CC BY
1734
ТЕМА НОМЕРА:
КОНТРОЛЬ, АУДИТ, УПРАВЛЕНИЕ РИСКАМИ
О.Б. Иванов
Формирование системы внутреннего контроля, аудита и управления рисками в компании на основе внутрикорпоративных стандартов
В статье изложены основные принципы создания эффективной системы внутреннего контроля, аудита и управления рисками в крупных компаниях реального сектора экономики на основе внутрикорпоративных стандартов с учетом лучшей мировой практики и требований финансовых регуляторов.
Ключевые слова: служба внутреннего контроля, внутренний аудит, управление рисками, карты риска, стандарты внутреннего аудита.
Повышение качественного уровня управления — актуальная задача как для иностранных, так и для российских компаний. В этой связи создание отвечающей современным потребностям корпоративного управления системы внутреннего контроля, аудита и управления рисками является одним из необходимых условий обеспечения эффективности экономической деятельности, финансовой устойчивости, повышения инвестиционной привлекательности и динамичного развития предприятия, фирмы, компании.
Следует подчеркнуть, что в последние годы усиление роли внутреннего аудита и управления рисками стало четкой тенденцией во всех развитых экономиках. Это обусловлено, прежде всего, тем, что названные системы являются барьером на пути неэффективного использования финансовых, материальных и иных ресурсов, а также мощным фактором мобилизации внутрихозяйственных резервов.
Недостаточное внимание к созданию действенного механизма внутреннего аудита может вызвать самые серьезные сбои в системе управления фирмой, предприятием, корпорацией. В частности, в конце ХХ — начале XXI веков возникли серьезные обострения проблем в сфере корпоративного бизнеса. Крупномасштабные скандалы, которые потрясли крупнейшие корпорации в различных отраслях экономики США и Европы, во многом подорвали доверие к внешнему аудиту и официальным рейтингам; заставили критически взглянуть на сложившуюся практику корпоративного управления, которая не
© Иванов О.Б., 2012
учитывала возможные риски; на законодательство, регулирующее отношения между акционерами, советами директоров и менеджментом, внутрифирменные взаимоотношения.
Принятый в 2002 году в США специальный закон Сарбейнса — Окс-ли ужесточил требования к акционерным обществам по созданию и поддержанию эффективных систем внутреннего контроля. Аналогичные процессы имели место и во многих других экономически развитых странах, которые также усовершенствовали свое законодательство в части усиления ответственности за пренебрежение нормами права и деловой этики.
Однако мировой экономический кризис 2008—2009 годов и вызванная им нестабильная экономическая ситуация отдельных компаний и целых государств, сокращение объемов производства и рост безработицы, неуверенность разных слоев населения в завтрашнем дне привели к значительному росту финансовых нарушений и мошенничеств. Это в еще большей степени обострило проблему сохранения и рационального использования финансовых и материальных ресурсов, снижения влияния на экономическое состояние компаний негативных факторов и рисков. И, следовательно, на новый уровень поднимаются требования, предъявляемые к системам внутреннего контроля, аудита, управления рисками и борьбе с внутрикорпоративным мошенничеством.
Жесткие требования по созданию и поддержанию эффективных систем внутреннего аудита и контроля предъявляются всеми финансовыми регуляторами и крупнейшими фондовыми биржами мира в отношении компаний, ценные бумаги которых подлежат продаже или котировке. Российские акционерные общества, акции которых включены в биржевые котировочные списки, также поставлены перед необходимостью выполнять указанные требования.
Во многих странах в последний период принимаются системные меры по борьбе с мошенничеством, взяточничеством и коррупцией. Примерами могут служить вступление в силу в 2011 году закона Великобритании о борьбе со взяточничеством (The UK Bribery Act 2010) или комплекс антикоррупционных мер Президента и Правительства России, осуществляемых в прошлом и текущем годах.
Надо подчеркнуть, что сегодня уже общепризнано, что усиление роли внутреннего аудита во всех секторах, включая государственный, корпоративный, частный, имеет большое значение для противодействия коррупции.
В Конвенции ООН против коррупции отмечена необходимость обеспечения организаций достаточными механизмами внутреннего аудиторского контроля для оказания помощи в предупреждении и выявлении коррупционных деяний. Конвенция содержит призыв к странам-участницам принять с учетом национальных законодательств, правил и стандартов в области бухгалтерского учета и аудита меры для запрещения:
— создания неофициальной отчетности;
— проведения неучтенных или неправильно зарегистрированных операций;
— ведения учета несуществующих расходов;
— отражения обязательств, объект которых неправильно идентифицирован;
— использования поддельных документов;
— намеренного уничтожения бухгалтерской документации ранее сроков, предусмотренных законодательством.
Наличие эффективных систем внутреннего контроля и управления рисками обеспечивает представление акционерам и инвесторам дополнительных гарантий прозрачности финансовой деятельности компаний, что, в свою очередь способствует повышению их рейтинга, и как следствие, является предпосылкой роста инвестиционной привлекательности и рыночной стоимости.
При построении современной системы управления важно иметь в виду, что активная интеграция российских компаний в мировую экономику, выход на международные рынки финансовых заимствований и ценных бумаг, получение соответствующих рейтингов требуют создания адекватной системы внутреннего аудита. То есть, если говорить о системных решениях, то следует переходить на международные стандарты. Имеющиеся системы необходимо привести в полное соответствие с международными требованиями (как идеологически, так и формально), а также адаптировать к изменениям российского законодательства.
Обобщив лучший зарубежный и отечественный опыт, рассмотрим главные принципы, ключевые параметры и основные направления построения систем внутреннего контроля, аудита и управления рисками.
