CC BY
912
ТЕМА НОМЕРА:
КОНТРОЛЬ, АУДИТ, УПРАВЛЕНИЕ РИСКАМИ
Ю.Б. Подкопаев
Совершенствование внутреннего аудита
как ключевого компонента современной системы корпоративного управления компании
В статье рассматривается роль и место внутреннего аудита, а также возможные направления его совершенствования, как одного из ключевых компонентов современной системы корпоративного управления компанией.
Рассмотрены модель функционирования внутреннего аудита и внутреннего контроля, и сопоставление их как двух направлений корпоративного контроля, которые, имея свои собственные цели и задачи, вместе с тем тесно взаимосвязаны в единый блок управления компанией. Предлагаются подходы к построению системы внутреннего контроля, на основании которых можно сформировать необходимые компоненты для качественного проведения внутренним аудитом оценки эффективности СВК.
Ключевые слова: бизнес-процесс, внутренний аудит, корпоративное управление, контрольные процедуры, мониторинг, система внутреннего контроля, управление рисками.
На современном этапе развития практики корпоративного управления компаниями серьезное внимание уделяется дальнейшему развитию функции внутреннего аудита, а также повышению эффективности системы внутреннего контроля (далее — СВК) и координации усилий в области процесса управления рисками.
Наличие эффективной функции внутреннего аудита, системы внутреннего контроля и процессов управления рисками являются необходимым условием успешного развития крупных компаний, особенно холдингового типа, и повышения их инвестиционной привлекательности при выходе на рынки капитала — проведении первичного размещения акций на рынках ценных бумаг (IPO), размещении облигаций, привлечении заемных средств.
Кредитные организации, институциональные инвесторы в рамках процедур оценки заемщика (due diligence) и независимые рейтинговые агентства при определении кредитного рейтинга, рейтинга корпоративного управления учитывают эффективность внутреннего аудита, систем внутреннего контроля и
© Подкопаев Ю.Б., 2012
управления рисками как фактор финансовой устойчивости и прозрачности компании.
Необходимость дальнейшего совершенствования внутреннего аудита и контроля также определяют и конкретные стратегические и текущие бизнес-задачи, стоящие перед компанией, интенсивность и глубину происходящих в ней изменений, а также наличие международного характера деятельности.
Совершенствование внутреннего аудита в компании целесообразно рассматривать с точки зрения формирования перспективной организационно-функциональной модели внутреннего аудита и контроля, внедрения новых подходов к построению эффективной риск-ориентированной СВК, модернизации функций и развития стратегических направлений внутреннего аудита.
Сегодня требуются новые подходы и ускорение процесса формирования риск-ориентированной системы внутреннего контроля, являющейся одним из важнейших элементов современного корпоративного управления компании, без которой сдерживается развитие и повышение эффективности внутреннего аудита.
Необходимо также создание адекватной, признаваемой в мировой практике организационно-функциональной структуры системы внутреннего аудита и контроля компании.
В целях повышения эффективности внутреннего аудита и контрольной функции целесообразно обособить функции внутреннего аудита и внутреннего контроля и рассматривать их как два принципиальных направления корпоративного контроля в компании, которые, имея свои собственные цели и задачи, вместе с тем теснейшим образом взаимосвязаны и вертикально интегрированы под единым руководством.
Суть перспективной организационно-функциональной модели состоит в том, чтобы выделить в действующей структуре внутреннего аудита и контроля два самостоятельных, но взаимосвязанных подразделения — внутреннего аудита и внутреннего контроля.
Одна из задач подразделения внутреннего контроля должна состоять в координации процесса построения менеджментом риск-ориентированной системы внутреннего контроля, содействие в разработке контрольных процедур и их регламентировании в нормативных документах компании.
В свою очередь одна из основных задач подразделения внутреннего аудита должна заключаться в проведении независимой оценки эффективности системы внутреннего контроля и процессов управления рисками.
На сегодняшний день во многих международных концепциях и требованиях регуляторов содержатся положения о таком разграничении функций построения и оценки СВК.
Данная форма организации внутреннего аудита и контроля позволит обеспечить системный подход к содействию со стороны менеджмента в про-
цессе построения СВК, в том числе за счет синергии с независимой и эффективной функцией внутреннего аудита, которая будет находиться под единым управлением, но структурно отделена от функции построения СВК.
