День 1
14 и 15 марта в Москве прошла конференция «Внутренний аудит в России: отвечая новой реальности», организованная Институтом внутренних аудиторов. Вступительное слово в самом начале мероприятия взяла директор IIA Розанна Уразова. В этом году, отметила Розанна, у института это уже четвертая конференция (шестая, если считать вместе с региональными). «Надеемся», – добавляет она – «что сегодняшнее событие станет поводом завязать новые полезные контакты». Присоединяемся.
Фото: iia-ru.ru
Не секрет, что сегодня перед аудиторами России и всего мира стоят непростые задачи – отсюда, собственно, и выбор названия. Что же это за «новая реальность» такая? Это и развитие интернет-технологий, и кризисы – в таких условиях аудиторы должны оставаться гарантами эффективности систем управления рисками, в то же самое время являясь консультантами. Какие же перед ними сегодня стоят цели и задачи?
Прежде всего, это удовлетворенность заказчиков и эффективность коммуникаций с менеджерами. Эта также эволюция роли службы внутреннего аудита в компании. Это и роль консультанта, помогающая предвосхитить риски в компании.
Далее, одной из основных задач является углубленное знание бизнес-процессов. Необходимо помнить про профессиональное развитие сотрудников. Наконец, нельзя забывать и про необходимость снижения затрат (в том числе за счет использования современных технологий), так как это одна из самых затратных функций.
Факторы успеха внутреннего аудита:
- позиционирование
- команда
- методология
- технологии.
Обо всем этом и многом другом мы поговорим сегодня. А первый доклад по теме «Внутренний аудит: будет ли место в новой реальности?» подготовил Алексей Сонин, председатель Совета, Институт внутренних аудиторов.
Фото: iia-ru.ru
Тема выступления – это сам по себе такой вопрос для обсуждения. Понятно, что в случае отрицательного ответа на этот вопрос проводить конференцию не имело бы смысла вообще – говорит Алексей Михайлович. То есть «место» все-таки будет, но все ли тут так просто? За последние 10 лет внутренний аудит проделал большой путь и добился признания со стороны руководства организаций. Возрастают ожидания в отношении внутреннего аудита, требования к нему.
Сама профессия является относительно молодой – это приблизительно лет 50 в международным масштабе (смотря с какого момент отсчитывать). Например, Институт внутренних аудиторов был основан в 1941 г. – тогда можно считать, что профессии исполнился 71 год, но все равно это очень мало. Поскольку профессия молодая, движение вперед осуществляется методом проб и ошибок, и места под солнцем нам (внутренним аудиторам) не гарантировано, говорит Алексей Сонин.
Сегодня тучи, как говорят, «сгущаются», и профессия стоит на распутье. Одна дорога ведет к угасанию и постепенному упразднению функции внутреннего аудита вообще, вторая – наоборот, к развитию и увеличению роли ВА.
А что вообще мы такое, кто мы такие? Какова история развития за последние 15 лет? Окинем же взглядом основные события последних полутора десятков лет и подумаем, какое влияние они на нас оказали.
1998 г. – глобальный финансовый кризис (который поразил в том числе и Россию – тот самый памятный дефолт). 2001 – падение Enron, 2002 – принятие Акта Сарбейнса-Оксли, скандалы World Com. 2003 – еще один крупный скандал, фигурантом которого выступил Parmalat. 2008 – снова глобальный экономический кризис.
Неспокойное десятилетие, нечего сказать. Неправильным будет считать, что до 1998 года о внутренних аудиторах никто не вспоминал – конечно же, они были и раньше, но делали, как правило, одно и то же из года в год – это были такие циклические, рутинные аудиторские проверки. Иными словами, внутренние аудиторы выполняли чисто ревизорские функции. Однако кризис «встряхнул» профессию, заставив пересмотреть свою роль. Вышли новые международные стандарты аудита, появилось даже новое определение (то, которое мы используем сегодня, таким образом, существует всего 13 лет). Стал «проповедоваться» риск-ориентированный подход, так как до этого аудиторы особо и не думали о рисках, что сегодня даже звучит удивительно – вот какая за прошедшее время произошла перестройка сознания.
С 2001 по 2003 года шла еще одна непрерывная «встряска» в виде череды корпоративных скандалов, которая привела к еще большему ужесточению контроля. Все эти мошенничества, которые тогда обсуждались, были связаны с ослабленным финансовым контролем. Благодаря законодательным изменения (SOX и иже с ним) начался «золотой век» внутреннего аудитора. В 2002 году обложку журнала Time даже украсили три женщины-аудитора (т.е. они стали, по сути, «людьми года»). Невиданное дело даже в том плане, что на обложку Time вообще редко выбирали женщин, а тут сразу троих (Синтия Купер, Колин Роули и Шерон Уоткинс), да еще именно аудиторов.
Однако «золотой век» продолжался недолго. Требовалась новая «встряска», а без нее очень быстро стал наблюдаться возврат к рутинизации процесса, которая была раньше. Построение системы управления рисками была отложено в «долгий ящик», а внутренний аудит вернулся к своим истокам. Последствия не заставили себя ждать: пришел 2008 год, а с ним и новый кризис. Рухнула липовая империя-долгожитель Бернарда Мэдоффа. Снова активно заговорили недостатках систем управления рисками и так далее, за тем лишь небольшим исключением, что в этот раз никто не заинтересовался, а где они были, внутренние аудиторы – в отличие от начала 2000-х, кстати. И это дурной сигнал, заставляющий задуматься. То есть в этот раз с нами всем все было и так ясно.
