กฎระเบียบทางกฎหมาย

แอล.วี. Kostikova, BINBANK OJSC หัวหน้าศูนย์ควบคุมภายในของแผนกควบคุมและตรวจสอบภายใน สมาชิกสถาบันผู้ตรวจสอบภายใน
ไม่. Tsangl หัวหน้าฝ่ายบริการตรวจสอบภายในของ OJSC TransFin-M รองผู้อำนวยการสถาบันการธนาคารของ National Research University Higher School of Economics หัวหน้าฝ่ายการเงินของ Institute of Internal Auditors, Ph.D.

ภายในวันที่ 1 ตุลาคม 2014 สถาบันสินเชื่อจะต้องนำเอกสารประกอบและเอกสารภายในของตนให้สอดคล้องกับระเบียบธนาคารแห่งรัสเซียฉบับใหม่หมายเลข 242-P การตีความแนวคิดใหม่ของ "การควบคุมภายใน" และ "การตรวจสอบภายใน" ข้อกำหนดขององค์กรเป้าหมายและวัตถุประสงค์ของการควบคุมภายในและบริการการตรวจสอบภายในกำลังนำรูปแบบการทำงานเข้ามาใกล้กับแนวคิด "การป้องกันสามบรรทัด" มากขึ้น สอดคล้องกับมาตรฐานสากล

เช่น. Yakovenko ศูนย์วิทยาศาสตร์และเทคนิค "ORION" ที่ปรึกษาในประเด็นด้าน AML/CFT

มีการเปลี่ยนแปลงที่สำคัญชุดหนึ่งของมาตรการทางกฎหมายป้องกันการฟอกเงิน ได้แก่ การระบุลูกค้า ตัวแทน ผู้รับผลประโยชน์ และเจ้าของผลประโยชน์ ในปี 2014 การระบุตัวตนแบบง่ายจะดำเนินการในกรณีใดบ้าง? มีวิธีการและขั้นตอนในการดำเนินการอย่างไรเมื่อจัดเตรียมวิธีการชำระเงินทางอิเล็กทรอนิกส์ให้กับลูกค้า - บุคคล? สถาบันสินเชื่อควรปรับปรุงข้อมูลที่ได้รับจากการระบุและทบทวนระดับความเสี่ยงภายในกรอบเวลาใด โปรแกรมการระบุตัวตนที่ธนาคารพัฒนาขึ้นโดยอิสระควรมีมาตรการอะไรบ้าง?

การกำกับดูแลการธนาคาร

ดี.เอ็น. Kozlov, OJSC Bank ZENIT, แผนกความเสี่ยง, หัวหน้าฝ่ายความเสี่ยงด้านปฏิบัติการและการควบคุม, รองศาสตราจารย์, Ph.D.
ยู.เอ็น. Yudenkov มหาวิทยาลัยแห่งรัฐมอสโกตั้งชื่อตาม M.V. Lomonosov คณะรัฐศาสตร์ รองศาสตราจารย์ Ph.D.

ระบบควบคุมภายในในสถาบันสินเชื่อดำเนินการตามข้อกำหนดของธนาคารแห่งรัสเซียเป็นหลักและเป็นไปตามคำแนะนำของการกำกับดูแลกิจการเท่านั้น การกำหนดกฎเกณฑ์โดยนักระเบียบวิธีการของ Bank of Russia เป็นกระบวนการที่ต่อเนื่องและเร่งรัด กฎระเบียบฉบับใหม่หมายเลข 242-P ใช้คำศัพท์ใหม่มากมาย แต่ไม่ได้อธิบายสาระสำคัญและขั้นตอนการดำเนินการ โดยเฉพาะคำว่า “ความเสี่ยงด้านกฎระเบียบ” มาจัดการกับวัตถุควบคุมนี้กันดีกว่า

ที.เอ. Tsypurko, GPB (JSC), ฝ่ายควบคุมภายใน, ผู้อำนวยการฝ่ายระเบียบวิธีและการพัฒนา

แม้ว่าหน่วยงานกำกับดูแลของรัสเซียจะกำหนดให้สถาบันสินเชื่อดำเนินการประเมินระบบควบคุมภายในตามคำสั่ง แต่ไม่มีวิธีการแบบครบวงจรสำหรับการประเมินดังกล่าว (จะประเมินอะไรทำไมในกรอบเวลาใด) ธนาคารแห่งรัสเซียแนะนำให้ใช้ระบบตัวบ่งชี้ที่แสดงถึงคุณภาพของระบบของหน่วยงานควบคุมภายในและพื้นที่รวมถึงเกณฑ์ที่กำหนดในข้อบังคับฉบับใหม่หมายเลข 242-P ในด้านหนึ่ง หน่วยงานกำกับดูแลเสนอกลไกที่สถาบันสินเชื่อสามารถนำไปใช้ได้อย่างอิสระ ในทางกลับกัน ยังไม่สามารถบังคับให้ผู้เข้าร่วมการประเมินให้ตอบคำถามที่ส่งถึงพวกเขาได้อย่างตรงไปตรงมา

การควบคุมการสูญเสียที่อาจเกิดขึ้น

อัล. Pospelov ธนาคารแห่งรัสเซีย หัวหน้าคณะกรรมการหลักด้านความปลอดภัยและการคุ้มครองข้อมูล
พี.วี. Revenkov ธนาคารแห่งรัสเซีย หัวหน้าแผนกหลักของคณะกรรมการความปลอดภัยและการคุ้มครองข้อมูล เศรษฐศาสตร์ดุษฎีบัณฑิต

หากในอีกห้าปีข้างหน้า จะมีผู้ใช้บริการธนาคารทางไกลเพิ่มขึ้นเป็นสองเท่า ธนาคารต้องเผชิญกับความเสี่ยงอะไรบ้างเนื่องจากองค์ประกอบทางเทคนิคที่เพิ่มขึ้นนี้ ปัญหาอะไรที่เกี่ยวข้องกับข้อบกพร่องด้านความปลอดภัยของข้อมูลในธนาคาร? ซึ่งรวมถึงการขยายโปรไฟล์ความเสี่ยงด้านปฏิบัติการ การขาดการฝึกอบรมพนักงานในการรับรองความปลอดภัยของข้อมูลในเงื่อนไขการบริการระยะไกล และปัจจัยอื่นๆ

อี.วี. Starostina, PwC ผู้จัดการรุ่นเยาว์ของฝ่ายความมั่นคงข้อมูล
วี.จี. Naimark, PwC หัวหน้าฝ่ายความปลอดภัยข้อมูลสำหรับภูมิภาคยุโรปกลางและตะวันออก

