В організаціях публічного сектору наявність системи внутрішнього контролю та системи управління ризиками є важливою складовою будь-якої стратегії забезпечення доброчесності в публічному секторі. Ефективні політики та процеси внутрішнього контролю та управління ризиками знижують вразливість організацій публічного сектору до шахрайства та корупції, забезпечуючи при цьому оптимальну роботу уряду для реалізації програм, які приносять користь громадянам. Крім того, ці політики та процеси допомагають забезпечити ефективне використання коштів і полегшують прийняття рішень. Будучи усталеними, вони допомагають урядам збалансувати модель, орієнтовану на примусове виконання, з більш превентивними підходами, що базуються на оцінці ризиків.

Внутрішній контроль та управління ризиками охоплюють низку заходів для запобігання, виявлення та реагування на шахрайство та корупцію. Вони включають політику, практику та процедури, які допомагають керівництву та персоналу виконувати свої функції у забезпеченні доброчесності шляхом адекватної оцінки ризиків та розробки засобів контролю, що базуються на оцінці ризиків. Механізми реагування на випадки корупції та порушення стандартів доброчесності є не менш важливими для інтегрованої системи внутрішнього контролю.

У світлі цього, Рекомендації ОЕСР щодо доброчесності публічних службовців закликає учасників «застосовувати систему внутрішнього контролю та управління ризиками для забезпечення доброчесності в організаціях публічного сектору, зокрема, шляхом:

Внутрішній контроль та управління ризиками підтримують організації публічного сектору в досягненні широкого спектру політичних цілей і завдань. Принцип управління ризиками зосереджується на аспектах внутрішнього контролю та управління ризиками в контексті збереження доброчесності та боротьби з корупцією в публічному секторі. Уряди повинні в кінцевому підсумку адаптувати свій підхід до відповідного правового, регуляторного та культурного контексту. Це передбачає включення цілей доброчесності до існуючих політик і практик внутрішнього контролю та управління ризиками. Це також передбачає адаптацію міжнародних стандартів і концепцій внутрішнього контролю та управління ризиками до місцевих реалій і особливостей публічного сектору, зокрема стандартів і рекомендацій, розроблених Комітетом спонсорських організацій Комісії Тредвея (COSO), Міжнародною організацією зі стандартизації, Інститутом внутрішніх аудиторів (наприклад, модель «Три лінії захисту») та Міжнародною організацією вищих органів фінансового контролю (INTOSAI).

Система внутрішнього контролю є інтегрованим компонентом діяльності організації публічного сектору. З точки зору публічної доброчесності, внутрішній контроль та управління ризиками складаються з політик, процесів та дій для управління ризиками шахрайства, корупції та зловживань (далі разом - ризики для доброчесності). Нижче наведено найважливіші компоненти системи внутрішнього контролю, спрямованої на забезпечення доброчесності:

• ефективне середовище контролю1 та управління ризиками для доброчесності.

• індивідуальний підхід до управління ризиками та оцінки ризиків для доброчесності.

• моніторинг та оцінка управління ризиками для доброчесності.

• узгоджені та гнучкі процедури в рамках системи внутрішнього контролю та управління ризиками.

• функція внутрішнього аудиту, яка надає незалежні, об'єктивні гарантії та консультації з метою посилення внутрішнього контролю та управління ризиками для доброчесності.

Ефективна реалізація цих компонентів залежить від низки суб'єктів на урядовому, інституційному та індивідуальному рівнях. Наприклад, розробники стандартів для організацій публічного сектору можуть забезпечити узгодженість та гармонізацію політики внутрішнього контролю та управління ризиками на державному рівні, як зазначено нижче. На інституційному рівні політики і процеси внутрішнього контролю та управління ризиками надають керівництву достатню впевненість у тому, що організація досягає своїх цілей у сфері доброчесності та ефективно управляє своїми ризиками. Компоненти внутрішнього контролю та управління ризиками також присутні на індивідуальному рівні: багато стандартів вимагають від публічних службовців особистої прихильності до доброчесності та дотримання кодексів поведінки.

В організаціях державного сектору середовище контролю слугує для досягнення широкого спектру фінансових, бюджетних цілей та цілей ефективності. Воно складається з набору стандартів, процесів і структур внутрішнього контролю в організації (Committee of Sponsoring Organizations of the Treadway Commission, 2013[2]). Окрім забезпечення дотримання законодавства, стандартів та інших вимог, середовище контролю та процеси, що його складають, сприяють належному врядуванню та допомагають організаціям державного сектору ефективно та результативно надавати результати громадянам. У контексті принципу управління ризиками, середовище контролю відображає цілі, політику та людей, які допомагають інституціоналізувати систему доброчесності, етичного прийняття рішень та управління ризиками.

Відповідальність за впровадження внутрішнього контролю та управління ризиками на державному рівні несуть різні організації державного сектору. До таких організацій належать центр уряду (CoG), аудиторські установи, центральні підрозділи з гармонізації та антикорупційні органи. Зокрема, вони 1) встановлюють і гармонізують стандарти і політику внутрішнього контролю, 2) надають рекомендації та інструменти, 3) оцінюють загальнодержавні зусилля із забезпечення доброчесності, 4) координують і стандартизують практики звітування та реагування на підозри у порушенні доброчесності для публічного сектору в цілому. Наприклад, у Сполучених Штатах Америки вищий орган державного аудиту, Управління державної звітності (GAO), очолює процес встановлення стандартів внутрішнього контролю та управління ризиками у співпраці з радою експертів і публікує Стандарти внутрішнього контролю у федеральному уряді (U.S. Government Accountability Office, 2014[3]), а також рамки провідних практик управління ризиками шахрайства в уряді (U.S. Government Accountability Office, 2015[4]). Офіс з управління та бюджету (OMB) доповнює роботу GAO політикою та інструкціями щодо впровадження. Сюди входить документ (Циркуляр OMB № A-123), який описує відповідальність керівництва та вимоги, пов'язані з внутрішнім контролем та управлінням ризиками у федеральному уряді, з чітким посиланням на оцінку ризиків шахрайства (U.S. Office of Management of Budget (OMB), 2016[5]). У Франції всі державні установи (державні адміністрації, місцеві органи влади, державні установи та напівдержавні компанії) зобов'язані за законом проводити оцінку ризиків, незалежно від їхнього розміру. Таким чином, публічні установи повинні перерахувати всі процеси, пов'язані з їхньою діяльністю, такі як набір персоналу та державні закупівлі, та оцінити пов'язані з ними ризики для доброчесності (Вставка ‎10.1).

Відсутність чіткого розуміння на центральному рівні того, як інституціоналізувати внутрішній контроль та управління ризиками, може призвести до того, що цілі доброчесності та заходи з внутрішнього контролю та управління ризиками, які їх підтримують, будуть відокремлені від інших стратегічних та операційних цілей. CoG, а також інші органи, наділені загальнодержавними повноваженнями, можуть відігравати вирішальну роль у допомозі організаціям публічного сектору подолати цей виклик, забезпечуючи уніфіковані стандарти, політику та настанови. Вони також можуть сприяти підвищенню обізнаності про значення внутрішнього контролю та управління ризиками для прийняття рішень і досягнення організаційних цілей.