В большинстве случаев сейчас внутренний аудит подчиняется уровню совета директоров. Не все гладко реализовано, очень часто можно наблюдать противодействие, попытки оспорить квалификацию и мнение внутренних аудиторов. Ситуацию затрудняет и то, что внутреннему аудиту не учат в университетах, и все навыки профессии осваиваются, как говорят, «в бою».
В России законодательного требования о наличии функции ВА в компаниях вообще нет. Это не основная, а поддерживающая функция, и чтобы она появилась, сначала на нее должны появиться свои заказчики в компании. Они могут хотеть ее, а могут и не хотеть. В конечном итоге все определяется балансом спроса и предложения. А спрос и предложение определяются уже своими собственными факторами.
Есть ли спрос на контроль? Насколько сильный? Что мы получим по итогу – координатора или «мегаконтролера»? Координаторы нужны как минимум. В российских компаниях несколько контролирующих подразделений часто сводятся воедино, формируя, таким образом, «мегаконтролера». Это неправильный подход. Внутренний аудит вроде бы и остается «где-то там»: по идее, он должен быть независим, но роль его в такой структуре размывается. «Мегаконтролер» набирает популярность в РФ. Алексей Сонин высказал предположение, что хотя это пока что даже и не тенденция вовсе, но последние пару лет на счет этого, по крайней мере, стали все чаще задумываться в России – и это тревожно. Остановите «мегаконтролера», этот путь неверный!
Различают работу «в перспективе», с акцентом на риски – в противовес работы «по фактам», с тем, что уже случилось. Неправильным будет считать, что внутренние аудиторы должны видеть только «перспективу»: теоретически они могут заниматься и тем, и тем. Точнее, не просто «могут», а должны. В конце концов, они работают на своих заказчиков. А кто они такие, эти заказчики? Как правило, две главные категории – это менеджеры и совет директоров. И как правило, основная роль все-таки у менеджмента, поэтому при прочих равных старайтесь поддерживать отношения все-таки с ними.
Как было раньше? Менеджеры пытались управлять внутренними аудиторами и считали их «своими». Что же изменилось с тех пор? Сейчас более высокая роль у совета директоров и, само собой, внутренних аудиторов тоже. Хорошую иллюстрацию в этой связи привел на диаграмме Алексей Сонин: три вышеперечисленные составляющие в виде трех шестеренок. Что интересно, раньше, когда роль ВА была небольшой (и сама «шестеренка» имела небольшой размер), вся эта система «крутилась» как надо. По крайней мере, крутилась хоть как-то. Теперь же мы возьмем и представим, что «шестерня» внутреннего аудита вдруг стала практически одного размера с двумя другими (роль-то возросла!), притом что они прилегают друг к другу. Сможет ли такая система вращаться? Нет, ибо три шестеренки в таком положении вращаться не смогут, будут мешать друг другу! В том-то все и дело, что внутренний не может оставаться «слугой двух господ», его не могут одновременно «толкать» и совет директоров, и менеджмент. Как же быть, на кого же работать? По мнению Алексея Сонина – прежде всего на акционеров, стейкхолдеров, их интересы прежде всего. А на втором месте совет директоров и менеджмент, и хотя явного предпочтения отдавать какой-то одной группе не стоит, все же вы больше времени будете проводить именно с менеджментом, поэтому уделите чуть больше внимания именно ему.
Ну и в заключение пара слов о самой профессии. По мнению Алексея Сонина, внутренний аудит сегодня можно рассматривать как неплохую «ступеньку» карьерного развития, ибо прошедшие через его горнило вполне способны занять место в аппарате управления, и в этом нет ничего зазорного. Однако это в значительной степени будет зависеть от развития профессиональных аудиторских ассоциаций.
Что и говорить, некоторые из приведенных заявлений (как последний абзац, например, где внутренний аудит уничижительно представлен не более чем промежуточным звеном карьерного развития) носят явно провокационный характер, причем сделано это было сознательно и специально – об этом заявил Алексей Михайлович Сонин по окончании своего выступления. Несмотря на провокационность, никто из сидящих в аудитории задать докладчику вопрос не отважился – GAAP.RU
Стратегический план развития службы внутреннего аудита: от роли ревизора к роли доверенного советника бизнеса Полина Гришина, вице-президет по внутреннему контролю и аудиту «Автоваза», CPA. FCCA
Фото: old.tlttimes.ru
Автоваз сегодня находится в процессе трансформации своей деятельности – об этом многие слышали из новостей. Так, недавно они запустили Лада Гранта (кто же про это не знает), скоро последует запуск Лады Ларгус…(Интересно, не будет ли всем известная личность по традиции производить «обкатку» новой модели? – Александр Курников, GAAP.RU)
Деятельность, возглавляемая Полиной Гришиной, должна быть синхронизирована с этими переменами. Сегодня в компании производится трансформация в 7 ключевых направлениях. В недалеком будущем будут модернизированы производственные мощности, внедрены новые технологии. И вот возникает вопрос – какую же роль внутренние аудиторы играют во всей этой трансформации?
Главную роль в изменении функций внутреннего аудита на заводе сыграл президент Автоваза, Игорь Анатольевич Комаров. Фундамент закладывался в течение многих лет, идея «зрела», и вот наконец пришло осознание необходимости наличия систем ВА и ВК. В принципе, эта функция в той или иной форме была и до этого, только, наверно, восприятие ее было несколько другим. В связи с этим кратенько пройдемся по истории вопроса.
