Внутренний аудит после SOX

Внутренний аудит

Автор:
Опубликовано: 30 января 2009

В статье особое внимание уделяется роли корпоративного внутренного аудита с учетом снижения значимости SOX compliance. Автор рассматривает историю появления и роль закона Sarbanes-Oxley для корпоративного управления и внутреннего аудита, последние тенденции по смягчению требования регуляторов, а также оценивает потенциальные области, где внутренний аудит будет применяться, по его мнению, в ближайшие годы особенно активно.

ВНУТРЕННИЙ АУДИТ И ЕГО РОЛЬ В КОРПОРАЦИИ

Внутренний аудит как система управленчески ориентированной корпоративной дисциплины динамично развивался во второй половине XX в. и в конце века сформировался в привычном виде. Первоначально сфокусированный на анализе рисков, связанных с бухгалтерской отчетностью и налогообложением, в данный момент внутренний аудит затрагивает широкий спектр аспектов деятельности компании, помогая выявлять риски на различных этапах экономической активности. Принципиальна независимая позиция внутреннего аудита, подкрепленная организационно: подразделение подчиняется аудиторскому комитету, который, в свою очередь, формируется из неисполнительных или независимых директоров в составе совета директоров корпорации.

Международный институт внутренних аудиторов (Institute of Internal Auditors, IIA) — крупнейшая международная организация внутренних аудиторов — дает следующее определение: внутренний аудит — независимая и объективная деятельность по предоставлению гарантий и консультаций, направленная на достижение конкретных результатов и улучшение в работе организаций; помогает организации достигать поставленных целей путем внедрения систематизированного, дисциплинированного подхода к оценке и повышению эффективности процессов руководства, контроля и управления рисками.

Несмотря на динамичное развитие внутреннего аудита к концу XX в. его роль и место в американских и международных компаниях определялись следующей схемой.

При достаточном уровне подготовки управления рисками менеджмент проводит работу, направленную на внедрение некоторых ключевых составляющих внутреннего контроля, прежде всего в зонах с высокими рисками (например, управление денежными средствами, закупки, склады, реализация). При этом компания не имеет полноценного внутреннего контроля или риск-менеджмента на всех уровнях организации, и, несмотря на то, что некоторые уровни контроля разработаны и эффективно внедрены, формально они не задокументированы. Другой характерной чертой на этом этапе является зависимость контроля от людей, меньше — от процессов. В свою очередь, внутренний аудит рассматривается как единственная служба в организации, способная проводить оценку рисков, а ее деятельность противопоставляется деятельности менеджмента.

РОССИЙСКАЯ СПЕЦИФИКА

В российских компаниях до сих пор крайне редко существует полноценная и независимая служба внутреннего аудита; ее отсутствие частично заменяется контрольно-ревизионным управлением или службой внутреннего контроля.

В общем случае контрольно-ревизионные управления (КРУ) фокусируются на вопросах проверки сохранности товарно-материальных ценностей, эффективности использования ресурсов, выполнения распоряжений вышестоящих органов, а также на расследовании мошенничеств. Внутренний аудит призван выполнять более широкие задачи по оценке процессов внутреннего контроля, управления рисками, корпоративного управления. Однако, в зависимости от уровня развития корпоративной культуры (в том числе, среды контроля), приоритетом службы внутреннего аудита может являться решение задач, обычно стоящих перед КРУ.

Похожим образом, задачей службы внутреннего контроля может быть построение системы внутреннего контроля компании (точнее — активное содействие менеджменту в построении системы), а задачей внутреннего аудита — проведение оценки надежности и эффективности этой системы, а также оказание консультационной поддерж -ки на этапе разработки систем и процедур. Хотелось бы заметить, что в большинстве случаев высшее исполнительное руководство склонно рассматривать внутренний аудит как ресурс, решающий управленческие задачи по построению системы контроля, что в корне неверно, поскольку ведет к прямому конфликту интересов.

