Традиционная ежегодная конференция от Института внутренних аудиторов, проходившая в Москве 13-14 марта, не менее традиционно стала событием всецело интересным, запоминающимся и достойным внимания, не в последнюю очередь благодаря красочным выступлениям отдельных докладчиков. Конечно, отчасти в нас говорит какая-то странная и целиком субъективная любовь к самой тематике внутреннего аудита (не только к нему – поверьте, мы обожаем и МСФО, и много чего еще), однако дело в любом случае не только в этом. Стоит отдать должное: некоторые презентации действительно были из разряда тех, что надолго западают в душу. Как правило, такие доклады на конференциях делают иностранные гости – им опыта выступлений не занимать, а отечественным экспертам, действующим обычно по шаблону, по-прежнему есть чему поучиться у зарубежных коллег – но иногда и из этого правила случаются приятные исключения. Посмотрим, как обстояли дела на этот раз.
День I
Норман Маркс, почетный член Института риск-менеджмента (Institute of Risk Management), член Открытой комиссии по вопросам соблюдения требований законодательства и этики (Open compliance and ethics group)
Каким должен быть идеальный департамент внутреннего аудита?
Презентация Нормана Маркса, как это очень часто бывает, когда на российские мероприятия заглядывают зарубежные докладчики, получилась на контрасте особенно интересной, живой, красочной, местами поэтической и даже с легким налетом философии. Хотя кто-то может сказать, что в нем было слишком много «поэзии» и свободного полета мысли, но это уже вопрос личных предпочтений.
Итак, возможен ли вообще здесь идеал – интересуется у аудитории Норман Маркс и выводит на экран картинку с Томом Крузом из фильма «Миссия невыполнима», как бы намекая на ответ. Но это ошибочный ответ. Не станем спорить, идеал как таковой недостижим по определению, однако мы со своей стороны можем сделать очень многое, чтобы к нему максимально приблизиться. Посмотрим, как именно это осуществимо.
Сам Норман Маркс в этой профессии уже 35 лет, и срок больше не увеличивается, потому что совсем недавно он ушел на покой. Казалось бы, можно спокойно наслаждаться заслуженным отдыхом, но нет – Норман не чувствует по этому поводу особой радости. Ведь внутренний аудит – это очень интересное место для работы. Бухучет может быть иногда скучным – говорит он – но только не внутренний аудит. А это так прекрасно, когда работа приносит удовольствие!
Мы (здесь и далее будут подразумеваться «внутренние аудиторы», коими лично мы, ваше любимое интернет-издание, конечно, но являемся, но в данный момент мы здесь, сидим на конференции и в какой-то мере приобщаемся к этому кругу избранных, поэтому простите уж нам нашу нескромность – GAAP.RU) получаем уважение других, потому что делаем кое-что очень важное. Мы создаем.
Разговоры в офисе, которые мы ведем – как так получается, что они такие непринужденные? Все дело, конечно, в команде профессионалов, которую нужно собрать для этого. Если Вы действительно любите то, чем занимаетесь, Вы по-настоящему живете (это непрямая цитата Нормана неизвестно от кого, но с самой идеей трудно не согласиться).
Внутренние аудиторы должны быть «мыслящими машинами» («thinking machines»). О чем вообще думают люди, и о чем думаем мы, внутренние аудиторы? Энергия, которую мы создаем, прекрасна. Эта такая себе «аура аудита» (почти поэзия – заметим мы от себя). Особенно актуально это утверждение сегодня, в эпоху расцвета технологий. И раз уж об этом зашла речь, неплохо бы подумать о будущем – о том, каким скоро станет корпоративное управление и аудит с учетом развития технологий. Это потрясает воображение, если задуматься!
Какой самый значительный актив у аудитора? На экране появляется ответ на заданный вопрос – огромное око! То, чем внутренний аудитор может видеть. Ему или ей не нужно даже раскрывать рот и что-то говорить, самое главное – просто смотреть, наблюдать. При этом, отмечает докладчик, в основной своей массе мы сегодня вообще даже не помним об этом. Очень многие занимаются разговорами, а не наблюдениями.