В связи с этим, одной из основных целей функционирования подразделения внутреннего контроля в компании должно являться создание условий и предпосылок для эффективного корпоративного управления за счет поддержания контрольных механизмов в состоянии, адекватном меняющимся внешним и внутренним условиям хозяйствования, в том числе путем координации центров ответственности и подразделений компании в вопросах формирования и совершенствования ими системы внутреннего контроля.
Координация подразделением внутреннего контроля процесса формирования и совершенствования центрами ответственности и структурными подразделениями системы внутреннего контроля должна заключаться прежде всего:
— в участии подразделения внутреннего контроля в разработке и согласовании проектов нормативных документов, регламентирующих функционирование системы внутреннего контроля (например, положений о структурных подразделениях, содержащих в себе полномочия и ответственность при осуществлении контрольных процедур и др.);
— в участии в комиссиях, рабочих группах и комитетах на разных уровнях управления компании по вопросам, относящимся к формированию и совершенствованию системы внутреннего контроля;
— в методической поддержке центров ответственности и структурных подразделений компании по вопросам применения единого подхода в формировании и изменении системы внутреннего контроля, а также иным вопросам, относящимся к сфере функционирования и совершенствования системы внутреннего контроля.
Единый подход должен содержать в себе обязательный к выполнению всеми ответственными должностными лицами компании порядок внедрения и применения контрольных процедур и мероприятий.
В свою очередь, внутренний аудит должен представлять собой периодическую риск-приоритетную проверку деятельности структурных подразделений и бизнес-процессов компании в соответствии с конкретными задачами, соответствующими достижению целей проверки, а также независимую оценку эффективности системы внутреннего контроля и процессов управления рисками.
Целью функционирования подразделения внутреннего аудита является повышение эффективности корпоративного управления путем обеспечения правовой, рисковой и контрольной компетентности финансово-хозяйственной деятельности компании.
Для оценки фактического состояния и эффективности системы внутреннего контроля подразделение внутреннего аудита должно выполнять следующие функции:
— аудит эффективности функционирования системы внутреннего контроля в отдельных бизнес-процессах и структурных подразделениях компании путем оценки уровня адекватности системы существующим внешним и внутренним условиям деятельности и имеющимся рискам, а также оценки полноты выполнения ответственными лицами на всех уровнях управления установленных контрольных процедур;
— разработка рекомендаций по повышению эффективности и надежности системы внутреннего контроля на основании имеющихся и выявленных в деятельности структурных подразделений и бизнес-процессах компании существенных рисков;
— контроль достоверности и качества проведенной ответственным менеджментом компании мониторинга (самооценки) системы внутреннего контроля.
Руководитель блока внутреннего аудита и контроля должен административно подчиняться непосредственно руководителю компании, а подразделение внутреннего аудита по вопросам оценки эффективности систем внутреннего контроля и управления рисками функционально взаимодействовать с комитетом по аудиту совета директоров компании.
Данная форма организационной модели управления позволит обеспечить своевременное предоставление достоверной информации высшему исполнительному руководству компании и координацию взаимодействия с комитетом по аудиту, в том числе в части процедуры раскрытия информации в соответствии с установленным в компании порядком и требованиями законодательства.
Перспективная схема организационной структуры внутреннего аудита и контроля компании (в упрощенном варианте) может быть представлена следующим образом (рис. 1).
Рис.1. Перспективная организационная структура внутреннего аудита и контроля в компании
Представленная организационная структура определяет обособленность подразделений внутреннего аудита и внутреннего контроля и нацеленность на решение вышеизложенных задач, сохраняя при этом их взаимосвязь. Наличие единого руководства блоком внутреннего аудита и контроля гарантирует, с одной стороны, их функционирование в интересах высшего исполнительного руководства компании и, с другой стороны, их дальнейшее поступательное и динамичное развитие.
Такая организационная структура никак не должна перечеркнуть существующие методы и результаты работы, а должна лишь расширить и обогатить теорию и практику внутреннего аудита и контроля в компании.
Таким образом, посредством построения организационно-функциональной модели внутреннего аудита и контроля, базирующейся на функционировании двух самостоятельных подразделений: внутреннего аудита и внутреннего контроля, объединенных в единый блок, достигается как высокая независимость, полнота и достоверность комплексной оценки всех бизнес-процессов финансово-хозяйственной деятельности компании и ее структурных подразделений, так и создание благоприятных условий для формирования эффективной системы внутреннего контроля и процессов управления рисками.
Эффективное корпоративное управление в компании невозможно без функционирования четко организованной и адекватной меняющимся условиям хозяйствования риск-ориентированной системы внутреннего контроля, а оценка надежности и эффективности такой системы, является одной из ключевых задач внутреннего аудита.