PC World เรียก BYOD ว่าเป็นคำย่อที่น่ากลัวที่สุดสำหรับผู้เชี่ยวชาญด้านไอที แต่มาตรฐานขององค์กรดูเหมือนจะพ่ายแพ้ต่อการต่อสู้กับหลักการ “ฉันพกทุกอย่างติดตัวไปด้วย” เทคโนโลยีนี้นำไปใช้กับธนาคารได้อย่างไร? ข้อดีและข้อเสียของการนำอุปกรณ์มาเองคืออะไร? ผู้เชี่ยวชาญด้านไอที บริการตรวจสอบภายใน และระบบควบคุมภายในควรใส่ใจอะไรบ้างหากมีการตัดสินใจนำเทคโนโลยีนี้ไปใช้? จะลดความเสี่ยงของการฉ้อโกงและรักษาความปลอดภัยข้อมูลธนาคารภายใต้ BYOD ได้อย่างไร

ส.ส. Burdonova, JSCB RosEvroBank (OJSC) หัวหน้าแผนกความเสี่ยงที่ไม่ใช่ทางการเงิน

หนึ่งในกลยุทธ์ที่มีประสิทธิผลในการสร้างระบบบริหารความเสี่ยงแบบบูรณาการคือรูปแบบการป้องกัน 3 แนว ซึ่งแสดงถึงการมีส่วนร่วมของบุคลากรจากหลากหลายโปรไฟล์ในกระบวนการบริหารความเสี่ยง รวมถึงตัวแทนฝ่ายควบคุมภายในและบริการตรวจสอบภายใน แนวป้องกันแรกจะแสดงโดยหน่วยที่สร้างความเสี่ยงในการดำเนินกิจกรรม เพื่อให้การทำงานที่มีประสิทธิภาพของแนวป้องกันแนวแรก จำเป็นต้องมีเครื่องมือสำหรับการจัดการระดับความเสี่ยงที่ได้รับอย่างเพียงพอ และระบบแรงจูงใจแบบถ่วงน้ำหนักความเสี่ยง

การควบคุมกระบวนการและขั้นตอนต่างๆ

เอ็นเอส Andreeva, Otkritie Holding OJSC หัวหน้าฝ่ายตรวจสอบภายใน

ตามที่ผู้เขียนบทความ 1 กล่าวไว้ ระบบควบคุมภายในเป็นจุดเชื่อมต่อของการควบคุมระดับที่สองและสาม และบางครั้งก็รวมหรือแทนที่การควบคุมเหล่านั้น ขณะนี้ธนาคารต้องเผชิญกับงานแบ่งการทำงานระหว่างสองบริการ - การควบคุมภายในและการตรวจสอบภายใน การแก้ไขกฎระเบียบของธนาคารแห่งรัสเซียลงวันที่ 16 ธันวาคม 2546 หมายเลข 242-P“ ในองค์กรของการควบคุมภายในในสถาบันสินเชื่อและกลุ่มธนาคาร” มีวัตถุประสงค์เพื่อแก้ไขปัญหานี้ แนวทางในการจัดการระบบควบคุมในธนาคารจะเป็นอย่างไรและเอกสารใดบ้างที่จะควบคุมกิจกรรมของบริการควบคุมทั้งสอง

โอ้ย Kashanova, Vnesheconombank, รองหัวหน้าแผนกตรวจสอบภายนอกของบริการควบคุมภายใน, ผู้ตรวจสอบบัญชีที่ได้รับการรับรอง, Ph.D.

การเปิดบัญชีให้กับลูกค้าเป็นหนึ่งในบริการที่สำคัญและค่อนข้างเป็นเอกลักษณ์ของธนาคาร และในปัจจุบันมีความสนใจเป็นพิเศษในด้านต่างๆ ของการควบคุมภายในเกี่ยวกับการเปิด การปิด และขั้นตอนในการรักษาบัญชีลูกค้า ภายในธนาคาร และงบดุลนอกงบดุล บัญชี ปัญหาการเปิดและปิดบัญชีได้รับการควบคุมโดยธนาคารแห่งรัสเซียอย่างชัดเจน สิ่งนี้ช่วยลดความยุ่งยากในกิจกรรมของบริการควบคุมของสถาบันสินเชื่อ แต่ต้องมีการระบุอย่างระมัดระวังถึงการไม่ปฏิบัติตามข้อกำหนดด้านกฎระเบียบ

การควบคุมการปฏิบัติตามข้อกำหนด

ดี.วี. Chistov, KPMG ในรัสเซียและ CIS, หัวหน้าฝ่ายการปฏิบัติตามกฎระเบียบและ AML/CFT Systems Group, ผู้อำนวยการ

แผนกธนาคารใดควรเป็นส่วนหนึ่งของคณะทำงาน FATCA ผู้เขียนพิจารณาถึงบทบาทผู้นำในการให้บริการด้านการปฏิบัติตามกฎระเบียบในการเตรียมธนาคารให้พร้อมสำหรับการประยุกต์ใช้ข้อกำหนด FATCA เพื่อเป็นแนวทางแก้ไขที่ประสบความสำเร็จ ซึ่งสอดคล้องกับการเปลี่ยนแปลงล่าสุดที่เกิดขึ้นกับกฎระเบียบของธนาคารแห่งรัสเซียเกี่ยวกับองค์กรของการควบคุมภายในในสถาบันสินเชื่อ รวมถึง AML/CFT และผู้เชี่ยวชาญอื่นๆ ในบริการด้านการปฏิบัติตามกฎระเบียบที่ทราบกระบวนการและผลิตภัณฑ์ของธนาคาร จะช่วยให้ธนาคารดำเนินการตามข้อกำหนดของกฎหมายสหรัฐอเมริกาในระดับที่เหมาะสม และหลีกเลี่ยงการเรียกร้องจากผู้ตรวจสอบของ IRS หรือ FATCA

วี.วี. Berezansky, EY, บริการตรวจสอบบัญชี, การสืบสวนการฉ้อโกงและความช่วยเหลือในข้อพิพาท, หัวหน้าฝ่ายปฏิบัติตามกฎระเบียบ
เอเอ Kilyachkov บริษัท EY บริการตรวจสอบ การสืบสวนการฉ้อโกง และความช่วยเหลือในข้อพิพาท ผู้จัดการ