Существует много путей проведения аудита (среди прочего – интервью, опросы и так далее, перечислять все не имеет смысла). Тогда скажите, почему же всегда нужно следовать одним и тем же путем? Подумаем вместе, когда именно аудитор получает свободу выбора – когда мы получаем эту свободу – почему не проводить аудит таким образом, чтобы он действительно приносил пользу, создавал?
Когда аудиторы даже не хотят расходиться по домам, потому что им на работе весело (в хорошем смысле весело – просто они так работают) – что это за процесс такой? Это ведь уже что-то большее, чем просто внутренний контроль. Норман Маркс приводит конкретный пример – случай из жизни, когда он говорил с одной девушкой (внутренним аудитором), которая засиделась допоздна на работе, потому что ей, как он выразился, «просто было весело работать». Он спросил ее, ждет ли ее дома муж. Да, ждет. Он готовит ужин для себя сам? Нет, он ждет, когда она придет домой и приготовит. И он все понимает. А она не идет – она любит свою работу. Бывает и такое.
Можем ли мы изменить цивилизацию сегодня? Звучит как-то нескромно, но это только на первый взгляд. Если не мы, как говорится, то кто? Мы можем наблюдать, анализировать. «Risk-avoidance», термин, означающий неприятие рисков – это ведь не избегание всех возможных рисков вообще, а принятие только необходимых рисков. Мы, будучи аудиторами, способны помочь людям брать на себя только те риски, которые действительно неизбежны.
Настоящего внутреннего аудитора узнают везде; его признают как в профессии, так и вне ее. Настоящие профессионалы перерастают свою профессию, их теперь правильнее называть «консультантам по вопросам выбора». Слегка отвлекшись от основной темы, Норман Маркс вновь приводит пример из своей жизни, когда кто-то обратился к нему как к профессионалу по вопросу, даже не связанному никаким боком с финансами. И ему от этого было, чего уж скрывать, приятно: по сути, это то, о чем он говорил чуть выше, когда заметил, что мы как внутренние аудиторы способны даже изменить цивилизацию, стоит только захотеть.
Самое веселье нашей профессии – в исправлении вещей, в налаживании правильных процессов, в созидании (да, опять это слово). Рассмотрим эту мысль на примере конкретных аспектов.
Технологии. Норман Маркс – большой фанат технологий, и он полагает, что ИТ-департамент в его компании действительно способствует созиданию (больше не комментируем). Норман Маркс, несмотря на уже почтенный возраст, также еще и очень активный блоггер. Уже в начале своего выступления он подчеркнул этот факт, а теперь повторил вновь, притом всячески порекомендовав участникам конференции ни в коем случае не брезговать ни соцсетями, ни «ЖЖ-шечками», ни Твиттером, ведь интернет уже стал неотъемлемой частью жизни более чем одной трети населения земного шара – так давайте общаться с другими, делиться опытом, помогать и получать помощь!
Assurance. Когда мы пишем об этом в новостях или статьях, наши постоянные читатели помнят, наверное, что мы традиционно используем немного корявый, но годящийся на позицию официального термин «гарантия качества». А что это такое вообще, эта гарантия? И вновь аллегория: большая фотография плачущего ребенка во весь экран. У многих ведь есть дети, так? Почему ребенок может заплакать ночью, прибежав к Вам? Потому что ему или ей приснился кошмар. Что в этом случаете делаете Вы? Успокаиваете, говорите, что «все будет хорошо». «Все будет хорошо» – это и есть «assurance», по крайней мере, в английском понимании. Мы говорим топ-менеджерам компании, чтобы они не волновались и спали спокойно.