Известно, что завод всегда был подвержен контролю со стороны государства. При приватизации эта степень контроля была несколько утеряна, но сохранить «свое лицо» компании, тем не менее, удалось. Так, в 90-х годах Автоваз стал одной из первых отечественных компаний, которые стали делать МСФО-отчетность при участии PwC. Тогда-то и пришло осознание необходимости внутреннего контроля. Около 10 лет ВК просуществовал в Автовазе в роли некоего «внутреннего ревизора». В 2006 году было создано контрольно-ревизионное управление, которое получило более независимый статус. Увеличились прикладные функции: кроме финансовой отчетности и «комплаенса» это управление стало заниматься проверкой сохранности имущества и правомерности использования активов. Собственно, занимается этим и сейчас, конечно.
В 2008 году стали ощущаться предкризисные явления, появились новые рекомендации от ФСФР. Нашлись люди, которые утвердили отдельный стандарт на предприятии, который так и назвали – «внутренний контроль». Очень хорошая была идея: благодаря этому были закреплены сферы ответственности, роли руководителей некоторых подразделений. Но представили его публике не сразу – стандарт лежал на полке 2 года, пока недавно не пришло новое руководство и не решило воскресить прежние идеи. Президент (И.А. Комаров) принял решение о создании новой службы, которая приняла бы на себя прежние ревизионные функции и создала бы полноценный внутренний контроль. Таковой стала СВАиК, служба внутреннего аудита и контроля. Но для внедрения ее необходимо было сначала пересмотреть свое отношение, потому что до этого различные подразделения – было такое дело – относились друг к другу с подозрением, пытались контролировать друг друга. А тут впервые в истории Автоваза был проведен соответствующий полноценный анализ рисков. По итогу все разрешилось, появились новые задачи аудита, которыми раньше не занимались, но которыми успешно занимаются сегодня.
СВАиК играет новые роли сегодня. Это уже не карательно-репрессивные задачи, как в основном было раньше, а информаторские. Сегодня служба, говорит Полина Гришина, «распространяет лучше практики». Фокус смещается с обнаружения злоупотреблений на потребность в обнаружении проблем, то есть это то, что мы подразумеваем под классическим риск-ориентированным подходом.
_____________________
Очень хорошее впечатление на нас произвело выступление Ольги Образцовой (старший менеджер департамента консультационных услуг в области бизнес-рисков компании «Эрнст энд Янг», CPA) по теме «Трансформации внутреннего аудита: движущие и сдерживающие факторы в развитии системы внутреннего контроля». С учетом того, что свое выступление Ольга начала за 15 минут до официально запланированного окончания первой секции, вероятность неизбежной в таких случаях задержки на кофе-паузу была очень высока… Нет, тут деле вовсе не в том, что очень хотелось кофе, хотя это тоже. А в том дело, что Ольга одной из немногих из тех, кто выступает на мероприятиях подобного рода, сделала свое выступление именно таким, каким оно и должно быть – четким, сжатым, лаконичным. Каждая мысль – по делу, каждый слайд – отмеренный объем сжатой информации по существу, без «воды» и интенсивного пиара своих компаний. И точно в отведенные сроки.
Обратной стороной медали является то, что по той же причине законспектировать вручную что-либо кроме основной мысли, увы, оказалось затруднительно. Если вкратце, Ольга Образцова рассказала возможностях развития объединения трех систем – СУР (система управления риска), ВА (внутренний аудит) и СВК (система внутреннего контроля). Все вместе они формируют то, что в западной практике называется GRC (Governance, Risk Management, and Compliance). Эти три системы взаимосвязаны, и в случае, если какая-то одна стремится вырваться вперед, есть факторы (отсутствие чего-либо – например справочника рисков или еще какой-то мелочи – причем даже не у нее, этой компоненты, а у какой-то из двух оставшихся), которые мешают первой компоненте вырваться вперед.
Мы специально попросили Ольгу разрешить нам поделиться с нашими читателями электронной версией доклада, который у нас имеется, но публиковать эти материалы без ее на то разрешения у нас права нет. Мы уже получили от нее ответ – к счастью, Ольга не имеет ничего против, и мы с удовольствием размещаем ее слайды по соседству – http://gaap.ru/articles/126831.
________________________________
После небольшого кофе-брейка участники конференции вернулись к заседанию дискуссионной панели, посвященной теме взаимодействия внутренних аудиторов с ключевыми заказчиками их услуг.
Фото: iia-ru.ru
К обсуждениям участников пригласил Игорь Беликов, директор Российского института директоров (РИД), член экспертного совета по корпоративному управлению при ФСФР. Внутренний аудит, по мнению Беликова, «не чувствует», что директора вообще являются одними из его заказчиков. По этой причине лично Игорь не ощущает, что цели внутренних аудиторов адекватны. Вроде бы они занимаются нужным вещами, но это не те цели, которые лично он видит среди наиболее приоритетных.
Татьяна Натрусова, директор департамента аудита переработки и торговли ОАО «ТНК-BP Менеджмент», взяла слово после Игоря. Представляя ее, он отметил, что ее компания не очень характерна для российской действительности. Иными словами, это опыт, как он выразился «не модельный», но, тем не менее, «продвинутый».