Как показала практика работы крупных компаний США, Франции, Германии, ряда других экономически развитых стран, в том числе и России (например, ОАО «РЖД») наиболее эффективной в настоящее время является построение единой системы внутреннего контроля, аудита и управления рисками.
Построение единой риск-ориентированной системы внутреннего аудита и контроля должно осуществляться по трем ключевым стратегическим направлениям:
1. Формирование риск-ориентированной системы внутреннего контроля на основе стратегии постоянного улучшения ее качества.
2. Развитие и совершенствование деятельности функционально-структурированной системы внутреннего аудита (СВА) на условиях централизации и укрепления контрольной вертикали.
3. Создание механизма контроля по профилактике, предупреждению и пресечению злоупотреблений в финансово-хозяйственной сфере с разработкой единой комплексной программы.
При реализации цели формирования единой риск-ориентированной системы внутреннего аудита и контроля, направленной на повышение финансовой устойчивости и эффективности в условиях функционирования компании, и обеспечивающей совет директоров и высшее исполнительное руководство информацией о надежности и эффективности функционирования систем контроля, управления рисками и корпоративного управления компании необходимо решить следующие стратегические задачи:
— проведение организационно-функциональных преобразований, направленных на формирование и укрепление контрольной вертикали в компании, холдинге;
— внедрение системы многоуровневого комплексного контроля за финансово-хозяйственной деятельностью дочерних и зависимых обществ (ДЗО), учитывающей имущественные отношения (долю участия материнской компании в капитале ДЗО), стратегическую значимость ДЗО для обеспечения основных видов деятельности холдинга, стадию развития ДЗО (формирование, интенсивный рост, стабильное функционирование, спад, «уход с рынка»);
— создание механизмов анализа, оценки и мониторинга надежности и эффективности:
а) системы управления рисками;
б) систем внутрикорпоративного контроля по бизнес-направлениям: «снабжение», «издержки», «инвестиции» и др.,
в) системы бухгалтерского внутреннего контроля.
— разработка и реализация комплексной программы (плана) по предупреждению и пресечению злоупотреблений в финансовой сфере деятельности и обеспечению соблюдения экономических интересов компании;
— создание адекватной современным принципам корпоративного управления и условиям хозяйствования системы информационного обеспечения всех уровней управления, позволяющей осуществлять своевременный контроль за соблюдением установленных заданий, условий договоров, стандартов, норм и процедур в ходе реализации бизнес-процессов;
— разработка внутрикорпоративных стандартов аудита и контроля, определяющих единые требования к проведению контрольных мероприятий, оформлению их результатов, к порядку подготовки заключительных документов, к уровню квалификации персонала подразделений внутреннего аудита и контроля;
— повышение квалификации и переподготовка работников службы, осуществляющей проверки надежности и эффективности функционирования систем управления компанией, управления рисками, внутреннего контроля и создание эффективной системы стимулирования их труда.
Построение и поддержание эффективной системы внутреннего контроля — это прямая и непосредственная обязанность менеджмента компании, ответственность, за выполнение которой менеджмент не должен возлагать на кого-либо, в частности, на отдельное подразделение, так как:
— осуществление внутреннего контроля — это задача всех и каждого сотрудника в компании, независимо от занимаемой должности;
— делегирование менеджментом ответственности по построению системы контроля, трансформируется в снятие ответственности с себя;
— если ответственность за внутренний контроль будет нести отдельное подразделение, то только оно и будет заниматься вопросами контроля — остальные подразделения (сотрудники) будут убеждены, что контроль в компании есть функция, за которую назначен ответственный, а поэтому это не относится к их обязанностям.
Согласно Кодексу корпоративного поведения, действующая в компании система внутреннего контроля за его финансово-хозяйственной деятельностью должна быть направлена на обеспечение доверия инвесторов к обществу и органам его управления.
Для обеспечения действительно эффективного контроля необходимо соблюдать принцип системности и периодичности в проведении внутреннего контроля за порядком осуществления всех хозяйственных операций общества.
Внутренний контроль позволяет оперативно выявлять, предотвращать и ограничивать финансовые и операционные риски, а также возможные злоупотребления со стороны должностных лиц. Тем самым внутренний контроль, организованный надлежащим образом, способствует эффективному управлению ресурсами компании, в том числе за счет сокращения затрат общества.
Для любой компании наличие эффективной системы внутреннего контроля обусловлено потребностью в повышении эффективности и результативности финансово-хозяйственной деятельности, управления рисками, управления активами и пассивами, обеспечении достоверности, полноты и прозрачности финансовой, бухгалтерской, статистической отчетности, соблюдении требований федерального законодательства, нормативных актов, стандартов деятельности, норм профессиональной этики, внутренних нормативных документов компании, определяющих ее политику и регулирующих деятельность.
В процессе совершения финансово-хозяйственных операций по использованию финансовых и материальных ресурсов, в целях предотвращения нарушений при их расходовании и соблюдения финансовой дисциплины осуществляется текущий контроль.
При построении системы внутреннего контроля с учетом лучшей мировой практики следует базироваться на принципах, изложенных в «Руководстве по внутреннему контролю» COSO. Положения интегрированной концепции внутреннего контроля Комиссии Тредуэя (модель COSO), являются основным общепризнанным в мире документом в сфере внутреннего контроля, который определяет требования к организации и ответственность менеджмента и руководства компании за состояние внутреннего контроля, а модель COSO ERM — Integrated Framework (ERM — enterprise risk model) объединила в себе как компоненты системы внутреннего контроля, так и компоненты системы управления рисками.