В данный момент вопросы, связанные с внутренним аудитом, не регулируются российским законодательством, за исключением отдельных положений, касающихся финансово-кредитных организаций и профессиональных участников фондового рынка. Однако российские компании, имеющие листинг на Нью-Йоркской фондовой бирже через ADR (Американские депозитарные расписки), также попадают под действие закона Sarbanes-Oxley, и, следовательно, имеют независимую службу внутреннего аудита, занимающуюся периодическими проверками на соответствие SOX. Тем не менее, по мнению Российского института внутренних аудиторов на текущий момент подавляющее большинство российских компаний, в том числе имеющих международные операции и филиалы, находятся в лучшем случае на этапе развития, описанном выше и соответствующем 1980–1990-м гг.

Особое исключение составляют российские представительства, филиалы или дочерние компании международных организаций, прежде всего транснациональных корпораций с листингом на биржах США. Такие компании имеют полноценную службу внутреннего аудита, однако, как правило, она базируется в головном офисе компании либо в ее субрегиональных подразделениях, очень редко — в российских филиалах.

ЗАКОН SARBANES-OXLEY

Закон Sarbanes-Oxley, принятый в 2002 г., является фактически ответом на ряд корпоративных скандалов, связанных с компаниями Enron, Tyco International, Adelphia, Peregrine Systems и World -Com. Случаи нарушений в этих компаниях, стоящих инвесторам миллиарды долларов, пошатнули уверенность в американских ценных бумагах. Закон был разработан сенатором Полом Сарбей-нсом (Paul Sarbanes) и членом Палаты представителей Майклом Оксли (Michael G. Oxley), в связи с чем и получил сокращенное название SOX.

Закон устанавливал новые усложненные стандарты для всех американских советов директоров, менеджмента, и бухгалтерских компаний, однако не затрагивал фирмы — семейные компании, а также компании, чьи акции или доли не имели листинга на фондовых биржах США. Закон содержал 11 частей, или параграфов, в том числе включающих дополнительные требования к советам директоров корпораций и обязывающих Комиссию по Ценным Бумагам (The Securities and Exchange Commission, SEC) следить, чтобы игроки рынка следовали положениям закона. Закон также утверждал новую организацию — Наблюдательный совет (The Public Company Accounting Oversight Board, PCAOB), ответственный за мониторинг, регулирование, инспектирование аудиторских компаний. В целом новый закон охватывал вопросы аудиторской независимости, корпоративного управления, оценки внутреннего конт -роля и развернутой финансовой отчетности.
С точки зрения влияния на внутренний аудит наиболее значимыми разделами закона были параграфы 302 и 404.

Параграф 404 закона Сарбейнса-Оксли обязывает руководителей развивать и осуществлять мониторинг процедур и проверок с целью последующего предоставления документов, подтверж -дающих адекватность внутреннего контроля финансовой отчетности. Тот же параграф требует от менеджмента выполнения внутренними аудиторами аттестации этих документов и процедур. Раздел 302 формирует требование к руководителям не только выполнять ежеквартальную сертификацию проверок финансовой отчетности, но и подробно документировать данные проверки и процедуры.

Руководство несет ответственность за обеспечение соответствия организации требованиям §302 и §404, а также другим требованиям закона, при этом данная ответственность не может делегироваться или слагаться. Поддержка руководства в выполнении данных обязанностей является необходимой ролью внутреннего аудита.

Параграф 404 напрямую апеллирует к внутреннему аудиту. Внутренний аудит производит оценку системы внутреннего контроля компании. В мире существует несколько общепринятых принципов построения данной системы. Наиболь -шую известность имеет модель, разработанная Комитетом спонсорских организаций — COSO (в которую входят такие организации, как AICPA, IIA, IMA, FEI, AAA). Именно на эту модель дана прямая ссылка в §404 закона Сарбейнса-Оксли. В модели COSO Internal Control — Integrated Framework система внутреннего контроля состоит из пяти взаимосвязанных компонентов, каждый из которых имеет отношение ко всем категориям бизнес-целей (стратегическим, операционным, целям отчетности и соответствия требованиям законодательства):

  • контрольнаясреда — Control Environment;
  • системавыявленияиоценкирисков — Risk Assessment;
  • контрольныепроцедуры — Control Activities;
  • информационнаясредаисистемакоммуникаций — Information and Communication;
  • системанаблюдения — Monitoring.

В октябре 2004 г. была издана новая разработка COSO — модель COSO ERM — Integrated Framework (ERM — enterprise risk model), объединившая в себе как компоненты системы внутреннего контроля, так и компоненты системы управления рисками (рис. 1).