Итак, чего же хочет совет директоров от нас, внутренних аудиторов? – спрашивает Татьяна. По опыту своей работы она лично видела не один вариант, как строятся между ними отношения в России. Роль личности в истории, как обычно, очень велика (здесь была ссылка на любимого классика, Л.Н. Толстого). Таким образом, на взаимоотношения в значительной мере влияют личностные качества человека.
Профессия у нас молодая, и по опыту своей работы, признается Татьяна, она встречала людей (председателей аудиторских комитетов), которые, несмотря на свою должность, имели все же весьма слабое представление о том, что должны делать аудиторы. У них отсутствовало четкое понимание этого баланса между наличием рисков и необходимостью проведения проверки там, где они есть.
Второй оказывающий влияние фактор – заинтересованность совета директоров в том, что вообще делает менеджмент в их компании. И снова все зависит от отдельных людей. Если есть кто-то в совете, кто заинтересован, соответствующим образом будут строиться отношения, если нет – то и не будут.
В-третьих, на эти отношения может влиять структура акционеров. Среди них также существуют разные команды, заинтересованные в разных сторонах деятельности компании.
Еще один момент – это то, что называется «верою в профессию». В пример Татьяна Натрусова привела тренинг одной неназванной иностранной (предположительно британской) компании, который вела одна благообразного вида «старушка» (так описала ее докладчица). Старушку эту можно отнести к типичным классическим англичанкам, которых легко представить любому, кто имеет о них хотя бы отдаленное представление – оно в данном случае будет верным. Так вот, какая тут идея. Данная «старушка» – не простая «старушка», разумеется, а ведущая тренинга, причем неплохо разбирающаяся в том, о чем она рассказывает аудитории – принципиально не работает в внутренними аудиторами, пока на стол ей не ляжет четкий план их работы. И только так. Что до акционеров, их структуры – все будет определять количество людей с подобным серьезным отношением.
Назрел вопрос: не стоит ли внедрить новый стандарт поведения, который определял бы, что делать, если менеджеры не хотят следовать советам аудиторов. Если вдруг такой стандарт разработают и внедрят, то там, скорее всего, будет оговариваться общение внутренних аудиторов с советом директоров как с инстанцией, с которой также (помимо менеджеров) можно обсудить проблемы компании. Ведь не только самих аудиторов заботит, как нужно общаться с советом директоров.
После этого слово снова взял ведущий дискуссионной панели Игорь Беликов. Он спросил аудиторию, у кого (по сугубо личному мнению) в компании налажен эффективный обмен информацией между внутренними аудиторами и членами совета директоров. Поднятых рук оказалось немного. На второй вопрос – кто считает, что потенциал такого взаимодействия существует, и что совет заинтересован в этом – положительно откликнулось несравненно больше. Так в чем же причина такого расхождения, и как его можно устранить? Это, пожалуй, главный вопрос дискуссионной секции. Вроде бы потребность есть, но на практике, как видим, это не реализуется…
На вопрос попробовали дать свой ответ эксперты из зала. Многим из них предстояло делать свой доклад во второй день конференции. Например, Павлу Викторову, представителю компании СТС Media Inc. (о его выступлении – чуть ниже). Для ознакомления с американским опытом Павел специально ездил на аудиторский семинар в Вашингтон (было это в 2008 г.). Его тогда удивило, что ни слова не было сказано про внутренний аудит вообще. Что уж говорить тут про Россию. Один из выступавших на том семинаре известных экспертов сказал, что не видит, чтобы в РФ реально происходили сегодня какие-то улучшения корпоративного управления, разве что под влиянием указаний регуляторов при выходе компаний на IPO. Конечно, этого мало. Вывод в том, что таковы российские реалии сегодня.
Далее свою мысль высказала Елена Зубарева, ОАО «МАШ» (еще одна докладчица второго дня конференции). Елена занимает должность руководителя службы внутреннего аудита. По ее мнению, реалии сегодня таковы, то российские собственники компаний не желают слушать иностранных управленцев (которых, как правило, привлекают из-за рубежа). Самый тяжелый случай – это когда собственником является государство. Таким образом, Елена (случайно или нет) перевела разговор на госсектор, представители которого также сидели в зале. Ну а опытом госкомпаний поделился Алексей Чепайкин (Росатом). Он дал ответ на главный вопрос – почему тогда возникает тот самый разрыв между потребностью и реальной стороной дела. Капитал в случае госкомпаний весьма «монолитен», говорит он, и очень концентрирован. Члены совета директоров работают формально, строго по директивам. Что касается собственника – государства – то ему, в принципе, и так достаточно внешних рычагов контроля. Результаты ВА заслушиваются наблюдательным советом, но и без этих докладов у госаппарата есть достаточно рычагов, чтобы проконтролировать все уровни деятельности корпорации. Т.е. здесь такая функция не особо и нужна.
Игорь Беликов (продолжая мысль предыдущего выступающего): действительно, концентрированная структура акционерного капитала затрудняет ситуацию, но она при этом характерна далеко не для всех компаний. По крайней мере, частных, а государственные организации – это отдельный разговор, и мы их не рассматриваем. В какой же степени менеджмент может противодействовать взаимодействию аппарата внутреннего аудита с советом директоров? И второй вопрос: в какой степени структура акционерного капитала создает возможности для такого взаимодействия? Вопросы очень важны, так как они определяют способности аудиторов наладить взаимоотношения с советом директоров.
Есть компании, где возможности сегодня расширяются. Исходная точка – это само понимание того, насколько топ-менеджмент является «барьером» для общения с советом директоров. Теоретически, менеджеры могут пригрозить аудитору – мол, если тот будет слишком много выступать, то вылетит из компании. Бывает и такое.
