Статьи

Как построить правильную модель взаимодействия внутреннего аудита с руководством и акционерами бизнеса

Внутренний аудит в том или ином виде сейчас есть в каждой компании, которая относит себя к акционерным обществам (в том числе – с государственным участием), госкорпорациям, банкам, финансовым или страховым компаниям и так далее. В данной статье речь пойдет о том, как в нынешних реалиях грамотно построить взаимодействие между службой внутреннего аудита, руководством и акционерами бизнеса.

Прежде всего давайте определимся, какова сфера ответственности функции внутреннего аудита.

Государство в рамках федерального законодательства выделяет следующие задачи внутреннего аудитора:
-проверка финансово-хозяйственной деятельности организаций корпорации;
-проверка соблюдения установленного порядка ведения бухгалтерского учета и составления бухгалтерской (финансовой) отчетности в организациях корпорации
-проверка законности осуществляемых организациями корпорации хозяйственных операций;
-проверка эффективности использования имущества и иных ресурсов организаций корпорации;
-проверка целевого использования средств специальных резервных фондов корпорации ее организациями;
-осуществление по решению наблюдательного совета, генерального директора или правления корпорации контроля за финансово-хозяйственной деятельностью ее организаций.


Оценка зрелости системы внутреннего аудита

С моей точки зрения, для успешного диалога между аудитом и акционерами в первую очередь необходимо определить степень зрелости службы внутреннего аудита. Компания PriceWaterhouseCoopers[1] предлагает оценивать ее по шести уровням, но для большего соответствия российским реалиям целесообразно добавить еще один уровень.

1) Номинальное присутствие. Обычно штат службы ограничен одним-двумя сотрудниками, которые выполняют свою функцию в минимально возможном объеме. Зачастую в дополнение к основным обязанностям, которые не связаны с аудитом.

2) Минимальный вклад. Служба обеспечивает своевременное выполнение плана аудита.

3) Фиксация проблем. Аудит предоставляет высшему руководству перечень нарушений и недостатков, но при этом не проводит их причинно-следственного анализа.

4) Поставщик гарантий. Служба внутреннего аудита объективно гарантирует эффективность системы внутреннего контроля организации.

5) Помощник в решении проблем. Помимо выполнения плана аудита, служба проводит причинно-следственный анализ выявленных проблем и нарушений, рекомендует скорректировать их наиболее приемлемым способом.

6) Инициатор перемен. Служба внутреннего аудита в дополнение к уровню 5 активно вносит разумные предложения по повышению эффективности деятельности и предоставляет информацию о меняющейся картине рисков.

7) Доверенный советник (консультант). В дополнение к уровню 6 служба внутреннего аудита постоянно оценивает перспективы, консультирует бизнес, в том числе проводит стратегические консультации по рискам.

Если проанализировать статьи «Внутренний контроль» в Федеральных законах о государственных корпорациях, станет ясно, что аудиту отводят место где-то между «Фиксацией проблем» и «Поставщиком гарантий». Однако на сегодняшний день такое позиционирование уже устарело.

Максимально продвинутым государственным органом в области внедрения аудиторской функции я бы назвала Центральный Банк. В своем Положении № 242-П он так определил задачи внутреннего аудита:

«4.1.1. Проверка и оценка эффективности системы внутреннего контроля в целом, выполнения решений органов управления кредитной организации (общего собрания акционеров (участников), совета директоров (наблюдательного совета), исполнительных органов кредитной организации).

4.1.2. Проверка эффективности методологии оценки банковских рисков и процедур управления банковскими рисками, установленных внутренними документами кредитной организации (методиками, программами, правилами, порядками и процедурами совершения банковских операций и сделок, управления банковскими рисками), и полноты применения указанных документов.

4.1.3. Проверка надежности функционирования системы внутреннего контроля за использованием автоматизированных информационных систем, включая контроль целостности баз данных и их защиты от несанкционированного доступа и (или) использования, с учетом мер, принятых на случай нестандартных и чрезвычайных ситуаций в соответствии с планом действий, направленных на обеспечение непрерывности деятельности и (или) восстановление деятельности кредитной организации в случае возникновения нестандартных и чрезвычайных ситуаций.

4.1.4. Проверка и тестирование достоверности, полноты и своевременности бухгалтерского учета и отчетности, а также надежности (включая достоверность, полноту и своевременность) сбора и предоставления информации и отчетности.

4.1.5. Проверка применяемых способов (методов) обеспечения сохранности имущества кредитной организации.

4.1.6. Оценка экономической целесообразности и эффективности совершаемых кредитной организацией операций и других сделок.

4.1.7. Проверка процессов и процедур внутреннего контроля.

4.1.8. Проверка деятельности службы внутреннего контроля кредитной организации и службы управления рисками кредитной организации.

4.1.9. Другие вопросы, предусмотренные внутренними документами кредитной организации».