ดูเหมือนว่ากฎหมายต่อต้านการทุจริตของสหรัฐอเมริกาจะคุกคามบริษัทใดได้บ้างหากไม่ใช่ผู้ออกหรือผู้อยู่อาศัยในประเทศนี้ อย่างไรก็ตาม กฎหมายดังกล่าวมีขอบเขตอยู่นอกอาณาเขต และแม้แต่บริษัทที่ไม่ใช่ผู้ออกหรือผู้อยู่อาศัยในประเทศก็อาจอยู่ภายใต้เขตอำนาจศาลและความรับผิดของ FCPA หากพวกเขาโดยตรงหรือผ่านตัวแทนมีส่วนร่วมในกิจกรรมใดๆ ภายในสหรัฐอเมริกาที่เกี่ยวข้องกับการจ่ายเงินที่ทุจริต ตัวอย่างที่เป็นประโยชน์มากคือกรณี Straub ที่มีชื่อเสียงและกรณี Steffen ที่มีชื่อเสียงไม่แพ้กัน

ศศ.ม. Shalimova, Otkritie Capital Investment Bank, หัวหน้าฝ่ายปฏิบัติตามข้อกำหนด, International Compliance Association (ICA), ผู้อำนวยการฝ่ายพัฒนาและความร่วมมือ

เหตุใดการปฏิบัติตามมาตรการคว่ำบาตรระหว่างประเทศจึงกลายเป็นองค์ประกอบสำคัญในการทำงานของแผนกปฏิบัติตามกฎระเบียบ ก็เพียงพอแล้วที่จะวิเคราะห์ระบอบการคว่ำบาตรระหว่างประเทศที่จัดตั้งขึ้นโดยสหรัฐอเมริกาและสหภาพยุโรปเพื่อตอบคำถามนี้ ข้อกำหนดของรัฐบาลมีลักษณะนอกอาณาเขต ดังนั้นการปฏิบัติตามมาตรการคว่ำบาตรระหว่างประเทศจึงมีความจำเป็นเมื่อมีปฏิสัมพันธ์กับหน่วยงานกำกับดูแลต่างประเทศ นักลงทุนระหว่างประเทศที่มีศักยภาพ คู่ค้า และผู้มีส่วนได้ส่วนเสียระหว่างประเทศอื่น ๆ เพื่อลดความเสี่ยงด้านชื่อเสียงและทางการเงิน

5. ประสานงานการทำงานของทุกฝ่ายในการบริหารความเสี่ยง

7. ติดตามการปฏิบัติตามมาตรฐานการลดความเสี่ยง

เป้าหมายและวัตถุประสงค์ที่สำคัญ

โครงการที่ 1 ขั้นตอน (องค์ประกอบ) ที่ธนาคารบริหารความเสี่ยงด้านปฏิบัติการ

ความเสี่ยงด้านปฏิบัติการเข้าใจว่าเป็นความเสี่ยงของธนาคารที่ก่อให้เกิดความสูญเสียทั้งทางตรงและ (หรือ) ทางอ้อม (รวมถึงการหยุดทำงานของทรัพยากร) ด้วยเหตุผลดังต่อไปนี้ หรือภายใต้อิทธิพลของปัจจัยต่อไปนี้:

การกระทำโดยอุบัติเหตุหรือโดยเจตนาของบุคคลและ (หรือ) นิติบุคคลรวมถึงการมีส่วนร่วมของพนักงานธนาคาร

ข้อบกพร่องของกระบวนการทางธุรกิจรวมถึงโครงสร้างองค์กรของธนาคารในแง่ของการกระจายอำนาจของแผนกและพนักงานขั้นตอนและขั้นตอนในการดำเนินการด้านการธนาคารและการดำเนินงานและธุรกรรมอื่น ๆ เอกสารและการสะท้อนในการบัญชีการไม่ปฏิบัติตามโดยพนักงานด้วย ขั้นตอนและขั้นตอนที่กำหนดไว้ความไร้ประสิทธิผลของการควบคุมภายใน

ความผิดปกติของระบบและอุปกรณ์

สถานการณ์ภายนอกที่ไม่เอื้ออำนวยที่อยู่นอกเหนือการควบคุมของธนาคาร (รวมถึงการเปลี่ยนแปลงทางกฎหมาย สภาวะตลาด ภัยพิบัติทางธรรมชาติ และสถานการณ์เหตุสุดวิสัยอื่น ๆ )

เหตุการณ์ หมายถึง เหตุการณ์ใดๆ ที่เกี่ยวข้องกับความเสี่ยงในการปฏิบัติงานที่อาจก่อให้เกิดความเสียหายต่อธนาคาร (วัสดุ ภาพลักษณ์ ฯลฯ) การจำแนกประเภททั่วไปของเหตุการณ์มีระบุไว้ในภาคผนวก 1 เพื่อวัตถุประสงค์ทางการบัญชี เหตุการณ์ที่มีนัยสำคัญและไม่มีนัยสำคัญจะถูกแยกแยะออก

ตัวอย่างเช่น ธนาคารรับรู้ถึงเหตุการณ์สำคัญ เหตุการณ์ทั้งหมดที่เกี่ยวข้องกับการกระทำที่เป็นอันตรายและเหตุการณ์อื่น ๆ ที่อาจสูญเสียหรือเกิดขึ้นจริงมากกว่า 10,000 รูเบิล เหตุการณ์สำคัญอาจมีการบันทึกโดยละเอียด(สำหรับรายละเอียดเพิ่มเติม โปรดดูหัวข้อ 6.1 “การจัดการกับเหตุการณ์อย่างมีประสิทธิผล”) ในกรณีนี้ เหตุการณ์รองรวมถึงเหตุการณ์อื่นๆ (ที่มีการสูญเสียน้อยกว่า)

เพื่อวัตถุประสงค์ในการวิเคราะห์ความเสี่ยงและเหตุการณ์ (รวมถึงการคำนวณจำนวนความเสี่ยงในการปฏิบัติงาน) แต่ละความเสี่ยง เหตุการณ์ การสูญเสีย หรือปัญหาที่ระบุซึ่งก่อให้เกิดความเสี่ยง จะต้องจัดประเภทตามรายการเกณฑ์ต่อไปนี้ (รายการสามารถขยายได้ในการดำเนินการ พื้นฐานโดยคณะกรรมการความเสี่ยง (ดูข้อ 4.2.1):

3.3.1. ตามประเภทของความเสี่ยง:

1. ความเสี่ยงจากลักษณะทางเทคโนโลยี ธรรมชาติ และสังคม

2. ความเสี่ยงจากความล้มเหลวของอุปกรณ์ โปรแกรม การหยุดทำงาน

3. ความเสี่ยงจากการละเมิดสิทธิของพนักงาน สภาพการทำงาน ความขัดแย้ง

4. ความเสี่ยงจากข้อผิดพลาดในกระบวนการให้บริการลูกค้าหรือคู่สัญญา

5. ความเสี่ยงจากข้อผิดพลาดในกระบวนการภายในที่ไม่เกี่ยวข้องกับการให้บริการลูกค้าหรือคู่สัญญา

