ЗАРУБЕЖНАЯ ПРАКТИКА
УДК 35.073.526
Организация внутреннего аудита в компаниях Германии
В статье рассматриваются вопросы организации в компаниях Германии системы внутреннего контроля, управления рисками, построения служб внутреннего аудита, а также практика работы корпораций в указанной сфере, включая применение стандартов внутреннего аудита и функции комплаенс, исходя из законодательства ФРГ и ЕС .
Ключевые слова: внутренний аудит, комплаенс, система внутреннего контроля, стандарты внутреннего аудита, управление рисками
О.Б. Иванов
Германия и в период глобального кризиса, и в период преодоления его последствий, и в настоящее нестабильное время является локомотивом Европейского союза, вытаскивая из депрессии многие страны, спасая единую валюту и цементируя Евросоюз .
Изучая экономическую систему Германии, мы можем констатировать, что ее отличает высокий организационный уровень, высокая эффективность и высокое качество выпускаемой продукции и оказываемых услуг. Причем это присуще всем звеньям экономики: малым и крупным предприятиям, гигантским концернам, землям и государству в целом
Следует подчеркнуть, что кроме достижения высоких экономических результатов целью эффективного корпоративного управления является ответственное, прозрачное и понятное руководство корпорацией, способствующее построению доверительных отношений:
— с национальными и международными инвесторами;
— с регуляторами;
— с клиентами и поставщиками;
— с собственниками и сотрудниками;
— с общественностью и общественными организациями
Основу законодательной базы корпоративного управления в Германии составляют Закон об обществах с ограниченной ответственностью (GmbHG),
Закон об акционерных обществах (AktG), Закон о
© Иванов О . Б . , 2013
129
Организация внутреннего аудита в компаниях Германии
контроле и прозрачности в предпринимательской сфере (KonTraG), Закон по реформированию бухгалтерской отчетности (BilMoG), Закон об обязательном третьем участии (наблюдательный совет) для АО с численностью сотрудников более 500 человек (DrittelBG), Закон о включении представителей наемных работников в наблюдательный совет (MitbestG), Гражданский кодекс (BGB), Торговый кодекс (HGB), Кодекс об административных правонарушениях (OWiG), Кодекс корпоративного управления в Германии (DCGK).
Кроме того, экономическая система всех уровней регулируется директивами и иными нормативными документами Евросоюза .
Важно отметить, что корпоративное управление охватывает не только руководство предприятием (компанией), но и контроль за его управлением . Внутренний аудит предписан Законом об акционерных обществах и Кодексом корпоративного управлении как центральный элемент корпоративного управления, направленный на формирование системы внутреннего контроля, заблаговременное обнаружение опасных для компаний рисков и управление ими
В Германии исключительно важное значение придается наблюдательному совету, в обязанности которого в соответствии с Законом об акционерных обществах входит надзор за деятельностью правления концерна . Наблюдательный совет осуществляет надзор за работой следующих структур:
— служба внутреннего контроля;
— служба внутреннего аудита;
— служба управления рисками
А также проверяет отчетность компании и докладывает о результатах на собрании акционеров
Наблюдательный совет обязан контролировать:
— обеспечение сохранности имущества предприятия;
— эффективность бизнес-процессов и организационной структуры;
— достоверность ведения бухгалтерского учета всех производственных и вспомогательных процессов;
— независимость аудиторов годовых балансов;
— эффективность построения и развития структуры управления;
— системы управления рисками и внутреннего аудита
Методологической базой крупных холдинговых компаний по построению системы внутреннего контроля и управления рисками является общепризнанный и широко применяемый в международной практике документ «Концептуальные основы внутреннего контроля» комиссии Тредуэя, которую называют моделью COSO .
Принятая в стране система внутреннего аудита строится на основных принципах и стандартах Международного института внутренних аудиторов, хотя стандарты IIA не являются в Германии обязательными . В стране имеются свои особенности и собственные подходы в построении системы
130
Организация внутреннего аудита в компаниях Германии
внутреннего аудита с учетом специфики организации управления экономикой и национальными особенностями. В Германии разработан целый комплекс стандартов национального института внутренних ревизий . Кроме того, в крупных корпорациях существуют собственные системы внутрифирменных стандартов
Надлежащее качество проведения внутреннего аудита обусловлено также процедурами предварительного анализа с составлением функционального описания контролируемой структуры на основе корпоративных стандартов и матриц по управлению рисками, обеспечением независимости и неограниченного доступа к информации, достаточным наличием трудовых ресурсов, своевременным представлением документации в полном объеме Следует отметить, что чем выше уровень стандартизации работы подразделения, тем выше уровень эффективности и качества ее организации
Основные положения построения внутреннего аудита компании показаны на рисунке 1 .
