Комплаенс-аудит позволяет оценить, насколько хорошо организация придерживается правил и предписаний, стандартов и даже внутренних подзаконных актов и кодексов поведения. Частью аудита может также быть проверка эффективности системы внутреннего контроля организации. Различные департаменты могут использовать несколько типов аудитов. Например, бухгалтерия может использовать внутренний аудит, аудит соответствия требованиям и операционный аудит. Аудиты могут потребоваться на разных уровнях государственного управления.
Внутренние аудиты
Хотя некоторые объединяют понятия аудита соответствия и внутреннего аудита, эти два типа аудитов представляют собой отдельные подходы. Внутренние аудиты гарантируют, что организация следует процессам, процедурам и руководящим принципам — другими словами, ее собственным средствам внутреннего контроля. Этот тип аудита также гарантирует, что эти средства контроля предотвращают и обнаруживают ошибки или незаконные действия.
Внутренние аудиты могут быть операционными, ИТ, финансовыми или нормативными, но проводятся с использованием формальных методик аудита, соответствующих предметной области. Внутренние аудиты недоступны регулирующим органам и, как правило, не предаются гласности, хотя иногда результаты аудита социального соответствия публикуются в рамках ребрендинга компании. Внутренние аудиты могут проводиться до проведения внешнего аудита соответствия требованиям, чтобы убедиться в том, что организация соблюдает стандарты.
Комплаенс-аудит
Комлпаенс-аудиты отличаются от внутренних аудитов тем, что они направлены вовне, гарантируя соблюдение компанией нормативных актов или кодексов поведения. Однако, в идеале функции внутреннего аудита и аудита соответствия используют один и тот же язык (и даже программное обеспечение), чтобы обеспечить всесторонний характер проверок.
Кто проводит аудиты?
Внутренние аудиты обычно проводятся сотрудниками. Более крупные организации могут содержать целый отдел для управления внутренними аудитами. Однако для сохранения объективности важно, чтобы аудитор не имел прямой связи с проверяемой областью или отделом. На внутреннего аудитора или менеджера по аудиту возложена конкретная обязанность информировать руководство об изменениях или недостатках в средствах контроля и рекомендовать действия по улучшению средств контроля и процессов. Тем не менее, внутренние аудиторы не несут ответственности за мониторинг внутреннего или внешнего соответствия.
При проведении комплаенс-аудитов крупные организации могут поддерживать целый отдел комплаенса, возглавляемый менеджером по комплаенсу, для обеспечения соблюдения кодексов, стандартов и нормативных актов. Фактически, по мере того, как количество федеральных нормативных актов превысило количество государственных аудиторов, доступных для контроля за соблюдением, количество сотрудников по внутреннему комплаенсу также увеличилось. Сотрудники по комплаенсу знакомы с соответствующими законами, нормативными актами, а также внутренними кодексами поведения и подзаконными актами. Они также могут обладать достаточными знаниями в предметной области, такой как, например, машиностроение или экологическая инженерия, для проведения операционных аудитов. Лица с финансовым образованием могли бы сосредоточиться на вопросах бухгалтерского учета.
Как проводятся комплаенс-аудиты?
Аудитор может работать самостоятельно или в сотрудничестве с другими подразделениями, такими как отдел кадров, ИТ, юриспруденция и безопасность. Он должен иметь доступ к документам. Кроме того, аудиторские анкеты и официальные собеседования дают более полную картину ситуации в организации. В зависимости от области аудита может использоваться статистическая выборка или субъективное суждение. Статистическая выборка обеспечивает существующую модель соответствия и отклонений. Субъективное тестирование может не позволить провести обобщение на более широкую выборку, но типы и количество несоответствий и выбросов могут указывать на области риска.
Независимо от того, является ли аудит внутренним или для проверки соответствия, руководство должно понимать, что в конечном итоге оно несет ответственность за создание внутреннего контроля и обеспечение соответствия. Большинство экспертов сходятся во мнении, что все уровни руководства несут ответственность за разработку соответствующих политик и процедур, а также за их постоянный мониторинг.
Этапы комплаенс-аудита:
- Организация связывается с аудитором. Аудитор и организация решают, подходит ли опыт аудитора.
- Аудиторская фирма направляет предложение либо компании, либо адвокату в тех случаях, когда аудит соответствия требованиям должен предусматривать конфиденциальность клиента и адвоката.
- На предварительной встрече аудитор описывает руководящие принципы аудита и то, что требуется. Аудитор может предоставить контрольные списки аудита, чтобы клиент мог подготовиться.
- В небольшой организации аудитор может работать по телефону. Организация заполняет аудиторские анкеты и предоставляет аудитору необходимые документы. Аудитор может работать на месте, просматривая документы, обходя рабочие помещения, изучая инфраструктуру и средства безопасности, а также проводя собеседования с руководством и сотрудниками.
- Отчет должен быть представлен в течение относительно короткого периода времени. В случае аудита объектов на соответствие социальным требованиям решение может быть принято уже на следующий день. На заключительном совещании аудитор представляет и обсуждает отчет и дает рекомендации по устранению любых областей риска. Независимо от того, работают ли организации в установленные законодательством сроки или нет, они, как правило, должны устранить любые недостатки в течение 120 дней, чтобы убедиться, что они завершили корректирующие действия, а не просто отложили их до следующего аудита. Однако аудиторские фирмы обычно также предлагают последующую поддержку, чтобы помочь организациям устранить любые риски или недостатки. Затем аудиторы проверяют, были ли приняты меры.