Дискуссии о преимуществах детализированного контроля, определяемого SOX, и связанных с его внедрением дополнительных расходах начались сразу же после вынесения этого законо -проекта на обсуждение. Сторонники законопроекта утверждали, что необходимое ужесточение регулирования сыграет роль в восстановлении доверия на рынках. Оппоненты возражали: сопутствующий этому процессу рост расходов снизит конкурентоспособность США как площадки привлечения капитала по сравнению с другими странами. Теперь, спустя пять лет, можно утверждать, что правы оказались как первые так и вторые.

В ключе этого обсуждения очень интересно мнение Дэвида Твиди (David Tweedie), председателя Совета по международным учетным стандартам (International Accounting Standards Board, IASB) — организации, отвечающей за разработку и внедрение МСФО (IFRS). В одном из своих интервью в апреле 2008 г. он прямо заявил, что закон Сарбанеса-Оксли — это отличный пример того, «как не надо делать». По его мнению, вся философия усиления регулирования и введения более детальных и формальных операций контроля была неверной. В качестве доказательства он приводит пример учетных стандартов МСФО, основанных на принципах (principle-based standards), в отличие от стандартов, основанных на правилах (rule-based standards). Стандарты МСФО, в частности, предполагают, что финансовый директор способен организовать и гарантировать качественную финансовую отчетность и нести ответственность за намеренные либо непреднамеренные случаи нарушения учетных принципов и правил раскрытия финансовой информации (disclosures). Знаменательно, что последние рекомендации PCAOB и особенно комментарии SEC снижают уровень требований к компаниям, в том числе предлагая аудиторам сконцентрироваться на контроле на уровне всей организации, в особенности на крупных счетах, серьезных процессах и процедурах, где нарушения могут привести к значительным потерям (под «значительными» в данном контексте, как правило, понимается уровень в $1 млрд). Среди экспертов широко распространено мнение, что в дальнейшем требования SOX будут и дальше облегчать нагрузку, что позволит корпорациям выделить освободившиеся ресурсы под новые задачи.

РОЛЬ ВНУТРЕННЕГО АУДИТА ПОСЛЕ SOX

Направленность внутреннего аудита на проверку соответствия требованиям закона Sarbanes-Oxley постепенно уменьшается. По данным последнего исследования аудиторской фирмы PricewaterhouseCoopers (PwC) только 27% респондентов подтвердили, что выделяют более чем половину ресурсов службы внутреннего аудита на проверку соответствия §404 SOX. Согласно аналогичному исследованию 2007 г. доля таких компаний в ответах составляла 41%.

Во многом снижение внимания к SOX определяется тем, что крупные американские и международные компании достигли хороших результатов во внедрении базируемого на риске вертикаль -ного подхода к оценке внутреннего контроля финансовой отчетности в соответствии с обязательным к выполнению Аудиторским стандартом №5 (AS5 PCAOB). По той же причине PwC полагает, что в ближайшие пять лет фокус внутреннего аудита на соответствие компании SOX будет оставаться неизменным или, скорее, ослабевать. К тому же, как было замечено выше, регулирующие органы также постепенно ослабляют требования к SOX.

Таким образом, ожидается, что в среднесрочной перспективе задача внутреннего аудита будет все больше отходить от проверки соответствия SOX и переходить к новым вопросам. Невероятное преимущество внутреннего аудита перед любыми другим службами компании заключается в его независимости, обеспеченной структурой подчинения и специфическими взаимоотношениями с менеджментом, в том числе и с высшим руководством, а также уникальной базой знаний и опыта, накопленной за годы аудита совершенно разных подразделений компании. Эти преимущества позволяют внутренним аудиторам как сотрудниками компании, действующим исключительно в ее интересах и в то же время остающимся формально и фактически независимым и в оценках и рекомендациях, смотреть на компанию как на единый организм и проводить привычную работу по оценке рисков, уязвимости системы, выявлению слабостей и подготовке независимых и объективных рекомендаций по их устранению.

НАЗАД К ОСНОВАМ

В последнее время очевидно возвращение внимания к операционным рискам, иначе говоря, рискам, связанным с текущей деятельностью предприятия. Классическая схема МакКинси (McKinsey), доработанная Майклом Портером (Porter), представлена на рис. 2.