В соответствии с Законом по реформированию бухгалтерской отчетности (BilMoG), внутреннему аудиту придана роль центрального независимого звена в системе внутреннего контроля и управления рисками В связи с возложенными функциональными обязанностями службе предоставлены широкие полномочия Одним из важнейших условий эффективности работы службы внутреннего аудита является независимость деятельности, то есть не быть связанным ни в плане управления, ни в плане финансовом с другими подразделениями и подчиняться первому лицу. Согласно особому статусу, руководитель внутреннего аудита отчитывается только перед председателем правления концерна
Основные принципы построения системы внутреннего аудита в компании и организация оптимального управления ею показаны на рисунках 2 и 3 .
Примером создания эффективной системы функционирования службы внутреннего аудита и контроля является Konzernrevision Deutsche Bahn AG (DB AG) .
Следуя модели COSO, в DB AG процесс внутреннего контроля встроен в инфраструктуру общества с охватом всех бизнес-процессов и процессов управления, а вопросы построения и поддержания эффективной системы внутреннего контроля и управления рисками отнесены к компетенции менеджмента компании В DB AG считают, что встроенный контроль является неотъемлемой частью основной деятельности компании, позволяет избегать лишних расходов и гарантирует быстрое реагирование на меняющиеся условия
Исходя из этой концепции, в DB AG максимально высокий уровень вовлеченности менеджеров всех уровней в процессы внутреннего контроля и управления рисками На основе управленческой философии позитивного отношения к вопросам внутреннего контроля в концерне созда-
131
OJ
to
Определение внутреннего аудита (BA):
«Внутренний аудит выполняет независимый и объективный контроль (‘‘assurance’1) и оказывает консалтинговые услуги („consulting"), направленные на создание прибавочной стоимости и улучшение производственных процессов.
Он поддерживает организационную структуру в достижении поставленных целей, систематически и целенаправленно выполняет оценку эффективности системы управления рисками, производит внутреннийи контроль системы корпоративного управления и надзора за производственными процессами, предлагая мероприятия по их улуч шению».
(по определению DIIR - Института внутренних аудиторов Германии)
Устав
внутреннего
аудита
Устав внутреннего аудита (Internal Audit charter) выполняет роль «визитной карты» и необходим в качестве легитимности службы внутреннего аудита внутри корпорации. Он описывает общие положения и цели внутреннего аудита. Этим документом правление корпорации укрепляет авторитет внутреннего аудита при проведении проверок и обеспечивая доступ к просмотру
документации.
Справочник IIA/DIIR Стандарты ВА Кодекс этикета IA Процессы ВА
Справочник служит стандартом и инструкцией для деятельности отделов внутреннего аудита. Он должен содержать описание всего процесса (планирование, подготовка, контроль, составление отчёта, обеспечение качества), а также включать jB себя стандарты Института внутренних аудиторов
Германии DIIR.
Отдельные механизмы и инст
Макет
Эскиз
Стандарты
Закон о бухгалтерском учете
мероприятии по аудиту
Контроль
последующих
мероприятий
Программа
контроля
Отчёт о состоянии
Отдельные механизмы и
документы, необходимые для выполнения эффективных и высококачественных процессов внутреннего аудита.
Цели, задачи и функции внутренних аудиторов.
Международная законодательная база, регламентирующая деятельность внутренних аудиторов.
02013 KWAG АО iAfirtscl^*pr0funfl*e**e(teeh#1ll eine der KPMG Едоре LLP und Mitglfed KPMG'tet£w»<fc$ unabh*ngl9er MftgUetfsIirmwt, die KPMG
International Cooperative fKPMG International"), einer juristschen Person echwetzeribchen Rechls, BngesctilossBn sind. Atle Rechte vofbshalten.
Рисунок 1. Основные положения внутреннего аудита компании
Организация внутреннего аудита в компаниях Германии
Реализация ■ Концепт
1.
Организационная структура службы внутреннего аудита
Документация по законодательной базе внутреннего аудита (устав, инструкция, справочник и прочее)
3.
План контроля за системой оценки и управления рисками
Опционно: IT-инструментарий и системы для внутреннего контроля, их интеграция в существующую систему управления
4.
Подготовка и
проведение
ревизионного
контроля,
включая
последующий
контроль за
исполнением
перечисленных
мероприятий
Направление деятельности ревизора / личностный рост и .профессиональное 'развитие сотрудников (программа обучения и повышения квалификации)
Составление отчетов' (руководству, наблюдательному совету, при необходимости 1 экземрляр заинтересованным сторонам)
7.
Обеспечение качества (отчёты ревизий, опрос клиентов, анализ полученной информации)
©2013 KPMG AG Wirt3ctoteprorung»ge$ell3chafl. eine Konaernjeaelischaft der KPMG Europe LLP und Mitglied de* KPUG-tetaverio unabMnglgor Mitgledefirmer. die KPMG International Cooperative (‘KPMG Internationar}, einerjuri&titchen Person stfiweizBnschen Rechls, angeschlossBn sind. ADe Rechle vnbeheleil.
