Хотя не все публичные компании имеют у себя эту функцию, многих скоро может захлестнуть волной перемен
Автор: Мэри Дрисколл (Mary C. Driscoll), старший научный сотрудник направления финансового менеджмента в APQC – некоммерческой компании в Хьюстоне, занимающийся деловыми исследованиями и анализом
По материалам: CFO
В идеальном мире каждый сотрудник полностью заслуживает доверия, а финансовые директоры хорошо спят по ночам, зная, что каждый пенни находится ровно там, где и должен быть – в надежной корпоративной казне. Но мы живем не в идеальном мире. Мы живем в мире, где за корпоративную безопасность отвечают квалифицированные внутренние аудиторы.
Хотя не у всех публичных компаний есть эта функция внутреннего аудита, а вместо этого они больше полагаются на своих внешних аудиторов, многих скоро может захлестнуть волной перемен. Институт внутренних аудиторов - Institute of Internal Auditors (IIA) - находится в числе тех, кто сегодня призывает американскую Комиссию по ценным бумагам и биржам потребовать от всех публичных компаний иметь у себя службу внутреннего аудита. Они утверждают, что это в лучших интересах инвесторского сообщества, и что это имеет большое значение для эффективного корпоративного управления.
Фото: www.big4.com
Президент и исполнительный директор IIA Ричард Чемберс (Richard Chambers) заявил недавно в своем блоге (в обращении к членам Института): “Я просто уверен, что в своем стремление к качественному управлению организации не могут обойтись без независимой и квалифицированной функции надзора, которую может предоставить внутренний аудит. Организации работают в глобальных рыночных условиях, которые сегодня динамичные, быстро изменяющиеся, зависящие от технологий и конкурентные как никогда. В такой атмосфере все шансы против того, кто работает не в идеальных с точки зрения управления рисками и контроля условиях”.
А между тем требования SEC все растут. Комиссия, очевидно, стремится сделать аудиторские комиссии в большей степени подотчетными, и не только с точки зрения официальной финансовой отчетности, но и с точки зрения любой другой имеющей отношение к финансам информации, идущей из недр организации.
Стоимость внутреннего аудита
Публикации IIA предполагают, что одной из причин, почему компаниям не удается организовать у себя качественную функцию внутреннего аудита, является их ощущение, что это просто не создает им адекватной стоимости. Очень вероятно, что эти оппоненты считают, что уже и так достаточно тратят на своих внешних аудиторов. Но в самом деле, сколько должен стоить процесс внутреннего аудита?
Чтобы дать ответ на этот вопрос, APQC - некоммерческая компания в Хьюстоне, занимающаяся деловыми исследованиями и анализом – обратилась к базе данных 1069 публичных компаний. Наши исследователи обнаружили, что 25% компаний из Северной и Южной Америки в нашей выборке, которые относятся к самым эффективным с позиции издержек (“верхний квартиль”), тратят 13 центов или меньше на каждые 1000 долларов выручки - они идут на организацию контроля и мониторинга соответствия внутренним процедурам и политике внутреннего контроля.
Самые расточительные (“нижний квартиль”) тратят $1,40 или больше на каждые 1000 долларов выручки, в то время как медианная компания отдает около 39 центов. Мы также смотрели на общие расходы на весь процесс, которые включают вышеназванные расходы плюс затраты на деятельность, связанную с (a) разработкой процедур и политик и (b) отчетностью по внутреннему контролю. Если смотреть на все расходы в совокупности, можно видеть, что самые эффективные компании тратят 40 центов или меньше на каждые 1000 долларов выручки, а самые расточительные - $3,06, см. Таблицу 1.
Читатели, конечно, могут возразить, что хотя эффективность расходов очень важна в любом финансовом процессе, это отнюдь не главная цель, когда речь заходит о качественном управлении. Я соглашусь, пожалуй. Какой смысл иметь у себя дешевую как грязь функцию внутреннего контроля, если у нее не хватает ресурсов на выполнение качественной работы?
На самом основном уровне организации нужны рычаги контроля, которые одновременно и превентивны, и имеют способность к обнаружению нарушений. Превентивные рычаги контроля предотвращают, тогда как имеющие способность к обнаружению, соответственно, доказывают, что превентивные рычаги действительно работают – ну или не работают. Какое же правильное сочетание их? Ну, например, это зависит от бизнес-модели и географического местоположения - среди множества других факторов.
А все-таки, если рассуждать с точки зрения здравого смысла? Для этого мы снова вернулись с нашей базе данных по компаниям. Оказалось, что среди компаний, отвечавших на вопрос о соотношении превентивных рычагов и рычагов на обнаружение в своих системах, в среднем (на уровне медианы) 57% - однозначно именно превентивные.
При этом если смотреть на вторую категорию (рычаги на обнаружение), под эту категорию однозначно подпадают 38% всех рычагов на уровне медианных компаний. Обсуждение вопроса того, сколько выбирать из каждой категории в зависимости от тех или иных условий выходит за рамки моего оклада, поэтому данный вопрос я оставлю другим экспертам в области корпоративного управления.
Будущие тренды
Значительная часть проверки, которую раньше приходилось проводить вручную, теперь легко осуществляют компьютеры. Внутренний аудит двигается в сторону автоматизации, что подразумевает собой возможность поймать больше потенциальных мошенников при меньших трудозатратах. Согласно исследованию Deloitte “Audit of the Future”(“Аудит будущего”), проведенному в конце 2014 года, 76% из 50 опрощенных членов аудиторских комиссий и 84% из 50 опрошенных составителей отчетности полагают, что использование передовых технологий несет существенные преимущества аудиторам, и почти все считают, что таковые должны использоваться при проведении аудита.
Новые аудиторские технологии позволяют компаниям захватывать и анализировать большие объемы данных в реальном времени, обнаруживая по ходу этого процесса факты хищений и помогая предотвратить потенциальную катастрофу. Например, программы способны сканировать огромные объемы транзакций и даже переписку отдельных сотрудников с целью поиска специфических ключевых слов или фраз, сигнализирующих о возможной опасности с точки зрения аудита. Другие системы могут просматривать заявки на покупку и искать нестыковки - например, стоимость, превышающую средние значения, фальшивые счета поставщиков, созданные с помощью банковского счета сотрудника, фальшивые юридические адреса или номера социального страхования.
Изучая и сопоставляя данные одновременно нескольких систем и делая это в течение продолжительного времени, системы обнаружения хищений способны идентифицировать активность, которая в противном случае незримо продолжалась бы годами.
Вместо традиционного аудита по методу “случайной выборки” автоматизация позволяет компаниям изучать широкий объем транзакций и коммуникаций, проходящих через бизнес – если не все из них. Это позволяет экономить издержки на труд, поскольку экспертное мнение аудитора тут требуется только лишь в случае, если система действительно обнаруживает что-то такое, что находится не на своем месте. И, конечно, оно требуется для поиска детальных свидетельств, когда в процессе расследования нужны конкретные доказательства.
Таким образом, продвинутые системы обнаружения хищений не только повышают доверие со стороны инвесторов, но и дают понять сотрудникам, что если вдруг конечная цель их карьеры в том, чтобы набить свои карманы присвоенными деньгами компании, им лучше в таком случае поискать себе работодателя где-то еще.