Персонал на всіх рівнях організації має ролі та обов'язки в управлінні ризиками шахрайства та корупції (Committee of Sponsoring Organizations of the Treadway Commission, 2016[7]). Це може бути визнано в організаційній політиці, процедурах та інструкціях з внутрішнього контролю та управління ризиками, або може бути сформульовано як окрема політика доброчесності. Незалежно від того, чи сформульовані вони в різних політиках, чи в окремій політиці доброчесності, такі політики не повинні слугувати контрольним списком для дотримання мінімальних стандартів. Вони мають бути всеохоплюючими та адаптованими до кожної організації з урахуванням поточних та нових ризиків для доброчесності. До основних елементів політики сприяння ефективному контролю в організаціях публічного сектору можна віднести наступні:

• посилання на цінності та принципи доброчесності, а також стандарти особистої поведінки, які лежать в основі організації, та на те, що вони означають на практиці

• виклад цілей організації у сфері протидії шахрайству та корупції з чітким посиланням на те, як діяльність внутрішнього контролю та управління ризиками слугує досягненню цих цілей

• опис відповідності між цілями доброчесності та іншими політиками та інструментами організації (наприклад, кодексом поведінки, етичним кодексом)

• визначення шахрайства та корупції з наочними прикладами дій, які вважаються корупційними або шахрайськими

• визначення персоналу, на який поширюється політика, включаючи тимчасовий персонал та волонтерів

• чітко визначені ролі та обов'язки щодо внутрішнього контролю та управління ризиками, пов'язаними з шахрайством, корупцією, марнотратством та зловживаннями

• інформування працівників про те, як повідомляти про підозри у вчиненні правопорушень, про доступні їм внутрішні канали та способи повідомлення, а також про процедури, яких слід дотримуватися

• визначення заходів примусу та опис того, як будуть розслідуватися підозри у вчиненні правопорушень.

Керівництво несе основну відповідальність за створення та підтримку середовища контролю, яке підкреслює доброчесність і задає позитивний тон. Крім того, прихильність на високому рівні допомагає підвищити обізнаність про ризики для доброчесності та покращити реалізацію заходів контролю. Керівництво може включати лідерів або групи осіб (наприклад, правління або комітети), відповідальних за розробку, впровадження та моніторинг політик і практик внутрішнього контролю та управління ризиками. Крім того, керівництво повинно демонструвати своє особисте зобов’язання до доброчесності (докладніше див. Глави 1 та 6). За допомогою кодексів поведінки та етичних кодексів керівництво може повідомити про свої очікування щодо доброчесної поведінки, а також про організаційні цінності, які дозволяють особам особисто демонструвати етичну поведінку. Ці кодекси визначають основні стандарти поведінки публічних службовців і можуть бути основою для керівництва для оцінки дотримання етичних кодексів та забезпечення їх дотримання за допомогою дисциплінарних заходів, якщо це необхідно (докладніше див. Главу 4).

Деякі організації публічного сектору призначають орган для управління ризиками для доброчесності. Це може бути комітет, команда або окрема особа, залежно від потреб. Наприклад, у деяких організаціях таким органом є комітет, який допомагає здійснювати нагляд, координацію, моніторинг та оцінку діяльності з управління ризиками в межах всієї організації. В інших випадках організації призначають менеджерів з управління ризиками для доброчесності або створюють робочі групи, які відповідають за досягнення цілей у сфері доброчесності в рамках контрольного середовища. Повноваження і розмір організації (включаючи кількість програм, співробітників і ресурсів), а також складність ризиків допомагають визначити, чи буде корисним створення спеціального підрозділу. Незалежно від підходу, важливо, щоб підрозділ або функція підпорядковувалися безпосередньо вищому керівництву, оскільки останнє несе загальну відповідальність за управління ризиками для доброчесності.

Індивідуалізація передбачає адаптацію заходів з управління ризиками до унікальних умов організації публічного сектору та впровадження оцінок ризиків і засобів контролю, які відповідають поставленим цілям. Ризики для доброчесності різняться в різних секторах та організаціях, тому дуже важливо, щоб організації публічного сектору адаптували свої рекомендації, інструменти та підходи до своїх конкретних цілей, середовища та контексту. Це особливо важливо з огляду на те, що багато стандартів внутрішнього контролю та управління ризиками, які адаптували уряди, спочатку були розроблені для приватного сектору. CoG, галузеві міністерства та особи, відповідальні за управління ризиками, відіграють певну роль у цьому процесі адаптації, що відображено нижче в обговоренні як з точки зору уряду, так і з точки зору інституцій.

Цілеспрямовані рекомендації та інструменти можуть допомогти урядам орієнтувати свою діяльність у сфері внутрішнього контролю та управління ризиками на ризики для доброчесності, пов'язуючи цю діяльність з ширшими програмними цілями. Вони також можуть підтримувати комунікаційні стратегії, які гарантують, що внутрішній контроль та управління ризиками не обмежуються лише фінансовим контролем та перевірками на відповідність. Наприклад, у 2010 році Секретаріат Ради казначейства Канади розробив Концепцію управління ризиками, щоб допомогти заступникам керівників урядових департаментів у впровадженні практики управління ризиками на всіх рівнях їхніх організацій. Французьке антикорупційне агентство (AFA) опублікувало керівні принципи, щоб допомогти державним і приватним юридичним особам виконувати певні антикорупційні вимоги та вимоги щодо доброчесності, включаючи проведення оцінки ризиків. AFA також розробило спеціалізовані технічні посібники, наприклад, для посадових осіб, відповідальних за державні закупівлі. На додаток до цих загальних рекомендацій, AFA надає індивідуальну підтримку державним і приватним суб'єктам, які бажають удосконалити свої процедури управління ризиками для доброчесності. Галузеві настанови, зосереджені на сферах підвищеного ризику, таких як закупівлі чи охорона здоров'я, а також відповідні механізми координації та інструменти звітності, можуть допомогти подолати прогалини у спроможності (Вставка ‎10.2).

Політики, процеси та інструменти проведення оцінки ризиків для доброчесності можуть відрізнятися в різних організаціях і залежать від їхнього розміру, обсягу інвестицій, які вони отримують, а також від того, чи працює організація в секторі з високим рівнем ризику (наприклад, у сфері охорони здоров'я, інфраструктури). Наприклад, організація публічного сектору може проводити окрему оцінку ризиків для доброчесності або включати цілі щодо доброчесності в загальноорганізаційні оцінки ризиків для підвищення ефективності. Тим не менш, політика управління ризиками та процеси оцінки мають спільні риси в усіх організаціях. Політика управління ризиками має бути пов'язана з цілями і включати, серед іншого, опис методів мінімізації ризиків, вимоги до ресурсів, обов'язки, показники ефективності, а також вимоги до звітності та моніторингу (Crime and Corruption Commission, 2018[9]). Крім того, як описано нижче, управління ризиками та їх оцінка, як правило, передбачають багатоетапний, ітеративний процес визначення контексту, оцінки та дій з мінімізації ризиків, а також забезпечення постійного моніторингу, комунікації та консультацій (International Organization for Standardization, 2018[10]).

