Внутренний аудитор на страже средств акционера: аудит действий топ-менеджмента

Внутренний аудит и внутренний контроль

Автор:
Источник: Ассоциация “Институт внутренних аудиторов”
Опубликовано: 12 декабря 2019

Автор: Екатерина Лобова, менеджер по внутреннему контролю и аудиту, группа внутреннего контроля и аудита Корпоративного центра, Филиал ПАО «МТС» в Нижегородской области, член Ассоциации “Институт внутренних аудиторов”

В начале октября 2019 года был арестован топ-менеджер одной из крупнейших российских корпораций по подозрению в мошенничестве. По версии следствия, он заключал контракты на оказание юридических услуг со сторонними компаниями, хотя работы по контрактам выполняли штатные юристы корпорации. Ущерб от махинаций составил не менее 250 млн руб.

Чуть ранее, летом этого года, был арестован топ-менеджер еще одной крупной российской компании. По версии следственного комитета, он вывел за рубеж более 4 млрд. руб. по подложным документам, в результате продажи акций дочерней компании по многократно завышенной цене.

Тоже в октябре 2019 года трое руководителей другой крупной российской компании были отданы под суд за дачу взяток на общую сумму более 1 млн. руб. для сокрытия нарушений при проведении ремонтных работ.

Список известных иностранных организаций, пострадавших от скандала в последние годы из-за ошибок управления, более длинный. Наиболее громкие названия – Nissan, Uber, Wells Fargo, Papa John's, Tesla.

Все эти примеры показывают, как успешные, процветающие организации могут понести быстрый и значительный репутационный ущерб, когда ошибки их лидеров становятся достоянием общественности.

Сегодня многие продолжают думать, что внутренний аудит должен ограничиться гарантиями в управлении рисками и в отношении внутреннего контроля. Тем не менее, согласно Международным стандартам профессиональной практики внутреннего аудита, по определению, внутренний аудит помогает организации достичь поставленных целей, используя систематизированный и последовательный подход к оценке и повышению эффективности процессов управления рисками, контроля и корпоративного управления.

К сожалению, слишком часто внутренний аудит является запоздалой оценкой эффективности корпоративного управления. Несмотря на требования Стандарта IIA 2110, гласящего, что деятельность внутреннего аудита дает оценку и рекомендации по совершенствованию процессов корпоративного управления в ряде областей, порой советы директоров и высшее руководство не допускают внутренний аудит до таких областей, которые они считают исключительно своей епархией в корпоративном управлении.

Президент IIA Ричард Чемберс в своих статьях “Когда руководители выходят из-под контроля – слишком поздно указывать пальцем” и “В зале заседаний совета директоров слишком много вежливости?”, опубликованных в сентябре и ноябре 2018 г., раскрывает основную причину последних громких корпоративных скандалов: неэффективный надзор со стороны совета директоров. Слишком многие советы директоров неохотно задают вопросы руководству. Слишком часто советы директоров говорят: «Мы наняли отличного генерального директора. Отойдем в сторону и позволим ему делать свою работу». Надзор за управлением в рамках организации – это работа совета директоров, но совет – не единственный, кто ответственен за качественное корпоративное управление. Один из имеющихся в его распоряжении инструментов – хорошо обеспеченная ресурсами независимая функция внутреннего аудита.

Модель корпоративного управления IIA предусматривает синергетическое взаимодействие четырех ключевых компонентов: совет директоров, высшее руководство, внешний аудит и внутренний аудит. Это взаимодействие схематично выглядит следующим образом:


Согласно Стандарту IIA 2110, процессы корпоративного управления улучшаются, если все четыре группы эффективно и продуктивно работают в одной связке. В дополнение к указанным основополагающим принципам, все компании должны добиваться нетерпимого отношения к неприемлемому и неэтическому поведению. По-настоящему успешные компании – это компании, поощряющие культуру профессиональной честности и добросовестности, которая, в свою очередь, зависит от того, какой тон задается в компании наверху, т.е. от главенствующего настроя. А он как раз и устанавливается советом директоров, высшим руководством и комитетом по аудиту.

Вот почему проведение таких аудитов, как аудит действий высшего исполнительного руководства, или топ-менеджмента, в наши дни очень актуально.

Что проверяем?