Что касается ожиданий лично Игоря касательно этого взаимодействия внутренних аудиторов и совета директоров – он поведал аудитории, что когда приходится слушать отчеты, то у него не возникает понимания, что руководитель СВА действительно имеет четкое представление о «риск-аппетитах» компании. Собственно, такое понятие он почти и не слышит. Большая часть показателей основывается на деловом суждении. Когда он смотрит на реестр рисков и максимально приемлемых показателей риска (в виде каких-то там соотношений), то все вроде четко изложено, но при этом ему не очень понятно, почему они именно такие, а не другие – откуда тут берется логика? Ведь в каких-то рыночных нишах, при определенных условиях компания может позволить себе более высокие риски, верно? Тогда почему это не отображено, почему мы получаем просто реестр рисков с финальными значениями по перечню важных рисков? Еще хуже, когда отчет составлен на основе некоторого плана проверок, которые не соответствует текущему направлению деятельности компании – иными словами, перечень рисков берется очень формально, в то время как сейчас у компании могут быть совсем другие важные риски. Плохо, когда ВА не участвует в процессе их определения.
Задача заключается в том, чтобы внутренний аудитор постарался разобраться, что собой представляют ключевые бизнес-риски компании, как они влияют на ее устойчивость, и какова эта картина на каждый момент времени. Это–то и должно отражаться в его отчете для совета директоров, и тогда его предложения менеджменту будут иметь более высокую стоимость, ведь и сам менеджмент в этом случае будет понимать, что эти советы направлены на сердцевину бизнеса, а не его периферию. Вот к какому выводу мы по итогу пришли.
____________________________________________
День 2
Разграничение функции интегрированного управления рисками, внутреннего контроля и аудита Игорь Михайлов, начальник отдела управления рисками Корпоративного центра Группы МТС
Самый первый вопрос для размышления: почему мы работаем теми, кем работаем, т.е. внутренними аудиторами? Не все из нас именно внутренними аудиторами, конечно, но в принципе? Причина в том, что мир несовершенен, и в нем есть риски, есть мошенничество, есть соблазн произвести манипуляции с отчетностью, присвоить что-то, что тебе не принадлежит. Мы – аудиторы – представляем внутренний контроль, управление рисками.
Второй вопрос – а почему нас так много, и все мы такие разные? Ответить на этот вопрос сложнее. Представим себе маленькую домашнюю компанию – киоск, палатка, что-то вроде этого. Нужны ли там контролеры? Нет, конечно, ведь это семейный бизнес, и с ролью аудитора отлично справится глава семейства. Идем дальше, в сторону увеличения – представим компанию чуть большего размера, с численностью сотрудников более 100. Тут уже кому-то придется выполнять функции контроля, и здесь возможно делегирование этих функций кому-то одному. Идем дальше – компания стала еще крупнее, и один человек с обязанностями внутреннего аудита уже не справится, а нужны группы аудиторов с разделением функций… Самый последний вариант – компания «extra large» (как та же МТС, например – по данным Игоря, тут работают свыше 60 тысяч человек). Здесь подразделения уже не общаются друг с другом, и необходимо наладить кросс-функциональное взаимодействие, в том числе и контролирующих подразделений. По той причине, что они не общаются друг с другом, они начинают задавать одни и те же вопросы. Получается, каждому более-менее крупному подразделению (департаменту ИТ, например) нужна уже своя собственная служба ВК, и нужно еще обеспечить коммуникацию этих «маленьких» ВК друг с другом.
Подводя итоги: в компаниях функции контроля можно либо разделить, либо концентрировать в одних руках, и по мере роста компаний как раз это и делается. Вопрос – а когда именно нужно переходить от одного к другому? С момента выхода стандартов COSO этот вопрос так не был решен. «А мы попробуем решить сегодня!» – говорит Игорь.
Комиссия Treadway (также известная как «Комитет спонсорских организаций») выпустила два стандарта – сначала COSO IC (Internal Control Framework), потом стандарт COSO ERM (Enterprise Resource Management). Так вот, даже обновленный «COSO IC» не отвечает на ключевой вопрос, заданный выше, а вот кто лучше всего подобрался к решению, так это, оказывается, Институт внутренних аудиторов.
Итак, внутренний контроль по стандарту COSO IC нацелен на обеспечение разумной гарантии результативности и эффективности операционной деятельности, достоверности финансовой отчетности и соответствия требованиям регуляторов.
Есть такой замечательный человек, Ицхак Адизес (читайте у нас на сайте очень интересную – надеемся на это, по крайней мере – статью, посвященную его теории деления финансовых директоров по четырем основным функциям). Собственно, и в той статье мы не один раз упоминаем о том, что теория Адизеса – действительно замечательна хотя бы по причине своей универсальности. И в своем выступлении Игорь Михайлов говорит уже не о финансовых директорах, а о четырех функциях управления компаниями с целью обеспечения ее эффективности. Так вот, первый стандарт COSO IC обеспечивает две функции эффективной компании из четырех по Адизесу: производственную (повторяющееся процессы основной деятельности) и административную (регламентация и контроль).
