CC BY
386
АУДИТ, КОНТРОЛЬ, УПРАВЛЕНИЕ РИСКАМИ
УДК 338
Роль подразделения внутреннего аудита в реализации корпоративной карты гарантий (на примере практики ОАО «Российские железные дороги»)
В современных экономических условиях для эффективного корпоративного управления особое значение приобретает функция корпоративного контроля, способствующая сохранению целостности компании и достижению ее целей и задач, выполнению миссии. Модель корпоративного контроля формализуется в так называемой карте гарантий — документе, определяющем сферы ответственности субъектов системы внутреннего контроля и иных заинтересованных сторон в отношении отдельных рисков компании. При этом особую роль занимает подразделение внутреннего аудита, которое представляет органам управления и менеджменту необходимую объективную оценку состояния и эффективности систем корпоративного управления, внутреннего контроля, управления рисками. В статье раскрываются отдельные теоретические аспекты и практики проведения таких оценок в ходе операционных аудитов.
Ключевые слова: операционный аудит, риск-менеджмент, карта гарантий, система управления рисками, система внутреннего контроля, риск, процессный подход, бизнес-процесс, бизнес-единица, внутренний аудит, проверка, компания.
И.А. Ленник
Для любой компании, будь она транснациональной корпорацией или субъектом малого бизнеса, важно гармонично развивать все элементы управления для достижения ее основной цели — выполнения заложенной миссии.
Следует подчеркнуть, что именно миссия является основным компонентом стратегического управления. Организация, проходя свои стадии развития, выполняет свою миссию, предлагая потребителю свой продукт, и решает свои задачи существования, получая прибыль, признание, узнаваемость бренда, доверие клиентов и так далее. В этом цикле взаимообмена ценностями есть смысл функционирования любой компании.
К примеру, миссия ОАО «РЖД» заключается в эффективном развитии конкурентоспособного на российском и мировом рынках транспортного бизне-
© Ленник И.А., 2015
43
Роль подразделения внутреннего аудита в реализации корпоративной карты гарантий
са, ядром которого является эффективное выполнение задач национального железнодорожного перевозчика грузов и пассажиров и владельца железнодорожной инфраструктуры общего пользования.
В позитивных, негативных и даже нейтральных условиях, диктуемых рыночной средой и другими обстоятельствами, для компании важно сохранить свою жизнеспособность, а равно и достичь своих целей, реализовать поставленные задачи.
Это означает, что компания должна соответствовать современным требованиям, понимать свою позицию в общей структуре хозяйствования (в отрасли, экономике в целом), свои возможности и риски.
Мощнейшим инструментом для сохранения жизнеспособности компании является корпоративный контроль, который сегодня является динамично развивающейся функцией, встроенной в систему корпоративного управления, приобретает новые направления и виды.
Почему же современное экономическое сообщество делает такую большую ставку на этот инструмент? Почему уже невозможно полагаться на саморегулирование экономических субъектов или на жесткий государственный контроль? Более того, само государство и даже межгосударственные институты задают стандарты внутреннего контроля, ставят перед ним цели, декларируют принципы его построения, таким образом выказывая свою прямую заинтересованность в его эффективности.
Ответ на вышеуказанные вопросы дает нам история экономических кризисных явлений и анализ их причин. И если исключить политические факторы в экономике и отдельных ее секторах, такие как войны, протекционизм, введение санкций и прочее, то, зачастую, в сухом остатке мы увидим мошеннические действия, финансовые пирамиды, невыполнение обязательств перед партнерами и акционерами, публикацию недостоверной отчетности и другие типы нарушений внутренней корпоративной дисциплины.
Из современной истории нам хорошо известно, как банкротства транснациональных корпораций, таких как WorldCom, Enron, Lehman Brothers, General Motors, Chrysler, повлекли за собой цепную реакцию экономических последствий в различных секторах, включая финансовый. В результате акционеры потеряли доверие к действовавшей системе корпоративного управления и стали проявлять более активную позицию в отношении подотчетности совета директоров, исполнительных органов управления, обеспечения прозрачности и достоверности отчетности о деятельности компании.
Учитывая такие глубокие последствия нарушения внутрикорпоративной дисциплины, в международной практике широко применяются стандарты COSO, международные стандарты аудиторской деятельности и другие нормативы. В России такими регулирующими документами стали Кодекс корпоративного управления, а также методические рекомендации
44
Роль подразделения внутреннего аудита в реализации корпоративной карты гарантий
Росимущества в области внутреннего аудита, контроля, управления рисками и корпоративного управления.
Как и любая система, корпоративный контроль подразумевает цель и форму, а также объект и субъект.
Схема построения корпоративного контроля приведена на рисунке 1.
Рисунок. 1. Схема построения корпоративного контроля.