Когда требуется провести аудит действий какого-либо руководителя, необходимо максимально четко сформулировать стоящую перед внутренним аудитором задачу. Какие действия руководителя представляются рисковыми? Какие вопросы следует проанализировать – вопросы этики и делового общения, взаимоотношений с подрядными организациями, с контрагентами, с государственными должностными лицами? Незаконное использование имущества компании в своих личных интересах? Намеренное искажение управленческой или финансовой отчетности? Заведомое занижение / завышение планов для последующего манипулирования фактом исполнения этих планов. Эффективность доверенных топ-менеджеру проектов. Эффективность или неэффективность управления филиалом/ регионом/ кластером/ функциональным направлением. Все эти вопросы могут стать первоочередными при проведении аудитов действий топ-менеджера.

Порой случается, что у совета директоров есть сомнения в добросовестности кого-то из топ-менеджеров. В случае, когда проверяемая область четко не сформулирована (хотя внутренний аудитор должен приложить все усилия, чтобы получить от заказчика максимально четкую формулировку предмета аудита), целесообразно проверить те направления, которые представляются наиболее рисковыми в контексте рассматриваемой проблемы. Например, если проводится аудит действий директора по закупкам, необходимо проанализировать в первую очередь те закупки, лимит которых таков, что конечное решение по выбору победителя лежит именно в зоне его ответственности.

Средства и методы аудита

Говоря об аудите действий топ-менеджера как таковом, необходимо понимать, что это довольно специфичный аудит, как в отношении объекта аудита, так и в отношении используемых методов проверки. Даже перед проведением такого аудита уже появляются свои нюансы. При информировании менеджмента о проведении такой проверки следует подумать над ее названием. Лучше назвать такой аудит как-то нейтрально: аудит ФХД региона или, например, аудит процесса закупок. Во всех официальных уведомлениях лучше избежать «громких слов», но при этом следует помнить о цели проведения такого аудита и составить соответствующую программу проверки.

После проведения аудита действий топ-менеджмента необходимо получить пояснения проверяемого по каждому выявленному недостатку. Лучше всего сделать это через заказчика проверки, т.е. предоставить ему предварительные результаты для анализа и рассмотрения, с тем, чтобы заказчик запросил соответствующие комментарии у топ-менеджера.

Какие же средства и методы обычно применяют при проведении аудита действий топ-менеджера?

  1. Опрос (интервью) сотрудников. Методы и средства, используемые аудиторами для сбора данных, могут быть самыми различными. Это могут быть вопросники, контрольные чек-листы, анкетирование, опросы сотрудников. В случае проведения аудита этических действий топ-менеджмента наилучшим средством сбора информации будут интервью с его подчиненными и анонимное анкетирование, т.к. эти два способа сбора информации помогают наилучшим образом расположить к себе собеседника (интервью) и дать возможность отвечать честно и открыто, не боясь быть разоблаченным (анонимные анкеты для сотрудников). Проведение грамотного интервью – это тоже искусство, которому нужно учиться. Здесь очень важны умение слушать, понимание психологии собеседника, а также грамотное составление вопросов.
  2. Аналитическое наблюдение. В случае с аудитом топ-менеджмента наблюдение подразумевает не столько визуальный контроль за происходящим, сколько удаленное наблюдение: внедрение специального ПО в рабочий компьютер, анализ служебной почты, детализация звонков служебного телефона, изучение соц.сетей. Этот раздел работы не может быть проведен без помощи коллег из службы безопасности.
  3. Документальный анализ и обобщение информации. Значительную долю работы аудитора в ходе проведения проверок топ-менеджмента составляет анализ документов. В зависимости от специфики проверяемых вопросов используются разные типы документов – электронные, бумажные, электронная переписка, выгрузки из учетных систем и т.п. Обобщение информации необходимо проводить своевременно и в контексте проверяемых вопросов.
  4. Документирование информации. Все аудиторские процедуры должны своевременно документироваться, однако при проведении аудита топ-менеджмента необходимо соблюдать это правило во 100 крат тщательнее. При обсуждении с проверяемым результатов проверки необходимо быть уверенным в том, что на любой сделанный вывод собраны все весомые доказательства и должным образом задокументированы. Любая промашка в документировании может негативно отразиться на мнении заказчика о результатах проверки и на компетентности проверяющих.
  5. Отчетность (изложение выводов высшему руководству и/или собственникам). Основное требование к аудиторскому отчету в данному случае – краткость и полная компетентность сделанных выводов. Подробнее на требованиях к аудиторскому отчету мы остановимся ниже.