Согласно определению COSO, система внутреннего контроля это — процесс, осуществляемый советом директоров компании, руководством и другими сотрудниками, направленный на представление разумных гарантий достижения целей в следующих сегментах деятельности:
— эффективность и производительность деятельности;
— надежность и достоверность финансовой отчетности;
— соответствие законодательству и применяемым нормам права.
Система внутреннего контроля созданная по модели COSO (рисунок 1)
состоит из следующих пяти взаимосвязанных компонентов: контрольной среды, оценки рисков, контрольных процедур, внутренних коммуникаций и мониторинга.
Элементы внутреннего контроля согласно модели COSO
Процесс непрерывного контроля встроен в операции Выявление изменений условий деятельности, требующих внесения корректировок процедур внутреннего контроля Формальные процедуры выявления недостатков и осуществления корректировок
Процедуры, обеспечивающие полный и точный учет операций
Лимиты на проведение операций снижают уровень принимаемых рисков Эффективный надзор за процедурами внутреннего контроля
Процедуры обеспечивающие соблюдений требований законодательных и нормативных ак то в Процедуры, обеспечивающие надежность обработки данных и целостности информации
Повышение осведомленности сотрудников об управлении рисками и системе контроля Система внутреннего контроля — часть корпоративной культуры Организационная структура способствуют снижению рисков
Основные риски можно контролировать посредством утверждения основных показателей деятельности Система управленческой информации обеспечивает получение своевременной и достоверной информации по рискам
Контрольная информация передается заранее определенным получателям
Своевременное выявление рисков
Непрерывный процесс оценки рисков
Распределение полномочий по управлению рисками и установление четких целей контроля
Рисунок 1. Компоненты внутреннего контроля и управления рисками по модели COSO
Элементы внутреннего контроля и управления рисками по модели COSO предполагают:
1. Формирование эффективной внутренней среды.
Включает формирование определенной корпоративной культуры, создание условий, при которых высший менеджмент подчеркивает важность эффективного контроля; создание среды, при которой работник способен понимать значение контроля хозяйственных процессов и участвовать в нем. Корпоративная культура, управленческий стиль менеджмента, кадровая политика, кодекс корпоративной этики, организационная форма и полномочия службы внутреннего аудита, содержание программ по противодействию мошенничеству, система бюджетирования, политика в сфере организации бизнеса, информатизации, закупок, сбыта и других сферах деятельности формируют контрольную среду. Необходимо создать в компании негативное отношение к фактам злоупотреблений.
2. Оценка рисков.
Рост масштабов и степень взаимодействия компании с участниками различных смежных сегментов рынка неизбежно повышают уровень вне-
шних и внутренних рисков, которые могут создавать серьезные проблемы для эффективной деятельности и развития компании. Создание корпоративной системы управления рисками является объективной потребностью и инструментом эффективного управления. Выявление и анализ рисков — это постоянный процесс, который является одним из ключевых компонентов эффективной системы внутреннего контроля.
С позиции организации системы внутреннего контроля стратегия управления рисками позволяет решить следующие группы задач:
— задачи операционной деятельности — эффективность деятельности компании, включая задачи функционирования и получения прибыли, а также защита активов от потерь;
— задачи финансовой отчетности — подготовка достоверной финансовой отчетности, включая предотвращение появления заведомо ложной информации в отчетности;
— задачи соблюдения законодательства — соблюдение законодательства и норм права, под действие которых подпадает компания.
3. Разработка контрольных процедур.
Процедуры внутреннего контроля являются инструментарием системы внутреннего контроля, которые, согласно модели COSO, помогают гарантировать, что директивы руководства исполняются. Также они помогают гарантировать, что предпринимаются необходимые действия для управления рисками, которые угрожают выполнению поставленных задач. Деятельность по контролю осуществляется на всех уровнях компании и охватывает все стороны деятельности и функции, включает ряд разнообразных действий, таких как: выдача одобрений, санкций, подтверждений, проведение проверок, контроль текущей деятельности, гарантия безопасности активов, разделение полномочий и др.
Согласно Кодексу корпоративного поведения, совет директоров определяет стратегию развития компании, а также обеспечивает эффективный контроль за ее финансово-хозяйственной деятельностью.
Большое значение имеет формирование по функциональным направлениям организационной инфраструктуры системы внутреннего контроля, которая включит в себя:
— систему обучения персонала компании в области внутреннего контроля;
— организационные документы корпоративной системы внутреннего контроля;
— корпоративный регламент внутреннего контроля, определяющий порядок взаимодействия подразделений аппарата управления и структурных бизнес-единиц компании в процессе внутреннего контроля (с учетом вероятности возникновения системных (взаимоналагающихся рисков) и определяющий распределение полномочий и ответственности при принятии и реализации управленческих решений в области внутреннего контроля;
— положения о структурных подразделениях, определяющие реализуемые в каждом структурном подразделении задачи и функции по внутрен-
нему контролю в соответствии с указанным в Регламенте распределением функций, полномочий и ответственности в области внутреннего контроля;
— должностные инструкции, закрепляющие за работниками определяющие, основные функции и обязанности по осуществлению процедур внутреннего контроля в соответствующих структурных подразделениях;
— методологические и нормативные документы в области внутреннего контроля подразделений аппарата управления;
— автоматизацию информационной поддержки принятия управленческих решений в области внутреннего контроля.
Здесь же предусматривается проведение информационно-разъяснительной работы о возможных последствиях и ответственности менеджмента за невыполнение установленных процедур внутреннего контроля.
4. Информация и коммуникация.
Относящаяся к системе внутреннего контроля информация должна быть идентифицирована, записана и передана в надлежащее время и в форме, позволяющей ответственным лицам выполнять свои обязанности. Для этого информационные системы должны позволять создавать отчеты, содержащие производственную, финансовую и иную необходимую информацию, что позволяет вести и контролировать бизнес-деятельность. В компании необходимо создать условия для получения полных и достоверных данных, их хранения и обработки, а также — для полноценного информационного обмена между подразделениями и различными уровнями руководства. Отчеты должны содержать необходимую и достаточно актуальную информацию для эффективного контроля.