Розуміння внутрішнього та зовнішнього контексту є ключовим кроком для публічних службовців при першій оцінці рушійних сил та потенційних перешкод на шляху до досягнення цілей доброчесності. Внутрішній контекст включає, але не обмежується стратегічними цілями, структурою управління, ролями, наборами навичок працівників, операційними інструментами (наприклад, системами даних та інформації), культурою та внутрішніми настановами. Зовнішній контекст може включати правові та політичні рамки, зовнішні зацікавлені сторони, а також політичні, соціальні та економічні реалії, які підкреслюють конкретні типи ризиків для доброчесності або механізми реагування на них. Цей контекст формує основу для розробки та вдосконалення політик, стратегій і цілей управління та оцінки ризиків для доброчесності, оскільки ні внутрішні, ні зовнішні умови не є статичними.

Різні інструменти стратегічного планування можуть бути корисними відправними точками для оцінки контексту та визначення обсягу процесу оцінки ризиків. Наприклад, такі інструменти, як діаграми «дерево рішень» і «риб'яча кістка», карти процесів і впливів, а також метод «PESTLE» (політичні, економічні, соціальні, технологічні, правові та екологічні фактори) можуть полегшити аналіз і сприяти залученню зацікавлених сторін. Реєстри ризиків на рівні уряду або відомств можуть бути корисними для визначення контексту, як показано у Вставка ‎10.3.

Створення контексту також вимагає визначення ролей та обов'язків і створення команди для оцінки ризиків для доброчесності в організації. Хоча в організаціях публічного сектору існують окремі ролі та функції для управління ризиками для доброчесності, управління ризиками вимагає залучення низки учасників. Наприклад, лінійні керівники, менеджери з управління ризиками та внутрішні аудитори (тобто перша, друга та третя лінії захисту2, відповідно) відіграють важливу роль у забезпеченні того, щоб управління ризиками та внутрішній контроль сприяли досягненню організаційних цілей та завдань.

Протягом усього процесу повинні існувати механізми для забезпечення збору всіх необхідних вхідних даних та інформування про висновки і результати. Маючи такі механізми, організації можуть краще інтегрувати управління ризиками у свою діяльність і сприяти підвищенню відповідальності за процес оцінки ризиків. Наприклад, у Литві закон про запобігання корупції містить методологію аналізу корупційних ризиків. Методологія передбачає, що при проведенні аналізу слід звертатися до численних джерел, включаючи результати аудиторських перевірок, опитувань персоналу та соціальних опитувань (OECD, 2015[12]).

Ступінь інтеграції управління ризиками в організацію є ще однією важливою характеристикою внутрішнього контексту. Політика і практика внутрішнього контролю та управління ризиками є найбільш ефективними, коли вони є частиною загальної стратегії та діяльності організації і спрямовані на підтримку конкретних цілей і завдань. Те, як саме відбувається ця інтеграція, залежить від організації. Однак цей процес може включати створення зв'язків між управлінням ризиками та політикою і процесами стратегічного планування, моніторингу діяльності та оцінки. Наприклад, у Великій Британії Міністерство доходів і зборів використовує щомісячний Звіт про результати діяльності для оцінки прогресу в досягненні цілей і визначення сфер діяльності, які потребують подальших дій. Комітет з питань ефективності разом з «Центрами ефективності» обговорює відповідні дані та розглядає ключові ризики для досягнення цілей. Зокрема, вони переглядають реєстри ризиків різних відомств та інтегрують інформацію і висновки щодо ризиків в оцінку поточної та існуючої ефективності (National Audit Office, 2011[13]).

Оцінювання ризиків - це циклічний процес, який дозволяє організації зрозуміти сприятливі фактори та перешкоди на шляху до її цілей на основі аналізу невід'ємних3 та залишкових 4 ризиків. Чіткий зв'язок з цілями є ключовим для того, щоб спрямовувати тих, хто бере участь у визначенні обсягу оцінки ризиків, і гарантувати, що вони не перевантажуватимуть процес і реєстри ризиків, що виникають в результаті, інформацією. Зрештою, результати оцінки ризиків повинні бути корисними для прийняття рішень, а прив'язка конкретних цілей до ризиків (а не навпаки) може допомогти організаціям зосередитися на тих ризиках, які мають значення. Оцінка ризиків корупції та шахрайства може бути окремим заходом або бути частиною загальної діяльності організації з оцінки ризиків, визнаючи взаємозв'язок між різними категоріями ризиків, такими як стратегічні, операційні, фінансові, комплаєнс-ризики та ризики для репутації.5

Не існує універсального підходу до проведення оцінювання ризиків для доброчесності, тому ключовим моментом є його адаптація до потреб організації. Загалом, організації можуть оцінювати конкретні ризики, фактори ризику6 або їх поєднання. Специфічні ризики - це відповідні корупційні або шахрайські схеми, які можуть вплинути на цілі організації. Оцінка таких ризиків більш детально розглядається нижче. Фактори ризику також пов'язані з цілями, але вони відносяться до характеристик політики, процедур або діяльності організації, які, будучи оціненими та оціненими, можуть виділити сфери діяльності з високим рівнем ризику і згодом сформувати пріоритети. Наприклад, складність процедур може бути фактором ризику, який може ускладнити для організації здійснення ефективного нагляду та запобігання шахрайству або корупції.

Іншим прикладом фактору ризику є ступінь залежності підрядника від субпідрядників або третіх осіб, оскільки багато урядів регулярно залучають підрядників для закупівлі товарів і послуг. Кожен фактор ризику може бути зважений відповідно до пріоритетів організації та оцінений за заздалегідь визначеними критеріями. Наприклад, організація може оцінити фактор ризику залежності від третіх осіб, як показано в Таблиця ‎10.1 нижче. Можна також розробити критерії для інших факторів ризику, таких як розмір бюджету, ступінь впливу програми на зацікавлені сторони, вразливість до шахрайства або обсяг і тип отриманих аудиторських рекомендацій.

Оцінюючи конкретні ризики, а не фактори ризику, зазвичай розрізняють невід'ємні та залишкові ризики. Під час такого оцінювання організація спочатку аналізує невід'ємні ризики, тобто ризики, які оцінюються за відсутності заходів контролю. Наприклад, як перший крок, організація повинна оцінити ймовірність та вплив усіх потенційних схем шахрайства, пов'язаних з використанням працівниками державних проїзних або кредитних карток. Для оцінки ймовірності та впливу організація може використовувати числові бали (наприклад, від 1 до 5) або класифікацію (наприклад, низький, середній та високий). Оцінки ймовірності та впливу можуть бути пов'язані з конкретними критеріями для полегшення оцінювання. Наприклад, організація, яка оцінює ризики закупівель, може використовувати вартість контракту або частоту для вимірювання впливу та класифікувати дуже високі ризики (оцінка 5 балів) та дуже низькі ризики (оцінка 1 бал). Проходячи через процес оцінки ризиків, організації повторюють цей процес бальної оцінки, щоб оцінити залишкові ризики.

Залишковий ризик - це ризик, на який наражається організація після застосування заходів зі зниження ризиків. У попередньому прикладі це включало б другий етап аналізу виявлених невід'ємних ризиків, у тому числі переглянуте визначення ймовірності та впливу ризиків шахрайства з урахуванням заходів контролю, таких як процедури встановлення лімітів на кредитні картки. Як зазначено в наступному розділі, організація повинна врахувати залишковий ризик відносно критеріїв ризику (тобто толерантності7), перш ніж вирішити, чи потрібно вносити зміни до заходів контролю. Аналізуючи як невід'ємні, так і залишкові ризики, важливо, щоб організації уникали поширеної помилки, яка полягає у визначенні та аналізі заходів контролю або наслідків, а не ризиків, які можуть зашкодити досягненню поставлених цілей.

