовчувалися, оцінки були намальовані, а плани існували лише на папері.

Аудит робить боляче. Він ставить незручні запитання, чіпляється до дрібниць, змушує повторно перевіряти очевидне. І саме тому він безцінний. Бо справжня небезпека не в тому, що ризики існують, а в тому, що ми про них не хочемо знати. Компанія без внутрішнього аудиту схожа на тіло без больових рецепторів: можна обпекти руку й навіть не відчути цього — доки не стане запізно. Тому правильна система звітності завжди має три складові: сигнали CRO, рішення менеджменту і підтвердження аудиту. Тільки разом вони створюють довіру й силу, яка тримає компанію на плаву навіть у шторм.

      Отже, внутрішній аудит — це не перешкода. Це страховка від самообману. Це нерв, який з’єднує всі інші й змушує систему відчувати реальність. І компанія, яка це розуміє, має шанс не просто пережити кризу, а вийти з неї сильнішою.

У наступній статті нашого циклу ми піднімемося на найвищий рівень управлінської архітектури — і розглянемо, як наглядова рада працює зі звітами, щоб перетворювати їх на стратегічні рішення.

Сергій Бабич