U)
U)
Рисунок 2. Этапы создания системы внутреннего аудита и компоненты успеха
Организация внутреннего аудита в компаниях Германии
u>
-p^
Внутренние ожидания и надежды
Оценка внутренних ожиданий производится по аспектам:
• Генеральное направление внутреннего аудита
• Круг задач и детальность отдельных сфер контроля
• Интеграция функций внутреннего аудита в организационную структуру, ресурсы и кадровый потенциал (IT, бюджет, численность персонала)
• План контроля и мероприятий, а также анализ результатов проверок и системы отчётности
Внедрение передового опыта
KPMG располагает большим числом экспертиз благодаря многолетнему опыту в следующих видах внутреннего аудита:
Co-Sourcing (одновременное выполнение бизнес-функций, как внутренним персоналом компании, так и ресурсами извне и Outsourcing
• Подготовка СВА к контролю качества
• Coaching / Training
• Система внутреннего контроля, оценка и минимизация рисков,
«анти-мошенничество», Compliance Management_____________
Структурная диаграмма
Интеграция а структуру управления предприятием
Организация внутреннего аудита внутри компании на соответствующем структурном уровне
Отчётность корпоративному руководству
Интеграция с другими корпоративными структурами
Должностная инструкция
• Необходимая квалификация
• Задачи и ответственность
• Социальные полномочия
• Адаптация к различным функциям и обязанностям (например, руководитель ревизионной группы и др.)
С 2013 KPMG AG WirtBchaftsprtrfungsgesell&dialt, eirte КогнвгодтаеПнФаЙ der KPMG Europe LLP und MiCglied des KPMG-NetzwerkS unattidngiQar MrtglMafinittn. die KPMG International Cooperatn/e ('KPMG International"^ eine* iorijiBchen Person acnweisertschen Rechu, angeschlossen eind Alle Rechie vorbebaften-
Рисунок 3. Оптимизация механизмов управления службой внутреннего аудита
Организация внутреннего аудита в компаниях Германии
Организация внутреннего аудита в компаниях Германии
на контрольная среда компании, которая определяет стиль управления, гарантирующий создание условий нетерпимости к проявлению противоправных действий . Внутренний контроль базируется на системе корпоративных стандартов, которые на всех стадиях каждого бизнес-процесса предусматривают обязательное применение контрольных процедур и определяют разграничение полномочий и степень ответственности менеджмента . При этом в основе организации деятельности менеджмента лежит риск-ориентированный подход . Риски анализируются с учетом вероятности их возникновения и влияния путем изучения причин, последствий и обеспечения системного контроля над каждым видом риска (рисунок 4) .
Особое место в структуре отведено функции аудита строительства объектов инфраструктуры и недвижимости как зоны особого риска . По этой тематике проводится Audit Universe — ежегодная проверка на соответствие так называемому ландшафтному процессу, то есть полное описание всех выполняемых в концерне рабочих операций По аналогии с ландшафтом процессов аудит подразделяется на основные, вспомогательные и управленческие процессы (управление проектами, разработка, проектирование, строительство, сдача в эксплуатацию, использование, ремонт, аренда, покупка, продажа и др )
Проверки системы бухгалтерского контроля и контроля за составлением финансовой отчетности и имущественного положения компании осуществляются в рамках финансового аудита . По результатам этого вида аудита формируется аудиторское заключение об эффективности процесса составления годового баланса и обеспечении достоверности финансовой отчетности, а также о достоверности производных данных из проверяемой документации . Кроме того, сводный баланс концерна до его публикации направляется на рассмотрение в Комплаенс-комитет
В сфере компетенции внутреннего аудита находятся также вопросы персонала, телекоммуникаций и IT-технологий . Одно из направлений деятельности внутреннего аудита — это технический аудит эксплуатации и текущего содержания . Во время проверок изучаются вопросы качества, надежности, достоверности, экономичности и функциональности бизнес-процессов и целевых систем, включая систему внутреннего контроля и управления рисками концерна
Служба внутреннего аудита и контроля активно взаимодействует с другими подразделениями (бухгалтерией, службами управления персоналом, информатизации, безопасности и др , а также членами правления и наблюдательного совета)
Важным аспектом успешной деятельности службы внутреннего аудита является глубоко и всесторонне обоснованное планирование, учитывающее основные риски компании . Планирование аудитов включает:
— долгосрочный план с учетом анализа общих рисков;
— выяснение необходимых количественных и качественных ресурсов;
135
Стандартное программное обеспечение REDIS (Revisions-Daten-Informations-System) = комплексная системная поддержка всего процесса проведения внутреннего контроля в концерне
* Содействие в составлении годовых ревизионных планов (с интегрированным расчётом ресурсов)
' Предоставление Check-листов, ревизионных инструкций, ревизионных программ и прочего
(банк информационных данных, банк отраслевых данных)
* Документация в рамках системы всех действий / разрешений ревизора (высокая прозрачность)
» Индивидуальный концепт полномочий
* Интегрированное составление отчёта с привязкой к Follow-up Process (контроль за исполнением мероприятий)
* Опции детального анализа
* Система безопасности соответствует работе ревизоров
* Единая для всех географических пунктов система с равными возможностями доступа
* Повсеместный отказ от бумажных актов (в рамках экологической стратегии DB2020 Okologie)
Рисунок 4. Этапы проведения внутреннепо контроля в концерне DB
Организация внутреннего аудита в компаниях Германии
Организация внутреннего аудита в компаниях Германии
— формирование годового плана и его утверждение;
— определение объектов проверок (филиалы, отделения, иные структурные и бизнес-единицы, дочерние общества также входят в периметр аудита в компаниях холдингового типа);
— оперативное планирование
При планировании необходимо ставить в график прежде всего объекты с наихудшими оценками по рискам . При этом надо стремиться к тому, чтобы контроль покрывал все стороны деятельности компании (рисунок 5) .