А что если не все так уж хорошо? Что если аудиторское заключение (от внешних аудиторов) вырисовывается негативным? После презентации Нормана Маркса, как обычно бывает в таких случаях, находящийся под впечатлением народ долго не мог собраться с мыслями и задать какой-нибудь вопрос (а возможно и такое, что многие просто стеснялись своего уровня английского), но некоторые все же решались спросить и спрашивали по делу. Как и в этом случае. Последовал вопрос – а как мы можем утверждать, что «все будет хорошо», если пока что так не получается? Значит, говорит на это Норманн Маркс, нужно сделать так, чтобы все было хорошо. Мы же не просто внутренние аудиторы. Если Вы по-прежнему видите себя простыми людьми, заверяющими отчетность – значит, основное послание, все, что говорилось до этого, прошло мимо Вас. Вы же не просто внутренние аудиторы – Вы вершители судеб, Вы – Консультанты, способные направить целые цивилизации по новому пути, если только пожелаете. И Вы уже знаете, как исправить ситуацию, как сделать так, чтобы все стало хорошо. Посмотрите на врачей: есть обычные, а есть, прости господи, доктор Хаус. Вы можете, подобно обычному врачу, просто поставить диагноз – это, в принципе, уже неплохо, но реально создает стоимость что? Хирургическое вмешательство. Вы лечите болезнь, эффектным движением скидываете окровавленные перчатки, утираете лоб, а после этого говорите очнувшемуся пациенту, что он будет жить. Это и есть истинное значение термина «assurance».
Аудит на скорости бизнеса («audit at the speed of business»). Чтобы быть эффективным, нужно не просто действовать профессионально, но действовать профессионально и быстро. К Вам подходят в компании, интересуются Вашим мнением, просят взглянуть на какую-то ситуацию. Но даже если Вас не попросят об этом прямо, должно быть понятно и так: действовать нужно быстро! Мир давно изменился, бизнес сегодня уже не тот, что был 20 лет назад, и уж точно совсем не тот, что был в начале прошлого столетия. Все летит вперед подобно мчащемуся под уклон локомотиву, который не остановить – и нам отставать тоже никак нельзя.
Взглянуть в глаза риску. Это означает рассмотреть ключевую причину, создающую риск. Мужества на это, кстати, может хватить не у всех. Вы можете не поверить, но большинство как раз предпочтет внесение внешних исправлений, которое не исправит всей ситуации. Нужно лечить источник болезни, а для этого необходимо иногда проявлять храбрость. Есть хорошее выражение в английском языке – говорит аудитории Норман Маркс – «Слон в посудной лавке». Это когда никто не хочет говорить о ключевой проблеме – этом вот «слоне», который стоит рядом, просто в комнате, тяжело дышит, но никто не смотрит в его сторону, хотя все прекрасно знают, что он рядом. Нужно уметь свернуть разговор на этого слона, ведь сам он никуда не денется. Но иногда может быть очень рискованным сказать королю о том, что он голый, если Вы понимаете, о чем я…
«От себя я бы рекомендовал больше читать в более широких сферах», – советует участникам Норман Маркс. Читать не только об аудите и проверках, но, например, о маркетинге. Изучайте свой бизнес! Изучайте риск-менеджмент! Вы не сможете помочь своему бизнесу, если ничего в этом не понимаете. Вы разучитесь справляться с риском. Посмотрите на то, как меняется мир сегодня – это эволюция или революция? У нас даже тема конференции так звучит. На самом деле, в данном случае даже неважно, какой это путь развития. Если сегодня так много внимания уделяется технологиям – просто примите это как данное. Будьте готовы к тому, что Вам придется всерьез изучать эти технологии, быть готовыми предоставить свои гарантии, «assurance», в противном случае Вы не сможете приносить реальной пользы бизнесу, который так сильно на технологиях завязан. А сегодня завязаны почти все.
Кто-то один раз сказал Норману Марксу: «Норман, ты за все время ни разу не провел аудит таким образом, чтобы я не заплатил за него с удовольствием». Вот он, тот показатель реального качества, когда клиент платит с удовольствием, потому что понимает, что этот аудит реально создает стоимость.
Юрий Подкопаев, начальник Центра внутреннего аудита «Желдораудит», «Российские железные дороги»
Риск-ориентированная функция внутреннего аудита в компании холдингового типа на примере ОАО «РЖД»
РЖД имеет свои уникальные особенности. Их много. Примером таких особенностей является очень большая протяженность путей. Что из этого следует?