Для підтримки якісних форм аналізу ризиків організації можуть використовувати різні джерела. Аналіз результатів аудиту, опитування працівників, оцінка ризиків контролю та проведення аналізу сильних і слабких сторін, можливостей і загроз (SWOT) є загальними методами виявлення потенційних ризиків. Інші методи можуть включати ознайомлення з реєстром ризиків країни або організації, якщо такий існує, для виявлення поточних тенденцій або схем, які вказують на шахрайську або корупційну діяльність. Крім того, оцінка ризиків - це командна робота. Може бути корисним залучити співробітників з усієї організації, щоб забезпечити різні точки зору, а також перевірити результати. Керівники та безпосередні працівники - ті, хто безпосередньо відповідає за операції або надання послуг, наприклад, контрактний менеджер, який безпосередньо контактує з постачальниками, або працівник охорони здоров'я, який взаємодіє з бенефіціарами, - можуть по-різному сприймати ймовірність і вплив ризиків. Працівники, які працюють у безпосередньому контакті, можуть бути в кращому становищі, ніж менеджери, для виявлення ризиків, що виникають.

Використання кількісних методів та аналізу даних також може допомогти виявити потенційне шахрайство та корупцію в низці сфер, де уряди, як правило, збирають надійні та достовірні дані. Сюди входять проекти громадських робіт, закупівлі, нарахування заробітної плати, соціальні послуги, медичні виплати та послуги з працевлаштування. Однак кількісні підходи можуть бути ресурсомісткими і часто вимагають спеціальних навичок та інвестицій в ІТ-інфраструктуру, програмне забезпечення та навчання. Перш ніж вкладати значні кошти в кількісні або засновані на даних підходи до оцінки ризиків, установи можуть розглянути аналіз витрат і вигод та можливості для пілотування нових підходів.

Організації, які ефективно оцінюють ризики, пристосовують цей процес до власних умов і проводять оцінку регулярно, хоча частота, з якою різні організації проводять оцінку ризиків, може бути різною. Вставка ‎10.4 ілюструє, як органи влади в Словацькій Республіці проводять аналіз ризиків шахрайства та корупції.

Після виявлення та оцінки ризиків для доброчесності, включно з невід'ємними та залишковими ризиками, наступним кроком є визначення того, чи потрібно реагувати на них і як саме. Цей етап передбачає оцінку результатів аналізу ризиків на основі конкретних критеріїв ризику (тобто допусків), а потім уточнення стратегії організації щодо мінімізації ризиків. «Критерії ризику» означають рівень ризику, який організація готова прийняти. По суті, допуски - це критерії, які діють як порогові значення для полегшення прийняття рішень і забезпечення ефективності та пропорційності контролю.

Керівники повинні визначити ці критерії заздалегідь, до проведення оцінки ризиків. До визначення критеріїв ризику можуть бути залучені ради директорів, аудиторські комітети та управлінське керівництво, щоб забезпечити їх максимально об'єктивне визначення та відповідність політиці, правилам і цілям організації. «Нульова толерантність» до корупції та шахрайства не є корисним критерієм ризику. Слід визнати, що цей меседж може слугувати керівним принципом і сприяти формуванню культури усвідомлення ризиків. Однак серед інших непередбачуваних наслідків, він може також мати негативний вплив на процес оцінки ризиків, якщо культура нульової толерантності створює серед керівників небажання надавати відверту інформацію про ризики, які вони сприймають у своїй сфері діяльності. На відміну від заяв про нульову толерантність, контекстно-специфічні критерії ризику мають більш практичне значення для оцінки та адаптації контрольних заходів.

Виявити всі ризики шахрайства та корупції та відреагувати на них нереально. Критерії ризику повинні бути встановлені на такому рівні, щоб організація могла повністю зрозуміти проблему та забезпечити вжиття заходів для її зменшення (Fountain, 2015[15]). Критерії ризику допомагають керівникам вирішити, чи варто приймати, уникати, зменшувати або розподіляти ризик. Якщо заходи контролю ефективно утримують ризик на рівні або нижче порогового значення, встановленого критеріями ризику (наприклад, процеси, де ризики внутрішнього шахрайства менші за визначену фінансову вартість), то прийняття залишкового ризику може бути найефективнішим та найекономнішим варіантом дій. Якщо визначено, що контрольні заходи не змогли зменшити ризики до прийнятного рівня, тоді керівники повинні або уникнути, або зменшити, або розділити ризик.

Уникнення ризику передбачає припинення політики або операцій, пов'язаних з ним. Наприклад, установа може прийняти рішення заборонити співробітникам приймати невеликі подарунки від партнерів проекту або припинити співпрацю з постачальником з високим рівнем ризику, таким чином повністю усунувши ризик. Деякі ризики є неминучими, наприклад, ризик фальсифікації заявок на відпустку або ризик шахрайства при подачі заявок на отримання державних послуг. Зменшення таких ризиків передбачає адаптацію процедур і заходів контролю для зменшення їхньої ймовірності та впливу. Нарешті, розподіл ризиків є більш поширеним у бізнес-середовищі, але він може мати місце і в державному секторі. Зазвичай це передбачає певні дії з передачі ризику третій стороні, наприклад, страховій компанії, яка може покрити збитки у разі реалізації ризику.

Матриці ризиків, реєстри ризиків або прості таблиці Excel можуть бути корисними інструментами для документування результатів оцінки ризиків, а також для оцінки взаємозв'язків між ризиками та контролями. Наприклад, на Рисунок ‎10.2 показано один із способів класифікації ризиків за категоріями та інформування про необхідні дії, а також про ролі та обов'язки власників ризиків. Незалежно від способу документування, дуже важливо, щоб результати оцінки ризиків відображали прийнятний рівень ризику на основі заздалегідь визначених критеріїв. Теплові карти8 або інші інструменти, які відображають бальну оцінку ймовірності та впливу ризиків, але не показують рівень управління ризиками, який вважається прийнятним, мають невелику цінність для прийняття рішень або адаптації заходів щодо пом'якшення наслідків.

Матриці ризиків є одним з декількох інструментів для відносного ранжування ризиків. Організація може також використовувати абсолютне ранжування, за допомогою якого вона визначає пріоритетність ризиків на основі їхніх числових оцінок. Незалежно від підходу, організаціям важливо усвідомлювати упередженість, яка може вплинути на процес оцінювання ризиків, і запровадити процеси контролю якості самого процесу оцінювання ризиків. Дійсно, керівники можуть бути зацікавлені в тому, щоб мінімізувати сприйняття того, що діяльність, яку вони контролюють, є вразливою до ризиків корупції та шахрайства. З іншого боку, вони можуть перебільшувати ризики, щоб виправдати більші інвестиції в контрольні заходи, інструменти, навчання та інші ресурси. Процеси валідації, інтегровані в оцінку ризиків, можуть допомогти мінімізувати вплив упереджень.