6. ความเสี่ยงของการฉ้อโกงและการละเมิดที่เกี่ยวข้องกับพนักงานธนาคาร

7. ความเสี่ยงของการฉ้อโกงและการละเมิดที่เกี่ยวข้องกับบุคคลที่สาม

ความเสี่ยงประเภทนี้มีรายละเอียดอยู่ในภาคผนวก 1

3.3.2. ตามความสำคัญ:

1. Extreme (สัญลักษณ์ AAA โซนสีแดง)

2. วิกฤต (AA, โซนสีแดง)

3. สูง (A, โซนสีแดง)

4. ปานกลาง (บีบี โซนสีเหลือง)

5. ต่ำ (B, โซนสีเหลือง)

6. ยอมรับได้ (C, โซนสีเขียว)

ระดับความเสี่ยงนี้มีรายละเอียดอยู่ในภาคผนวก 2.1 และ 2.2

3.3.3. ตามสายธุรกิจ:

1. การธนาคารสำหรับบุคคลธรรมดา

2. การธนาคารสำหรับนิติบุคคล

3. การชำระเงินและการชำระบัญชีของบุคคลที่ไม่ใช่ลูกค้าของธนาคาร

4. บริการตัวแทน

5. การแลกเปลี่ยนและการซื้อขายผ่านเคาน์เตอร์

6. การจัดหาเงินทุนขององค์กร

7. การจัดการสินทรัพย์

8. บริการนายหน้าซื้อขายหลักทรัพย์

สายธุรกิจเหล่านี้มีรายละเอียดอยู่ในภาคผนวก 3

อาจใช้การจำแนกความเสี่ยงอื่น ๆ

ในการบริหารความเสี่ยงด้านปฏิบัติการในธนาคาร มีแนวป้องกัน 3 แนว:

แนวป้องกันที่ 1– ทุกแผนกของธนาคารที่ทำงานกับความเสี่ยงด้านปฏิบัติการ ณ สถานที่ต้นทาง

ผู้รับผิดชอบมีสามประเภท:

ผู้ประสานงานความเสี่ยง (หัวหน้าแผนกและบุคคลที่ได้รับมอบหมาย);

ผู้เชี่ยวชาญด้านเหตุการณ์

นายทะเบียน (พนักงานทุกแผนก)

แนวป้องกันที่ 2– หน่วยงานที่ประสานงานระบบบริหารความเสี่ยงด้านปฏิบัติการทั้งหมด:

คณะกรรมการบริหารความเสี่ยงหรือคณะกรรมการอื่นที่ได้รับมอบอำนาจอย่างเหมาะสม (ต่อไปนี้จะเรียกว่าคณะกรรมการความเสี่ยง)

แนวป้องกันที่ 3– หน่วยงานตรวจสอบภายใน (ต่อไปนี้จะเรียกว่าหน่วยงานตรวจสอบ) ซึ่งดำเนินการตรวจสอบระบบบริหารความเสี่ยงด้านปฏิบัติการอย่างเป็นอิสระ รับผิดชอบ – ผู้ตรวจสอบบัญชี

แผนภาพภาพของหน่วยงานที่จัดการความเสี่ยงด้านปฏิบัติการและงานของพวกเขาแสดงอยู่ในแผนภาพที่ 2

หน่วยงานที่บริหารความเสี่ยงด้านปฏิบัติการ

โครงการที่ 2 โครงการหน่วยงานที่บริหารความเสี่ยงด้านการดำเนินงานและภารกิจของธนาคาร

“แนวป้องกัน” ประการแรกประกอบด้วยกระบวนการจัดการความเสี่ยงด้านปฏิบัติการในระดับของแต่ละแผนกธนาคาร กระบวนการ สิ่งอำนวยความสะดวก และทรัพยากร (แนวทางการกระจายอำนาจ)

ในฐานะที่เป็นส่วนหนึ่งของการป้องกันแนวแรกในแผนกธนาคาร ความเสี่ยงด้านการปฏิบัติงานได้รับการจัดการโดย:

ผู้ประสานงานความเสี่ยง

ผู้เชี่ยวชาญด้านเหตุการณ์

นายทะเบียน

แน่นอนว่านิติบุคคลจดทะเบียนมีอยู่ในทุกแผนกของธนาคาร เนื่องจากแต่ละแผนกในสถานะปัจจุบันกำลังสืบสวนเหตุการณ์อยู่แล้ว ดำเนินการปรับปรุงระเบียบวิธีและเทคโนโลยีในกระบวนการต่างๆ เพื่อให้มั่นใจว่าพนักงานสามารถแลกเปลี่ยนกันได้ (ภายในกรอบความต่อเนื่องทางธุรกิจ) ฯลฯ

หากวิชาแผนกเหล่านี้ไม่ได้รับการลงทะเบียนอย่างถูกต้อง ผู้จัดการความเสี่ยงจะให้ความช่วยเหลือแก่หน่วยงานนี้เพื่อการลงทะเบียนและการฝึกอบรมที่เหมาะสม

4.1.1. ผู้ประสานงานความเสี่ยง

4.1.1.1. ผู้ประสานงานความเสี่ยง– ได้แก่พนักงานที่รับผิดชอบในการจัดการความเสี่ยงด้านปฏิบัติการสำหรับแผนกเฉพาะและพนักงานระดับภูมิภาค ผู้ประสานงานความเสี่ยงคือหัวหน้าแผนกและพนักงานที่ได้รับการแต่งตั้งจากเขาให้ปฏิบัติหน้าที่ผู้ประสานงานความเสี่ยง

4.1.1.2. ความรับผิดชอบของผู้ประสานงานความเสี่ยง– จัดระเบียบและติดตามการดำเนินการของพนักงานในแผนกของคุณและพนักงานในระดับภูมิภาคของขั้นตอนความเสี่ยงต่อไปนี้:

1. การจัดการเหตุการณ์อย่างมีประสิทธิผล

2. การระบุความเสี่ยงและการกำจัด

3. ระบบเตือนภัยล่วงหน้าความเสี่ยง

4. สร้างความมั่นใจในความต่อเนื่องทางธุรกิจ

5. ประสานงานการทำงานของทุกฝ่ายในการบริหารความเสี่ยง

6. ระบบการรายงานและการพยากรณ์การรักษาฐานความเสี่ยง

แบบจำลอง “สามแนวป้องกัน”