Соответственно, операционный аудит ори-ентирирован на специфические риски, присущие вышеперечисленным сферам деятельности компании.

Согласно ранее упомянутому исследованию PricewaterhouseCoopers, 87% респондентов из компаний Fortune 500 (ежегодный список крупнейших по объему выручки корпораций США, публикуемый журналом Fortune) тратят менее 20% ресурсов на аудит, не связанный с соблюдением требований регуляторов (financial compliance). Тем не менее, по результатам того же исследования, аудиторские комитеты и руководители крупнейших мировых компаний все более обеспокоены операционными рисками.

Для аудита операционных процессов требуются совершенно новые знания и опыт. Прежде всего, на одно из первых мест выходит знание компьютерных технологий, умение работать с массивами данных и аналитические способности. К примеру, исследование международного Института Внутренних Аудиторов (IIA Research Foundation’s Common Body of Knowledge Study, 2008) показало, что более 75% опрошенных главных аудиторов назвало работу с данными и аналитику основными требуемыми техническими навыками в данной профессии.

Также аудитор должен отлично разбираться в тонкостях бизнеса, деталях процесса и мотивирующих силах, двигающих бизнес и стимулирующих отдельных сотрудников. Аудиторы, «выращенные» на стандартизованном SOX-аудите, как правило не готовы действовать менее шаблонно, либо просто не могут оценить полноту и сложность бизнес-процесса. Так же и «выходцы» из Big 4, обладая прекрасным финансовым образованием и отличным опытом внешних аудиторов, могут встать в тупик при оценке рисков хранения и перемещения складских запасов или манипулирования продажами в целях достижения годовых результатов, влияющих на размер компенсаций в каком-либо отдельном специфическом предприятии. Это основная причина того, что крупные компании предпочитают включать в свою команду аудиторов специалистов из разных подразделений или регионов, предоставляя им возможность карьерного роста и получая в ответ бесценный опыт «с полей».

РАСШИРЕНИЕ ГОРИЗОНТОВ

Другое направление развития внутреннего аудита заключается в расширении фокуса: аудит областей, в прежние годы не бывших в зоне внимания: менеджмент и, в особенности, правильный тон руководства, вопросы стратегии, включая расширение бизнеса, сделки слияния и поглощения, либо наоборот продажа активов или брендов, расследование случаев мошенничества и других нарушений законодательства, а также такая новая область как аудит качества продаваемого потребителям продукта и его сервисной поддержки. Список, конечно же, неполный, поскольку каждой компании под силу самой определить область рисков и разработать собственную программу внутреннего контроля за ними, включая периодический аудит.

Мошенничество и нарушения законодательства

Одной из целей аудита (по издании SOX) становится обнаружение и предотвращение мошенничества внутри компании. Аудит может обнаружить случаи мошенничества и других нарушений закона, однако в первую очередь функцией аудита остается оценка рисков и системы защиты от мошенничества, начиная от потенциальных конфликтов интересов и заканчивая общей атмосферой в подразделении компании. В фокусе внутреннего аудита будет контроль за разделением обязанностей, горизонтальный и вертикальный финансовый анализ, контроль за дебиторской задолженностью и списание безнадежных долгов, особенному вниманию должны подвергаться родственные и личные связи между сотрудниками. Все большее значение в современном мире получает информационная безопасность и защита персональных данных сотрудников или клиентов.

Сделки слияния и поглощения

Традиционно в сделках слияния и поглощения на заключительном этапе участвуют представители внешних аудиторских и юридических компаний, которые проводят стандартный due diligence. Внутренний аудит производится в приобретенной компании уже после завершения сделки, и нередко обнаруживается, что даже в случае положительного заключения due dilligen-ce, проведенного по формальным критериям, поглощаемая компания могла использовать, к примеру, учетные принципы, не совпадающие со стандартами компании-покупателя; планируемая синергия может не появиться по причине прин -ципиально несовместимых бизнес-принципов, клиентские базы могут не иметь ресурсов либо стимулов для их объединения, а бренды либо продукты могут взаимно конкурировать. Тенденция следующих лет — это, безусловно, участие внутреннего аудита в процессе сделок слияния и поглощения, а не после их совершения.