В подавляющем большинстве российских компаний внутренний аудит находится сейчас где-то между уровнями «Минимальный вклад» и «Фиксация проблем». И, по мнению большинства генеральных директоров, ему там и стоит оставаться. На мой взгляд, это мнение ошибочно: служба внутреннего аудита должна стремиться выйти на уровень доверенного советника. Далее мы рассмотрим, что для этого требуется.

Как сегодня меняются компетенции службы внутреннего аудита

Устоявшийся в большинстве служб внутреннего аудита подход можно описать так: «найти, доложить, рекомендовать исправить». Я считаю его нецелесообразным. Аудиторы должны действовать проактивно, оценивая угрозы заранее и предоставляя консультации по минимизации рисков.

Для такой кардинальной смены подходов необходимо уделять много внимания обучению аудиторов, улучшая их экономические, юридические и технические знания, а также развивая навыки в области переговоров, психологии управления, эмоционального интеллекта. Но и этого мало. Необходимо, чтобы государство вкладывало системные и последовательные усилия в повышение налоговой и юридической грамотности собственников.

Также, чтобы оставаться востребованным в современных условиях, аудит должен наращивать целый ряд важнейших компетенций.
-Умение реформировать процессы
Это касается всех процессов. Зачастую каждая служба занята своим делом и не думает о результате в целом для компании. Поэтому реформирование процессов подразумевает и включение сотрудников различных служб в систему внутреннего контроля.

- Постоянное расширение кругозора
Например, в компании составили требования для электронной торговой площадки: к юридической составляющей замечаний нет, к финансовым условиям – на первый взгляд, тоже. Но документ в виде заявки с требованиями оказывается бесполезным для бизнеса, так как не позволяет найти исполнителя.

Это происходит потому, что специалисты оторваны от реальной жизни. Компания будет искать контрагента, предлагая неприемлемые финансовые условия на торгах в рамках 223-ФЗ или 44-ФЗ. Поэтому потенциальный выигрыш в тендере влечет за собой слишком большой риск для победителя. Если после подведения итогов закупки он откажется поставить товар по заявленной цене, его занесут в реестр недобросовестных поставщиков, и другие заказчики не станут впоследствии с ним работать. Поэтому заявка с «неподъемными» условиями так и останется невыполненной, а компания потеряет время, а значит – и деньги, на составление новых требований и проведение новых закупочных процедур.

Чтобы анализировать эффективность процессов, а также предотвращать описанные выше ситуации, аудитор должен обладать знаниями из разных областей и уметь оценивать проблему всесторонне.

-Повышение экспертных знаний
Это вопрос профессионализма. Аудитору нужно быть экспертом в своей области. Если у него базовое юридическое образование, то в идеале его квалификация должна быть выше, чем у юристов, которых он проверяет. Прекрасно, если квалификация и авторитет аудитора таковы, что он не просто занимается проверками постфактум, а к нему обращаются представители профильных подразделений за экспертным мнением.

-Гибкость
Очень часто аудитор обращает излишнее внимание на мелочи, которые можно проигнорировать ради решения глобальных задач. Любимое замечание многих аудиторов и контролеров: «Вы нарушаете такой-то пункт регламента». Возможно, стоит посмотреть с другой стороны и задать вопрос: «Не устарел ли регламент?», а не в сотый раз повторять одно и то же замечание. Аудиторы нужны не для того, чтобы все запрещать.

-Умение прогнозировать
Этот навык помогает аудитору рассчитать приемлемый уровень риска, который может принять на себя компания без потери эффективности.

- Способность преодолевать шаблоны
Одним из способов преодоления шаблонов я бы назвала оптимизацию расходов путем автоматизации и унификации различных типовых функций. Например, автоматизировать юридическую функцию не только в части составления типовых договоров, но и досудебных претензий по типовым договорам и типовым искам.

-Поиск путей оптимизации
Это касается как структуры компании, так и отдельных процессов. К примеру, организация решила создать подразделение для поддержания функции добровольной сертификации по ISO. Она начала указывать на своей продукции: «Мы сертифицированы по ISO…». Если в результате продажи увеличились на 5%, валовая выручка – на 1%, и это принесло 10 условных единиц, а содержание подразделения обходится в 1 условную единицу, значит, решение было оправданным. Но бывает и наоборот: у компании уже 25-я сертификация, а продажи падают. И если законодательство не требует обязательного наличия сертификации, есть серьезный повод задуматься об эффективности не только данной функции, но и всего процесса производства и сбыта.

-Выработка уникальных компетенций
Аудитору нужно быть немного психологом и уметь донести свои требования, рекомендации и замечания до руководителей так, чтобы избежать конфликтов.

Другими словами, современный аудитор не может быть специалистом только в одной конкретной области – он должен быть экспертом широкого профиля и систематически расширять перечень своих навыков.