Из этого следует то, что управление рисками в этой компании – одна из основных задач. Чем крупнее компания, тем больше обособленных подразделений. Развитие холдинговой компании требует комплексного подхода.
Крупный размер также сказывается и на операциях: выход на международные рынки финансовых заимствований, привлечение инвесторов. Если брать РЖД, то нельзя забывать и в том, что в ее случае очень важное место занимают социальный и стратегический вопросы.
Какова ее стратегия развития? Здесь Юрий Подкопаев выделяет два основных приоритета:
- Формирование риск-ориентированной системы внутреннего аудита
- Развитие на условиях централизации и укрепления контрольной вертикали
В 2012 год было принято решение о разделении «Желдорконтроля», в результате чего образовалось два центра: ВК (внутренний контроль) и ВА (внутренний аудит).
ВК – за ним остались все функции внутреннего контроля. В холдинге 17 региональных управлений, в каждом из которых есть отделы внутреннего аудита, однако все они функционально подчиняются второму центру – ВА. Такая структура позволяет с легкостью проводить комплексные аудиторские проверки по всей «вертикали», в том числе аудит бизнес-процессов (в комплексе проверяется все, начиная с того сегмента, где этот процесс протекает).
Если нет развитой службы внутреннего контроля, функции внутреннего аудита имеют мало эффекта, поскольку чтобы проверять что-то, нужно иметь что-то, чтобы проверять, так ведь?
Построение службы внутреннего контроля – за это отвечает менеджмент. Менеджеры – центр ответственности. Вопрос – а вообще, выгодна ли менеджменту эффективная СВК? Ответ не так однозначен, как кажется, это вопрос ответственности. Проверки показывают, что определенные недостатки в СВК все-таки есть. Далеко не всегда постановка задач правильно понимается менеджером, и далеко не всегда в его или ее интересах сделать процесс максимально прозрачным.
Построение СВК в РЖД – поэтапная задача, состоящая из нескольких частей. Одной из таких частей (кстати, хронологически это относится к более поздним этапам) является содействие риск-менеджменту. На этапе проверок получаем информацию, которая учитывается для формирования своего рода базы данных об основных рисках, а уже базы используются менеджерами в их работе.
Формирование контрольной вертикали холдинга. Конечно, в состав любого холдинга входит большое число дочерних компаний. В дочерних компаниях контроль строится через ревизионные комиссии; при этом у РЖД есть и ряд прямых договоров. Очень важно обеспечить единые подходы к контролю на уровне всего холдинга. Работа по избранию председателя ревизионных комиссий также не такая простая: по сути, это отдельный процесс. Проведение проверок, подтверждение отчетности дочерних компаний – все это производится в соответствии со специальным, четко оговоренным регламентом.
Одним из новых, довольно интересных направлений контроля является аудит финансовых потоков компаний-внучек (ведь это очень большой холдинг; дочки «вырастают», создают своих дочек и так далее). Необычное явление, характерное скорее для очень крупных организаций.
Риск-ориентированное планирование. Если говорить о нем, то для РЖД это имеет очень большое значение. Необходимо определить объекты, расставить приоритеты. Модель внутреннего аудита создается поэтапно, рисуется матрица проверок. Что касается этой модели, то очень важно, чтобы бизнес-процессы шли через определенные подразделения, и очень важно правильно определить те подразделения, которые затрагиваются. Если окажется, что какие-то подразделения по ошибке упущены, общая эффективность неизбежно снизится.
Когда появляются риски, необходимо грамотно их оценить, нарисовать карту. Информация эта должна приходить из подразделения внутреннего аудита. Даже те зоны, которые находятся в зоне низкого риска, важно время от времени проверять. Есть риски стратегического уровня, есть риски операционные. Есть риски как потенциальные, так и уже реализовавшиеся. Необходимо постоянно накладывать и смотреть реализацию рисков, ведь если при аудите выявляются уже реализованные риски, тогда надо смотреть на работу аудита, насколько он был в курсе.