Документування та інформування про результати оцінки ризиків може відрізнятися в різних організаціях, однак незалежно від контексту, існують загальні міркування. По-перше, реєстри ризиків або подібні інструменти можуть бути корисними для забезпечення здатності організації відстежувати ризики в часі, вдосконалення процесу оцінки ризиків та посилення стратегій доброчесності. Веб-панелі, які візуально зображують і анімують ризики, також можуть бути потужними інструментами для полегшення прийняття рішень щодо заходів пом’якшення. По-друге, хоча детальна оцінка може бути корисним інструментом для керівників та аудиторів, у контексті оцінки ризиків для доброчесності вона також може консолідувати конфіденційну інформацію про вразливість інституцій до шахрайства та корупції. В рамках процесу планування оцінки ризиків організації можуть розглянути та чітко прописати засоби контролю над самим процесом, включаючи політику та процедури інформаційної безпеки, анонімності зацікавлених сторін та використання результатів. Це може допомогти підвищити рівень комфорту учасників і сприяти активному залученню до процесу оцінки ризиків.

Процес моніторингу та оцінки є ключовим компонентом загальної системи управління ризиками, який може допомогти організаціям оцінити політику і практику управління ризиками для доброчесності та внести необхідні зміни. Ця діяльність може здійснюватися на загальнодержавному рівні, зосереджуючись на системних питаннях, або в межах організації публічного сектору для покращення інституційного управління ризиками.

Оцінка державних стандартів, політик і процедур внутрішнього контролю та управління ризиками є критично важливою функцією для організацій із загальнодержавними повноваженнями. Такі перевірки часто проводять установи внутрішнього та зовнішнього аудиту, антикорупційні та регуляторні органи, але провідні установи можуть відрізнятися в різних країнах. Незалежні та комплексні зовнішні оцінки оцінюють найважливіші характеристики політики внутрішнього контролю та управління ризиками, зокрема, ступінь, в якій стандарти, політики та процедури враховують ризики для доброчесності, а також гармонізацію політик і чіткість розподілу ролей та обов'язків у контрольному середовищі для управління ризиками для доброчесності. Наприклад, Рахункова палата Австрії (РСА) проводить аудит систем запобігання корупції в організаціях, який включає оцінку того, чи має організація достатню кількість положень для зменшення ризиків для доброчесності. Такі перевірки можуть виявити загальносистемні недоліки, що дозволяє уряду вдосконалити системи внутрішнього контролю та управління ризиками за допомогою скоординованого загальнодержавного підходу.

Операційні, регуляторні, технологічні та численні інші зміни можуть впливати на ефективність заходів контролю за шахрайством та корупцією, які застосовуються організацією для управління ризиками. Тому окремі заходи внутрішнього контролю, діяльність з управління ризиками та система внутрішнього контролю в цілому повинні регулярно піддаватися моніторингу, щоб переконатися, що система функціонує належним чином, а заходи контролю є оптимальними. У цьому сенсі моніторинг допомагає організаціям постійно вдосконалювати процеси управління ризиками та контролю: якщо моніторинг виявляє недоліки, керівництво організації може проконтролювати своєчасне вдосконалення та виправлення цих недоліків (Committee of Sponsoring Organizations of the Treadway Commission, 2016[7]). У контексті публічної доброчесності активний моніторинг системи внутрішнього контролю та управління ризиками може допомогти покращити запобігання та виявлення потенційних або підозрюваних випадків шахрайства, корупції чи зловживань.

Згідно з відповідним законодавством або політикою, окремі організації можуть визначати, як і з якою періодичністю здійснювати моніторинг. Поточні оцінки є рутинними процесами, які відстежують контрольну діяльність у режимі реального часу, тоді як окремі оцінки можуть періодично проводитися внутрішніми аудиторами або зовнішніми сторонами. Інформація, зібрана з реєстрів ризиків про відомі схеми шахрайства і корупції та сфери підвищеного ризику, може бути використана для проведення цільових моніторингових заходів шляхом застосування ризик-орієнтованого підходу до оцінювання.

У своїй політиці управління ризиками для доброчесності установи повинні чітко визначити заходи з моніторингу та оцінки, включаючи ролі та обов'язки. Наприклад, у Нідерландах Офіс сприяння доброчесності публічного сектору (BIOS), Бюро з питань доброчесності муніципалітету Амстердама та Рахункова палата Нідерландів спільно розробили інструмент IntoSAINT. Цей інструмент самооцінки доброчесності дозволяє організаціям публічного сектору оцінити свою вразливість та стійкість до порушень доброчесності, а також надає рекомендації щодо покращення управління доброчесністю. Учасники IntoSAINT обирають найбільш вразливі процеси на основі інвентаризації основних та допоміжних процесів оцінюваної організації, визначаючи найбільш значні ризики для доброчесності в межах обраних процесів. Це поєднується з оцінкою культурних факторів, таких як підвищення обізнаності та роль керівництва, а також адекватності системних заходів, тобто заходів, спрямованих на впровадження та консолідацію політик доброчесності. Результати, які надаються у формі звіту, дають уявлення про те, наскільки добре функціонує існуюча система доброчесності. Результати можуть бути використані організаціями для оновлення своїх політик доброчесності або як відправна точка для застосування інших, більш поглиблених заходів аналізу ризиків. Визнаючи функціональність цього інструменту, Польща розробила аналогічну самооцінку доброчесності, яка поширюється серед галузевих міністерств.

Інший приклад демонструє, як політика боротьби з шахрайством і корупцією Департаменту юстиції та генерального прокурора (DJAG) штату Квінсленд, Австралія, покладає на співробітника з питань боротьби з шахрайством (FCO) (який працює у відділі корпоративного управління Департаменту) відповідальність за активне вдосконалення системи протидії ризикам шахрайства та корупції в Департаменті. FCO очолює Оперативну групу з питань ризиків шахрайства, яка, серед іншого, здійснює моніторинг системи шляхом нагляду за переглядом політики, питаннями, пов'язаними з аудитом, скаргами, навчанням і дотриманням вимог, а також забезпечує перегляд системи контролю за шахрайством і корупцією раз на два роки або частіше, якщо це необхідно (Department of Justice and Attorney-General, 2017[16]).

Внутрішній контроль в організаціях публічного сектору повинен містити чіткі процедури реагування на підозри у порушенні законодавства, процесів або на випадки порушень доброчесності. Хоча необхідні дії можуть відрізнятися в різних організаціях і залежати від розміру, функцій та механізмів управління, уряд може відігравати важливу роль у координації повідомлень про підозри у порушенні доброчесності та реагування на них в організаціях публічного сектору.

Центральний орган може встановити стандартні протоколи та механізми для повідомлення про підозри у порушенні доброчесності та реагування на них. Такий підхід може гарантувати, що всі організації публічного сектору мають достатні положення для реагування на корупцію та порушення доброчесності в рамках їхньої загальної стратегії доброчесності. Він також зменшує дублювання та мінімізує прогалини у системі внутрішнього контролю та управління ризиками в організаціях публічного сектору. CoG або інший відповідальний орган може забезпечити застосування загальних процедур і критеріїв, щоб працівники органів влади та громадськість могли повідомляти про підозри в порушеннях, не боячись репресій. Наприклад, CoG може розробити положення, які вимагатимуть від організацій державного сектору створити окремі лінії зв'язку, такі як «гарячі лінії». Чіткі канали звітування та наявність узгоджених механізмів звітування є ключовими ознаками ефективної системи внутрішнього контролю.