Пример: выходя из дома, мы проверяем, закрыт ли газ и краны. Мы выполняем функцию внутреннего контроля, как бы примитивно это в данном контексте ни звучало. Конечно, это не гарантирует, что мы в конечном счете не зальем соседей водой и не устроим пожар – все это возможно, ведь трубы могут проржаветь, проводка может перегореть и так далее, однако рисками мы все равно управляем: следим, чтобы трубы не ржавели, а проводка – не перегревалась. Т.е. мы снижаем текущие риски до остаточных*. Стандарт COSO IC посвящен как раз этому – снижению текущих рисков до остаточных. Второй стандарт, выпущенный Комиссией Treadway – COSO (ERM) – как бы расширяет первый. Здесь мы говорим уже об управлении рисками, а понятие отчетности расширяется на внешнюю и внутреннюю. По теории Адизеса, у нас остались непокрытыми еще две функции – предпринимательская и интеграционная, так вот здесь-то они и покрываются вторым стандартом COSO.
*По текущим рискам, кстати, чуть позже последовал вопрос из зала – а есть ли такое понятие вообще? Этот вопрос, кстати, задали конкуренты МТС из Мегафона. Ответ был примерно следующим: «текущий» и «остаточный» – это, скажем так, больше «находка» самих МТС. Однако не в том смысле, что они сами ввели эти понятия – такие риски есть в любом случае – просто они первыми стали использовать эти термины применительно к управлению рисками в контексте стандартов COSO
Для иллюстрации подойдет следующий неплохой пример. Представим теннисный корт, на котором тренер учит нас отбивать мяч, подавая его в одну и ту же точку. Он подает так специально, чтобы мы тренировали свой удар в простых условиях. Это, скажем так, контроль каждодневной производственной функции. Однако в реальной игре мяч летит куда угодно, и нам уже нужно двигаться. Тут мы должны стать «риск-менеджерами» и решать, куда именно нам бежать, чтобы отбить подачу. Грубо говоря, в этом и есть разница между внутренним контролем и управлением рисками в контексте стандартов COSO.
В случае зрелой системы управления рисками внутренний аудит на себя эту функцию не берет! Ведь если эти функции сосредоточены там, то внутренний аудит теряет свою независимость, и возникает конфликт интересов.
Другая крайность – система управления рисками не развита совсем. Представим себе начальный этап развития компании, когда мы только внедряем систему. Главный заказчик в этом случае – внутренний аудит. Почему? Потому что именно ему предстоит сначала систематизировать свои проверки, посмотреть, где риски больше, ведь «где тонко, там и рвется». Таким образом, поначалу даже хорошо, если он (ВА) находится именно там, но по мере развития внутреннему аудиту нужно «отпустить» эту функцию, отдать ее. Но куда? Хорошо бы, чтобы она оказалась в финансовом департаменте, говорит Игорь, ибо что еще как не финансы умеет строить модели и давать прогнозы? Но на следующем этапе, когда риск-менеджмент научится и сам прекрасно строить прогнозы и выйдет на пик своего развития, финансы также должны «отпустить» систему управления рисками. Почему в этот раз? Потому что на таком высоком этапе развития уже риск-менеджер начинает давать свои советы, как им можно «получше рискнуть». МТС, говорит Игорь, постепенно подходит сегодня как раз к этому моменту развития, но в любом случае он, как правило, наступает очень нескоро. Что дальше? А дальше нужно будет выводить систему УР уже под гендиректора, под весь бизнес в целом.
____________
Павел Викторов, директор департамента внутреннего аудита СТС Медиа; Игорь Ткаченко, менеджер по внутреннему аудиту СТС Медиа. Бизнес-кейс по управлению рисками: Меньше формальности – больше эффективности
«Меньше формальности – больше эффективности», – таков, согласно заявлению Павла Викторова, их девиз. Ведь многие компании сегодня идут на IPO и ориентируются на соблюдение формальностей, совершенно забывая при этом раскрыть то, что имеется по существу. Это грустно, и это большая проблема сегодня.
Несколько слов об СТС Медиа. Как известно, это медиа-компания с листингом в США на бирже NASDAQ. Есть собственные каналы, вещающие в Молдове, Казахстане и не только (помимо России, разумеется). Есть и собственное рекламное агентство.
При позиционировании службы внутреннего аудита СТС Медиа старается исходить из ожиданий акционеров – а они, прежде всего, ожидают, что стоимость компании будет высокой. Кроме того, очень важны результаты операционной деятельности, которые формируют поток дивидендов. В долгосрочном плане, конечно же, также очень важна реализация стратегии.
Внутренний аудит в компании функционально подчиняется аудиторскому комитету при совете директоров. Они плотно работают с менеджерами и рассматривают их ожидания как ожидания своих клиентов. Таким образом, «клиентоориентированность» – это еще одно их «кредо».
Докладчики не без гордости заявляют о внедренной «понятной» системе внутреннего аудита, где подробно расписано, что подразумевается под совместной работой с тем или иным департаментом; достигнута полная прозрачность. Но не сразу все устроилось, далеко не сразу.
Внутренний аудит сегодня выполняется в соответствии с требованиями международных стандартов внутреннего аудита. Сущность работы внутренних аудиторов составляет оценка способности обнаружения существенных рисков
При внедрении системы, на каждом уровне развития существует своя специфика. Павел Викторов и Игорь Ткаченко используют в своей презентации термин «3 линии защиты», анализируя роль аудита в этой схеме на разных уровнях развития.
Итак, в зависимости от корпоративной культуры внутренний аудит может выполнять функции:
- 1-й линии защиты (например, закупки, проверка договоров и так далее). По сути, получаем операционный контроль бизнеса
- В некоторых, чуть более развитых компаниях ВА «сидит» на 2-й линии защиты: это уже контроль финансовой отчетности, управление рисками мошенничества. Получаем контрольные функции.