Для эффективного использования информации необходимо наладить оперативный информационный обмен и по вертикали между структурными уровнями организации, и по горизонтали в пределах структурных единиц.
5. Мониторинг СВК.
Система внутреннего контроля нуждается в мониторинге — процессе, во время которого оценивается качество работы системы с течением времени. Необходимо осуществлять действия, направленные на проведение мониторинга эффективности системы внутреннего контроля в ходе обычного режима работы, путем постоянного непрерывного контроля над деятельностью, оценкой отдельных функций или комбинацией двух этих методов. Сюда относятся способы надзора высших уровней управления за работой низших.
Мониторинг также должен проводиться для установления каких-либо отклонений от стандартных показателей или правил, поэтому основой мониторинга являются различные корпоративные нормативы, стандарты и положения.
Мониторинг системы внутреннего контроля, включает в себя своевременную оценку, проводимую соответствующими сотрудниками, контроль за разработкой и контроль за деятельностью, а также определенные действия в случае необходимости. Мониторинг надлежит применять ко всем видам деятельности в компании, а также и в отношении деятельности внешних подрядчиков.
Совместное действие перечисленных факторов и связь между этими компонентами, создают риск-ориентированную систему на основе интеграции двух систем (внутреннего контроля и управления рисками), которая адекватно реагирует на условия динамичного развития компании. Риск-ориентированная система внутреннего контроля наиболее эффективна, если контроль встроен в инфраструктуру («встроенный» контроль) и является частью корпоративного управления в компании, поддерживает инициативы по повышению качества и расширению функций.
Таким образом, в целях построения интегрированной системы внутреннего контроля и управления рисками компании и реализации стратегии постоянного улучшения ее качества необходимо учитывать соблюдение следующих условий:
1. Советом директоров периодически утверждаются и пересматриваются документы, устанавливающие стратегию и политику компании в области внутреннего контроля:
— идентифицируются основные неотъемлемые риски, связанные с основными видами деятельности;
— устанавливаются приемлемые уровни риска, который может принимать на себя компания и ее подразделения для достижения поставленных целей;
— определяются основные методы и структура контроля, не позволяющие превысить установленные уровни риска.
2. Утвержденная стратегия и политика внедряется менеджментом в практику на базе оценки рисков:
— проводится идентификация, оценка и контроль внутренних и внешних факторов, которые могут неблагоприятно повлиять на достижение поставленных целей (идентификация, мониторинг и контроль за рисками);
— утверждается структура и распределение полномочий;
— разрабатываются необходимые процедуры и процессы, направленные на выявление, отслеживание изменений и контроль за рисками;
— планируется и контролируется деятельность по мониторингу эффективности системы внутреннего контроля;
— создается контрольная среда, которая выражает и демонстрирует персоналу всех уровней компании важность внутреннего контроля и соблюдения этических норм.
3. Создается необходимая инфраструктура, позволяющая обеспечить эффективность контролей:
— процедуры контроля реализуются на всех уровнях управления;
— мероприятия контроля встроены в ежедневные операции;
— проверки обеспечения соответствия всех областей деятельности установленным политикам и процедурам осуществляются периодически;
— обязанности персонала разделены и отсутствуют конфликты интересов при выполнении персоналом своих обязанностей;
— финансовая и управленческая отчетность адекватна, полна и достоверна;
— операции соответствуют действующему законодательству.
4. Создаются эффективные и безопасные каналы доведения информации:
— весь персонал предупрежден о существующих политиках и процедурах, касающихся их обязанностей и ответственности;
— необходимая информация доводится до соответствующего персонала адресно и оперативно;
— обеспечено соответствие уровня информационных систем и всех видов деятельности компании;
— безопасность информационных систем обеспечена и осуществляется ее периодическая проверка.
5. Проводится независимый мониторинг и оценка эффективности системы внутреннего контроля:
— мониторинг наиболее рискованных операций проводится на ежедневной основе;
— оценка влияния на операции для каждого вида риска, проводится отдельно и всеобъемлюще, с учетом существующих методов и мер контроля;
— эффективный и всеобъемлющий внутренний аудит эффективности системы внутреннего контроля проводится независимыми в функциональном отношении, адекватно подготовленными и компетентными сотрудниками;
— информация о недостатках внутреннего контроля до руководителей соответствующего уровня доводится своевременно и обеспечена ее правильная адресация;
— информация о существенных недостатках системы внутреннего контроля и оценке ее эффективности регулярно доводится до президента (генерального директора) компании и совета директоров.
Соблюдение вышеуказанных условий позволит создать риск-ориенти-рованную модель системы внутреннего контроля, носящую предупредительный характер, использующую превентивные инструменты контроля и оценки рисков.
Для эффективной работы данной системы необходимо разграничить компетенцию входящих в систему внутреннего контроля подразделений, непосредственно осуществляющих разработку, утверждение, применение процедур контроля и оценивающих систему внутреннего контроля. В утвержденных регламентах и положениях для каждого подразделения компании (субъекта контроля) должны быть определены области полномочий, ответственности, взаимодействия с другими контрольными подразделениями, перечень, периодичность и порядок осуществления процедур контроля.
Совет директоров ответственен за общее состояние бизнеса, в том числе за уровень контроля в компании и утверждение политики контроля.
Менеджмент и подразделения контроля ответственны за разработку, утверждение и проведение контрольных процедур, ежедневный мониторинг их работоспособности и эффективности.