Таким образом, при построении корпоративного контроля собственнику, органам управления компании необходимо ответить на 5 основных вопросов:
— кто контролирует?
— как контролирует?
— что (и где) контролирует?
— для достижения чего контролирует?
— зачем контролировать?
По своей сути различные комбинации приведенных элементов представляют собой так называемую Карту гарантий корпоративного уровня.
В Методических рекомендациях по организации работы внутреннего аудита в акционерных обществах с участием Российской Федерации, утвержденных приказом Росимущества от 04 июля 2014 года № 249 (далее — Методические рекомендации), «карта гарантий» представлена как документ, определяющий сферы ответственности субъектов системы внутреннего контроля и иных заинтересованных сторон в отношении отдельных
45
Роль подразделения внутреннего аудита в реализации корпоративной карты гарантий
рисков компании. Его целью является выявление рисков с недостаточным или дублирующим покрытием субъектами системы внутреннего контроля и/или заинтересованными сторонами.
Рассмотрим подробнее цели, форму, объекты и субъекты корпоративного контроля.
Первая плоскость (Кто?) раскрывает субъекты контроля. К ним относятся корпоративные органы управления (совет директоров, комитет по аудиту, правление и др.), подразделения компании, центры ответственности различного уровня, подразделение внутреннего аудита, комиссии и другие субъекты, в функционал которых входит тот или иной элемент контроля.
Плоскость «Как?» включает в себя основные типы корпоративного контроля, которые применяются в организации, это, как правило, следующее:
— система внутреннего контроля (СВК);
— система управления рисками (СУР);
— комплаенс;
— внутренний аудит;
— мониторинг.
Таким образом, области «Кто» и «Как» взаимодействуют посредством выбора одного или нескольких инструментов для их применения одним из субъектов контроля. В результате любое подразделение или центр ответственности в пределах своих компетенций выполняет возложенные на них контрольные функции.
Здесь и далее под подразделением внутреннего аудита будет пониматься отдельное подразделение компании, как бы оно не называлось, с обособленным функционалом по внутреннему аудиту согласно Кодексу корпоративного управления.
При этом внутренний аудит является одновременно и подразделением, и контрольной функцией (инструментом), поэтому располагается в областях «кто» и «как». Полномочия по проведению внутреннего аудита по отдельным направлениям могут быть закреплены и за другими подразделениями и центрами ответственности, помимо непосредственно подразделения внутреннего аудита.
Определять, кто и как контролирует, необходимо в увязке с объектами контроля, то есть с областью «Что?» («Где?»). К объектам контроля могут относиться бизнес-процессы, бизнес-единицы, компоненты СВК, отдельные инициативы компании, проекты и другое.
Перед любым объектом ставятся задачи по достижению эффективности, обеспечению достоверности отчетности, законности, сохранности активов, риск-ориентированности. Отслеживание выполнения объектами указанных задач и будет целью контроля, то есть ответом на вопрос «Для чего контролировать?».
Вопрос «Зачем?» является краеугольным, поскольку с него начинается и им же заканчивается этот цикл. Бесцельный контроль, контроль ради
46
Роль подразделения внутреннего аудита в реализации корпоративной карты гарантий
контроля не является продуктивным и любая компания должна выстраивать контрольную функцию таким образом, чтобы обеспечить выполнение своей миссии, достичь целей и решить поставленные задачи.
Примером построения взаимодействия вышеуказанных элементов может быть возложение на бухгалтерскую службу компании (кто?) функций внутреннего контроля (как?) за обеспечением всеми бизнес-единицами, осуществляющими бухгалтерский и налоговый учет, (что и где?) достоверности финансовой и налоговой отчетности (для чего?). Или выполнение подразделением технического аудита функции внутреннего аудита за техническим состоянием объектов во всех подразделениях-балансодержателях.
Особое место в системе корпоративного контроля занимает подразделение внутреннего аудита как субъект корпоративного контроля (кто?).
Следует отметить, что Методическими рекомендациями разрабатывать карту гарантий также рекомендовано именно подразделению внутреннего аудита, при этом другие центры ответственности — служба управления рисками, владельцы бизнес-процессов, владельцы рисков — могут инициировать ее формирование, изменения.
Согласно Международным стандартам аудиторской деятельности (ст. 2100) сущность работы внутреннего аудита заключается в проведении оценки и способствовании к совершенствованию процессов корпоративного управления, управления рисками и контроля. Также Методическими рекомендациями определено, что внутренний аудит содействует совету директоров и исполнительным органам в повышении эффективности управления компанией, совершенствовании ее финансово-хозяйственной деятельности путем системного и последовательного подхода к анализу и оценке системы управления рисками и внутреннего контроля, а также корпоративного управления как инструментов обеспечения разумной уверенности в достижении поставленных перед компанией целей.