Алексей Чепайкин, начальник управления внутреннего аудита, госкорпорация «Росатом»
Внутренний аудит в государственных компаниях: обоснование права на особенность
9.6% всех компаний в России сегодня относятся к государственным. Они по своей природе и своей значимости в целом схожи. У каждой могут быть какие-то особенности, но в основном они похожи. Многие пользовались этим как аргументом для возражения – мол, мы не такие как все, международные стандарты не для нас, нам в них тесно… Господа, есть какие-то вещи, которые надо выполнять в любом случае – говорит Алексей.
Хотя везде есть свои оговорки. Те стандарты, которые действуют сегодня, для госкомпаний все-таки тесноваты, что правда то правда. Ведь основные заказчики внутреннего аудита у них другие по сравнению с частными компаниями. В госсекторе это либо решение задач безопасности, либо решение других поставленных правительством задач. Основной заказ отличается.
Госорган – не просто регулятор. Госорган выступает уже как собственник, который контролирует и требует, чтобы мы достигли того результата, который перед нами поставлен. Нам и требования предъявляются соответствующие. Степень контроля со стороны контролера-собственника тоже может быть разной: бывает просто контрольный пакет, бывает миноритарный, а можно иной раз и полностью находиться в федеральной собственности. Наконец, могут быть зарубежные партнеры, с которыми мы связаны межправительственными соглашениями, и эти иностранные партнеры имеют свои ожидания.
Формирование модели внутреннего контроля в Росатоме происходило с учетом всех этих важных факторов. В случае с Росатомом за образец бралась модель COSO, хотя в нее впоследствии вносились и специфические риски – например, контроль коррупционной составляющей, ибо такова уж особенность госсектора.
Существуют три ключевых процесса: процесс контрольно-ревизионной деятельности, процесс внутреннего контроля и процесс государственного контроля. Последний, государственный контроль – это то направление, которое сегодня активно развивается. Это процесс контроля эффективности распределения бюджетных средств, поэтому его сегодня выделяют уже в отдельное управление. За основу берется статья Бюджетного кодекса об эффективности распределения бюджетных средств.
А как же быть с международными стандартами? Насколько вообще применимы международные стандарты внутреннего аудита в компаниях с госучастием, особенно в России? Сама сущность внутреннего аудита (оценка, помощь, совершенствование) тут та же, все вполне стандартно, однако в силу особенностей заказчика приходится «залезать» в большей степени в отклонения операционной деятельности, потому что здесь заказчик ставит основной задачей обеспечение гарантии правильного функционирования, отсутствия отклонений от курса.
Какие еще тут бывают специфические ситуации? Иногда ставятся очень неудобные вопросы, например: «Вы проверили и вынесли свое заключение – а как Вы его подтвердите? Да, именно так, соблаговолите подтвердить». Что именно подтвердить? 1) Достоверность и 2) эффективность выделенных бюджетных средств. Ключевой вопрос, откуда ноги растут, тут на самом деле несколько другой, а звучит он так: «Какова роль внутреннего аудитора в госкомпании?» Иначе говоря, кто он такой вообще – агент или партнер? Как обеспечить его независимость? Пока что в законодательстве четко не оговорен этот момент, и неудобные вопросы будут продолжаться, как будет продолжаться некоторая неопределенность.
Кстати, в ходе своей презентации Алексей обмолвился, что Счетная палата с 2012 года ввела новое требование: теперь необходимо ей предоставлять материалы внутреннего аудита в госкомпаниях. После выступления к этому любопытному моменту вернулись. Задали вопрос, неужели СП может взять и ввести такое требования? В ответ на это Алексей Чепайкин поспешил успокоить, что такие требования распространяются, прежде всего, на главных распорядителей бюджетных средств. Говоря простым языком, пока что для большинства сидящих в этом зале это не является обязательством, но, вообще говоря, идут подвижки, и наиболее значимые распорядители скоро могут столкнуться с этим дополнительным требованием.