- В случае с наиболее развитыми компаниями с развитой же корпоративной культурой мы говорим о третьем уровне защиты, и это уже проверка, скажем так, того, что в компании существует 2 линия защита. Это проверка второй линии, которая должна эффективно осуществлять свои функции. Таким образом, мы получаем уже полноценный внутренний аудит.
Каким образом лично СТС Медиа переходила от первой своей линии к третьей? Чтобы проиллюстрировать это, совсем немного истории. 2007 год. Как заявляет Павел, который тогда уже работал в компании и помнит те времена, в то время даже не все члены комитета ВА вообще думали про управление рисками. Грубо говоря, они пока до этого «не дозрели». Что удивительно, IPO было проведено за год для этого (в 2006 году), и какая-никакая, пусть маленькая, но система управления рисками в компании формально была. Когда Павел Викторов пришел в 2007 году на работу, он предложил пересмотреть это отношение и внедрить нормальную систему управления рисками. Процесс, как говорят в таких случаях, пошел. В 2008 году была проведена презентация, где подробно объяснили руководству, что, мол, системы-то как таковой и нет. Приходилось много ходить и объяснять, какие риски в компании существуют, показывать карту рисков, доходчиво убеждать, почему именно этими рисками нужно управлять. Здесь было обнаружено некоторое противоречие: как же так, карта рисков вроде есть, а системы вроде пока нет… Такие вопросы со стороны руководства еще больше задерживали процесс, но в конце концов все разрешилось, и в необходимости перемен вышестоящее начальство удалось убедить.
После этого в совет директоров была вынесена идея о привлечении внешних консультантов по управлению рисками. На том этапе предметом оценки уже было фактическое следование рекомендациям аудиторов и повышение эффективности в результате этого. На 2012 год – т.е. на этот год – намечена оценка (аудит) этой системы в действии. Таким образом, как видим, понадобилось почти 5 лет на полноценное внедрение всей системы. Аудит системы управления рисками – то, что они делают сегодня – это, по сути, полноценная третья линия защиты, если пользоваться терминологией презентации. Они смотрят на все этапы данного процесса. На всех уровнях компании (вплоть до директоров) сегодня есть расписанные обязанности по управлению рисками. Немаловажную роль во всем этом играет корпоративная культура, ибо если ее нет, то больших успехов добиться не удастся.
______________________
Отчеты внутреннего аудита – дифференцированный подход Александр Долгополов, руководитель службы внутреннего контроля и аудита ОАО «СУЭК»
Как написать хороший отчет? Cкажем сразу, это не тема сегодняшнего разговора. Мы же будем говорить о том, как правильнее его представить, т.е. поговорим больше о форме, нежели о содержании. Ведь форма также важна, ибо это форма того продукта, который мы продаем.
Вопрос к залу: «Довольны ли Вы, как воспринимаются Ваши отчеты заказчиками?» Поднялось не очень много рук, но процентов 60% аудитории проголосовали в положительном ключе. Уже неплохо. Посмотрим, можно ли сделать лучше.
Какие вообще отчеты есть? Масса самых разных: есть отчеты о проверках, есть квартальные о проделанной работе, есть всевозможные аналитические записки… И есть очень много факторов, которые должен принимать во внимание аудитор при составлении отчета.
Ясно, что самое главное – это цель, для чего вообще пишем отчеты. Цели также есть самые разные. 3 самые актуальные формулируются следующим образом:
- Доверие к отчетам
- Операционная реакция (по итогам проведения проверки)
- Адекватные меры.
Какие существуют подходы к подготовке документов, на что обратить внимание?
- Внешнее оформление
- Что включать
- Объем
- Подробность описания
- Доказательная база (включать ли ее вообще или не загромождать).
Таким образом, подходов на самом деле много, а сам отчет будет зависеть от подхода, который мы выберем.
Во-первых, кто вообще наш заказчик? Это комитет по аудиту? Совет директоров? Менеджмент? Руководитель службы внутреннего аудита? От всего этого будет многое зависеть.
Цели также многое определяют, и этот момент мы уже обсуждали чуть выше. Хотим ли мы принимать решение по улучшению СВК? А может быть, мы хотим понять состояние динамики СВК? Или же мы просто хотим привлечь сотрудника к ответственности за что-то?
Чтобы разобраться во всем, вот примерный список технических вопросов, которые следует учесть:
- Автоматизация. Она может позволить сделать отчет быстрее и качественнее. Система TeamMate, например, может оказаться в этом плане полезной
- Трудозатраты. Есть ли время на то, чтобы красиво все оформить?
- Сроки подготовки. Нужно ли принять оперативное решение, или это скорее некая описательная работа
- Review и контроль качества. В системе ВА нужен встроенный механизм проверки.
Как понять, чего хочет заказчик – какой формат отчета ему или ей предпочтителен? Данный вопрос решается на самом деле довольно просто. Потратим немного своего времени – представим 2-3 варианта на выбор. Это потом окупится! Покажем заказчику их на выбор и спросим, какой именно он или она хочет потом читать. Таким образом, важна обратная связь – задавайте вопросы! И еще один важный момент – периодическое изменение формата в зависимости от задач, ведь функции с течением времени меняются, потому и не надо зацикливаться на чем-то одном.
Как грамотно донести содержание отчета?