Мошенничество со стороны руководителей организации и «красные флаги» (признаки мошенничества)

Один из главных вопросов для внутреннего аудита в отношении мошенничества – это осознание своей роли в предотвращении, выявлении и преследовании мошеннических действий. Согласно требованиям Стандарта IIA 1210.А2, внутренние аудиторы должны обладать достаточными знаниями, чтобы оценить риск мошенничества и то, каким образом организация управляет этим риском. В то же время не предполагается, что внутренние аудиторы обладают компетенцией специалистов, чья основная функция заключается в выявлении и расследовании фактов мошенничества.

Это означает, что сами внутренние аудиторы не несут ответственности за предотвращение мошенничества, однако они должны уметь распознать признаки и ситуации, указывающие на возможность совершения мошеннических действий.

Мошенничество заключает в себе целый набор действий, которые можно охарактеризовать одной фразой: преднамеренный обман. Обычно требуется наличие трех условий, чтобы человек мог совершить мошенничество:

- мотив;

- возможность;

- умение найти оправдание своим действиям.

Мошенничество со стороны руководителей организации является серьезной формой злоупотребления, т.к. совершается лицом, обладающим властью в организации. Перечислим некоторые основные причины злоупотреблений со стороны топ-менеджеров:

- топ-менеджер принял ошибочное управленческое решение, после чего он уже не может исправить проблему, действуя законным путем;

- некомпетентные руководители могут идти на подлог, чтобы сохранить за собой должность;

- результаты деятельности могут искажаться ради возможности поучения больших бонусов;

- некоторых топ-менеджеров может толкать на обман стремление добиться успеха;

- наличие у руководителей конфликта интересов;

- стремление получить дополнительные рыночные преимущества.

Мошенничество со стороны руководителей организации может совершаться как во благо организации, так и во вред.

Примеры мошенничества, совершенные во благо организации:

- продажа или передача прав на получение фиктивных активов, либо активов, о которых была представлена ложная информация;

- незаконные выплаты или пожертвования на политические цели, взятки, откаты, а также выплаты госслужащим либо посредникам госслужащих, заказчиков или поставщиков, с целью побуждения их к принятию решения, выгодного Компании;

- намеренное некорректное представление или оценка транзакций, активов, обязательств и доходов;

- намеренное проведение неравноправных операций со связанными сторонами (сделок с заинтересованностью);

- сознательное сокрытие или нераскрытие важной информации, которая при раскрытии ухудшила бы финансовое положение компании для внешних пользователей;

- запрещенные виды бизнеса или запрещенные сделки, в нарушение требований государственных регуляторов или условий контрактов;

- налоговое мошенничество.

Примеры мошенничества во вред организации:

- получение взяток и откатов с целью принятия решения во вред компании;

- передача стороннему лицу потенциально прибыльной операции, осуществление которой самой организацией привело бы к получению компанией прибыли;

- растрата, незаконное присвоение денежных средств или имущества, фальсификация финансовых документов для сокрытия ранее совершенного действия;

- преднамеренное сокрытие или искаженное представление событий или данных;

- подписание документов о приемке и оплате товаров или услуг, которые в действительности не были проданы или оказаны организации.

Ниже приведены так называемые «красные флаги», или признаки мошенничества:

  • стиль жизни, несопоставимый с доходами;
  • жалобы на работу коллегам (слишком много обязанностей, много командировок, долго не повышали зарплату и т.п.);
  • необычно тесные связи или дружба с поставщиками/ подрядчиками/ контрагентами;
  • значительные личные финансовые потери;
  • зависимость от алкоголя, наркотиков, азартных игр, сильная тяга к противоположному полу;
  • значительные изменения в личной жизни;
  • появление деловых интересов вне компании;
  • редкие отпуска и больничные или их полное отсутствие;
  • явная раздражительность и даже агрессия по отношению к аудиторам.

Состав участников аудита

Кроме сотрудников службы внутреннего аудита, в составе комиссии по аудиту могут быть представители следующих подразделений:

  • Служба безопасности. Расследование случаев мошенничества требует получения такой информации, которую в силу ограниченности ресурсов служба внутреннего аудита получить не может.