Служба внутреннего аудита оценивает эффективность системы внутреннего контроля и управления рисками, выстроенной менеджментом
компании, и своевременно информирует о результатах аудита президента и совет директоров компании.
Создание эффективной системы внутреннего контроля в компании позволит:
— обеспечить эффективное функционирование, устойчивость и максимальное развитие компании;
— своевременно выявить и минимизировать коммерческие, финансовые, налоговые и иные риски в управлении;
— обеспечить повышение экономической устойчивости, прозрачности финансовой деятельности, инвестиционной привлекательности и рыночной стоимости компании, сохранность, целевое и эффективное использование финансовых и материальных ресурсов;
— сформировать адекватную современным постоянно меняющимся условиям хозяйствования систему информационного обеспечения всех уровней управления, позволяющую своевременно адаптировать функционирование компании к изменениям во внутренней и внешней среде.
Перед внутренним аудитом стоят разнообразные задачи, которые группируются по нескольким основным стратегическим направлениям развития внутреннего аудита:
— анализ и оценка систем внутреннего контроля, управления рисками;
— финансовый аудит системы бухгалтерского внутреннего контроля;
— операционный аудит бизнес-процессов (операционной деятельности), таких, как снабжение, производство, логистика, маркетинг, сбыт и другие, направленный на повышение эффективности деятельности компании;
— аудит на соответствие (комплаенс-аудит) — проверка соблюдения в компании требований действующего законодательства, а также внутренних нормативных документов компании — политик, процедур, регламентов, стандартов и проч.;
— расследование случаев мошенничества;
— содействие в работе внешнего аудитора.
Анализ положений о деятельности комитетов по аудиту крупнейших западных компаний, таких, как Microsoft, Boeing, British Petrolium, Locheed Martin, Eurotunnel и других свидетельствует о том, что в задачи и функции комитетов по аудиту советов директоров входит не контроль за деятельностью подразделений внутреннего аудита, а напротив, взаимодействие с ними в целях повышения эффективности деятельности компании и укрепления ее экономической стабильности.
Крупнейшие российские компании, применяющие западные стандарты отчётности, придерживаются аналогичного подхода к деятельности комитетов по аудиту своих советов директоров.
Для осуществления собственной деятельности комитет по аудиту должен обладать достоверной и своевременной информацией:
о внутренних и внешних рисках, с которыми компания сталкивается;
о случаях мошенничества и нарушений кодекса делового поведения (кодекса этики) компании;
о событиях/процессах, критичных для принятия правильных решений руководством и др.
Представлять такую информацию комитету по аудиту должно структурное подразделение, функциями которого является осуществление внутреннего аудита.
Важным элементом эффективного функционирования системы внутреннего аудита является подчинение внутреннего аудита (как органа контроля) непосредственно президенту (генеральному директору) компании, а в идеальном случае соподчинение совету директоров компании (комитету по аудиту). Этим обеспечивается соблюдение требований Лимской декларации о руководящих принципах контроля, и, одновременно, обеспечивается соблюдение основных принципов организации и деятельности внутреннего аудита, так как согласно Международным профессиональным стандартам внутренний аудит должен быть независим, а внутренние аудиторы объективны в выполнении своих обязанностей.
Объективность внутреннего аудита обеспечивается прежде всего степенью его независимости в структуре управления, которая в значительной степени определяется подчиненностью. Существует риск того что, не будучи независимым, внутренний аудитор не сможет высказывать объективные суждения.
В связи с возрастающей ролью внутреннего аудита повышение качества его деятельности — важная задача. Эффективность функционирования системы внутреннего аудита напрямую связана с тем, насколько стандартизирована и подчинена регламенту контрольная деятельность в компании.
Качество внутреннего аудита в компании напрямую зависит от разработанных стандартов определяющих его деятельность. Если эти стандарты не соблюдаются, либо отсутствуют, функционирование внутреннего аудита будет неэффективным и нецелесообразным.
Цель системы стандартов достигается формированием и применением пакета внутрифирменных стандартов, которые детализируют и регламентируют единые требования к выполнению аудиторских проверок и организации деятельности.
Стандарты призваны обеспечить однозначное понимание результатов проверок, как менеджментом компании, так и руководителями объектов проверки. Указанные документы призваны регламентировать порядок проведения контрольных процедур и требований к ним, определять основные принципы, требования, правила и этические нормы, которые должны соблюдаться при осуществлении внутреннего аудита и контроля, повысить их качество.
Применение стандартов позволяет:
— сделать организацию проведения внутреннего аудита более рациональной и эффективной, обеспечить дополнительный контроль за работой сотрудников службы внутреннего аудита;
— содействовать возможности использования в работе научных достижений и новых технологий;
— укрепить престиж внутреннего аудита и контроля;
— обеспечить высокое качество внутреннего аудита и контроля, способствовать его совершенствованию, а также применению новых подходов к его организации.
Разработка внутрикорпоративных стандартов должна осуществляться на основе международных стандартов внутреннего аудита (прежде всего, разработанных The Institute of Internal Auditors — Институтом внутренних аудиторов, который является главным авторитетом и идеологом в мире в вопросах внутреннего аудита).
Система указанных стандартов должна содержать руководящие указания по принципам аудита, управлению программами аудита, оценке системы внутреннего контроля, проведению аудитов систем менеджмента, бизнес-процессов и других вопросов функционирования компании.