Хоча політики та рекомендації, надані CoG, сприяють узгодженості дій, вони не завжди відображають інституційний контекст усіх організацій публічного сектору. Тому чіткі механізми можуть допомогти цим організаціям у реагуванні на потенційні порушення доброчесності або закону.

Основним способом виявлення потенційних порушень доброчесності або порушень закону є повідомлення від працівників. Організації публічного сектору можуть створити культуру, в якій працівники почуватимуться в безпеці, якщо їм стане відомо про ймовірні порушення доброчесності (докладніше див. Главу 9). Для публічних службовців повинні існувати чіткі внутрішні та зовнішні канали звітування, а громадяни повинні отримувати достатній захист при повідомленні про підозри в корупції або шахрайстві. В організації повинні існувати політичні заходи, які визначають, яких процедур слід дотримуватися у випадку, якщо працівник повідомляє про ймовірні порушення, і які варіанти дій він має у своєму розпорядженні. Співробітники можуть повідомляти про підозри щодо порушень своїм безпосереднім керівникам, працівникам відділу кадрів, підрозділу внутрішнього аудиту організації або іншим уповноваженим особам. У багатьох організаціях державного сектору існують «гарячі лінії» для анонімних повідомлень. Незалежно від форми, чітке інформування про те, як повідомляти про проблеми, сприяє впровадженню механізмів звітування.

Якщо в організації виявлено підозру в шахрайстві або корупції, необхідно запровадити процеси, які забезпечать відповідну реакцію. Ці процеси залежать від характеру та серйозності передбачуваної поведінки. Наприклад, незначні скарги можуть бути розглянуті керівництвом, тоді як більш серйозні випадки, особливо ті, де передбачувана поведінка може становити кримінальний злочин, можуть вимагати проведення повного розслідування. Цілі будь-якого розслідування мають бути чітко визначені в політиці доброчесності, і цих цілей слід дотримуватися протягом усього внутрішнього розслідування. Крім того, розслідування має відповідати чинному законодавству (кримінальному та трудовому) та слідчим процедурам.

Після проведення розслідування його результати мають бути передані керівництву. Після цього організації повинні визначити, яких заходів слід вжити у відповідь на отримані результати. Якщо випадок шахрайства або корупції дійсно мав місце, коригувальні дії можуть варіюватися від дисциплінарних заходів до передачі справи до суду. У випадку кримінального переслідування, будь-які зобов'язання щодо зовнішнього звітування повинні бути викладені в політиці доброчесності організації. Крім того, за результатами розслідування керівництво може застосувати підхід «засвоєння уроків» до випадків шахрайства та корупції.

Функція внутрішнього аудиту перевіряє адекватність та ефективність систем внутрішнього контролю, процедур, механізмів управління, процесів управління ризиками та ефективності діяльності організацій державного сектору (The Institute of Internal Auditors, 2016[17]). Тому очікується, що роль внутрішнього аудиту вийде за рамки орієнтованих на дотримання правил підходів до оцінки контролів. Цей сучасний погляд на внутрішній аудит відображає ширшу цінність, яку ця функція може додати організації. Внутрішній аудит може сприяти не лише досягненню фінансових цілей та контролю над ресурсами, але й покращенню процесу прийняття рішень та управління ризиками для підтримки загальних стратегічних та операційних цілей.

Внутрішні аудитори в організаціях державного сектору відіграють важливу роль у наданні незалежної, об'єктивної оцінки ефективності управління державними ресурсами для досягнення запланованих результатів. Їхні об'єктивні, засновані на цінностях висновки та докази можуть допомогти організаціям державного сектору краще управляти та оцінювати ризики для доброчесності. Очікується, що аудитори оцінюватимуть ймовірність шахрайства і те, як організація управляє ризиком шахрайства (The Institute of Internal Auditors, 2016[17]). На практиці це передбачає виявлення чинників ризиків для доброчесності під час роботи внутрішнього аудиту та оцінку того, чи ефективно здійснюється управління цими ризиками, навіть якщо організація публічного сектору не має формальних програм управління ризиками для доброчесності. Наприклад, внутрішні аудитори можуть виявити сфери з високим ризиком порушення доброчесності, такі як відносини з третіми сторонами, аутсорсингова діяльність або закупівлі. Аудиторські рекомендації щодо покращення контрольного середовища в цих сферах діяльності з високим ризиком можуть сприяти зусиллям організації у запобіганні та виявленні шахрайства та корупції.

Однак внутрішні аудитори не повинні бути слідчими. Насправді, ті ж самі стандарти визнають, що хоча внутрішні аудитори повинні володіти достатніми знаннями для оцінки факторів ризику шахрайства та управління ризиками шахрайства в організації, аудитори не зобов'язані володіти знаннями чи досвідом, щоб брати на себе роль слідчого. Роль внутрішнього аудиту в розслідуванні ймовірних порушень доброчесності залежить від низки факторів, таких як структура організації та наявність ресурсів. Наприклад, Урядове агентство з внутрішнього аудиту (GIAA) у Великій Британії має окрему службу, яка консультує організації державного сектору щодо стратегій боротьби з шахрайством та способів розслідування підозр у внутрішньому шахрайстві або шахрайстві з боку постачальників. Ця спеціалізована послуга є доповненням до основної діяльності з внутрішнього аудиту та підтвердження довіри, яку надає GIAA. У своєму річному звіті за 2018-19 роки GIAA зазначило, що завдяки роботі підрозділу з протидії шахрайству та розслідувань було виявлено шахрайство на суму 1 мільйон фунтів стерлінгів та попереджено збитки на суму 1 мільйон фунтів стерлінгів в організаціях державного сектору, які замовляли його послуги.

Внутрішні аудитори також повинні оцінювати ефективність цілей і діяльності організації в сфері етики, а також процесів просування етики та цінностей. Це може включати, наприклад, оцінку ефективності структури управління у формуванні культури доброчесності або аудит процесів роботи з повідомленнями про порушення. Періодичні оцінки ризиків цих факторів ризику для доброчесності, що проводяться внутрішнім аудитом на основі оцінки ризиків, можуть висвітлити сфери, які є найбільш схильними до порушень доброчесності, що дозволить керівництву оперативно вжити заходів для виправлення ситуації. Французьке антикорупційне агентство (AFA) у своєму дослідженні 2018 року щодо запобігання корупції в органах місцевого самоврядування зазначило, що в деяких організаціях державного сектору діяльність із запобігання корупції чітко включена до повноважень служби внутрішнього аудиту.

На додаток до свого внеску в оцінку факторів ризику для доброчесності, внутрішні аудитори можуть відігравати важливу роль, оцінюючи, чи ефективно та результативно працюють механізми внутрішнього контролю для управління ризиками для доброчесності, а також визначаючи сфери, які потребують вдосконалення. Це може відбуватися у формі аудиту або оцінки ефективності компонентів системи управління ризиками для доброчесності, таких як антикорупційні програми чи програми протидії хабарництву, або оцінки того, наскільки добре ці компоненти працюють разом. Відбір аудиторських перевірок на основі оцінки ризиків може допомогти внутрішнім аудиторам визначити, як найкраще ідентифікувати ризики, що мають найбільше відношення до цілей організації, та прийняти рішення про те, що саме перевіряти, на основі попередньо визначених критеріїв ризику. Цей підхід, на відміну від циклічного або заснованого на інцидентах, може допомогти аудиторам уникнути пасток, пов'язаних з підходами, орієнтованими на комплаєнс, і перевантаженням керівників аудитом і контролем.