Вместе с тем, отсутствие единого подхода на практике к формированию СВК, который позволил бы четко определить и регламентировать контрольные процедуры на всех уровнях управления и во всех структурных подразделениях компании, не позволяет обеспечить эффективность ее функционирования и, как следствие, должный аудит по оценке эффективности СВК.
Единый подход к построению системы внутреннего контроля в холдинге должен включать в себя как нормативное, так и методическое обеспечение СВК.
Нормативное обеспечение СВК заключается в создании и внедрении комплекса правоустанавливающих документов корпоративного, оперативно-тактического и операционного уровней:
— документы корпоративного уровня раскрывают сущность системы внутреннего контроля, ее цели и задачи в корпоративном управлении, принципы функционирования, методику построения и изменения СВК в соответствии с изменением внешних и внутренних условий. Такими документами являются, прежде всего, положение о системе внутреннего контроля и методика построения СВК в компании;
— документы оперативно-тактического уровня, содержащие полное и четкое определение задач СВК для конкретного объекта (бизнес-процесса), не противоречащих документам корпоративного уровня. Такими документами, например, могут являться соответствующие положения, инструкции, регламенты и др.;
— документы операционного уровня, в которых установлены полномочия и ответственность субъектов всех уровней управления при проведении ими контрольных процедур, описаны конкретные контрольные процедуры с указанием необходимой для их осуществления информации и ожидаемым от их выполнения результатам, регламентировано время и периодичность их проведения и другие, необходимые и достаточные для выполнения контрольных процедур требования и условия. Такими документами могут являться прежде всего должностные инструкции работников, а также свод контрольных процедур и порядок их проведения в конкретном подразделении (бизнес-процессе).
Вместе с тем, нормативное обеспечение функционирования СВК не может быть сформировано без соответствующего методического обеспечения.
Именно методическое обеспечение СВК представляет собой ту базу, которая позволяет определить контрольную компоненту в должностных инструкциях конкретных работников, построить свод контрольных процедур для их системного и постоянного проведения во всех бизнес-процессах (структурных подразделениях) компании.
Методическое обеспечение прежде всего должно состоять в определении способов и приемов, единых для всех уровней управления, которые должны применяться при построении, оптимизации и функционировании эффективной риск-ориентированной системы внутреннего контроля в компании.
Иными словами, необходимо определить методику, на основании которой будет сформирован перечень контрольных мероприятий (процедур), сформулированы правила и порядок их проведения для всех бизнес-процессов и структурных подразделений компании, и которая позволит формализовать процесс аудита по оценке эффективности действующей СВК.
Внутренний аудит не может проводить качественную и актуализированную оценку эффективности системы внутреннего контроля, если она не функционирует как четко регламентированный, системный и постоянный инструмент, использующий единый подход в своей работе.
Подход к процессу формирования, функционирования и совершенствования СВК в компании целесообразно рассматривать в виде последовательных и взаимосвязанных между собой этапов, таких как:
— документирование;
— оценка соответствия;
— формирование свода риск-ориентированных контрольных процедур (куба контролей);
— тестирование работоспособности;
— мониторинг соответствия.
В результате документирования формируется описание действующих контролей и функциональная специфика бизнес-процесса, выявляются преимущества и недостатки разграничения полномочий и ответственности между сотрудниками в ходе выполнения закрепленных за ними функций (работ) и осуществления контрольных процедур.
На основании документирования, проводится оценка соответствия, в ходе которой формируется карта рисков, с описанием всех возможных рисковых ситуаций, вероятности их возникновения и степени воздействия. На ее основе формируется матрица «функция-риск», представляющая собой соотношение выполняемых работниками функций и рисков, возникающих в ходе их невыполнения, несвоевременного или некачественного выполнения (рис. 2).
Рис.2. Примерный вид матрицы «функция—риск»
В целях формирования свода риск-ориентированных контрольных процедур целесообразно использовать схему двух-уровнего контроля отдельного бизнес-процесса. При этом целью контроля первого уровня является соответствие выполнения функции (работы) имеющимся регламентам,
нормам и другим нормативно-правовым документам микро и макро-уровня, а также полнота и достоверность «входной» информации (результата), использованной для выполнения функции (работы). Целью контроля второго уровня является проверка результата выполненной функции (работы) на соответствие установленным оперативным целям, а также полнота и достоверность «выходной» информации (результата).