- Как вариант, можно использовать дополнительные мини-отчеты. Если основной отчет о комплексной проверке представляет собой кипу бумаг в 30 страниц – а то и больше – то это будет очень полезным решением.
- Выборочная рассылка: не надо все рассылать всем подряд!
- Ранжирование выводов: вначале самое существенное, мелочь в самом конце, либо не включать ее вообще.
- Дозировка/ приоритезация. Бывают периоды, когда в конце месяца отчетов целая кипа, и вроде как их нужно разослать, но не все из них будут прочитаны. Очевидно, что в этом случае приходится составлять график отправки.
В СУЭК внутренние отчеты находятся в развитии с 2005 года – по заявлению выступающего, все это происходило фактически на его глазах. Вначале они отталкивались от рисков, плюс уделялось внимание и тому, что проделано в плане управления рисками. Однако вскоре выяснилось, что менеджеру интересно далеко не все из этого. После кризиса 2008 г. на первый план вышли вопросы контрольно-ревизионной работы, борьбы с хищениями, расследования. В 2011 году, в связи с изменением структуры собственности и соответствующего изменения идеологии, они перешли к анализу эффективности бизнеса и способах его повышения. Это наложило свой эффект и на содержание отчетов. Например, в 2007 году они писали их в Word на основе все той же программы TeamMate. Потом перешли на формат презентаций (было это после кризиса, когда ставился акцент на контрольно-ревизионной работе). В 2011 году вернулись к «Ворду», ибо решили, что он удобен и нагляден, и ничего страшного в этом нет.
________________________________
Выступавшая следом Анна Сергеева – директор департамента внутреннего аудита ООО «Энтер» (группа компаний «Связной») – рассказала о таком явлении как «текущий мониторинг», под которым понимается механизм повышения эффективности деятельности подразделения ВА. Вторая часть ее выступления касалась практических аспектов внедрения текущего мониторинга в компании Enter.
Что это вообще такое? Есть несколько подходов, но при этом нет унифицированного, тем более официального их перечня или хотя бы определения. Анна Сергеева сообщила, что уже давно интересуется и активным образом занимается этой темой. На основании всей изученной ею на сегодняшний день литературы можно выделить следующие 3 основных подхода. Итак, текущий мониторинг может представлять собой:
1) Онлайн-инструмент бизнеса-анализа
2) Инструмент внутреннего аудита и внутреннего контроля. Для иллюстрации тут можно привести аналогию: главврач в больнице, к которому стекается вся информация о больном, данные по температуре, кровяном давлении, ритмах сердца.
3) Наконец, это может быть инструментом защиты ресурсов, способным предотвратить несанкционированное использование информации, незаконное перемещение и т.д.
___________________________
Ну а последней перед перерывом с презентацией «Порядок выполнения аудиторских заданий по предоставлению гарантий» выступила Наталья Негруб, эксперт департамента внутреннего аудита ООО «Сибур».
Сибур сегодня – это более 30 производственных предприятий, расположенных почти по всей территории РФ. Компания осуществляет экспорт в 76 стран мира. Стоимость инвестроектов составляет более 3.5 млрд. долларов. Все это, безусловно, накладывает свой отпечаток на картину рисков, и менеджеры оценивают функцию по управлению рисками как очень важную.
При планировании аудита важна максимальная прозрачность и комплексный подход. Последний функционирует как раз на этапе предоставления результатов. Попробуем рассмотреть подробнее, как это действует.
Фокус, как водится, делается на самом важном. Используется оценка состава ключевых рисков компании. Ключевые риски оцениваются раз в полгода. Для этого очень часто применяется такая форма опроса как интервью, результаты которых выносятся на суд совета директоров. На основе перечня приоритетных рисков составляется план работы на год.
Известно, что во многих компаниях отсутствует системный перечень рисков. Ситуация не очень благоприятная, ибо в любом случае аудиторам придется составлять его самостоятельно, что с необходимостью добавит некий элемент субъективности. Подключение менеджера отчасти решает проблему: по крайней мере, здесь уже не возникает вопросов к аудиторам, откуда они вообще взяли эти риски.
При анализе предприятий каждого из 4-х дивизионов (внутрикорпоративное деление самой компании Сибур) можно сделать корректный вывод о системе в целом.
Наибольшая эффективность при выполнении аудиторского задания достигается при привлечении региональных центров. Это позволяет снизить сроки проведения аудита. Создание региональных центров также обеспечивает независимость аудита, ведь в этом случае устраняется зависимость от генеральных директоров.
При выполнении аудиторского задания работает принцип формализации знаний. На разных предприятиях работает несколько аудиторских групп, но в условиях нехватки экспертов компания не может выделить специалистов на все задания, поэтому есть некий «аудиторский эксперт», который координирует работу таким образом, в что каждой конкретной группе, на каждом предприятии работают «универсальные» специалисты, не являющиеся экспертами в какой-то одной области, но при этом способные справиться в чем-то, что требует внимания. Это обеспечивает максимально эффективное распределение человеческих ресурсов.
Как же добиться результатов, понятных заказчику? Для этого составляется матрица остаточных рисков. Производится оценка дизайна, оценка надежности контрольных процедур. Аудитору понятно, почему именно сформировался тот или иной риск, что намного упрощает его общение с менеджерами. В конце концов, у них одна общая цель – для аудитора, менеджера, и топ менеджера – снижении рисков!
Благодарим Институт внутренних аудиторов за плодотворное сотрудничество в рамках мероприятия – GAAP.RU