Таким чином, результати діяльності внутрішнього аудиту можуть допомогти керівникам узгодити процеси управління ризиками доброчесності та засоби контролю з організаційними цілями, щоб ці процеси сприяли досягненню стратегічних цілей та інформували про прийняття рішень. В Інтернеті можна знайти низку безкоштовних і платних концепцій та посібників, які допоможуть внутрішнім аудиторам оцінити заходи доброчесності або програми боротьби з шахрайством. Загалом, ці концепції та настанови надають інформацію для рекомендацій щодо вдосконалення як «жорстких» засобів контролю (тобто політик, процедур, структури тощо), так і, все частіше, «м'яких» засобів контролю (наприклад, культури, поведінки керівництва, тонусу у вищому керівництві), визнаючи при цьому необхідність врахування аудиторами людської поведінки, мотивації та ставлення до роботи.

Внутрішні аудитори можуть відігравати й інші важливі ролі у сприянні доброчесності в організаціях публічного сектору. Наприклад, вони можуть надавати незалежний, об'єктивний погляд на внутрішні та зовнішні стратегічні, операційні та репутаційні ризики, щоб покращити власну оцінку ризиків керівництвом. Крім того, служба внутрішнього аудиту може бути союзником керівництва у просуванні культури доброчесності. Це включає участь у підвищенні обізнаності про ризики, підтримку спроможностей (наприклад, тренінги та семінари), а також сприяння поширенню ціннісних повідомлень про доброчесність та належне врядування.

Вкрай важливо, щоб внутрішні аудитори зберігали свою незалежність від інших так званих ліній захисту, до яких відносяться менеджери (перша лінія) та ризик-менеджери (друга лінія). Ці лінії часто розмиті, коли йдеться про управління ризиками доброчесності, частково через вищезгадані стандарти, які чітко визначають роль внутрішнього аудиту в оцінці ризиків доброчесності. Однак організації повинні забезпечити, щоб внутрішній аудит не перебирав на себе всі обов'язки, пов'язані з управлінням ризиком недоброчесності. Керівники «другої лінії», які виконують такі функції, як фінансовий контроль, забезпечення якості, комплаєнс та інспекційні підрозділи, також мають відігравати ключову роль. Наприклад, розвиток аналітичних методів, таких як інтелектуальний аналіз даних і програмне забезпечення для зіставлення даних, може дозволити ризик-менеджерам відстежувати незвичні фінансові операції, які можуть свідчити про порушення доброчесності. У Таблиця ‎10.2 запропоновано способи розмежування конкретних ролей та обов'язків внутрішніх аудиторів, щоб уникнути дублювання або перетину з іншими лініями захисту.

Конкретна роль, яку функція внутрішнього аудиту відіграватиме в управлінні ризиками або, ширше, у запобіганні шахрайству та корупції, залежить від контексту. У Таблиця ‎10.2 наведено деякі рекомендації щодо стандартів і передової практики; однак у деяких країнах законодавство або політика дають мало уявлення про роль внутрішнього аудиту з такою специфікою або, в гіршому випадку, визначають роль, яка, здавалося б, суперечить міжнародним стандартам і передовим практикам. Це можна певною мірою виправити на інституційному рівні. Роль внутрішнього аудиту в запобіганні шахрайству та корупції або управлінні ризиками для доброчесності має бути чітко визначена в політиці або у відповідних стратегічних документах і настановах, таких як статут аудиту. Цей програмний документ може чітко визначити роль внутрішнього аудиту в запобіганні та виявленні шахрайства і корупції, включаючи оцінку управління ризиками для доброчесності, підвищення обізнаності, проведення розслідувань та звітування вищому керівництву. Оскільки його повноваження зазвичай охоплюють процеси і процедури організації в цілому, внутрішній аудит має всі можливості для надання консолідованої звітності щодо управління ризиками для доброчесності на інституційному рівні.

Підрозділи внутрішнього аудиту в організаціях державного сектору часто мають відносно невелику кількість персоналу та обмежені ресурси; тому координація з іншими постачальниками послуг з підтвердження довіри щодо управління ризиками доброчесності є життєво важливою. Аудитори можуть спиратися на роботу підрозділів «другої лінії», таких як фінансові контролери або інспекційні підрозділи, а також вищих органів фінансового контролю, регуляторних органів, омбудсменів або еквівалентних установ, які також відіграють певну роль в оцінюванні ефективності практик управління ризиками для доброчесності. Це може включати обмін знаннями на неформальній основі, координацію часових рамок діяльності для мінімізації впливу на сферу, що перевіряється, або формальні критерії для покладання на роботу один одного. На урядовому рівні скоординований підхід до звітування про управління ризиками для доброчесності може допомогти подолати ізоляцію між організаціями публічного сектору, забезпечити послідовність у заходах зі зменшення ризиків та призвести до кращого управління ризиками для доброчесності в цілому.

Виклики, з якими стикаються уряди та організації публічного сектору, дещо відрізняються, коли йдеться про впровадження систем внутрішнього контролю та управління ризиками для забезпечення доброчесності. Уряди перебувають на різних стадіях зрілості в цьому питанні, а отже, стикаються з різними проблемами. Однак існують спільні виклики, які виникають в усіх країнах. У цьому розділі подано огляд деяких труднощів, з якими стикаються країни, та шляхів їх подолання для кращого забезпечення доброчесності. Основна увага приділяється наступним питанням:

• подолання прогалин у впровадженні, виходячи за рамки формального підходу до управління ризиками

• забезпечення адаптації оцінок ризиків та засобів контролю до мінливого середовища ризиків

• ефективна співпраця з правоохоронними та слідчими органами для покращення зворотного зв'язку та вдосконалення оцінок ризиків.

Системний підхід, за якого управління ризиками чітко пов'язане з цілями організації, інтегроване в існуючі процеси та здійснюється на постійній основі, є життєво важливим для ефективного управління ризиками для доброчесності в публічному секторі. Для цього необхідна міцна законодавча база, що супроводжується стандартами та політиками, які є основою для внутрішнього контролю та управління ризиками. Хоча багато країн мають такі положення, часто існують прогалини в тому, як уряди та організації публічного сектору впроваджують процеси управління ризиками. Наприклад, деякі з них схильні розглядати оцінку ризиків як вправу, орієнтовану на дотримання вимог або для галочки, і тому проводять її від випадку до випадку. Крім того, вище керівництво та інші працівники можуть сприймати управління ризиками для доброчесності як функцію, що виходить за межі їхньої ролі, перекладаючи її на плечі внутрішніх аудиторів. Щоб подолати ці виклики та посилити внутрішній контроль і практику управління ризиками в організаціях публічного сектору, уряди можуть зробити наступне:

• Визначити чіткі обов'язки – політика доброчесності може передбачати відповідальність за управління корупційними ризиками, або ж ці положення можуть бути включені в існуючу політику управління ризиками як частина контрольного середовища. Відповідно до міжнародних стандартів і моделей (наприклад, «Три лінії захисту» Інституту внутрішніх аудиторів), керівництво має відповідати за виявлення та управління ризиками, але кожен працівник робить свій внесок в успішне управління ризиками в організації. Окрім функцій управління ризиками, керівники несуть відповідальність за щоденне управління ризиками шахрайства та корупції, що включає в себе забезпечення наявності та функціонування системи внутрішнього контролю, а також, в більш загальному плані, за запобігання та виявлення ризиків шахрайства та корупції.