Примером формирования концептуальной методологической базы совершенствования и развития внутреннего аудита и контроля, создания механизма проведения оценки систем внутреннего контроля и управления рисками в компании, может служить система внутрикорпоративных стандартов аудиторской деятельности, разработанная и внедренная в ОАО «Российские железные дороги»:
• основной стандарт «Единая корпоративная система стандартов внутреннего аудита холдинга «Российские железные дороги»;
• стандарт планирования деятельности и управления ресурсами подразделения внутреннего аудита и контроля;
• стандарт по выполнению и оценке рисков для подготовки плана внутренних аудиторских проверок;
• стандарт планирования внутренних аудиторских проверок подразделением внутреннего аудита и контроля;
• стандарт проведения внутренних аудиторских проверок подразделением внутреннего аудита и контроля;
• стандарт проведения аудита системы управления рисками подразделением внутреннего аудита и контроля;
• стандарт подготовки отчета по результатам проведения внутренней аудиторской проверки подразделением внутреннего аудита и контроля.
Группа разработанных стандартов является составной частью системы внутрикорпоративных стандартов аудиторской деятельности, которая формируется на основе риск-ориентированного подхода проведения аудитов и международных стандартов профессиональной деятельности внутреннего аудита. Наличие внутрикорпоративной системы стандартов относится к числу формальных критериев, влияющих на возможность привлечения капитала для ОАО «РЖД», по которым регуляторы, биржи, кредитные организации и рейтинговые агентства оценивают систему внутреннего аудита и контроля потенциальных заемщиков (эмитентов).
Еще одним перспективным направлением повышения эффективности внутреннего аудита в компании является организация взаимодействия с внешними аудиторскими организациями.
Общие рамки взаимодействия внешних и внутренних аудиторов представлены в утвержденном Постановлением Правительства Российской Федерации Правиле (стандарте) аудиторской деятельности № 29 «Рассмотрение работы внутреннего аудита», основные положения которого соответствуют международному стандарту аудита ISA 610 Considering the Work of Internal Auditing — JFAC.
Работа по взаимодействию внутреннего аудита с внешним аудитом позволит:
— более качественно оценить эффективность системы управления, состояния системы внутреннего контроля и бухгалтерского учета компании;
— определить на основе данных внутреннего и внешнего аудита наиболее «слабые места» в учете филиалов и компании в целом и своевременно принять меры к их устранению;
— сократить время на проведение аудиторской проверки и, соответственно, материальные затраты;
— получить объективное заключение о достоверности финансовой отчетности компании.
— максимально подготовиться к проверке налоговыми органами и другими органами внешнего контроля;
— приобрести полезные знания и соответствующие навыки как внутренним, так и внешним аудиторам. При этом внешние аудиторы смогут лучше понять особенности деятельности и хозяйственных операций компании, а также минимизировать аудиторский риск и количество повторных аудиторских процедур в ходе внешнего аудита.
Успешность развития единой системы внутреннего аудита, контроля и управления рисками в компании во многом зависит от уровня профессиональной подготовки кадров, обеспечивающих реализацию поставленных задач и соответствующей системы мотивации их труда.
Следует отметить, что в настоящее время имеет место дефицит специалистов, имеющих уровень квалификации, позволяющий эффективно решать новые задачи, стоящие перед внутренним аудитом. В связи с этим в качестве первоочередных мер в области кадров должна стать подготовка, переподготовка и повышение квалификации сотрудников, осуществляющих внутренний аудит, контроль и управление.
Повышению эффективности аудиторской деятельности в компании также будет способствовать включение профессии «внутренний аудитор» в Единый квалификационный справочник, создание системы сертификации специалистов по внутреннему аудиту.
Одним из важнейших направлений деятельности внутреннего аудита в условиях развитой рыночной экономики является оценка эффективности системы внутреннего контроля организации и осуществление функции текущего мониторинга за надежностью ее функционирования.
Основная задача, выполняемая в процессе аудита — это анализ и тестирование компонентов системы внутреннего контроля на предмет соответствия критериям адекватности и эффективности. Под компонентами
системы внутреннего контроля понимают любые действия менеджмента и сотрудников, а также политики, процедуры и инфраструктурные элементы, призванные обеспечить разумную уверенность в достижении целей организации.
Проведение внутренним аудитом оценки эффективности системы внутреннего контроля отдельного бизнес-процесса в общем случае может быть проведено по следующей схеме:
определение объема проведения оценки с учетом категорий задач, компонентов системы внутреннего контроля и направлений деятельности (бизнес-процессов), которые подлежат оценке;
определение текущих процессов мониторинга, которые регулярно предоставляют данные о том, что система внутреннего контроля бизнес-процесса эффективна;
выделение приоритетных направлений, компонентов или областей высокого риска, которые требуют незамедлительного внимания по данному бизнес-процессу;
изучение и анализ документации системы внутреннего контроля бизнес-процесса, в том числе: положения и регламенты, утвержденные технологии и схемы организации процесса, должностные инструкции, схемы информационных систем и т.п.;
определение применяемой методологии и контрольных процедур внутреннего контроля;
разработка программы оценки с разбивкой на краткосрочные и долгосрочные задачи;
определение критериев существенности;
документирование и анализ результатов процесса оценки, в том числе с описаниями проведенных в ходе оценки проверок и анализов;
составление письменного отчета по проведенной оценке эффективности системы внутреннего контроля бизнес-процесса.
Чтобы быть уверенным в том, что система внутреннего контроля эффективна, необходимо с определенной периодичностью проверять, насколько хорошо выполняются существующие контрольные процедуры.
Для выявления недостатков контрольных процедур применяют следующий четырехэтапный подход.
1. Идентификация существующих процедур контроля.
2. Идентификация недостающих ключевых элементов контроля.
3. Выявление потенциальных материально-значимых ошибок.