Что же до международных профессиональных стандартов внутреннего аудита, то они, конечно же, нужны. Это своего рода «дресс-код». Вас встречают по одежке, и Вам в эту одежку нужно облачиться, чтобы быть нормально принятыми в мире. Но все же это именно одежда – ее необходимо носить, но будет ошибкой отдаться ей полностью, взять и начать утверждать, что теперь, мол, мы стопроцентно, железно или как-то еще начинаем ориентироваться только на них, на эти международные стандарты… Уж точно не в России.
День II
Жан-Пьер Гаритте – председатель Совета международного Института внутренних аудиторов (IIA), 1998-1999, президент Европейской конфедерации институтов внутреннего аудита (ECIIA), 1992-1996 и 1999-2001, эксперт Всемирного банка, Европейской комиссии, ОЭСР, советник компании «ПрайсвотерхаусКуперс»
Внутренний аудит, приносящий пользу: миф или реальность для России?
В самом начале своего выступления Жан-Пьер признался, что для него всегда приятно возвращаться туда, где он был когда-то (14 лет назад), и он говорит именно про Россию, однако сегодня его задача – отбросить ностальгические воспоминания и постараться быть максимально критичным, ибо такова тема выступления. Действительно ли мы – внутренние аудиторы – добавляем стоимость в России?
Обратимся к основам – базовому определению внутреннего аудита, которое было разработано IIA в 1999 году. Лично Жан-Пьер его не составлял, но, безусловно, он приложил к этому руку. Сначала приведем его в английском варианте: «Internal auditing is an independent, objective assurance and consulting activity designed to add value and improve an organization’s operations. It helps an organization accomplish its objectives by bringing a systematic, disciplined approach to evaluate and improve the effectiveness of risk management, control, and governance processes».
Теперь по-русски: «Внутренний аудит является деятельностью по предоставлению независимых и объективных гарантий и консультаций, направленных на совершенствование деятельности организации. Внутренний аудит помогает организации достичь поставленных целей, используя систематизированный и последовательный подход к оценке и повышению эффективности процессов управления рисками, контроля и корпоративного управления».
Кстати, пару слов про консалтинг, который стоит в определении. До 1999 года, когда фоормулировалось это определение, речь о консалтинге не заходила вообще (как это отличается от современного восприятия! Вспомним вчерашнее выступление Нормана Маркса, его аудиторов в роли «консультантов по вопросу выбора» и т.д. – GAAP.RU). Однако и сегодня с консалтингом как частью определения согласны далеко не все – в частности, не согласен Базельский комитет по банковскому надзору. Они не воспринимают консалтинг от внутренних аудиторов в банках как явление.
Определение говорит о трех основных процессах, в которых мы принимаем участие – риск-менеджмент, контроль и управление. Суммируем это в виде следующей несложной модели.
3 линии защиты (модель)
- 1 линия защиты: Management control, Internal control. Отвечают перед: Senior Management, то есть старшими менеджерами
- 2 линия защиты: Финансовый контроль, Безопасность (физическая, экономическая), Риск-менеджмент, Контроль качества, Инспекции, Соответствие требованиям. Они также отвечают перед старшими менеджерами.
- 3 линия защиты: Внутренний аудит. Контролирует 2-ю линию защиты; отвечает перед советом директоров и аудиторской комиссией. В свою очередь, определенное влияние оказывают и линии защиты вне компании, а именно – внешние аудиторы. Их работа, среди прочего, состоит в том, чтобы взглянуть на работу внутренних аудиторов и решить, можно ли на нее полагаться.
Это идеальная схема. Посмотрим, как обстоят дела в России. Жан-Пьер предупреждает, что это его выступление кто-то посчитает провокационным (оно таким и получилось), потому что это почти непрерывный поток жесткой (насколько это позволяет формат конференции) критики. Он лично берет на себя смелость судить и давать оценки. Заметим со своей стороны – как те, кто уже выслушал сегодня эту критику до конца – что она по большей части была справедливой, с чем согласился и следующий докладчик (Сергей Бурков, ТНК-ВР) в начале своего выступления. Однако национально-патриотические чувства некоторых присутствующих явно были задеты, что слышалось в постановке вопросов, которые они задавали по окончании доклада.