Сформированный свод риск-ориентированных контрольных процедур (куб контролей) представляет собой совокупность контрольных мероприятий, полностью охватывающих отдельный бизнес-процесс. Каждая ячейка куба представляет собой пересечение трех основных компонентов:
— какая функция (работа) и каким образом контролируется;
— кем контролируется (должность менеджера, наделенного контрольными полномочиями);
— какой уровень контроля (описание контрольной процедуры).
Тестирование работоспособности, как элемент метода оценки СВК,
заключается в проверке оптимальности разработанных контрольных процедур применительно к конкретным этапам бизнес-процесса. В результате формируется свод оптимальных риск-ориентированных процедур данного бизнес-процесса.
Мониторинг (самооценка) проводится с целью определения соответствия действующей СВК установленным правилам и требованиям, а также выявления текущих отклонений и изменения контрольных мероприятий в зависимости от изменения условий деятельности бизнес-процесса.
Следует отметить, что оценка эффективности СВК осуществляется подразделением внутреннего аудита, как при ее формировании и внедрении, так и периодически в процессе функционирования. Мониторинг (самооценка) соответствия действующей СВК установленным правилам и требованиям проводится менеджментом на постоянной основе и направлен на выявление текущих отклонений и изменение контрольных мероприятий в зависимости от изменения условий деятельности бизнес-единицы (бизнес-процесса).
В результате мониторинга актуализируется имеющаяся карта рисков и матрица «функция-риск», сформированные на этапе оценки.
При выявлении в ходе мониторинга серьезных недостатков и нарушений («нештатных» ситуаций) формируется так называемая прецедентная отчетность.
Прецедентная отчетность как элемент метода предполагает обязательное документирование выявляемых и возникающих «нештатных» ситуаций в функционирующей СВК с описанием «нештатной» ситуации, последствий такой «нештатной» ситуации, ответственных лиц, причастных к ее возникновению, а также анализ причин ее возникновения.
Прецедентная отчетность обеспечивает устойчивость функционирования и повышает эффективность СВК за счет своевременной ликвида-
ции выявленных в ней недостатков по принципу индукции. Совершенствование СВК строится по следующей процессной цепочке: от анализа выявленных «нештатных» ситуаций и конкретных нарушений — к определению причины их возникновения в действующей СВК — далее к изменению контрольных процедур — в результате к совершенствованию СВК.
В целом предлагаемый подход к процессу формирования, функционирования и совершенствования СВК, как один из ключевых компонентов корпоративного управления компании, можно представить в виде последовательных и взаимосвязанных между собой этапов, изображенных на рис. 3.
Рис. 3. Подход к процессу формирования и функционирования СВК компании
Системное применение на практике такого подхода позволит обеспечить формирование и в дальнейшем эффективное функционирование СВК, что будет являться гарантом повышения эффективности отдельных бизнес-процессов и финансово-хозяйственной деятельности компании в целом, а также уверенности исполнительного руководства в том, что поставленные стратегические цели компании будут достигнуты в установленные сроки и с запланированными затратами.
Только наличие хорошо организованной риск-ориентированной системы внутреннего контроля недостаточно для осуществления эффективного управления в компании. Необходим также инструмент, обеспечивающий комплексную, объективную и независимую оценку эффективности деятельности системы внутреннего контроля компании.
Инструментом, позволяющим дать такую оценку эффективности СВК и процессов управления рисками, а также источником объективной и достоверной информации обо всех аспектах деятельности компании для высшего исполнительного руководства, является внутренний аудит.
Предложенный подход к построению и функционированию СВК делает формализованным и эффективным и сам процесс внутреннего аудита по оценке риск-ориентированной системы внутреннего контроля.
Применение на практике такого подхода к построению СВК, позволяет сформировать необходимые и достаточные компоненты для качественного проведения внутренним аудитом оценки эффективности СВК отдельного бизнес-процесса, а именно: карта рисков; матрица «функция-риск»; свод риск-ориентированных контрольных процедур (куб контролей) и прецедентная отчетность о «нештатных» ситуациях.
Оценка перечня существующих в бизнес-процессе рисков (карта рисков) ориентирована на проверку их полноты, актуальности и учета специфики функционирования данного бизнес-процесса.
В процессе оценки используемой в бизнес-процессе матрицы функция-риск могут быть выявлены рисковые ситуации, которые не охвачены соответствующими контрольными процедурами.