Примеры информации, которую можно получить зачастую только с помощью службы безопасности:

- не привлекался ли руководитель к уголовной ответственности за правонарушения, связанные с финансовой или иной деятельностью на предыдущих местах работы;

- не был ли руководитель уволен с прежних мест работы по причинам, связанным с финансовыми и иными нарушениями, которые официально не получили огласки;

- не было ли в числе мест прежней работы организаций, которые практикуют «теневые» схемы бизнеса.

Кроме того, коллеги из службы безопасности могут помочь определить геолокацию по звонкам с мобильного телефона, выгрузить информацию по входам и выходам с/ на территорию офиса/предприятия, провести перекрестные допросы сотрудников и при необходимости применить полиграф.

  • Служба комплаенс. Compliance в переводе с английского обозначает соблюдение, согласие, покладистость. Применительно к бизнесу термин «комплаенс» – это способность действовать в соответствии с порядком и законом. Иными словами, это комплекс мер по формированию ответственного поведения компании и ее сотрудников. Платой за отсутствие системы комплаенс-контроля являются высокие штрафные санкции регулирующих органов, особенно связанные с соблюдением антикоррупционного законодательства. Поэтому, фактически, в крупных компаниях, акции которых котируются на международных биржах, наиболее актуальна служба антикоррупционного комплаенс. В ней работают высококвалифицированные специалисты, проводящие обучающую, разъяснительную и консультационную работу, направленную на предотвращение нарушений антикоррупционного законодательства (как российского, так и, например, американского). Поэтому помощь таких экспертов в аудите действий, проводимых топ-менеджером, очень важна.
  • HR и юристы. Все подобные аудиты должны проводиться с большой осторожностью и с полным пониманием правовых последствий для компании. Сотрудники этих подразделений помогут быстро и квалифицированно предоставить любую информацию, касающуюся кадрового администрирования (суммы начислений и выплат по зарплате, информация по отпускам, больничным, даты карьерных перемещений в компании и т.д.) и правового сопровождения тех или иных сделок, выводов, последствий принятия решений и реализации рекомендаций. Необходимо лишь, чтобы в отношении этих сотрудников был соблюден принцип независимости.
  • Прочие сотрудники компании – независимые эксперты в проверяемых вопросах. Порой в ходе аудита необходима консультация узкого эксперта в каком-либо вопросе (например, техника, строительство, ИТ и пр.). Здесь также необходимо помнить о принципе независимости, в случае сомнений всегда можно обратиться к услугам приглашенных специалистов со стороны. Следует лишь помнить, что их услуги не бесплатны и придется проводить закупочную процедуру, т.е. поиск специалиста займет определенной время. К тому же, эксперт со стороны может не сразу вникнуть в специфику работы конкретного предприятия.

Обобщение результатов аудита. Выводы и рекомендации

Обобщать результаты аудита предпочтительнее сотрудникам службы внутреннего аудита, т.к. все вышеперечисленные специалисты являются экспертами в своих, узко специализированных областях. Но умение четко, кратко и грамотно изложить в заключении все выводы и рекомендации – это, бесспорно, сфера высокой экспертизы аудитора.

Кратко напомним основные требования к аудиторскому отчету/ заключению и интерпретируем их применительно к аудиту действий топ-менеджера:

  • Краткость и четкость всех формулировок. Необходимо помнить, что это заключение будет читать высшее руководство, совет директоров и комитет по аудиту. У них нет времени и желания читать витиеватые и сложные тексты. Поэтому все написанное в заключении должно быть максимально кратко и четко изложено
  • Структурированность изложения. Рекомендованная Стандартом IIA 2410 структура аудиторского заключения:

- общая информация

- цели проведения аудита

- объем и содержание проверки (указываются проверенные вопросы, объем и наименование проанализированной информации, может быть указана дополнительная информация, например, деятельность в смежных областях, не подвергшихся проверке, чтобы очертить область проверки)

- описание результатов (наблюдения, выводы, рекомендации)

  • Доказанность всех выводов. Это, казалось бы, неотъемлемое требование, приобретает огромное значение применительно к аудиту топ-менеджмента. Любая ошибка или неточность может крайне негативно отразиться на общем мнении об аудиторском отчете и вообще на доверии высшего руководства и совета к аудитору. Не говоря уже о том, что при получении комментариев проверяемого все ошибки и неточности будут преподнесены проверяемым как некомпетентность аудиторов или желание представить ситуацию искаженным образом. Запрашивать комментарии у топ-менеджера необходимо в силу следующих факторов:

- требование российского законодательства (в соответствии со ст.193 ТК РФ работодатель обязан затребовать у работника письменное объяснение по выявленным нарушениям);

- аудиторам и руководству необходимо выяснить мотивы совершения топ-менеджером тех или иных проступков.