Таким образом, сама функция внутреннего аудита (как?) включает три направления:
— оценку эффективности системы внутреннего контроля (СВК),
— оценку эффективности системы управления рисками (СУР),
— оценку корпоративного управления (КУ).
Объекты аудита (то есть, что контролирует аудит) формируют так называемую «модель аудита» или «вселенную аудита».
Модель аудита — это совокупность объектов аудита, например, бизнес-процессов, бизнес-функций, проектов или инициатив компании, подразделений, бизнес-единиц и иное в зависимости от выбранного в компании подхода к структурированию объектов аудита. Перечень объектов аудита корректируется с учетом изменений в деятельности компании, например, при появлении новых проектов, формировании новых подразделений и т.д. Методическими рекомендациями предписано пересматривать
47
Роль подразделения внутреннего аудита в реализации корпоративной карты гарантий
модель аудита как минимум один раз в год в целях ее поддержания в актуальном состоянии.
Традиционно выделяют два основных подхода к выбору объекта аудита:
— по бизнес-процессу;
— по бизнес-единице (подразделению).
Последние тенденции и передовая практика показывают эффективность процессного подхода, так как процесс имеет свою точку отсчета и четкую конечную цель. Бизнес-процесс представляет собой устойчивую целенаправленную совокупность взаимосвязанных действий (последовательность работ), осуществляемых с целью создания определенного продукта (или услуги), представляющего ценность для конечного потребителя.
Так как одним бизнес-процессом может управлять несколько бизнесединиц, процессный подход позволяет проверить стыковочные зоны ответственности между бизнес-единицами, которые зачастую являются наиболее рисковыми.
Недостаток данных зон — это гиперконтроль (наложение сфер ответственности), что ведет к конфликтам и непроизводительным затратам, или, наоборот, отсутствие контроля. В свою очередь отсутствие ответственности на каком-либо этапе процесса может повлечь целый спектр последствий.
Центром «Желдораудит» ОАО «РЖД» разработана структура построения внутренних аудиторских проверок, в основе которой лежат следующие базовые понятия: бизнес-процесс — как объект аудита; риск — сопутствующая и неотделимая часть бизнес-процессов; бизнес-единица — ответственное операционное подразделение, или центр компетенции, контрольная процедура — мероприятия, выполняемые бизнес-единицей и направленные на поддержание уровня риска на приемлемом уровне.
Для целей покрытия операционным аудитом деятельности ОАО «РЖД» принята модель аудита, в которой выделено 20 условных бизнес-процессов, в том числе 15 операционных (закупки, электроэнергетика, локомотивный комплекс, железнодорожные вокзалы, инновационное развитие, связь и другие) и 5 управленческих (планирование и бюджетирование, налогообложение, бухгалтерский учет и отчетность, информатизация, управление кадрами) — рисунок 2.
Таким образом, для целей аудита более укрупненно сгруппированы по функциональному признаку направления деятельности ОАО «РЖД».
Отдельным процессом является контроль деятельности дочерних и зависимых компаний.
Также в ряде случаев ввиду существенности и значимости отдельных проектов компании в качестве объектов аудита выбираются такие направления, как использование федеральных средств на капитальный ремонт объектов инфраструктуры и инвестиционные проекты, программа оптимизации затрат и другие корпоративные инициативы.
48
Роль подразделения внутреннего аудита в реализации корпоративной карты гарантий
При этом покрытие аудиторскими процедурами деятельности компании на 100 процентов невозможно, в связи с чем выводы аудита базируются на анализе репрезентативной выборки.
Рисунок 2. Реализация процессного и риск-ориентированного подходов в модели аудита
Предложения по выбору бизнес-процесса в целях включения его в План проведения внутреннего контроля и аудита формируются после проведения риск-факторного анализа.
Такими риск-факторами являются: период проведения предыдущих проверок по аналогичным тематикам; существенность величины затрат (трудоемкость, энергоемкость процесса и т.д.); величина инвестиционных вложений; изменения в законодательстве и/или управлении в сфере данного бизнес-процесса; наличие информации о невыполнении мероприятий по устранению выявленных нарушений и недостатков по проводимым ранее проверкам, об отклонениях процесса от стратегии развития компании, негативные тренды показателей деятельности и другие.
После проведения риск-факторного анализа и выбора бизнес-процесса формулируется тематика проверки и цель аудита, в которых обозначаются основные направления и периметр проверки.
Бизнес-процессы для более структурированного их представления и назначения аудиторских процедур декомпозируются на подпроцессы, фактически представляющие собой вопросы аудита.