«Сейчас я имею уже более-менее хорошее представление о том, как происходит организация работы внутреннего аудита в России. Я хотел бы поделиться им с Вами».
Итак, будем по пунктам отталкиваться от определения, которое мы приводили выше.
- «Assurance», гарантия качества? Ее в РФ нет! «Assurance» – на самом деле очень сильное слово. Рекомендуем вернуться к первому вчерашнему выступлению, где особый смысл в него вложил Норман Маркс (это мы советуем вернуться, не Жан-Пьер – GAAP.RU). Предоставление гарантии – деятельность, неизбежно связанная с определенными рисками. Если что-то пойдет не так, с нас, внутренних аудиторов, потом еще и спросят – мол, как же так, несколько месяцев назад Вы нас заверили, что все идет нормально, а посмотрите теперь на эти цифры! Это та причина, по которой и на Западе, честно говоря, тоже довольно редко можно встретить полноценную «assurance». Хотя иногда все же встречается. В России этого нет вообще.
- Внутренний аудит (в РФ) не создает стоимости и не предоставляет гарантии.
- Внутренний аудит (опять же, в России) не анализирует работу корпоративного управления. Это тоже то направление работы в практике внутренних аудиторов, которое встречается нечасто. Можно легко представить, как это бывает: очень часто менеджеры указывают нам на дверь, утверждая, что это их поле деятельности, а мы чтобы не лезли не в свое дело.
- Внутренний аудит не оценивает процессы риск-менеджмента. Ведь риск-менеджмент – не только функция, но целый процесс.
Таким образом, в России внутренний аудит как таковой работает, согласно приведенной выше модели, не как третья линия защиты, а как вторая. Это в большей степени простая ревизия. Российский внутренний аудит почти на 100% сосредоточен на «compliance» (соответствии требованиям), но ведь не только к этому должны сводиться его задачи! Составляющие второй линии защиты игнорируются.
Что еще запомнилось докладчику в России, так это что аудиторы уделяют основное свое внимание сторонним офисам и складам. В головных же офисах департаменты внутреннего аудита пропорционально очень малы в сравнении с размером самого офиса.
Как внутренние аудиторы в России воспринимаются акционерами? А никак. Они не видят, чтобы внутренние аудиторы создавали стоимость. Они не воспринимают их в качестве партнеров, не видят никакого влияния на стратегию компании, не считают, что у них есть какой-либо талант управленца. Каким образом тогда хорошим управленцам вырастать из внутренних аудиторов в России, если их кандидатуры никогда не одобрят? «Зачем? Они же просто смотрят на транзакции, это все что они делают!» А мы знаем при этом, что в компании нет другого такого департамента кроме ВА, где люди могли бы так многому научиться – мы об этом уже когда-то говорили.
Аудиторские комиссии (третья линия защиты) в России – какие они?
- Не осуществляют должного мониторинга риск-менеджмента, внутреннего контроля или внутреннего аудита
- Не всегда полностью укомплектованы
- Не всегда готовы
- Не окажут помощи, если вдруг возникнет нужда
- Не имеют права голоса в совете директоров (было бы странно, если бы их выслушали за те пять минут – в среднем – в течение которых они зачитывают свои отчеты)
Как результат, компании в России не обладают развитой культурой контроля рисков. У них не надежной отчетности, они не занимаются контролем в должной мере, на нем экономят тогда, когда заходит речь об урезании расходов. «Контроль – не мое дело», – так рассуждают здесь. «Как же не твое, как раз именно что твое!» – возражает Жан-Пьер Гаритте.
Вывод: внутренний аудит в России – МИФ! Это ответ на вопрос, поставленный в заголовке выступления. Но это не значит, что нужно сидеть дальше сложа руки. Вы можете сделать многое, чтобы исправить ситуацию, дело за Вами. Но со своей стороны заметим, что пока не изменится российский менталитет, вряд ли что-либо изменится вообще.