แบบจำลองนี้ช่วยเพิ่มความเข้าใจในการจัดการและควบคุมความเสี่ยงโดยการแยกบทบาทและความรับผิดชอบ หลักฐานพื้นฐานคือการจัดการและควบคุมความเสี่ยงที่มีประสิทธิผลจำเป็นต้องมีการกำกับดูแลและทิศทางของผู้บริหารระดับสูงและคณะกรรมการภายในสามทีม (หรือแนวป้องกัน) ภายในองค์กร (ดูรูปที่ 18) ความรับผิดชอบของแต่ละกลุ่ม (หรือ "สาย") มีดังนี้:

• 1. ความเป็นเจ้าของและการจัดการความเสี่ยงและการควบคุม (บรรทัดแรก - การจัดการการปฏิบัติงาน)
• 2. ติดตามความเสี่ยงและการควบคุมเพื่อสนับสนุนการจัดการ (การบริหารความเสี่ยง การควบคุม และการปฏิบัติตามข้อกำหนดตามที่ฝ่ายบริหารกำหนด)
• 3. ให้การยืนยันที่เป็นอิสระคณะกรรมการและผู้บริหารระดับสูงถึงประสิทธิผลของระบบการบริหารความเสี่ยงและการควบคุม (การตรวจสอบภายใน)

รูปที่ 18 ความสัมพันธ์ระหว่างเป้าหมาย แนวคิด และแบบจำลอง

แต่ละบรรทัดในสามบรรทัดมีบทบาทสำคัญในการกำหนดกรอบแนวคิดในการจัดการองค์กร หากแต่ละบรรทัดในสามบรรทัดมีบทบาทอย่างมีประสิทธิภาพ ก็จะเพิ่มโอกาสที่องค์กรจะบรรลุเป้าหมายได้สำเร็จ

ทุกคนในองค์กรมีความรับผิดชอบในการควบคุมภายใน แต่เพื่อให้แน่ใจว่าความรับผิดชอบหลักได้รับการปฏิบัติอย่างเหมาะสม แบบจำลองจะให้ความชัดเจนในการกำหนดบทบาทและความรับผิดชอบเฉพาะ หากองค์กรจัดโครงสร้าง 3 สายงานอย่างเหมาะสมและดำเนินงานอย่างมีประสิทธิผล องค์กรจะมั่นใจได้ว่าไม่มีช่องโหว่และกิจกรรมที่ซ้ำซ้อนโดยไม่จำเป็น และจะรับประกันการจัดการและการควบคุมความเสี่ยงที่มีประสิทธิผล คณะกรรมการจะสามารถรับข้อมูลที่เป็นกลางเกี่ยวกับความเสี่ยงที่ร้ายแรงที่สุดขององค์กร และวิธีที่ฝ่ายบริหารลดความเสี่ยงดังกล่าวให้เหลือน้อยที่สุด

แบบจำลองนี้มีโครงสร้างที่ยืดหยุ่นซึ่งสามารถนำมาใช้เพิ่มเติมได้ รากฐานทางแนวคิดหน่วยภายในแต่ละแนวป้องกันจะแตกต่างกันไปในแต่ละองค์กร และบางหน่วยอาจรวมกันหรือแยกออกจากแนวป้องกัน (ดูรูปที่ 19) ตัวอย่างเช่น ในบางองค์กร ฟังก์ชันการปฏิบัติตามกฎระเบียบในบรรทัดที่สองอาจเกี่ยวข้องกับการพัฒนาการควบคุมสำหรับบรรทัดแรก ในขณะที่ส่วนอื่นๆ ของบรรทัดที่สองจะมุ่งเน้นไปที่การตรวจสอบการทำงานของการควบคุมเหล่านั้นเป็นหลัก

การดำเนินการตามหลักการควบคุมภายใน (1 ถึง 17) ที่กำหนดไว้ในกรอบงาน COSO สำหรับแนวป้องกันแต่ละแนวจะแสดงอยู่ในภาคผนวก 5 ของเอกสารเผยแพร่นี้

รูปที่ 19 แบบจำลองความบาปของแนวป้องกัน 1

1 แนวป้องกันสามแนวเพื่อการบริหารความเสี่ยงและการควบคุมที่มีประสิทธิภาพ สถาบันผู้ตรวจสอบภายใน, 2556.

ไม่ว่าโครงสร้างของแนวป้องกันสามแนวที่สร้างขึ้นโดยองค์กรใดองค์กรหนึ่งจะเป็นเช่นไรก็ตาม มีหลักการพื้นฐานหลายประการที่ใช้ในแบบจำลอง:

• 1. แนวป้องกันแรกขึ้นอยู่กับเจ้าของกระบวนการทางธุรกิจ ซึ่งกิจกรรมสร้างและ/หรือควบคุมความเสี่ยงที่อาจมีส่วนสนับสนุนหรือขัดขวางการบรรลุเป้าหมายขององค์กร มันเกี่ยวข้องกับการระบุความเสี่ยงที่เหมาะสม บรรทัดแรกเป็นเจ้าของความเสี่ยงและรับผิดชอบในการพัฒนาและดำเนินการควบคุมขององค์กรเพื่อจัดการความเสี่ยงเหล่านั้น
• 2. บรรทัดที่สองมีไว้เพื่อสนับสนุนการจัดการผ่านการให้คำแนะนำ การปรับปรุงกระบวนการ และการติดตามผลการปฏิบัติงานของฝ่ายบริหาร ควบคู่ไปกับบรรทัดแรก เพื่อให้มั่นใจว่าการจัดการและการควบคุมความเสี่ยงมีประสิทธิผล หน่วยป้องกันแนวที่สองแยกจากแนวป้องกันแรก แต่อยู่ภายใต้การควบคุมและการกำกับดูแลของผู้บริหารระดับสูง และมักจะทำหน้าที่การจัดการบางอย่าง บรรทัดที่สองเป็นส่วนสำคัญของการจัดการและ/หรือการกำกับดูแลการทำงานในหลายแง่มุมของการบริหารความเสี่ยง
• 3. บรรทัดที่สามเป็นการยืนยันต่อผู้บริหารระดับสูงและคณะกรรมการเกี่ยวกับขอบเขตความพยายามของบรรทัดที่หนึ่งและที่สองในการตอบสนองความคาดหวังของคณะกรรมการและผู้บริหารระดับสูง แนวป้องกันที่สามมักจะไม่สามารถใช้ฟังก์ชันการจัดการเพื่อปกป้องความเป็นกลางและความเป็นอิสระขององค์กรได้ นอกจากนี้บรรทัดที่สามจะรายงานตรงต่อคณะกรรมการ ด้วยเหตุนี้ แนวที่สามจึงไม่มีหน้าที่บริหารจัดการ ซึ่งแยกออกจากแนวป้องกันที่สอง