Гарантия качества и взаимоотношения с потребителями

Аудит взаимоотношений с потребителем (Customer Satisfaction Audit, CSA) — достаточно новая и сложная область во внутреннем аудите. Сложность заключается в том, что, в отличие от SOX или любого финансово или операционно ориентированного аудита, этот аудит оперирует достаточно неопределенными неколичественными категориями. Тем не менее, ключом к успеху является акцент на свидетельствах, фактах и доказательствах присутствия проблемы, а не на уровне взаимоотношений или степени удовлетворенности потребителя. Аудит должен концент -рироваться на том, как организована система контроля качества в целом. В данном контексте обязательно анализируются информационные каналы взаимодействия с потребителем, содержащиеся в них «послания» и последующее их выполнение.

Этическое поведение менеджмента

Серьезное ужесточение регулирования, вызванное в первую очередь американскими корпоративными скандалами, подверглось массовой критике. Критикующая сторона вполне резонно отметила, что жесткая регламентация скорее защищает от последствий, нежели устраняет причину болезни. Внутренний аудит, используя свою независимость от менеджмента, способен объективно оценить, насколько тон и поведение менеджмента на всех уровнях соответствуют миссии и целям организации.

Известна история с компанией Exxon, которая в 1989 г. после катастрофы своего танкера в порту Валдез на Аляске отказалась взять на себя полную вину, несмотря на то, что впоследствии было доказано серьезное нарушение правил экипажем. Неэтичное поведение менеджмента, неправильная реакция на инцидент, отложенная и неверно организованная коммуникация привели к тому, что даже сейчас Exxon у многих ассоциируется с экологической катастрофой, а менеджмент этой компании, как и других компаний, добывающих углеводороды, — с приоритетом корпоративных интересов над гражданскими.

Неверно полагать, что внутренний аудит способен предотвратить такие инциденты или их последствия. Направленность внутреннего аудита на прошлые события, а также текущие процессы очевидна. Однако в ходе аудита менеджмента и его подготовленности к критическому развитию событий можно было сделать вывод об отсутст -вии плана взаимодействия с прессой в случае экологических инцидентов, а при операционном аудите логистики можно было обнаружить опасное нарушение правил судовождения судов.

Чем чаще проводится аудит, тем меньше его ориентированность на прошлые периоды, и тем более точную текущую картину он может показать аудиторскому комитету, совету директоров и акционерам компании. В последнее время все чаще обсуждается возможность организации самосовершенствующейся системы постоянного управления рисками, анализа и мониторинга — непрерывного аудита (continiuos audit).

НЕПРЕРЫВНОЕ УПРАВЛЕНИЕ РИСКАМИ

Новая парадигма определяет непрерывный аудит как методологию, позволяющую аудитору предоставлять непрерывную оценку рисков и конт -роля с помощью постоянного, но все же дискретного потока аналитической аудиторской информации по выбранному субъекту. Непрерывный аудит прежде всего должен базироваться на автоматизированных отчетах, причем данные должны быть репрезентативны и сравнимы за все периоды, что позволяет провести анализ тренда. Кроме того, несмотря на возможную глубину отчетов, они должны быть легко читаемы, т.е. проблемная зона должна быть четко выделена на графике либо цветовой гаммой в сбалансированной системе показателей (balanced scorecard).

Предполагается, что в правильно организованной и технически обеспеченной среде непрерывного управления рисками дискретность аудиторских проектов и отчетов будет стремиться к нулю, а скорость обновления и объем информации — к бесконечности. Таким образом, предполагается нивелировать семь типов временных и ресурсных потерь в аудите, а именно: время ожидания сбора информации, задержки и сдвиги сроков, анализ информации, сам процесс аудита, ревьюирование результатов, ошибки и дополнительную работу.

Концепция непрерывного аудита предполагает, что архитектура аудиторской информации должна быть построена и информатизирована таким образом, чтобы максимально удовлетворить растущий спрос пользователей (менеджмента, аудиторского комитета, акционеров) на аналитику рисков, проблемных зон и уровня контроля в режиме реального времени.

ЛИТЕРАТУРА

Автор: