Комитет по аудиту: оценка риска и другие обязанности

Бывают дни, когда меня не спасают даже счастливые трусы — те, что разрисованы космическими ракетами.
Кальвин, персонаж американских комиксов

Члену современного аудиторского комитета не позавидуешь. Неудивительно, если он чувствует себя Сизифом, который силится затолкать на гору гигантский камень, тщетно надеясь, что сможет помешать этому валуну снова скатиться ему на макушку. Поставьте на место валуна горы бумаг и кипы инструкций, и вы сразу ощутите, что это такое — в поте лица взбираться в изношенных кожаных сандалиях по крутому склону. В этой главе, которая, как и предыдущая, посвящена вопросам руководства, мы рассмотрим роль аудиторского комитета, его обязанности, а также нормативные положения, сопровождающие его деятельность, в надежде облегчить ношу, которая выпала на долю его членов.
Консультационная компания KPMG в 1999 году создала свой Институт комитетов по аудиту (ACI) с целью помочь членам этих комитетов и представителям высшего корпоративного руководства разрешать трудности, с которыми, они сталкиваются. С того времени нам довелось общаться буквально с тысячами членов советов директоров, председателей аудиторских комитетов и менеджеров высшего звена. Эта работа позволила нам обсудить проблемные вопросы и повысить свою осведомленность в области эффективности деятельности аудиторских комитетов.

Функции комитет по аудиту

Призванные стоять на страже интересов инвесторов и контролировать соблюдение правил корпоративной отчетности, аудиторские комитеты вынуждены нести на себе основную тяжесть пристального внимания со стороны органов государственного регулирования и инвесторов. Под прицелом этих зорких взглядов роль комитетов по аудиту все чаще стали связывать с обязанностью курировать вопросы риска, следуя определенному регламенту и используя доступные механизмы и подходы.
Полное совпадение взглядов на надзорные обязанности комитета по аудиту

• в дополнение к тем требованиям текущих правил, которые касаются независимости и специальных знаний его членов,
• способствует более широкому обсуждению его функций, так что давайте-ка с этого и начнем.

Исторически практика работы аудиторских комитетов эволюционировала в соответствии с изменениями в окружающей бизнес-среде (и отличалась недостаточной определенностью и ограниченными полномочиями). Однако недавние реформы и последние законодательные новшества, включая принятие в 2002 году закона Сарбейнса – Оксли, резко оборвали естественное развитие этого института и поставили его в рамки жестких формальных требований. Благодаря этому правовому акту объемом в 130 страниц мы впервые получили законное определение аудиторского комитета:

Комитет по аудиту (или аналогичный ему орган) учреждается советом директоров акционерного общества (и формируется из числа его членов) с целью надзора за процедурами ведения бухгалтерского учета и подготовки финансовой отчетности общества, а также за аудиторскими проверками его финансовой отчетности.

В сложной обстановке, ставшей результатом ряда корпоративных скандалов, члены комитетов по аудиту вынуждены придерживаться правил, которые (создается такое впечатление) меняются у них на глазах просто непрерывно. Из-за напряженности ситуации в настоящий момент повышается вероятность того, что аудиторские комитеты станут уделять соблюдению нормативных требований слишком большое внимание. И тогда формальные процедуры могут перечеркнуть содержание норм. Изо всех сил стараясь уследить за арбитром, аудиторские комитеты при этом зачастую испытывают сильную потребность снова обратить свой взор на игру, которая происходит на поле. Весной 2003 года компания KPMG организовала круглый стол среди членов аудиторских комитетов, и присутствовавшие на нем специалисты отметили, в частности, следующие специфические вопросы, вызывающие у них беспокойство:

• «Простое подчинение всем новым правилам отнимает у членов комитета по аудиту массу времени и может отвлекать их от выполнения своих основных обязанностей».
• «Существует тонкая линия, отделяющая «надзор» от «микроменеджмента». Где она проходит? На возможном судебном разбирательстве нас спросят: «Почему вы не знали таких-то деталей?» Так каким объемом информации мы обязаны владеть?»
• «Важно научиться согласовывать утилитарные соображения и наши собственные приоритеты с условиями новой нормативной среды; тогда мы будем знать наверняка, что концентрируем внимание не только на форме [различных требований], но и на содержании».
• «Появилось чрезмерное количество разного рода официальных заключений, приводящих к излишней погоне за формальным исполнением требований и недостаточно вдумчивому отношению к делу».
• «Трудно уследить за всеми изменениями на Нью-Йоркской фондовой бирже, извещениями и предписаниями Комиссии по ценным бумагам и биржам, если пытаешься сосредоточиться на существе дела, а не на деталях».
• В ответ на эти волнующие специалистов вопросы мы разработали систему эффективного контроля над риском — этакий «спасательный круг», за который могут ухватиться аудиторские комитеты, чтобы выбраться из того омута рисков, постановлений и требований, в который их окунули. Целью создания такой модели было помочь членам совета директоров более четко уяснить основные соображения, которыми они должны руководствоваться, и одновременно наметить точку отсчета.

В основе нашей системы лежит центральный набор вопросов:

• Каким важнейшим рискам, относящимся к составлению бухгалтерской и финансовой отчетности, следует уделить особое внимание? (См. главу7.)
• Какой объем какого рода информации менеджмент должен предоставлять аудиторскому комитету?
• Каков желаемый уровень координации между аудиторским комитетом, менеджментом и внутренними и внешними аудиторами?
• Каким образом следует выстроить схему деятельности комитета по аудиту, чтобы максимально эффективно и производительно использовать рабочее время?
• Как успешно совмещать следование вновь возникающим предписаниям с ежедневной заботой о судьбе бизнеса?

Сводя все эти вопросы воедино, можно обобщенно сформулировать задачу следующим образом: как получить достоверную информацию из нужного источника в подходящих обстоятельствах и в соответствующее время.
Создание реальной системы контроля над риском — это своего рода инвестиции, и к тому же трудоемкие. Для их осуществления требуется наличие соответствующих информационных потоков, а если поступающая информация неточна, следует проанализировать, где и каким образом нужно провести усовершенствования. Требуется также вдумчивая, открытая и доверительная дискуссия с руководителем компании, другими представителями операционного менеджмента, финансовым директором, корпоративным секретарем, главным консультантом, внешним и внутренним аудиторами.

Организация контрольной функции комитета по аудиту

Наконец, требуется, чтобы члены комитета по аудиту глубоко продумали внедрение процедур, которые будут способствовать лучшему пониманию и контролю, с учетом следующих элементов:

1. Уникальная роль аудиторского комитета по сравнению с другими участниками подготовки финансовой отчетности (включая соответствующие внутренние процессы) состоит: в обеспечении беспристрастной, точной и полной отчетности; раскрытии финансовой информации; обеспечении соответствия нормативным требованиям; поддержании контактов с инвестиционным сообществом.
2. Решающее значение риска искажений финансовой отчетности.
3. Эффективность процесса составления финансовой отчетности и лежащей в его основе системы внутреннего контроля.
4. Независимость, подотчетность и эффективность аудиторского комитета, равно как и внешних и внутренних аудиторов.
5. Прозрачность финансовой отчетности.

Французский художник Эдгар Дега однажды посетовал: «У меня в голове, по правде говоря, столько всякой всячины; вот если бы можно было все это застраховать, как и всякое другое имущество». Но поскольку таких страховых компаний не существует, а члены аудиторских комитетов вынуждены сегодня нести повышенное бремя ответственности, то внедрение осмысленной системы контроля над рисками наверняка будет стоить потраченных усилий. Большинство комитетов по аудиту, которые реализовали у себя эту действенную модель, не жалеют о потраченном времени и рассматривают ее как ценный элемент защиты своей компании и самих себя от чрезмерной подверженности риску.
Прежде чем перейти к непосредственному описанию нашей модели, сделаем несколько замечаний касательно общих принципов контроля.

Принципы контроля

По общему признанию, грань между контролем и управлением весьма тонка, и члены аудиторских комитетов часто недоумевают, как ее лучше всего нащупать. Несомненно, занимаясь «микроменеджментом», вы рискуете, перефразируя Дейла Карнеги, «потерять друзей и отдалить от себя людей». Контроль же означает необходимость проследить за тем, что менеджер, образно выражаясь, на случай ранения заранее подумал о бинтах, что у него в запасе есть необходимое количество перевязочных материалов и он имеет навык по их применению. Это не значит, что членам совета директоров придется самим засучить рукава и перевязывать раненых. С принципиальной точки зрения контроль обычно означает оттачивание умения задавать вопросы.
Предельно упрощая, можно сказать, что, по мнению членов советов директоров, с которыми мы беседовали, «чем спрашивать, как менеджер реагирует на те или иные трудности, лучше сосредоточить внимание на том, кто за это отвечает и в чем именно заключается эта ответственность». Если, например, вы состоите в совете директоров электроэнергетической компании, то вам вовсе не обязательно быть инженером для того, чтобы понять, действительно ли имеются все необходимые ресурсы и технические средства, позволяющие предоставлять потребителям качественные услуги. Сточки зрения контроля вам необходимо убедиться, что вы понимаете, кому в организационной иерархии подотчетны эти «кто» в каждом конкретном случае. Как советует Том Хортон, бывший председатель Национальной ассоциации корпоративных директоров, вышедший ныне на пенсию, «следует всюду совать свой нос, но не стоит трогать руками».
Однако в реальности во многих комитетах по аудиту сложилась такая ситуация, что «носам», чтобы иметь возможность надлежащим образом выполнять свою работу, требуется «соваться» в дела компании куда сильнее, чем это было до сих пор. Джей Кейворт говорит: «Я думаю, должен установиться диалог между членами совета и генеральным директором, членами совета и людьми на местах. Основой этого диалога должны стать слова: «Не рассказывайте мне о вашем бизнесе. Скажите лучше об основных областях риска»».
Раймонд Троуб является действующим председателем совета директоров компании Enron. О контроле он говорит так: «Члены совета директоров всегда были наделены властью; законы, регулирующие их полномочия, не изменились. Они продолжают пользоваться всеми теми же правами, какие получили прежде»1. Это следует сохранить и в будущем. Когда комитеты по аудиту проверяют финансовую отчетность отдельных организационных подразделений, они должны сразу задавать сотрудникам этих отделов вопрос: «На каком участке у вас наиболее вероятны просчеты?»
Члены советов директоров, с которыми мы общались, подчеркивают, что члены аудиторского комитета должны научиться в определенной степени регулировать повестку дня. Они должны сами определять эту повестку и добиваться активного участия со стороны финансового директора и аудитора, а не следовать плану, подготовленному другими. «Если их пытаются «кормить» чем-то насильно, — говорит Кейворт, — они должны прямо сказать: «Мы этого не хотим»».
Сотрудничая с инспектором корпорации или финансовым директором, аудиторский комитет должен требовать от них предоставления достоверной информации и, как говорит Кейворт, «использовать преимущество закрытых совещаний, которые комитет проводит, например, с внутренним аудитором и, почти наверняка, с аудиторами внешними». Эти заседания должны посвящаться теме риска и различным спорным вопросам, причем члены комитета по аудиту должны заранее запросить и ознакомиться с подробной информацией, которая распространяется и обсуждается в компании, а не полагаться на то, как изложат факты менеджеры и аудиторы. Желательно также, чтобы закрытые совещания содействовали открытому и искреннему общению членов комитета, что должно всячески поощряться.
Несмотря на то что члены комитетов по аудиту избегают брать на себя выполнение управленческих задач, большинству из них настоятельно требуется увеличить свое участие в жизни компании и контроль за ее деятельностью. Только тогда они смогут достичь подобающего уровня знаний и того качества взаимодействия внутри компании, которое подразумевается их ролью, и реально соблюдать требования закона Сарбейнса – Оксли.

Состав и регламент работы комитета по аудиту

Структура и порядок работы аудиторского комитета — это верхушка пирамиды на рисунке, который мы приводили ранее. При рассмотрении этих элементов контрольной функции совет директоров непременно захочет удостовериться, что аудиторский комитет состоит из соответствующих людей, т. е. что это люди опытные, порядочные, любознательные и независимые. Новая американская фондовая биржа, Комиссия по ценным бумагам и биржам США и закон Сарбейнса – Оксли идут еще дальше. В соответствии с требованиями стандартов листинга американских фондовых бирж, комитеты по аудиту в котируемых компаниях обязаны иметь в своем составе по крайней мере троих независимых, компетентных в финансовых вопросах специалистов, один из которых должен носить звание «финансового эксперта».
Такие требования вызывают много вопросов. Что, например, означает быть независимым?
По закону Сарбейнса — Оксли членам комитета по аудиту запрещается принимать, прямо или косвенно, «какую-либо плату за консультации или советы либо иные формы вознаграждения» как от компании-эмитента, так и от любого из его дочерних предприятий, сверх оплаты, которая причитается ему как члену совета директоров, комитета по аудиту или какого-либо другого комитета. Кроме того, закон устанавливает, что члены комитета по аудиту не могут являться аффилированными лицами самой компании либо ее дочерних предприятий, за исключением своей деятельности в качестве членов совета директоров. Вдобавок к этому каждая из трех основных фондовых бирж США — Нью-Йоркская фондовая биржа (NYSE), Национальная ассоциация дилеров ценных бумаг (Nasdaq) и Американская фондовая биржа (АМЕХ) — выступила с предложением о предъявлении к компаниям, зарегистрированным на этих биржах, дополнительных требований независимости.
В предложениях NYSE, в частности, содержатся два таких требования:

1. Прежде чем сотрудник будет признан независимым, должен истечь пятилетний срок.
2. Членство сотрудника в комитетах по аудиту более чем трех открытых акционерных обществ требует раскрытия в доверенности при голосовании акционеров.

В постановлениях, касающихся независимости членов аудиторских комитетов, нет недостатка, но все же в этом вопросе остается ряд неясностей. Рассмотрим пример. Скажем, Боб является членом аудиторского комитета многонациональной корпорации (назовем ее Shopper«s World), которая занимается оказанием самых разнообразных потребительских услуг. Боб уже несколько лет является преданным и активным членом аудиторского комитета компании Shopper»s World, но на своей повседневной работе занимает должность финансового директора другой многоотраслевой компании Universal Finance. Эта другая компания имеет небольшой зарубежный филиал, который корпорация Shopper's World только что привлекла для консультаций со своим израильским подразделением по вопросам финансирования нового товара для этого региона.
Скомпрометирована ли независимость Боба в совете директоров компании Shopper«s World тем, что подразделение его компании Universal Finance получило «косвенное вознаграждение»? А что если племянница Боба Джин, которая с отличием окончила бизнес-колледж Tuck и получила работу в компании Bain, в результате стала младшим компаньоном в проекте, задуманном в рамках соглашения Bain с Shopper»s World? Нарушит ли это независимость Боба?
Без привлечения квалифицированных опытных консультантов на подобные вопросы не найти прямого однозначного ответа. Не премините прибегнуть к услугам профессионального консультанта, когда у вас возникнут такие вопросы, а они неизбежно возникнут.
Вдобавок к соображениям независимости, в рамках закона Сарбейнса — Ок-сли и правил Комиссии по ценным бумагам и биржам США на компании также налагается требование предоставлять информацию о том, имеется ли в составе комитета по аудиту как минимум один финансовый эксперт. В информационных извещениях компания должна указать следующие факты:

• Является ли по крайней мере один из членов аудиторского комитета финансовым экспертом.
• Имя и фамилия финансового эксперта аудиторского комитета.
• Если в составе комитета по аудиту компании нет ни одного финансового эксперта, то необходимо объяснить почему.
• Является ли финансовый эксперт аудиторского комитета независимым от руководства.

В настоящее время отсутствие в составе комитета по аудиту финансового эксперта не карается никакими санкциями, однако большинство компаний все же предпочитает не «подставляться» и не предавать этот пробел огласке. В результате некоторые члены совета директоров пребывают в недоумении и пытаются понять, имеется ли у них в распоряжении такой финансовый эксперт или нет и как можно его опознать, если таковой все же имеется. Закон Сарбейнса — Оксли дает в этом плане определенные ориентиры и налагает на членов совета директоров обязанность самим решать, имеет ли аудиторский комитет в своем составе по крайней мере одного специалиста, который бы соответствовал критериям «финансового эксперта». Во исполнение статьи 407 закона Сарбейнса – Оксли Комиссия по ценным бумагам и биржам приняла правила, в соответствии с которыми для того, чтобы претендовать на признание финансовым экспертом, специалист должен одновременно удовлетворять пяти критериям:

1. Знать общепринятые нормы бухгалтерского учета (GAAP) и разбираться в финансовой отчетности.
2. Быть в состоянии оценить применимость GAAP в связи с отражением в учете оценочных данных, начислений и резервов.
3. Иметь опыт подготовки, аудита, анализа или оценки финансовой отчетности, в целом сопоставимой по объему и сложности с бухгалтерскими задачами, которые непременно встанут перед компанией-эмитентом, или иметь опыт непосредственного контроля над специалистами, занятыми такой деятельностью.
4. Иметь опыт работы со средствами внутреннего контроля финансовой отчетности.
5. Иметь достаточное представление о функциях комитета по аудиту.

Роберт Миттелыптадт является заместителем декана и руководителем программы повышения квалификации руководящих кадров в Уортонской школе бизнеса; он также участвовал в проведении нескольких государственных программ. Однако даже он признает: «Я обладаю довольно обширными знаниями, но все равно не соответствую определению «финансового эксперта», приведенному в законе Сарбейнса — Оксли. Большинство профессионалов в области бухгалтерии также нельзя признать финансовыми экспертами, поскольку, согласно нормативным положениям, такой эксперт должен иметь опыт работы аудитором, финансовым директором или президентом сопоставимой по размерам акционерной компании, а также опыт выполнения проверок финансовой отчетности. Я уверен, что многие советы директоров усиленно пытаются найти в своих аудиторских комитетах того, кто проходил бы по всем этим параметрам»2. Если вы член комитета по аудиту открытого акционерного общества и не знаете, как выполнить это предписание, обязательно воспользуйтесь необходимой помощью и советом специалиста.

Оценка работы комитета по аудиту

Большинство уставов содержат положение о ежегодной оценке качества работы комитета по аудиту. Это позволяет комитету критически оценить свой состав, свои отношения с менеджментом, с внутренними и внешними аудиторами, а также, в свете последних законодательных изменений, те предупредительные контрольные процедуры, которые он уполномочен осуществлять. Формальная оценка должна включать самооценку комитетом по аудиту качества собственной работы, равно как и характеристику его эффективности со стороны совета директоров, финансового директора, руководителя компании, внутренних и внешних аудиторов.

Конструктивное инакомыслие

В предыдущей главе мы обсуждали, как важно уметь создать в компании подходящую атмосферу. Мы говорили о корпоративной культуре и воспитании правильных психологических установок в отношении деловой этики и риск-менеджмента. Давайте более детально обсудим этот аспект применительно к деятельности комитетов по аудиту. Мы считаем, что сегодня необходимо сформировать в организации так называемую «культуру разногласий». Во многих исполненных благих намерений компаниях часто не просматривается отчетливой структуры управления рисками, а скорее, по умолчанию существуют определенные схемы взаимодействия между аудиторским комитетом и менеджментом, аудиторским комитетом и аудиторами — внутренними и внешними. В данном случае «создать атмосферу» означает просто добиться объективности и независимости аудиторского комитета, определить ожидания различных заинтересованных сторон, которые он контролирует и которые помогают ему осуществлять свои функции, а также установить его цели.
Патти Данн, член совета HP и заместитель председателя правления Barclays Global Investors, для характеристики надзорной роли комитета по аудиту использует выражение «слегка противостоящий». Она понимает, почему многие члены комитетов по аудиту недовольны тем, что менеджмент оказывает им сопротивление и им приходится изо всех сил отстаивать свои права. Но она полагает, что члены совета директоров должны научиться воспринимать это как вполне нормальное явление. Со стороны руководства сохранится это противодействие комитету. И дело не в том, что менеджмент никчемен или не готов к сотрудничеству. Дело всего лишь в человеческой натуре. Джей Кейворт тоже так думает: «Это совершенно естественно. Члены совета директоров — это в основном люди, которые только часть своего времени тратят на осуществление контроля над компанией. А непосредственно в самой организации работают менеджеры, которые 100% своего времени заняты управлением фирмой». В этом и заключается несоответствие, но несоответствие, как он считает, полезное.
Культивация «здорового духа разногласий» может стать особенно трудным шагом потому, что это вносит некий диссонанс в отношения, которые во всем остальном иначе как товарищескими не назовешь; и член комитета по аудиту может испытывать неловкость, задавая руководителям вопросы на темы, которые ранее с ними не обсуждались. Это еще одна причина, почему устоявшаяся и официально утвержденная схема надзорной деятельности аудиторского комитета может стать поистине бесценной.