เป้าหมายขององค์กรใด ๆ คือการบรรลุเป้าหมาย การบรรลุเป้าหมายดังกล่าวรวมถึงการคว้าโอกาส การแสวงหาการเติบโต การยอมรับและการบริหารความเสี่ยง ทั้งหมดนี้เพื่อพัฒนาองค์กร การไม่ยอมรับ จัดการและควบคุมความเสี่ยงที่เหมาะสมสามารถขัดขวางการบรรลุวัตถุประสงค์ขององค์กรได้ มีและจะมีความขัดแย้งระหว่างสองกิจกรรมของ "การสร้างมูลค่าองค์กร" และ "การรักษามูลค่าองค์กร" กรอบแนวคิดจัดให้มีการจัดทำกรอบการประเมินและควบคุมความเสี่ยงเพื่อให้แน่ใจว่ามีการควบคุมและการจัดการที่เหมาะสม โมเดลดังกล่าวให้คำแนะนำในการสร้างโครงสร้างองค์กร การกระจายบทบาทและความรับผิดชอบระหว่างฝ่ายต่างๆ ซึ่งจะเพิ่มประสิทธิภาพในการจัดการและควบคุมความเสี่ยง

ประสิทธิภาพของกระบวนการทางธุรกิจขององค์กรส่วนใหญ่ขึ้นอยู่กับองค์กรของบริการควบคุมภายใน เนื่องจากไม่เพียงตรวจสอบความถูกต้องของข้อมูลทางบัญชี แต่ยังช่วยลดความเสี่ยงของบริษัทอีกด้วย

การบัญชีตาม IFRS ควรได้รับการประเมินโดยผู้ควบคุมภายใน เนื่องจากด้วยความช่วยเหลือของข้อมูลที่เชื่อถือได้ คุณสามารถบรรลุเป้าหมายที่ฝ่ายบริหารของ บริษัท กำหนดไว้ได้ เช่น เข้าทำ IPO ดึงดูดการลงทุน เป็นต้น ลองพิจารณาคุณสมบัติของการจัดระเบียบการควบคุมภายในที่ องค์กรด้วยความช่วยเหลือของบทความนี้

ความสำคัญของการควบคุมภายในแทบจะไม่สามารถประเมินค่าสูงเกินไปได้เนื่องจากบ่อยครั้งที่การตรวจสอบภายนอกดำเนินการตามขั้นตอนการควบคุมภายใน (หรือการตรวจสอบ) ที่ดำเนินการไปแล้วซึ่งผลลัพธ์จะมอบให้กับผู้ใช้ภายนอกของการรายงาน

มีประสบการณ์จากต่างประเทศในการจัดระบบการควบคุมภายใน

รูปแบบที่เรียกว่าการป้องกันการควบคุมภายในสามบรรทัดได้กลายเป็นที่แพร่หลายและได้รับความนิยม (ดูรูป) แนวคิดของแบบจำลองนี้คือระบบควบคุมภายในในองค์กรสามารถจัดได้แตกต่างกันไปขึ้นอยู่กับขั้นตอนของการพัฒนา

ในรัสเซีย แนวป้องกันสามแนวเมื่อสร้างระบบควบคุมภายในกำลังแพร่หลายเท่านั้น ปัจจุบันยังไม่มีการให้ความสำคัญกับการจัดให้มีบริการควบคุมภายใน โดยเฉพาะในบริษัทขนาดกลาง บริการควบคุมภายในมีแนวโน้มที่จะเกี่ยวข้องกับการตรวจสอบความพร้อมและการใช้สินทรัพย์ การขจัดหนี้ รวมถึงการตรวจสอบคุณภาพของการรายงานทางบัญชี (การเงิน) และการปรับภาษีและค่าธรรมเนียมให้เหมาะสม เราเห็นว่ารูปแบบการจัดบริการการควบคุมภายในนี้จำเป็นต้องได้รับการแก้ไข เนื่องจากแนวคิดของการควบคุมภายในมีความกว้างขวางมากขึ้นและรวมถึงการวิเคราะห์และการประเมินประสิทธิภาพการดำเนินงานขององค์กรตลอดจนการประเมินคุณภาพการบริหารความเสี่ยง

เมื่อจัดบริการควบคุมภายในในองค์กรคุณควรคำนึงถึงมาตรฐาน COSO “ERM” ด้วย (มาตรฐาน COSO ก่อนหน้านี้แตกต่างจาก COSO “ERM” ซึ่งส่วนหลังมุ่งเน้นไปที่การจัดการความเสี่ยงของ บริษัท และเพิ่มความน่าเชื่อถือของการรายงาน) . Coso เป็นองค์กรเอกชนในสหรัฐอเมริกาที่ก่อตั้งขึ้นเพื่อวัตถุประสงค์ในการพัฒนาข้อเสนอแนะสำหรับบุคลากรฝ่ายบริหารขององค์กรเกี่ยวกับการควบคุมภายใน การบริหารความเสี่ยง การขจัดการฉ้อโกงการรายงานทางการเงิน ฯลฯ คุณค่าของการพัฒนารูปแบบการควบคุมภายในสำหรับองค์กรที่กำหนดคือ ซึ่งเมื่อเปรียบเทียบข้อมูลแล้ว องค์กรต่างๆ จะสามารถประเมินระบบควบคุมภายในของตนเองได้

ลักษณะการจัดบริการควบคุมภายในที่มีประสิทธิผล

นอกจากนี้ยังมีปัญหาที่บริษัทต่างๆ อาจเผชิญเมื่อจัดตั้งบริการการควบคุมภายในที่องค์กร โดยเฉพาะอย่างยิ่ง ได้แก่:

• การเข้าถึงข้อมูลที่จำเป็นไม่สมบูรณ์หรือบางส่วน
• ความเชื่อมั่นไม่เพียงพอในกิจกรรมของบริการควบคุมภายใน
• ขาดเงินทุนในการจัดระบบการควบคุมภายในในองค์กรโดยเฉพาะเพื่อรักษาพนักงาน
• ความแตกต่างระหว่างมาตรฐานการตรวจสอบของรัสเซียและระหว่างประเทศ ฯลฯ