  • Уместность всех рекомендаций. По сути, все рекомендации по результатам такого аудита можно разделить на 2 основные группы:

- рекомендации по совершенствованию системы внутреннего контроля с целью недопущения выявленных недостатков;

- рекомендации по вынесению дисциплинарных взысканий, вплоть до увольнения.

  • Последующий мониторинг выполнения рекомендаций со стороны аудитора. Не стоит забывать о том, что мониторинг выполнения рекомендаций является неотъемлемым фактором работы службы внутреннего аудита. Как по результатам любого аудита, составляется план устранения выявленных недостатков и отслеживается исполнение всех согласованных с руководством рекомендаций.

*****************************************************************************************************

Итак, подытожим: что же отличает все-таки аудит действий топ-менеджмента от обычного аудита?

1. Цель. Совет директоров должен четко сформулировать проблему и предмет проверки. Если этого не делается, то служба внутреннего аудита должна приложить все усилия, чтобы была четко озвучена цель проведения аудита. Если аудит проводится по анонимной жалобе, то в ней обычно уже излагаются конкретные факты или выводы, которые аудитору потом следует проверить.

Напомним, что в соответствии с требованиями Стандарта IIA 2110 высшее руководство должно обеспечить процесс по рассмотрению жалоб, поступающих в случае возможных нарушений Кодекса делового поведения и этики. По результатам проверки должны быть применены и соответствующие меры взыскания. Поэтому зачастую аудит действий топ-менеджмента проводится по поступившей анонимной жалобе.

2. Специфичность проверяемых вопросов, средства и методы проведения аудита и расширенный состав участников. Поскольку при проведении аудита используются специфические методы, больше характерные для служебного расследования, то и участники привлекаются из смежных специфических подразделений.

3. Срок. При проведении аудита действий топ-менеджера часто ставятся очень сжатые сроки. В ходе проведения аудита может оказаться, что для качественного проведения проверки необходимо продлить срок. Это обязательно нужно сделать, поскольку качество аудита здесь должно быть на самом высоком уровне. Малейшая неточность или ошибка – вся работа аудитора может завершиться фиаско.

4. Реакция проверяемых на аудит. Как ведет себя топ-менеджер в рамках такого рода аудита? Обычно есть два вида настроя: крайне негативный и, наоборот, лояльный. Если реакция на проверяемых крайне негативная – это «красный флаг». Такая реакция – это защитная форма поведения, чтобы отпугнуть аудиторов и не дать им досконально разобраться в ситуации. Но поскольку подавляющее большинство топ-менеджеров – люди, безусловно, умные и образованные, хорошо владеющие собой и знающие психологию, они в большинстве своем не будут демонстрировать открытый негатив. Часто топ-менеджерами проводятся предварительные беседы с сотрудниками, их готовят к тому, как и что надо отвечать аудиторам, какую информацию давать и т.д. К этому необходимо быть готовыми и грамотно проводить как интервьюирование, так и документальный анализ.

И в завершение хочется сказать еще одно. Проверить топ-менеджера службу внутреннего аудита просят лишь в тех компаниях, где по-настоящему высока степень ее независимости и статуса. Кроме того, степень доверия к профессионализму и полезности службы внутреннего аудита тоже должна быть очень высокой. Такого рода задания даются только высококвалифицированным внутренним аудиторам, в которых совет директоров и комитет по аудиту искренне видят некого «третейского судью».

Хочется надеяться, что по-настоящему независимые и полномасштабные аудиты действий топ-менеджмента позволят российским компаниям выйти на новый, мировой уровень корпоративного управления, избежать ошибок и стать процветающими и успешными.

Автор:

Теги: внутренний аудитор  мошенничество  действия топ-менеджмента  внутренний аудит  управление рисками  внутренний контроль  Международные стандарты профессиональной практики внутреннего аудита  корпоративное управление  IIA 2110  корпоративные скандалы  аудит