Оповещение о подозрительных фактах

Теперь перейдем к проблеме контактов со свидетелями разного рода неправомерных действий. Исследования показывают, что многим комитетам по аудиту до сих пор еще не пришлось обратиться к разработке соответствующей программы. Между тем новые законодательные нормы требуют, чтобы комитеты по аудиту ввели в действие официальные процедуры таких коммуникаций, причем это должно произойти до даты первого годового собрания акционеров, которое произойдет после 15 января 2004 года, но в любом случае не позднее 31 октября. Данное правило предназначено для того, чтобы предоставить работникам и другим заинтересованным лицам возможность сообщать о своих подозрениях или опасениях непосредственно аудиторскому комитету. При этом «поднявшие тревогу» должны быть уверены, что существуют реально действующие процедуры, благодаря которым их жалобы не останутся без внимания, последуют соответствующие меры, а сами они будут защищены от преследования. От компаний требуется как минимум гарантировать, что:

• независимо от источника информации существует удовлетворительная процедура приема, хранения и обработки полученных жалоб, касающихся бухгалтерской отчетности, системы внутреннего финансового контроля или различных аспектов аудита;
• в компании действует удовлетворительная система конфиденциальной и анонимной подачи сотрудниками заявлений о признаках сомнительного аудита или недостоверной бухгалтерской отчетности.

Некоторые компании назначают омбудсмена, выбирая на эту должность человека высокопоставленного, наделенного соответствующими полномочиями, для того чтобы он представлял работников перед комитетом по аудиту. Часто он выступает в качестве внутреннего консультанта фирмы либо главного специалиста по вопросам соблюдения правовых норм или по проблемам этики. Другие компании обращаются к сторонним службам, которые помогают им в разработке и управлении системы общения с «информаторами».
Хорошо продуманная «горячая линия» может соответствовать следующим параметрам:

Политика. Совет директоров должен молчать о том, на что и на кого направлены поступающие сообщения/подозрения.

Бесплатная служба. Работник не должен платить за то, чтобы вскрыть беспокоящие его факты.

Круглосуточная служба, работающая без выходных. Возможно, работники захотят позвонить из дома, если им неловко сделать это с рабочего места.

Помощь в режиме реального времени. Услышать немедленный ответ по телефону часто предпочтительнее, чем оставлять сообщение и ждать передачи его на рассмотрение специалистам по нормативным требованиям, особенно в случае таких недвусмысленных вопросов, как подношение подарков.

Квалификация. Сотрудники, отвечающие на звонки, должны быть достаточно профессиональными и квалифицированными для выполнения подобных обязанностей. Некоторые компании используют для этого сотрудников, работающих на полную ставку и имеющих специальный опыт работы в данной сфере. Другие привлекают стороннюю независимую службу, персонал которой достаточно компетентен и знает, как реагировать на такие звонки.

Экстренное уведомление. «Горячая линия» должна иметь возможность предупредить соответствующее уполномоченное лицо, например главного консультанта фирмы или главу службы безопасности, на случай если вдруг звонивший сообщит о крайне серьезной угрозе.

Конфиденциальность/анонимность. Анонимные звонки тоже должны приниматься. Каждому звонящему следует назначать регистрационный номер, на который он сможет сослаться в случае последующих повторных обращений.

Известность. Компания должна содействовать известности своей «горячей линии», используя для этого такие средства распространения информации, как рекламные плакаты, карманные календари, корпоративная локальная сеть и т.д.