ปัญหาแรกสามารถแก้ไขได้โดยการสร้างความมั่นใจว่ามีปฏิสัมพันธ์ที่มีประสิทธิภาพของบริการควบคุมภายในกับแผนกอื่น ๆ ของบริษัทด้วยการสนับสนุนของฝ่ายบริหารของบริษัท

งานที่สำคัญมากของหน่วยงานควบคุมภายใน (ตรวจสอบ) ยังคงเพิ่มความมั่นใจในกิจกรรมในส่วนของพนักงานของแผนกอื่นและฝ่ายบริหารของ บริษัท บ่อยครั้งที่ผู้เชี่ยวชาญด้านการควบคุมภายใน การตรวจสอบ และการปฏิบัติตามกฎระเบียบถูกมองว่าเป็นผู้เชี่ยวชาญที่ทำงาน "ไม่จำเป็น" และหันเหความสนใจจากงานหลักของตน สถานการณ์นี้ไม่ได้มีส่วนช่วยปรับปรุงคุณภาพของการตรวจสอบ แต่ละบริษัทแก้ไขปัญหานี้อย่างเป็นอิสระ แต่วิธีการทั้งหมดที่ใช้ควรมุ่งเป้าไปที่การสร้างบรรยากาศที่เป็นมิตรภายในบริษัทระหว่างพนักงาน

ปัญหาความไว้วางใจไม่เพียงพอในกิจกรรมของบริการควบคุมภายในได้รับการแก้ไขโดยการเพิ่มความไว้วางใจในผู้เชี่ยวชาญของบริการดังกล่าว (และการสร้างความมั่นใจว่าการมีปฏิสัมพันธ์ที่มีประสิทธิภาพระหว่างแผนกต่างๆ ของ บริษัท ก็สามารถเพิ่มความไว้วางใจได้เช่นกัน) ปัจจัยต่อไปนี้มีความสำคัญต่อการเพิ่มความมั่นใจในผู้ควบคุมภายในด้วย:

• คุณภาพและความสามารถทางวิชาชีพ
• ความสำคัญและคุณภาพของข้อมูลที่ผู้ควบคุมได้รับ

ดังนั้น ผู้เชี่ยวชาญด้านการควบคุมภายในควรมีใบรับรองผู้ตรวจสอบบัญชี มีประสบการณ์การทำงานที่กว้างขวาง และมีความเชี่ยวชาญในเรื่องการบัญชีและการบัญชีภาษี และ IFRS เป็นอย่างดี นอกจากนี้ผู้เชี่ยวชาญประเภทนี้จะต้องพัฒนาทักษะอย่างต่อเนื่อง

ในเรื่องความสำคัญและคุณภาพของข้อมูลที่ได้รับจากผู้ควบคุมภายใน ประเด็นนี้ไม่เพียงส่งผลต่อประสิทธิภาพของงานบัญชีของบริษัทเท่านั้น แต่ยังรวมถึงการตัดสินใจของฝ่ายบริหารที่ทำโดยฝ่ายบริหารด้วย ความสำคัญและคุณภาพของงานเกิดขึ้นได้จากการเตรียมเอกสารการทำงานของผู้ตรวจสอบบัญชี (ดูตารางด้านล่าง) ความเที่ยงธรรมและความครบถ้วนของการตรวจสอบบัญชี

คำอธิบายของแบบจำลองการป้องกันสามแนวสำหรับการบริหารความเสี่ยง

ปัญหาต่อไปที่อาจเกิดขึ้นเมื่อตั้งค่าบริการควบคุมภายในคือบริษัทไม่มีเงินทุนสำหรับวัตถุประสงค์เหล่านี้ โปรดทราบว่าในปัจจุบันการจัดระบบการควบคุมภายในไม่ใช่ความตั้งใจของบริษัท แต่เป็นข้อกำหนดของเวลา เนื่องจากการแก้ไขข้อผิดพลาดอาจใช้เวลานานกว่า คุณสามารถเลือกจำนวนผู้เชี่ยวชาญที่เหมาะสมที่สุดได้ ขึ้นอยู่กับขนาดและประเภทของกิจกรรมของบริษัท สำหรับบริษัทขนาดเล็ก ผู้เชี่ยวชาญหนึ่งหรือสองคนก็เพียงพอแล้ว คุณสามารถใช้บริการของบริษัทเอาท์ซอร์สได้ ไม่ว่าในกรณีใด ขอแนะนำให้ประเมินต้นทุนที่เป็นไปได้ล่วงหน้าและเลือกตัวเลือกที่ยอมรับได้มากที่สุดสำหรับบริษัท

มาตรฐานรัสเซียและมาตรฐานสากลมีความแตกต่างกันทั้งการบัญชีและการตรวจสอบ ดังนั้น หากกิจกรรมของบริษัทต้องได้รับการประเมินจากมุมมองของมาตรฐานสากล คุณควรคิดถึงการดึงดูดผู้เชี่ยวชาญด้านบริการควบคุมภายในในระดับและคุณสมบัติที่เหมาะสม

ขั้นตอนที่สำคัญที่สุดในการทำงานของบริการควบคุมภายในคือการติดตามการปรับปรุง IFRS การดำเนินงานที่ได้รับการตรวจสอบสามารถแบ่งออกเป็นมาตรฐาน (ทั่วไป) ที่ไม่ได้มาตรฐาน และการตรวจสอบความเสี่ยงที่ธุรกิจอาจเผชิญ

พื้นที่การบัญชีที่ซับซ้อนที่ต้องให้ความสนใจ ได้แก่ การประเมินสินทรัพย์และหนี้สิน การบันทึกเงินสำรอง การจัดทำหมายเหตุประกอบงบการเงิน และการตรวจสอบข้อมูลที่จัดทำโดยสาขาขององค์กร

วิธีการวัดผลที่ซับซ้อนที่สุดที่เสนอโดย IFRS คือการวัดมูลค่ายุติธรรม หากคุณมีเงินทุน วิธีที่ดีที่สุดคือติดต่อผู้ประเมินราคามืออาชีพ แต่หากบริษัทไม่มีโอกาสทางการเงินดังกล่าว คุณก็จะสามารถกำหนดมูลค่ายุติธรรมได้อย่างอิสระ