Например, бизнес-процесс «Тепловодоснабжение» был разделен на 7 подпроцессов, таких как «Выполнение основных показателей деятельности», «Состояние и содержание имущества», «Эффективность управления и распоряжения имуществом», «Реализация инвестиционных проектов», «Техническое обслуживание объектов тепловодостабжения аутсорсинговы-
49
Роль подразделения внутреннего аудита в реализации корпоративной карты гарантий
ми компаниями» и другие. Каждому подпроцессу присвоен ряд неотъемлемых рисков, например, подпроцессу «Техническое обслуживание объектов тепловодоснабжения аутсорсинговыми компаниями» — риск необоснованного выбора сервисной компании, риск завышения стоимости услуг, риск приемки фактически не выполненных работ и услуг и другие.
Аналогично декомпозирован бизнес-процесс «Закупки» на следующие блоки: «Планирование потребности и объемов закупок», «Выбор контрагентов», «Заключение и исполнение договоров», «Деятельность складского комплекса», «Поставка (логистика)», «Приемка» и «Хранение», «Состояние имущества складского комплекса», «Прочие виды деятельности-доходные операции», «Учет и отчетность». При этом, к примеру, подпроцессу «Заключение и исполнение договоров» были присвоены риски заключения договоров по неоптимальным ценам (относительно рыночных), на условиях, отличных от результатов тендеров, наличия в договорах неурегулированных условий, превышения должностных полномочий.
Такая структура транслируется на утверждаемую программу проведения аудита, а также на индивидуальные задания для конкретного исполнителя.
Рассмотрим подробнее процедуры, выполняемые в ходе операционного аудита бизнес-процесса (далее — БП), а также ключевые его результаты в целом и на отдельных этапах.
Условно можно выделить базовые мероприятия аудита (контрольноаналитические), которые впоследствии служат основой для трех экспертно-оценочных мероприятий по формированию мнения об эффективности СВК, СУР и КУ, а также мероприятия по последующему мониторингу устранения нарушений, недостатков и совершенствования систем внутреннего контроля и управления рисками, корпоративного управления (таблица 1).
Таблица № 1
Основные этапы проведения операционного аудита полного цикла
Проверочные мероприятия
Контрольно-аналитические процедуры • Изучение реального бизнес-процесса. • Определение целевого состояния БП — «идеальной модели» БП. Изучение аналогов БП в других отраслях, других организаций, лучших бизнес-практик. Видение БП в стратегиях и целевых документах компании. • Сопоставление реальной и идеальной модели. Выявление точек отклонений (нарушения, замечания, несоответствия, недостатки). • Определение причин возникновения точек отклонения. • Исследование ключевых контрольных процедур, оценка операционных рисков БП.
50
Роль подразделения внутреннего аудита в реализации корпоративной карты гарантий
Окончание таблицы
Экспертно-оценочные мероприятия
Оценка СУР • Oценка СУР по критериям
Оценка СВК • Оценка СВК по критериям
Оценка КУ • Оценка КУ
Последующий мониторинг
Контроль реализации выработанных мер по результатам аудита • Оценка выполнения мероприятий по устранению нарушений, недостатков и совершенствованию систем внутреннего контроля и управления рисками, корпоративного управления.
В рамках проверочных мероприятий осуществляется сбор, анализ, оценка и документирование информации, в том числе проводится изучение текущего состояния бизнес-процесса («как есть»), определение ожидаемого (целевого) состояния («как должно быть»), исследуются аналоги в других отраслях, других организациях, лучшие бизнес-практики, анализируется видение БП в стратегиях и целевых документах компании. Далее сопоставляется реальная и целевая модель БП, выявляются точки отклонения (нарушения, замечания, несоответствия, недостатки), определяются причины и последствия возникших точек отклонения.
Аудиторами устанавливается характер недостатков (системные, единичные, характерные для всех проверенных подразделений или для одного и другое). При этом особое внимание следует уделить причинам их возникновения, так как они имеют прямую связь с компонентами СВК:
— снижение исполнительской дисциплины;
— отсутствие должного взаимодействия между подразделениями;
— умышленные нарушения (действия/бездействия);
— неэффективность (отсутствие) внутренних контрольных процедур;
— непринятие должных мер по ранее выявленным нарушениям;
— неэффективная организация БП;
— отсутствие нормативных и руководящих документов (недостаточная регламентация БП);
— несоответствующая квалификация работников, некомпетентность;
— отсутствие должного уровня автоматизации процессов (высокая доля ручной обработки данных) и другие.
В базовые мероприятия аудита также входит исследование ключевых контрольных процедур, их эффективности (операционной и эффективности дизайна), экспертная оценка операционных рисков БП.
По результатам данных мероприятий формулируются выводы, которые указывают на соответствие или расхождение целевого и текущего состояния объекта аудита в части процедур внутреннего контроля и мероприятий по управлению рисками.