Оценка совокупности применяемых в бизнес-процессе контрольных мероприятий направлена прежде всего на установление их достаточности, соблюдения порядка выполнения, а также их соответствия имеющимся и выявленным рискам. Также формируются рекомендации по оптимизации контрольных процедур и порядка их проведения.
Анализ прецедентной отчетности о выявленных «нештатных» ситуациях проводится с целью получения исчерпывающей информации об объеме и качестве мониторинга (самооценки) СВК, проводимого самим подразделением, ответственным за данный бизнес-процесс (центр ответственности), а также мер, предпринимаемых им по предупреждению и нейтрализации причин и последствий возникновения «нештатных» ситуаций.
Важным стратегическим направлением развития внутреннего аудита является применение риск-приоритетного подхода при проведении проверок.
Он заключается в анализе существующих рисков и выявлении новых рисковых ситуаций, как на уровне бизнес-процессов, так и на корпоративном уровне, которые могут оказать серьезное негативное влияние на эффективность деятельности компании.
Результатом такого риск-приоритетного подхода будут являться актуализированные карты рисков отдельных бизнес-процессов и сводная карта рисков компании, которые формируются с использованием SWOT — анализа бизнес-процесса на основании изучения его сильных и слабых внутренних сторон, а также имеющихся внешних позитивных (возможности) и негативных (угрозы) факторов. Примерная схема приведена на рис. 4.
Рис. 4. Примерная схема SWOT — анализа бизнес-процесса
Очевидно, что риски «неосуществления возможностей» или «реализации угрозы», возникновению которых противостоят слабые внутренние стороны при имеющихся возможностях или возникновению которых противостоят сильные стороны бизнес-процесса при имеющихся угрозах, характеризуются значительной степенью влияния на достижение целей деятельности и существенной вероятностью возникновения. Риски «реализации угрозы», возникающие в сфере слабых сторон бизнес-процесса, являются наиболее опасными, так как характеризуются высокой степенью вероятности реализации и критическими для бизнеса последствиями.
В заключение отметим, что реализация предлагаемых направлений совершенствования внутреннего аудита и контроля в крупных компаниях, в том числе холдингового типа и с государственным участием, позволит достичь внутреннему аудиту, как одному из ключевых звеньев современной системы корпоративного управления, высокой надежности и эффективности, гарантируя свою высокую репутацию, а также обеспечить:
— соответствие требованиям международных регуляторов;
— повышение инвестиционной привлекательности и рыночной стоимости компании;
— повышение эффективности деятельности и финансовой устойчивости;
— формирование эффективной риск-ориентированной системы внутреннего контроля, которая будет отвечать современным требованиям и оперативно реагировать на внешние и внутренние угрозы и риски;
— повышение рейтинга корпоративного управления, репутации и бренда компании.
Литература
1. Иванов О.Б. «Система внутреннего аудита и контроля компании холдингового типа»// «Экономика железных дорог». 2009, № 2.
2. Иванов О.Б. «Формирование единой риск-ориентированной системы внутреннего аудита и контроля в холдинге «РЖД». «Железнодорожный транспорт». 2009, № 1.
3. Иванов О.Б. Закон Великобритании о борьбе со взяточничеством: распространение его действия на зарубежные (в том числе российские) компании //ЭТАП: Экономическая теория, Анализ, Практика. 2012, № 1. С. 103-112.
4. Иванов О.Б. Создание эффективной риск-ориентированной системы внутреннего аудита и контроля в компании холдингового типа (на примере ОАО «Российские железные дороги»// ЭТАП: Экономическая теория, Анализ, Практика. 2010, № 1. С. 23—38.
5. Иванов О.Б., Лаврова Т.В. Классификация нарушений и рисков в системе внутреннего аудита и контроля хозяйствующего субъекта (на примере ОАО «РЖД»)// ЭТАП: Экономическая теория, Анализ, Практика. 2011, № 4. С. 65—91.
6. Кабашкин В.А., Мышов В.А. Повышение роли внутреннего аудита и контроля в условиях рыночной экономики // Международный бухгалтерский учет. 2011. № 13.
7. Соколов Б.Н., Рукин В.В. Системы внутреннего контроля (организация, методики, практика). — М.: «Экономика», 2007.
8. Enterprise Risk Management Integrated Framework, COSO, 2004. www.coso.org
9. Guidance on Monitoring Internal Control System, COSO, 2009 www.coso.org
10. Practice Advisories, The Institute of Internal Auditors, 2004. www.coso.org
11. Sarbanes—Oxley Act of 2002. www.soxlaw.com