Оценка риска искажений финансовой отчетности

Вслед за организацией и регламентом работы аудиторского комитета это — следующая, вторая ступенька нашей пирамидальной модели эффективной контрольной функции, выполняемой этим комитетом.
Уэнди Лейн была членом аудиторского комитета Tyco в период драматического падения этой компании. Она также занимала пост управляющего директора Donaldson Lufkin & Jenrette, была председателем правления инвестиционной компании Lane Holdings и директором Laboratory Corporation of America. Интервьюируя Лейн для журнала Corporate Board Member, Джон Энген спросил ее, склонна ли она воздерживаться от работы в других аудиторских комитетах из-за того, что осознает присутствующий здесь риск. Лейн ответила: «Некоторые люди боятся высоты, но однажды я уже падала со скалы и поняла, что, достигнув самого дна, вы все-таки остаетесь в живых. Возможно, если вы не попадали в ситуацию, подобную той, в которой оказалась Tyco, то не так уверены в своих способностях. Но если вы действительно компетентный специалист, вам нечего бояться»3.
Лейн, отмеченная шрамами сражений, в которых пришлось участвовать комитету, перенесшему удары всех видов непредвиденных рисков, убеждена: членам аудиторского комитета совершенно необходимо стать более бдительными. Она считает, что критики и другие лица, показывающие на Tyco пальцами, просто решили, что проблемы возникли из-за развала системы контроля и из-за того, что аудиторский комитет по халатности проглядел обман. На самом деле анализ деятельности комитета по аудиту компании Tyco показывает, что его члены во многом следовали лучшим рекомендациям, но этого оказалось недостаточно. Это должно стать для них уроком, подчеркивает Лейн. «Отчитывались ли ваши внутренние аудиторы о результатах своей работы напрямую перед комитетом по аудиту?» — спрашивали ее. «Да», — отвечала она. «А задавали ли им трудные вопросы?» Снова ответ — да. «Фактически, — продолжает Лейн, — мы регулярно спрашивали их: «Следует ли нам знать о каких-то дополнительных фактах? Испытывали ли вы какое-либо давление со стороны менеджмента, не принуждало ли вас руководство к тому, чтобы вы поступали против своего желания? Если бы речь шла о лично ваших финансовых отчетах, сделали бы вы что-нибудь иначе?» — и ответ всегда был один: «Нет»».
Проблема заключалась в том, что комитет по аудиту смотрел на опасности недостаточно широко. Являясь членом такого комитета, легко думать, что вы располагаете всеми сведениями о риске, и считать, что ваша компания имеет в наличии все необходимые средства внутреннего контроля. «Взгляните на корпорацию Tyco», — добавляет Лейн. «Это была компания с капиталом в 39 млрд долларов, децентрализованная, представленная во многих отраслях промышленности и в разных странах. Где, как вы думаете, будет в этом случае сосредоточен риск? Вовне, ведь так? Как раз на этом и фокусировалась аудиторская программа. Но риск был не внешним, он оказался внутри». И это как раз одна из тех «нетрадиционных» сфер, которые члены комитета по аудиту должны включать в сферу своего внимания.
Так как члены комитета по аудиту должны выявлять неправомерные действия менеджмента, им потребуется остановить свое внимание на некоторых традиционно документируемых областях, как-то:

• торговые операции с ценными бумагами компании (например, инсайдерские сделки, мошенничество);
• злоупотребление служебным положением;
• командировки и прием гостей;
• заключение соглашений с зависимыми фирмами;
• использование активов компании в личных целях.

Для оценки риска искажений финансовой отчетности комитет по аудиту должен сначала забросить в море информации большую сеть, ведь улов должен отражать возможные проблемы во всех аспектах данного бизнеса, а также отрасли в целом. Затем комитет должен решить, можно ли признать подход менеджмента к сбору информации о рисках и управлению ими приемлемым. Он также должен удостовериться, что представители риск-менеджмента компании, главный риск-менеджер или отдел внутреннего аудита тоже проверили надежность этого подхода. Наконец, следует убедиться, что у менеджмента имеются средства для атаки на наиболее существенные риски, и понять, какова роль комитета по аудиту и менеджмента в деле координации намеченных действий.
Придерживаясь рекомендованного в данной книге стратегического подхода к управлению рисками, члены комитета по аудиту смогут реализовать формальные процедуры, связанные с задачами оценки риска искажений финансовой отчетности. При этом они классифицируют характер, значение (от ничтожного до катастрофического) и вероятность (от низкой до почти достоверной) этих рисков. Затем они могут выстроить риски в порядке приоритетности на основании их неотложности и степени разрушительного воздействия и сосредоточиться на том, какие способы реакции (уклониться, принять, передать, снизить), средства внутреннего контроля и формальные процедуры были — или должны быть — задействованы для управления этими рисками. В свою оценку члены комитета должны также включить анализ эффективности действия по сравнению с бездействием, а также охарактеризовать влияние остаточного, неотработанного риска, в частности риска, который не исчезает и после того, как были предусмотрены необходимые действия менеджмента, формальные процедуры и средства внутреннего контроля.