51
Роль подразделения внутреннего аудита в реализации корпоративной карты гарантий
Руководствуясь полученными в ходе базовых мероприятий данными и выводами, руководитель аудиторской проверки или уполномоченный эксперт (в зависимости от установленного в подразделении внутреннего аудита порядка) приступает к экспертно-оценочным мероприятиям по формированию мнения об эффективности СВК, СУР и КУ
В указанных целях в подразделениях внутреннего аудита должен быть разработан стандарт или методика выполнения таких оценок, в которых также устанавливаются оптимальные для конкретной организации критерии оценки: например, выбираются элементы СВК, СУР и КУ для оценки, устанавливается их количественная (балльная) значимость состояния элемента, описываются типовые характерные признаки состояния элементов от наихудшего до целевого (оптимального).
Проведение оценки системы внутреннего контроля
Целью оценки СВК является формирование независимого и объективного мнения об эффективности функционирования контрольных процедур.
Согласно Методическим рекомендациям Росимущества, на основании полученной информации в ходе выполнения базовых мероприятий, данный этап включает следующие мероприятия:
— проведение анализа соответствия целей бизнес-процессов, проектов и структурных подразделений целям компании, обеспечения эффективности, надежности и целостности бизнес-процессов (деятельности) и информационных систем, в том числе надежности процедур противодействия противоправным действиям, злоупотреблениям и коррупции;
— оценка обеспечения достоверности бухгалтерской (финансовой), статистической, управленческой и иной отчетности, определение того, насколько результаты деятельности бизнес-процессов и структурных подразделений компании соответствуют поставленным целям;
— оценка адекватности критериев, установленных исполнительными органами для анализа степени исполнения (достижения) поставленных целей;
— выявление недостатков системы внутреннего контроля, которые не позволили (не позволяют) компании достичь поставленных целей;
— оценка результатов внедрения (реализации) мероприятий по устранению нарушений, недостатков и совершенствованию системы внутреннего контроля, реализуемых обществом на всех уровнях управления;
— оценка эффективности и целесообразности использования ресурсов;
— оценка обеспечения сохранности активов;
— оценка соблюдения требований законодательства, устава и внутренних нормативных документов компании.
Каждая организация может самостоятельно определить и закрепить внутренним документом компоненты контрольной среды, которые необходимо подвергать анализу и оценке, а также уровень детализации таких компонентов.
52
Роль подразделения внутреннего аудита в реализации корпоративной карты гарантий
Например, можно использовать структуру компонентов Интегрированной модели COSO: контрольная среда, оценка рисков, средства контроля, мониторинг, информация и коммуникации. Или анализировать более детализированные компоненты, такие как:
— стиль руководства;
— организационная политика и процедуры;
— нормативное обеспечение;
— компетентность и развитие персонала;
— коммуникации и обмен информацией;
— процессный подход в формировании бизнес-процессов;
— стратегии и цели;
— культура и этические ценности;
— разграничение ролей и полномочий и другие.
Выявленные в ходе базовых мероприятий отклонения (нарушения, замечания, несоответствия), а также анализ их причин позволяют соотнести их с конкретными компонентами СВК и сформулировать выводы об их недостатках.
В свою очередь, недостатки компонентов СВК являются причинами недостижения задач СВК, то есть параметров области «Для чего?»: эффективности, законности, сохранности, риск-ориентированности, достоверности отчетности (рисунок 1).
В практике оценки СВК можно выделить три подхода, в которых оценочными критериями являются, соответственно:
— уровень развития компонентов СВК;
— выполнение задач СВК;
— комбинированный подход, устанавливающий причинно-следственную связь уровня развития компонентов СВК и степень выполнения задач СВК.
Оценка СВК по уровню развития его компонентов заключается в выдаче экспертной характеристики тому или иному компоненту. Она также может соотноситься с оценочной шкалой. Как правило, уровень развития характеризуется как: начальный (стартовый, низкий), базовый, развивающийся (средний), сформировавшийся (устоявшийся), развитой (целевой, продвинутый, высокий, передовой) с присвоением соответствующих каждому уровню баллов. Каждому уровню развития компонента СВК соответствует, например, числовое значение от 1 до 5 (1 соответствует начальному уровню развития компонента СВК, 5 — развитому).
Например, аудитор, исследуя компонент «коммуникации и обмен информацией», должен обеспечивать создание эффективных каналов обмена информацией, а также среду информирования, обеспечивающую формирование в подразделениях и у конкретных исполнителей (субъектов внутреннего контроля) понимания принятых контрольных процедур и их исполнение. По результатам аудита ввиду наличия по данному компоненту
53
Роль подразделения внутреннего аудита в реализации корпоративной карты гарантий
существенных недостатков, его уровень развития оценен как базовый с присвоением 2 баллов из 5.