4. Возможность использования компенсационных процедур контроля. Проверка осуществляется с помощью набора тестов (тестирование контрольных процедур). По результатам тестирования принимается решение об эффективности или неэффективности данной контрольной процедуры. Число тестов зависит от числа процессов, проходящих через проверяемую контрольную процедуру. Периодичность проведения тестирования устанавливается в зависимости от критичности процесса и может варьироваться.
Внутренний аудит помимо оценки системы внутреннего контроля в части достоверности информации, соблюдения законодательства, сохран-
ности активов должен осуществлять проведение анализа и оценку эффективности системы управления рисками компании и предлагать методы их снижения. При этом под риском понимается потенциально существующая вероятность потери ресурсов или неполучения доходов.
Оценка эффективности системы управления рисками компании со стороны внутреннего аудита должна быть комплексной и опираться на анализ, проводимый по следующим основным направлениям:
— своевременность и полнота оценки влияния выявленных рисков на достижение целевых стратегических ориентиров компании, определенных стратегической программой развития;
— анализ степени разработки и использования количественных критериев оценки рисков и их допустимых уровней;
— обоснованность и правильность проведения ранжирования рисков и приоритетности воздействия на них, обоснованность выбора с учетом сравнительной эффективности метода воздействия на риск;
— правильность определения эффекта от реализации управленческих решений в области управления рисками;
— регулярность осуществления мониторинга динамики уровня рисков и эффективности мероприятий по снижению рисков.
Построение корпоративной системы управления рисками включает в себя пять основных этапов:
1. Формирование реестра типовых рисков, карт рисков (матриц рисков), паспортов рисков и документов, регламентирующих порядок и регулярность их обновления.
2. Разработка методических документов по управлению рисками для структурных подразделений компании.
3. Создание системы мониторинга и информационной поддержки процесса управления рисками.
4. Создание организационной инфраструктуры управления рисками.
5. Формирование регламентирующих документов о порядке взаимодействия подразделений компании в процессе управления рисками.
Современный внутренний аудит, наряду с финансовыми проверками, фокусирующимися на системе бухгалтерско-финансового контроля, осуществляет проверки системы внутреннего контроля в рамках всей компании, вследствие чего аудит бизнес—процессов, который принято называть операционным аудитом, становится важной задачей внутреннего аудита.
Операционный аудит — это системный и комплексный подход к оценке функционирования и развития бизнес-процессов компании, направленный на оптимизацию управленческих решений и повышение эффективности в разрезе видов деятельности, например, снабжения, производства, сбыта.
Использование операционным аудитом системного и комплексного подходов, позволяет учитывать всю целостность функционирования любой хозяйствующей системы или хозяйствующего экономического субъекта, а также взаимосвязь и взаимодействие отдельных ее подсистем (структурных звеньев и бизнес-процессов) и элементов (бизнес-операций).
Важной составляющей метода операционного аудита является экономическая диагностика, проводимая посредством сравнения фактических и нормативных показателей системы управления производственной, коммерческой и других сфер деятельности компании. Экономическая диагностика позволяет на практике:
— оценить уровни использования управленческого и производственного потенциала компании и её обособленных структурных единиц, выявить возможности оптимизации и повышения эффективности воспроизводственного процесса в сложившейся проблемной ситуации;
— сравнить альтернативные подходы к решению основных задач, стоящих перед компанией;
— определить возможности роста производительности, потребности в реструктуризации, методы повышения эффективности, в том числе за счет экономичности бизнес-процессов и их бизнес-операций, обновления ассортимента продукции, товаров, работ или услуг и т.д.;
— выявить социально-экономические последствия реализации выбранной стратегии развития компании, включая сроки ее выполнения, эффективность и резервы ее повышения;
— оценить устойчивость динамики развития хозяйственной системы, периодов возможного обновления.
Поскольку предметом операционного аудита является операционная эффективность деятельности хозяйствующих субъектов компании то он, по своей сути, должен охватывать практически весь воспроизводственный процесс, начиная с выбора стратегической направленности деятельности компании, ее видов, структуры, бизнес-процессов и бизнес-операций, до обслуживания потребителей продукции, работ и услуг, производимых компанией.
Одним из ключевых направлений становления и развития единой системы внутреннего аудита и контроля в компании является создание механизма контроля по упреждению и пресечению злоупотреблений в финансово-хозяйственной сфере деятельности.
Важно иметь в виду, что существует три фактора, при наличии которых сотрудники компании идут на мошенничество: имеющаяся возможность, давление внешних обстоятельств и способность оправдать свой поступок. Каждый из трех факторов указывает на наличие негативных процессов в компании, которые в определенной степени подталкивают сотрудников к противоправным действиям и создают благоприятную почву для совершения фактов мошенничества.
Основным и самым существенным видом корпоративных злоупотреблений является мошенничество, которое реализуется путем:
— незаконного присвоения активов, к которому относятся хищение и неправильное использование активов организации (сокрытие и присвоение поступлений выручки, хищение материальных запасов, мошенничество, связанное с расчетами по заработной плате);
— коррупции, то есть незаконного использования мошенниками своего влияния в рамках бизнес-транзакции с целью получения личной выгоды для себя или для другого лица, противоречащее обязанностям мошен-
ника по отношению к работодателю или правам другого лица (получение откатов, вовлечение в конфликт интересов);
— мошенничество с финансовой отчетностью, предполагающее намеренное искажение финансовой информации об организации с целью введения в заблуждение пользователей этой информации (завышение выручки и занижение обязательств или расходов).
Классификация и категоризация мошенничества в сфере профессиональной деятельности позволяет более подробно изучить это явление, установить методы, наиболее часто используемые для совершения мошенничества, и схемы, наносящие наибольший ущерб. Сравнивая схемы в четко определенных категориях, можно идентифицировать и разработать более совершенные и эффективные инструменты противодействия.