Матрица рисков

Общая эффективность комитета по аудиту следует из его способности принимать приоритетные меры по борьбе с риском искажений финансовой отчетности, и, чтобы справиться с этой задачей, не требуется иметь суперкомпьютер. Один из подходов, рекомендованных Институтом комитетов по аудиту, состоит в использовании для этих целей простой матричной структуры. В этой матрице перечислены самые значительные виды рисков искажения финансовой отчетности, с которыми сталкивается компания, а также надзорные действия комитета по аудиту, связанные с этими рисками.
На практике комитет по аудиту начинает процесс анализа рисков со встреч с внешними и внутренними аудиторами, а также финансовым менеджментом для того, чтобы выделить шесть-десять наиболее значительных рисков искажения финансовой отчетности, с которыми сталкивается компания, включая риски, связанные с мошенничеством в этой сфере. Этот набор рисков затем формирует костяк нашей матрицы. Далее аудиторский комитет заполняет соответствующие этим рискам строки матрицы: здесь он отмечает различные действия по управлению рисками каждого вида, которые планируется осуществить в течение года. В названиях граф, как показано ниже, указываются намеченные сроки проведения каждого заседания комитета по аудиту.
Пересечения строк и столбцов матрицы указывают, на каком заседании комитета будут обсуждаться те или иные мероприятия или виды рисков. Кроме того, эта матрица должна быть перекрестно увязана с уставом комитета по аудиту, чтобы все задачи, записанные в уставе, были в течение года непременно выполнены. На каждом собрании аудиторского комитета необходимо вновь проводить оценку наиболее существенных рисков, чтобы определить, насколько эффективно комитету удается контролировать реакцию компании на эти риски.
При составлении матрицы полезно ответить на некоторые наводящие вопросы, примерный перечень которых приводится ниже:

1. Какова наша толерантность к риску искажений финансовой отчетности? Донесли ли мы это до сведения представителей операционного и финансового менеджмента, внутренних и внешних аудиторов? Все ли понимают и разделяют нашу позицию? Соответствует ли заданный руководством компании корпоративный «тон» нашей толерантности к риску?
2. Способствует ли наша корпоративная культура открытому и непредвзятому обсуждению процессов подготовки финансовой отчетности и сопряженных с этим рисков, включая свободное выражение своих опасений сотрудниками на всех уровнях управления организации?
3. Известно ли нам, какой именно характер носят те риски искажения финансовой отчетности, которым подвергается наша компания?
4. Можно ли утверждать, что мы надлежащим образом рассмотрели узкие места системы стимулирования сотрудников нашей компании, возможности оказания давления и совершения актов мошенничества, а также не упустили из виду связанные с мошеннической практикой установки/отговорки руководства и работников?
5. Как комитет по аудиту определяет степень существенности риска искажений финансовой отчетности?
6. Осознаем ли мы взаимосвязи разных видов рисков искажения финансовой отчетности между собой и с другими рисками, грозящими компании?
7. Знаем ли мы, откуда могут исходить риски? Имеются ли у нас в наличии средства внутреннего контроля, позволяющие ими управлять? Есть ли у нас необходимые инструменты для оценки и мониторинга риска?
8. Какова позиция должностного лица или подразделения, контролирующего риск?
9. Как наши программы стимулирования влияют на управление рисками?
10. Можно ли сказать, что осмысление риска искажений финансовой отчетности буквально пронизывает нашу организацию и корпоративную культуру?
11. Можно ли утверждать, что каждый сотрудник компании понимает свою роль и осознает свою долю ответственности в управлении риском искажения финансовой отчетности?
12. Рассматривается ли риск искажения финансовой отчетности как приоритетный при реформировании или совершенствовании бизнес-процессов?