Оценка СВК по выполнению задач СВК подразумевает соотношение выявленных нарушений, их причин и последствий, отклонений и замечаний с той или иной задачей СВК: обеспечение эффективности, законности, сохранности, риск-ориентированности, достоверности отчетности.
Например, выявленные нарушения бухгалтерского и налогового учета будут корреспондироваться с задачей по обеспечению достоверности отчетности, невыполнение поставленных ключевых показателей деятельности — с задачей по эффективности деятельности, невыполнение требований федерального закона — с задачей соблюдения законности и т.д.
В зависимости от масштаба выявленных отклонений, связанных с отдельной задачей, дается оценка уровня выполнения задач СВК. Например, в методологическом документе подразделения внутреннего аудита можно закрепить следующую модель оценки по пятибальной шкале: 1 — невыполнение задачи, 2 — преимущественное невыполнение задачи, 3 — частичное невыполнение задачи, 4 — базовое выполнение задачи, 5 — целевое выполнение задачи, 5+ — выполнение задачи выше целевого уровня.
Каждый балл соответствует определенному состоянию СВК по выбранной задаче. Такая краткая характеристика должна также содержаться в методологическом документе. Например, по задаче «Эффективность деятельности»:
— 5 баллов соответствует состоянию СВК, при котором: в компании (подразделении/бизнес-процессе) разработаны стратегии развития (долгосрочные и среднесрочные), деятельность соответствует данным стратегиям, достигаются заданные показатели; заданные показатели эффективности объективно показывают возможности и текущие результаты; произведенные затраты эффективны и адекватны, направлены на достижение операционных и стратегических целей; минимизированы или исключены малоэффективные, избыточные функции, непроизводительные затраты, потери, недополученные доходы; реализованы действенные контрольные процедуры за выявлением негативных фактов и причин их возникновения.
— 2 балла соответствует состоянию СВК, при котором: отсутствуют стратегии и планы развития; не внедрены контрольные показатели эффективности; размыта или не обозначена ответственность за результаты деятельности; выявляется множество малоэффективных, избыточных функций, непроизводительных затрат, потерь, недополученных доходов; отсутствуют или малоэффективны (формальны) контрольные процедуры за выявлением негативных фактов и причин их возникновения.
На рисунке № 3 приведена модель рассмотрения компонентов интегрированной модели СВК (COSO) с позиции (по критерию) выполнения поставленных перед СВК задач. На рисунке 4 приведен пример графического отображения такой оценки СВК по организации (или структурному подразделению, бизнес-процессу, операционному подразделению, функции).
54
Роль подразделения внутреннего аудита в реализации корпоративной карты гарантий
Рисунок 3. Компоненты интегрированной модели СВК (COSO) и их оценка по критерию достижения поставленных перед СВК задач
Рисунок 4. Пример графического отображения оценки СВК по организации (или структурному подразделению, бизнес-процессу, операционному подразделению, функции) по критерию выполнения задач СВК
Комбинированный подход к оценке СВК сочетает анализ развития компонентов и уровень выполнения задач, устанавливающий причинно-следственную связь уровня развития компонентов СВК и степень выполнения задач СВК.
Проведение оценки системы управления рисками
В соответствии с Междунарочными профессиональными стандартами внутреннего аудита (ст. 2120) внутренний аудит должен оценивать эффективность и способствовать совершенствованию процессов управления рисками. Таким образом, целью оценки СУР подразделением внутреннего аудита является предоставление объективной информации об эффективности управления рисками.
55
Роль подразделения внутреннего аудита в реализации корпоративной карты гарантий
Методическими рекомендациями Росимущества предписано проводить следующие процедуры в целях оценки эффективности системы управления рисками:
— проверка достаточности и зрелости элементов СУР для эффективного управления рисками: цели и задачи, инфраструктура, включая организационную структуру, средства автоматизации и т.п., организация процессов, нормативно-методологическое обеспечение, взаимодействие структурных подразделений в рамках СУР, отчетность;
— проверка полноты выявления и корректности оценки рисков руководством компании на всех уровнях ее управления;
— проверка эффективности контрольных процедур и иных мероприятий по управлению рисками, включая эффективность использования выделенных на эти цели ресурсов;
— проведение анализа информации о реализовавшихся рисках (в том числе выявленных по результатам проверок нарушениях, фактах недостижения поставленных целей, фактах судебных разбирательств и в других случаях).
Как показывает отечественная бизнес-практика, управление рисками в компаниях в настоящее время только набирает обороты и подразделению внутреннего аудита необходимо учитывать общий уровень развития СУР в компании и ее перспективы развития. Как правило, выполняя оценку СУР, аудитор может столкнуться с отсутствием риск-менеджмента как такового, либо увидеть применение только отдельных его элементов.