• Підвищення спроможності через навчання – формалізовані, регулярні та безперервні навчальні програми дають змогу розвивати навички та спроможності щодо управління ризиками. Якщо ресурси обмежені, пріоритети навчання мають бути спрямовані насамперед на персонал, який несе безпосередню відповідальність за виявлення та зменшення ризиків шахрайства та корупції. Для визначення потреб у навчанні, тренери можуть використовувати опитування працівників, міжнародно визнані стандарти та консультаційні групи. Крім того, регулярне оцінювання тренінгів допомагає забезпечити врахування в них конкретних ризиків шахрайства та корупції, що виникають у різних організаціях. Більше інформації див. у Главі 8.

Системні ризики доброчесності можуть процвітати в організаціях, які не проводять регулярні оцінки, оскільки контрольні заходи можуть стати неефективними в умовах динамічного середовища ризиків. Схеми корупції та шахрайства постійно розвиваються, часто у відповідь на зміни в системі контролю. Більше того, у найбільш кричущих випадках спеціальні зусилля з управління та оцінки ризиків для доброчесності можуть бути результатом того, що керівництво нехтує контролем та інструментами виявлення. Тому вкрай важливо, щоб політика та система оцінки ризиків для доброчесності передбачала проведення оцінки через регулярні проміжки часу для отримання всебічної та актуальної картини профілю ризиків організації, а також ефективності контролів.

Організації публічного сектору повинні здійснювати моніторинг і тестування обраних засобів контролю, особливо у сферах з високим рівнем ризиків, щоб переконатися, що вони функціонують ефективно і є пропорційними виявленим ризикам. Враховуючи той факт, що в заходах зі зниження ризиків беруть участь багато співробітників і різні відомства, необхідно чітко визначити, як оцінювати ефективність контролів, у відповідних процедурах і настановах. Тестування якості контролю надає докази того, як контролі знижують ризики, і має бути доведено до відома всіх власників ризиків.

В організаціях державного сектору, координація між різними департаментами та міністерствами є життєво важливою для передачі справ про підозри у шахрайстві та корупції до правоохоронних органів та інших відповідних органів. Однак організації часто стикаються з труднощами у взаємодії з органами влади щодо результатів розслідувань повідомлень про випадки шахрайства та корупції. Відсутність комунікації щодо порушених справ створює значні труднощі для організацій при перегляді своїх контролів та вжитті коригувальних заходів.

Покращення зворотного зв'язку щодо судового переслідування та виправлення може покращити оцінку ризиків, посилити стримування шахрайства та корупції і дозволити організаціям більш ефективно усунути вразливі місця контролів, зменшивши ризик повторення подібних інцидентів у майбутньому. Одним із способів досягти цього є проведення семінарів з обміну інформацією за участю правоохоронних та слідчих органів, спрямованих на допомогу організаціям у виявленні тенденцій, схем і способів шахрайства та корупції.

[7] Committee of Sponsoring Organizations of the Treadway Commission (2016), Fraud Risk Management Guide, https://www.coso.org/Pages/Purchase-Guide.aspx (accessed on 17 February 2020).

[2] Committee of Sponsoring Organizations of the Treadway Commission (2013), Internal Control - Integrated Framework, https://www.coso.org/Pages/ic.aspx (accessed on 17 February 2020).

[9] Crime and Corruption Commission (2018), Fraud and Corruption Control - Best Practice Guide, https://www.ccc.qld.gov.au/publications/fraud-and-corruption-control-best-practice-guide (accessed on 17 February 2020).

[16] Department of Justice and Attorney-General (2017), Fraud and corruption control policy, https://www.justice.qld.gov.au/__data/assets/pdf_file/0020/534350/fraud-and-corruption-control-policy.pdf.

[8] Estonian Ministry of Justice (2013), Anti-Corruption Strategy 2013-2020, https://www.korruptsioon.ee/en/anti-corruption-activity/anti-corruption-strategy-2013-2020 (accessed on 24 January 2020).

[6] European Commission (2015), Public Internal Control Systems in the European Union, https://ec.europa.eu/budget/pic/lib/docs/2015/CD02PrinciplesofPIC-PositionPaper.pdf.

[15] Fountain, L. (2015), Raise the Red Flag: An Internal Auditor’s Guide to Detect and Prevent Fraud, The Institute of Internal Auditors Research Foundation.

[10] International Organization for Standardization (2018), ISO 31000:2018, Risk Management - Guidelines, https://www.iso.org/iso-31000-risk-management.html.

[11] Irish Health Service Executive (2018), Risk Management Support Tools, https://www.hse.ie/eng/about/qavd/riskmanagement/risk-management-documentation/risk%20management%20support%20tools%20.html (accessed on 17 February 2020).

[13] National Audit Office (2011), Managing risks in government, https://www.nao.org.uk/report/managing-risks-in-government/ (accessed on 17 February 2020).

[1] OECD (2017), OECD Recommendation of the Council on Public Integrity, OECD, Paris, https://legalinstruments.oecd.org/en/instruments/OECD-LEGAL-0435 (accessed on 24 January 2020).

[12] OECD (2015), Prevention of Corruption in the Public Sector in Eastern Europe and Central Asia, OECD Anti-Corruption Network for Eastern Europe and Central Asia, OECD, Paris, http://www.oecd.org/investment/anti-bribery/ACN-Prevention-Corruption-Report.pdf.

[17] The Institute of Internal Auditors (2016), International Professional Practices Framework (IPPF) – Standards and Guidance, https://na.theiia.org/standards-guidance/Pages/Standards-and-Guidance-IPPF.aspx.

[18] The Institute of Internal Auditors (2009), The Role of Internal Auditing in Enterprise-Wide Risk Management, https://na.theiia.org/standards-guidance/Public%20Documents/PP%20The%20Role%20of%20Internal%20Auditing%20in%20Enterprise%20Risk%20Management.pdf.

[4] U.S. Government Accountability Office (2015), A Framework for Managing Fraud Risks in Federal Programs, https://www.gao.gov/assets/680/671664.pdf.

[3] U.S. Government Accountability Office (2014), Standards for Internal Control in the Federal Government, https://www.gao.gov/assets/670/665712.pdf.

[5] U.S. Office of Management of Budget (OMB) (2016), OMB Circular No. A-123, Management’s Responsibility for Enterprise Risk, https://www.whitehouse.gov/sites/whitehouse.gov/files/omb/memoranda/2016/m-16-17.pdf.

[14] Wright Jr., R. (2013), The Internal Auditors’ Guide to Risk Assessment, The Institute of Internal Auditors Research Foundation.