Проведение направленной работы по профилактике и предупреждению факторов, связанных со злоупотреблениями и мошенничеством напрямую связано с созданием, внедрением и реализацией единой специализированной комплексной программы, содержащей в себе четко регламентированный план действий, направленных на достижение намеченных целей, обеспечение значительного снижения существенности рисков в данном направлении, а также на сокращение затрат компании, возникающих в случае злоупотреблений, мошенничества и противоправных действий как со стороны сотрудников компании, так и со стороны контрагентов и партнеров компании.
При построении и реализации программы по профилактике, предупреждению и пресечению фактов злоупотреблений и мошенничества в качестве основных направлений деятельности службы внутреннего аудита можно выделить следующие функции:
— оказание необходимой консультационной поддержки менеджменту компании на стадии формирования и внедрения отдельных норм, правил и стандартов контрольных процедур;
— проведение внутреннего аудита существующей системы внутреннего контроля;
— формирование рекомендаций по внедрению и усилению контрольных мероприятий, а также предоставление менеджменту компании информации о существующих и вновь выявленных нарушениях;
— координация мероприятий по расследованию совершенных фактов мошенничества и злоупотреблений;
— анализ результатов проверок, выработка рекомендаций и доведение информации до высшего менеджмента и совета директоров компании.
Построение, поддержание и планомерное совершенствование единой комплексной программы по профилактике, предупреждению и пресечению фактов злоупотреблений и мошенничества в финансовой сфере деятельности — прямая обязанность менеджмента компании, ответственность, за выполнение которой менеджмент не должен возлагать на отдельное подразделение компании.
Политика менеджмента компании должна преследовать, прежде всего, цель внедрить такой подход, который бы уменьшил давление внешних об-
стоятельств, возможности для совершения злоупотреблений и нахождения самооправданий. В компании должна формироваться атмосфера честности и открытости. При этом крайне важно, чтобы предусмотренные единой комплексной программой нормы, правила, стандарты и рекомендации были обязательными для исполнения и применения на практике всеми сотрудниками и менеджментом компании.
Устранение возможностей для совершения мошенничества и злоупотреблений, является важным направлением предупреждения противоправных действий
Все мероприятия по профилактике и противодействию злоупотреблениям и мошенничеству в рамках специализированной программы должны разрабатываться и внедряться комплексно с детальной проработкой и соблюдением ряда условий.
В частности менеджментом компании устанавливается и внедряется для реализации порядок информирования о злоупотреблениях. Службы внутреннего аудита и/или безопасности координируют проведение расследования, определяют необходимость тех или иных действий, а также отвечают за определение масштабов расследования и выбор соответствующих методов. Служба внутреннего аудита оказывает консультационную поддержку на этапе разработки дополнительных систем контроля, а менеджмент компании несет ответственность за разработку и внедрение таких мер контроля. При этом используется информация, полученная на основе анализа имевшего место злоупотребления, и проводится проверка действенности контрольных процедур на предмет выявления аналогичных злоупотреблений в будущем.
Служба внутреннего аудита для предотвращения случаев мошенничества проводит специальные активные проверки с применением соответствующих мер:
— координация мероприятий по расследованию совершенных фактов мошенничества и злоупотреблений, определение масштабов расследования и соответствующих методов их проведения;
— анализ результатов расследования, выработка рекомендаций менеджменту компании по внедрению дополнительных систем контроля и доведение информации до высшего руководства и совета директоров.
Таким образом, реализация рассмотренных принципов построения системы внутреннего контроля, аудита и управления рисками позволить решить в компании целый ряд важнейших задач:
создать и укрепить контрольную вертикаль на основе соблюдения принципов независимости и объективности;
повысить эффективность корпоративного управления и обеспечения руководства компании достоверной информацией для принятия управленческих решений;
обеспечить повышение экономической устойчивости, прозрачности финансовой деятельности, инвестиционной привлекательности и рыночной стоимости компании, сохранность, целевое и эффективное использование финансовых и материальных ресурсов;
обеспечить значительное снижение существенности рисков противоправных действий и предупреждения возможностей совершения злоупотреблений и мошенничества;
сформировать адекватную современным постоянно меняющимся условиям хозяйствования единую систему внутреннего аудита и контроля, охватывающую все уровни управления и позволяющую своевременно адаптировать функционирование компании к изменениям во внутренней и внешней среде.
В то же время недостаточное внимание к созданию единой риск-ори-ентированной системы внутреннего аудита и контроля приведет к усилению негативных тенденций при формировании и использовании финансовых и материальных ресурсов, ослабит ответственность менеджмента и, как следствие, значительно затруднит реализацию стратегических целей и задач компании.
Литература:
1. Иванов О.Б. Создание эффективной риск-ориентированной системы внутреннего аудита и контроля в компании холдингового типа (на примере ОАО «Российские железные дороги // ЭТАП: Экономическая Теория, Анализ, Практика. 2010, №1
2. Иванов О.Б. Формирование единой риск-ориентированной системы внутреннего аудита и контроля в холдинге «РЖД» // Железнодорожный транспорт. 2009, №1
3. Соколов Б.Н., Рукин В.В. Системы внутреннего контроля (организация, методики, практика). М.: Экономика, 2007
4. Сонин А.М. Внутренний аудит: Современный подход. М.: Финансы и статистика, 2007
5. Committee of Sponsoring Organizations. Enterprise Risk Management — Integrated Framework. COSO, 2004
6. The Institute of Internal Auditors. Internal Auditing Reporting Relationships: Serving Two Masters. The Institute of Internal Auditors Research Foundation, 2003
7. The Institute of Internal Auditors. The Professional Practices Framework. The Institute of Internal Auditors Research Foundation, 2005