Для формирования мнения об эффективности управления рисками необходимо отследить наличие, а также уровень развития и формализации всех этапов управления рисками, таких как:
— идентификация (выявление) риска;
— оценка риска и исследование причин его возникновения;
— выбор метода реагирования на риск (с учетом принятого риск-аппетита);
— определение методов реагирования на риск;
— мониторинг реализации мероприятий;
— мониторинг статуса рисков.
Для оценки СУР могут быть выбраны следующие критерии:
1) Степень формализации СУР — включает нормативное регулирование управления рисками как в целом, так по отдельным его этапам, осведомленность ответственного персонала о СУР, наличие стратегий реагирования, определение предпочтительного риска и т.д. При формировании аудитором мнения по данному блоку главным будет вопрос: «Нужно ли вносить изменения и/или дополнения в нормативное регулирование и организационную структуру СУР?»
2) Эффект от СУР — анализируются случаи превышения уровня предпочтительного риска, а также риск-аппетита, их частота и причины, мето-
56
Роль подразделения внутреннего аудита в реализации корпоративной карты гарантий
ды реагирования, последствия, непрогнозируемые последствия, не выявленные риски. Главным вопросом является: «Нужно (можно) ли улучшить эффект от СУР?».
3) Адекватность СУР — сопоставляется действующая СУР с результатами аудита по реализовавшимся рискам и оценкой операционных рисков, проведенной подразделением внутреннего аудита в ходе выполнения базовых мероприятий, также рассматривается полнота учета рисков и возможностей (шансов), анализируется объективность самооценки СУР. Главным вопросом будет «Объективна ли самооценка СУР?».
Оценка корпоративного управления
При проведении оценки корпоративного управления анализируется:
— соблюдение этических принципов и корпоративных ценностей компании;
— соблюдение порядка постановки целей компании и мониторинга/ контроля их достижения;
— уровень нормативного обеспечения и процедур информационного взаимодействия (в том числе по вопросам управления рисками и внутреннего контроля) на всех уровнях управления компании, включая взаимодействие с заинтересованными сторонами;
— обеспечение прав акционеров, в том числе подконтрольных компаний, и эффективности взаимоотношений с заинтересованными сторонами;
— процедуры раскрытия информации о деятельности компании и подконтрольных ему компаний;
— соблюдение рекомендаций Кодекса корпоративного управления;
— соблюдение рекомендаций финансовых регуляторов (Банка России, бирж и др.) по корпоративному управлению в отдельных сферах деятельности и другие.
Выработка рекомендаций подразделением внутреннего аудита
На основании информации и выводов, сформированных в ходе выполнения базовых и экспертно-оценочных мероприятий аудита, аудиторской группой или иным уполномоченным лицом формируются рекомендации по устранению нарушений, недостатков и совершенствованию систем внутреннего контроля и управления рисками объекта проверки.
В Методических рекомендациях Росимущества указано, что рекомендации аудита могут быть направлены на принятие мер по корректировке существующих условий или совершенствования деятельности и могут предлагать подходы к изменению или улучшению деятельности в качестве руководства для исполнительных органов по достижению желаемых результатов. Также, рекомендации могут быть общими или конкретными: в некоторых случаях могут быть предложены рекомендации общего характера, в других — конкретные меры по совершенствованию.
57
Роль подразделения внутреннего аудита в реализации корпоративной карты гарантий
К написанию выводов и рекомендаций необходимо подходить очень внимательно, поскольку их значимость зачастую является одним из ключевых показателей эффективности деятельности самого внутреннего аудита. Также выполнение рекомендаций внутреннего аудита будет анализироваться в ходе выполнения последующего мониторинга.
В заключение необходимо еще раз подчеркнуть важность эффективного распределения контрольной функции в организации между ответственными субъектами корпоративного контроля, а также выбора инструмента контроля в целях обеспечения выполнения миссии компании, реализации ее целей и задач.
Корпоративный контроль может стать надежным скрепом и помочь сохранить целостность и жизнеспособности компании в изменчивых условиях хозяйствования, оперативно реагировать на риски и появляющиеся возможности.
При этом незаменимым элементом данной системы является подразделение внутреннего аудита, которое предоставляет менеджменту объективную оценку состояния и эффективности корпоративного контроля, в том числе его элементов — системы управления рисками и системы внутреннего контроля.
Литература
1. Методические рекомендации по организации работы внутреннего аудита в акционерных обществах с участием Российской Федерации (утверждены приказом Росимущества от 4 июля 2014 года №249). Электронный ресурс. Режим доступа: http://www.rosim.ru/documents/226258 (дата обращения 5 октября 2015 года).