Сергей Бурков – вице-президент по экономической безопасности ОАО «ТНК-ВР Менеджмент»
Взаимодействие службы внутреннего аудита и службы безопасности как инструменты выявления мошенничества и повышения ценности бизнеса: практические аспекты
Итак, сегодня мы поговорим о подразделении экономической безопасности. Задумаемся, какую ценность приносит компании эта служба. Функция, заметим сразу, географически четко структурированная. Столь ли она важна, что и внутренний аудит? Возможно, даже важнее?
Задача, стоящая перед службой экономической безопасности – своевременное обнаружение экономических рисков и не менее своевременное (даже не через формальные письменные отчеты, которые забирают время, а напрямую) информирование руководителей компании для обеспечения быстрого реагирования. Собственно, когда происходила реструктуризация, именно такая задача была поставлена перед службой в ТНК-ВР.
Что стало основанием для такой постановки задачи? Изменение условий, наверное. Известно, что внутренний аудит проходит вместе с компанией несколько стадий развития, он тоже меняется. По мере развития появляется возможность ставить новые задачи. С другой стороны, когда меняется внешняя среда, когда есть возможность ожидать более оперативных действий, руководителю имеет смысл задуматься о том, чтобы поставить вопрос именно таким образом, то есть создать такую службу безопасности, о которой мы сегодня говорим.
Никто не спорит, что работа эта имеет определенные негативные стороны. Иногда встречаются конфликты в случае с какими-то частными нарушениями, но положительные стороны перевешивают все. В чем же ценность? Бизнес, как известно, стремится взять на себя чуть больше рисков и принести чуть больше денег – такова природа. Служба безопасности, которая прямо вовлечена в текущий процесс – в отлитие от службы внутреннего аудита, которая, как известно, анализирует уже состоявшиеся сделки – принимает в этом процессе непрерывное участие. Экономическая безопасность как система имеет возможность останавливать сделки. Когда у нее есть вес, когда она имеет возможность повлиять на финальное решение руководителя – только тогда такая система действительно функционирует как надо. Другое дело, что руководитель может не остановить сделку, объяснив при этом, что да, он осознает риск, он нас услышал, но берет этот риск на себя – это тоже допустимая ситуация. Плохо, когда он нас не слушает вообще. В конечном итоге изменение решений руководителями приводит к существенному изменению бизнес-стратегий.
Экономическая безопасность в компании и есть «самая настоящая» безопасность – говорит Сергей Бурков. У кого-то возникнут ассоциации с охраной (физическая безопасность), кому-то вспомнится информационная безопасность. Все это очень важно и тоже должно быть, но по своей сути эти виды – производные от единственной настоящей безопасности, какая должна быть!
Проверка деловых партнеров – еще один важный аспект деятельности, измененный в ТНК-ВР с подачи акционеров. Старая процедура проверки деловых партнеров службой безопасности предполагала возможность останавливать сделки. На сегодняшний день они – сотрудники этой службы – определены скорее как методологи процесса, и это тоже очень правильно. Они выработали тот перечень рисков, на котором должна основываться проверка, определили, какой глубины она должна быть. Важно отметить, что проверки проводятся с точки зрения характеристик сделок, потому что без понимания этого невозможно правильно проверить делового партнера. Сегодня практика в компании такова, что проверяются именно сделки, а не контрагенты.
Конечно, это требует более высокой квалификации. Когда зашел вопрос о создании такой системы, вопрос компетенции сотрудников стал одним из самых существенных. Наилучшие результаты дал «микс» отраслевых специалистов и финансистов.
Еще один важный момент – взаимодействие при проведении расследований. В этом году внутренний аудит сделал много полезной работы, причем это сопровождалось как формальным, так и неформальным обменом информации. Удалось обнаружить и дисквалифицировать некоторых ненадежных контрагентов. Однако практическая проблема в том, что не всегда удается сформулировать, в чем именно состоит нарушение. Задача внутреннего аудита – доказать, подчас через очень сложную цепочку событий, что действительно, на самом деле имеет место нарушение. Решение руководства зависит от рекомендаций экономической безопасности, но службе безопасности, в свою очередь, должна помогать служба внутреннего аудита.
Благодарим Институт внутренних аудиторов за плодотворное сотрудничество в рамках мероприятия