IFRS เสนอทางเลือกมากมายในการกำหนดมูลค่ายุติธรรมโดยขึ้นอยู่กับประเภทของสินทรัพย์ ได้แก่ ต้นทุนในตลาดหลัก (ที่เคยใช้งานอยู่ก่อนหน้านี้) ต้นทุนสำหรับสินทรัพย์ที่คล้ายคลึงกัน มูลค่าคิดลด ฯลฯ เมื่อตรวจสอบการกำหนดมูลค่ายุติธรรม ผู้เชี่ยวชาญด้านการควบคุมภายในจะต้องตรวจสอบ เอกสารประกอบการกำหนดสินทรัพย์มูลค่ายุติธรรมตลอดจนความเที่ยงธรรมและความน่าเชื่อถือของผลลัพธ์ที่ได้รับ ความคิดเห็นของผู้ใช้งบการเงินอาจได้รับอิทธิพลอย่างมากจากข้อมูลที่เปิดเผยในหมายเหตุประกอบงบการเงิน ขอบเขตและขอบเขตของข้อมูลที่เปิดเผยควรได้รับการพิจารณาอย่างรอบคอบ และข้อมูลนี้สอดคล้องกับฝ่ายบริหารของบริษัท

การคงค้างของเงินสำรองยังต้องได้รับการดูแลด้วย ขั้นตอนการบัญชีของพวกเขาได้รับการควบคุมไม่เพียง แต่โดย IAS 37 "บทบัญญัติสินทรัพย์ที่อาจเกิดขึ้นและหนี้สินที่อาจเกิดขึ้น" แต่ยังขึ้นอยู่กับลักษณะเฉพาะของกิจกรรมของ บริษัท โดย IAS 11 "สัญญา" คำอธิบายของ IFRIC 6 "หนี้สินที่เกิดขึ้น การเชื่อมต่อกับการมีส่วนร่วมในตลาดเฉพาะ - ขยะอุปกรณ์ไฟฟ้าและอิเล็กทรอนิกส์”

เพื่อจัดระเบียบบริการการควบคุมภายในที่มีประสิทธิผล จำเป็นต้องทำให้การทำงานของแผนกอื่น ๆ เป็นมาตรฐานด้วย โดยเฉพาะแผนก IFRS และตรวจสอบเอกสารด้านระเบียบวิธีอีกครั้ง รวมถึงนโยบายการบัญชี เพื่อหาข้อผิดพลาดและความไม่สอดคล้องกันในข้อมูลทางบัญชี กำหนดการไหลของเอกสารก็มีความสำคัญเช่นกัน - หากมีความล่าช้าในข้อมูลที่ส่งไปยังบริการควบคุมภายใน งานก็จะช้าลงมากเช่นกัน

เพื่อให้มั่นใจว่ามีการประสานงาน ส่วนอื่นๆ ของบริษัทจะต้องมีส่วนร่วมในกระบวนการนี้ ลักษณะเฉพาะของการดำเนินการควบคุมภายในคือ การควบคุมไม่เพียงแต่พิจารณาพื้นที่แต่ละด้าน (การบัญชี การรวมธุรกิจ) ของกิจกรรมของบริษัท แต่ยังรวมถึงกระบวนการทางธุรกิจทั้งหมด ตลอดจนกิจกรรมทั้งหมดของบริษัทด้วย

ดังนั้นระบบควบคุมภายในที่มีการจัดการอย่างเหมาะสมในองค์กรจึงมีความสำคัญต่อการเพิ่มประสิทธิภาพของบริษัท

การประเมินความเสี่ยงที่เป็นไปได้

ความคิดเห็น

สเวตลานา โรกาโนวา นักบัญชีชั้นนำของบริษัท Eldorado

แนวทางปฏิบัติด้านการควบคุมภายในที่มีประสิทธิผล

ในความเห็นของเรา วิธีที่มีประสิทธิภาพสูงสุดในการดำเนินกิจกรรมโดยบริการควบคุมภายในคือการใช้วิธีการตามแนวป้องกันสามแนว หากประสบการณ์ต่างประเทศนี้ถูกนำมาใช้อย่างถูกต้องในรัสเซีย เช่น ความเสี่ยงที่บริษัทจะทำข้อผิดพลาดในงบการเงินจะมีน้อย วิธีการนี้ขึ้นอยู่กับการตรวจสอบข้อมูลใน "ด้าน" สามด้าน ลักษณะเฉพาะของแนวทางคือหากบรรทัดใดบรรทัดหนึ่งไม่สังเกตเห็นข้อผิดพลาด ก็จะถูกปรับระดับในแนวป้องกันถัดไป งานของแนวป้องกันที่สามมีความรับผิดชอบมากที่สุดเนื่องจากจำเป็นต้องตรวจสอบข้อมูลของสองแนวแรก

ความยากลำบากในการดำเนินโครงการจริงคือการกระจายผู้เชี่ยวชาญไปยังแนวป้องกันสามแนวอย่างถูกต้อง ข้อเสนอของเรา: แนวป้องกันแรกประกอบด้วยแผนกบัญชี แผนกรายงาน บรรทัดที่สอง - บริการควบคุมภายใน แผนกที่รับผิดชอบความเสี่ยง บริการปฏิบัติตามกฎระเบียบ (ถ้ามี) ที่สาม - บริการตรวจสอบภายใน อำนาจสุดท้ายในการตรวจสอบข้อมูลคือผู้ตรวจสอบภายนอก

แม้ว่าสำหรับหลายๆ บริษัท การบำรุงรักษาเจ้าหน้าที่บริการควบคุมภายในและในขณะเดียวกันก็ให้บริการตรวจสอบภายในนั้นค่อนข้างแพง แต่สำหรับธุรกิจขนาดใหญ่ นี่เป็นความจำเป็นที่แท้จริงในปัจจุบัน ไม่เช่นนั้น เนื่องจากมีจำนวนมาก ของข้อมูลเป็นเรื่องง่ายมากที่จะไม่สังเกตเห็นข้อผิดพลาดหรือไม่คำนึงถึงความเสี่ยงที่เกี่ยวข้อง หน่วยงานตรวจสอบภายในควรมีอันดับสูงกว่าหน่วยงานควบคุมภายในและติดตามการทำงานของหน่วยงานหลัง นอกจากนี้ การบริการสามารถช่วยเหลือซึ่งกันและกันในการสนับสนุนด้านระเบียบวิธี การดำเนินการควบคุมคุณภาพร่วมกัน และการแบ่งหน้าที่รับผิดชอบ ด้วยวิธีนี้ จึงสามารถลดต้นทุนการตรวจสอบภายนอกได้ ผู้ควบคุมภายในควรมีปฏิสัมพันธ์อย่างใกล้ชิดกับฝ่ายบริหารของ บริษัท และแก้ไขปัญหาที่เกิดขึ้นในลักษณะที่มีการประสานงาน - ประสิทธิผลของบริการการควบคุมภายในในกรณีนี้จะเพิ่มขึ้นอย่างมีนัยสำคัญ