2. Методические рекомендации по построению функции внутреннего аудита в холдинговых структурах с участием Российской Федерации, утвержденные приказом Министерства экономического развития Российской Федерации от 03 сентября 2014 года № 330). Электронный ресурс. Режим доступа: http://www.rosim.ru/documents/232825 (дата обращения 5 октября 2015 года).
3. Методические указания по подготовке положения о системе управ-
ления рисками в государственных корпорациях, государственных компаниях, а также открытых акционерных обществах с участием Российской Федерации (одобрены поручением Правительства Российской Федерации от 24 июня 2015 года № ИШ-П13-4148). Электронный ресурс. Режим доступа: http://www.rosim.ru/activities/corp/
methodology/documents/metod_ukaz_norm_dok (дата обращения 5 октября 2015 года).
4. Функциональная стратегия построения единой системы внутреннего аудита и контроля в холдинге «РЖД», утвержденная распоряжением ОАО «РЖД» от 26 января 2009 года № 122р.
58
Роль подразделения внутреннего аудита в реализации корпоративной карты гарантий
5. Положение об организации внутреннего аудита в холдинге «РЖД» от 06 июля 2014 года № 286.
6. Положение о системе внутреннего контроля в холдинге «РЖД», утвержденное распоряжением ОАО «РЖД» от 23 января 2015 года № 131р.
7. Международный стандарт ИСО 31000:2009 «Менеджмент риска. Принципы и руководство» (Приказ Росстандарта от 21 декабря 2010 года № 883-ст).
8. Международные основы профессиональной практики внутренних аудиторов, принятые международным Институтом внутренних аудиторов (включая Международные профессиональные стандарты внутреннего аудита);
9. Документ (концепция) COSO «Интегрированная концепция построения системы внутреннего контроля» (2013 год).
10. Документ (концепция) COSO «Управление рисками организаций. Интегрированная модель» (2004 год).
11. Иванов О.Б. Риск-ориентированная система внутреннего контроля и аудита // Железнодорожный транспорт. 2015. №6. С. 44—51.
12. Иванов О.Б., Лаврова Т.В. Роль внутреннего аудита в обеспечении эффективного функционирования системы управления рисками компании // Аудиторские ведомости. 2014. №10. С. 61—72.
13. Информация корпоративного сайта ОАО «РЖД». Электронный ресурс. Режим доступа: www.rzd.ru (дата обращения: 15 ноября 2015 года).
References
1. Methodical recommendations on organization of internal audit in joint stock companies with participation of the Russian Federation (approved by order of the Federal property management Agency dated July 4, 2014, #249). Available at: http://www.rosim.ru/documents/226258 (accessed 05 October 2015). (in Russian).
2. The methodical recommendations about creation of function of internal audit in holding structures with participation of the Russian Federation, approved by the order of the Ministry of Economic Development of the Russian Federation of 03 September, 2014, # 330. Available at: http://www.rosim.ru/ documents/232825 (accessed 05 October 2015). (in Russian).
3. Guidelines for the preparation of provisions on the system of risk management in state corporations, state companies and open joint stock companies with participation of the Russian Federation (approved by order of the Government of the Russian Federation dated June 24, 2015 # ISH-P13-4148). Available at: http://www.rosim.ru/activities/corp/methodology/documents/metod_ukaz_ norm_dok (accessed 05 October 2015). (in Russian).
4. The functional strategy of creation of uniform system of internal audit and control in RZD holding, approved by the order of JSCo RZD of 26 January, 2009 # 122R.
59
Роль подразделения внутреннего аудита в реализации корпоративной карты гарантий
5. The provision on the organization of internal audit in RZD holding of 06 July, 2014 #286.
6. The provision on internal control system in RZD holding, approved by the order of JSCo RZD of 23 January, 2015 #131r.
7. ISO 31000:2009 “Risk management Principles and guidelines”.
8. The international bases of professional practice of internal auditors accepted by the International Institute of internal auditors (including the International professional standards of internal audit);
9. Document (concept) of COSO “The Integrated Concept of Creation of System of Internal Control” (2013).
10. Document (concept) of COSO “Risk management of the organizations. The integrated model” (2004).
11. Ivanov O.B. The risk-oriented internal control and audit system. Zhelezno-dorozhnyi transport [Rail transport], 2015. No.6. Pp. 44—51. (in Russian).
12. Ivanov O.B, Lavrova TV The role of internal audit in ensiiring the efficient functioning of a corporate risk management system. Auditorskie vedomosti [Audit Journal], 2014. No.10. Pp.61—72, (in Russian).
13. Information from the corporate web-site of JSCo RZD. Available at: www. rzd.ru (accessed 05 October 2015). (in Russian).