Что ждет акционер от службы внутреннего аудита

В презентациях аудиторов часто можно увидеть такую градацию ожиданий акционера от службы внутреннего аудита:

1. На этапе выживания компании:

-предотвращение неприемлемых потерь;
-сохранение имущества компании;
-обеспечение получения планируемого дохода.

2. На этапе расцвета компании:
-защита служебной финансовой и иной информации;
-обеспечение конкурентоспособности компании;
-снижение стоимости заемного капитала.

3. На этапе развития компании:
-рост деловой репутации;
-повышение кредитного рейтинга;
-обеспечение роста рыночной стоимости компании.

Но эта градация работает только в теории. Зачастую сами акционеры бизнеса не знают, чего ждут от службы внутреннего аудита. Их неумение или нежелание сформулировать задачу вкупе с непониманием высшим менеджментом важности аудита часто приводит к тому, что в компании де-юре (а иногда и де-факто) объединяют в одно подразделение службы внутреннего контроля, внутреннего аудита, риск-менеджмента, комплаенса, системы качества, методологии процессов и процедур.

Хорошо, если руководитель этого подразделения подчиняется Совету Директоров или генеральному директору. Но бывает и так, что он подконтролен финансовому или операционному директору, или директору по безопасности. Это чревато негативными последствиями для бизнеса. Например, финансовый директор вряд ли позволит аудитору проверять свою работу и писать генеральному директору докладные о найденных ошибках. Если даже аудитору удастся выполнить свои обязанности, это может стать его последней проверкой в компании, поскольку возникает прямой конфликт интересов.

Поэтому контролирующее звено не должно подчиняться никому, кроме первого лица или Совета Директоров. В идеале же аудит должен подчиняться именно Совету Директоров, потому что аудитор, так или иначе, оценивает эффективность и генерального директора.

Как ответить на основные вопросы акционера

Все многообразие вопросов акционера к аудитору, по сути, можно свести к нескольким простым вопросам:
    «Менеджмент компании эффективен?"
    «Я все сделал, чтобы заработать как можно больше, а потерять как можно меньше?»
    «Мы минимизировали наши риски до приемлемого уровня?»
    «Какова моя ответственность при наихудшем раскладе?»
    Ответы на эти простые, на первый взгляд, вопросы скрываются за сложными и зачастую противоречивыми представлениями компании и ее собственников о том, каким должен быть внутренний аудит. У многих из них нет четкой картины работы аудитора. Нередко его рассматривают как второго бухгалтера. Случается, что собственники сначала выражают заинтересованность в работе аудитора, а потом говорят, что не нуждаются в его контроле, замечаниях и рекомендациях.
    Поэтому аудитору сложнее всех сотрудничать с акционерами. Чтобы иметь возможность четко отвечать на вопросы руководства, он должен соответствовать следующим критериям.
    -Быть профессионалом.
    -Не совмещать внутренний аудит с другими функциями. Если ему приходится быть еще и внутренним контролером, риск-менеджером и так далее, он не сможет полноценно выполнять свою основную задачу.
    -Не подчинять внутренний аудит бизнес-куратору.
    -Стать для бизнеса советником, а не «карающим мечом правосудия». Если начать с первой же ошибки всех отчитывать, коллеги его возненавидят.
    -Решать задачи бизнеса, а не свои.
    -Не нагружать собственников огромными отчетами о проблемах, а предлагать пути решения.
    Аудитору нужно не только понимать бизнес-картину компании, но и учитывать сложившуюся систему взглядов и способов ведения бизнеса владельцев и высшего менеджмента с их внутренними противоречиями, коллизиями и взаимодействиями. Без этого любой специалист в лучшем случае не сможет решить поставленных перед ним задач, а в худшем – будет отвергнут корпоративной системой.
    В условиях российских реалий для усиления функции аудита необходимо
    -четко выстроенные регуляторные требования и полномочия внутреннего аудита на уровне закона;
    -введение регламентирующих внутренний аудит и риск-менеджмент подзаконных требований, схожих с требованиями Центрального Банка России к внутреннему аудиту, риск-менеджменту, комплаенсу. Требования необходимо распространить на все коммерческие организации за исключением малого бизнеса и микробизнеса, а также на некоммерческие организации, которые получают субсидии государства;
    -создание или наделение действующего регулятора функциями, схожими с полномочиями Центрального Банка России, в области надзора за деятельностью внутреннего аудита и контроля, риск-менеджмента в указанных выше компаниях. Перестроить мировоззрение многих руководителей невозможно, поэтому нужны изменения на уровне законных и подзаконных актов: внесение требований по созданию независимых служб контроля, а также введение крупных штрафов и возможности приостановки деятельности за неисполнение этих требований.
    Резюмируя вышеизложенное, могу сказать, что единственно верная модель взаимодействия внутреннего аудита с руководством и акционерами бизнеса – заинтересованность обеих сторон в достижении стабильно высокого финансового результата совместными усилиями. Причем этого результата нужно достигать с минимальным риском как для компании, так и для акционеров и менеджмента.
    Внутренний аудит