В частности, в DB AG высокий качественный уровень этой работы обеспечивается внедрением системы риск-ориентированного планирования внутреннего аудита, представленной на рисунке 6 .
Система обнаружения и анализа рисков, а также создание программы управления рисками для повышения эффективности общей деятельности сегодня требуется любой компании Система управления рисками необходима также для того, чтобы определить стратегию службы внутреннего аудита
Поэтому прежде всего формируется перечень (реестр, каталог) основных рисков компании . Затем анализируется динамика развития этих рисков за последний период Вырабатывается перечень мер по их минимизации . Далее запускается система мониторинга наиболее существенных рисков, формируется система документации по данному мониторингу
Корпоративная карта служит основой плана аудита и аудиторской деятельности
В анализ рисков могут войти:
— вероятность возможных потерь;
— результаты предыдущих проверок внешней или внутренней ревизии;
— результаты самооценок;
— консультации различных специалистов (совет директоров, совет руководителей, комитет по аудиту, правление; сотрудников по предупреждению коррупции, управлению рисками, соблюдению законов, комплаенсаудиту; совещание сотрудников по вопросам защиты данных);
— политическое значение для имиджа компании
В компании создаются каталог рисков в соответствии со стандартами института внутренних аудиторов, а также реестр рисков, составленный различными подразделениями и менеджментом Служба внутреннего аудита должна составлять свой каталог рисков, а затем анализировать, обобщать, сопоставлять все группы рисков, полученные из других источников Каталог должен постоянно мониториться и обновляться, как минимум, раз в год пересматриваться
137
u>
со
Координация модели рисков и щ Анализ обнаруженных рисков и определение I Разработка на основе полученных документов стратегии управления рисками Щ схемы контроля I долгосрочного плана внутреннего аудита
Шаг 1.
Определение целей компании, разработка и оформление модели рисков
Определение целей компании
> Стратегические и операционные
Разработка адекватной модели рисков
> Определение границ категорий рисков
> Определение характерной для компании интерпретации «возможных размеров ущерба или убытка» и их вероятности
Шаг 2.
Идентификация рисков и их анализ
Определение сферы/области контроля и классификация рисков
Разработка сфер контроля > Определение сфер контроля, в которых можно проверить пригодность и эффективность мероприятий
Распределение рисков по сферам контроля > Выделение рисков / мероприятий по соответствующим контрольным сегментам
Составление карты рисков > Суммирование параметров „размеры ущерба и вероятность наступления" по каждому контрольному сегменту в риско-баллах Risk-Score в форме картограммы
Шаг 4.
Определение Составление плана приоритетов для контроля,
сфер и объектов основанного на
контроля имеющихся
результатах
Планирование ресурсов
> Определение необходимых по каждому контрольному сегменту человеко-дней на основе определения сложности контроля и электронной оценки рисков -Risk-Score
Документация среднесрочных ревизионных планов
> Описание методологии действия
> Утверждение руководством и разрешение к проведению
Рисунок 5. Пошаговое риск-ориентированное планирование внутреннего аудита в компании
Организация внутреннего аудита в компаниях Германии
Планирование с целью минимизации рисков
Пожелания центральных структур напр.,
Принятие правлением РВ MLAG/ DBAG решения
Анализ рисков руководителями подразделений концерна {G!,FC,FB,YQ,TO,HF,GS)
11
Пожелания правлений
нфоршционные I ревизионные и Compliance -
Формирование годового ревизионного плана. Определение тем с учетом профессионально правовых или типовых промышленных ревизионных норм.
Согласование со службами безопасности и управления качеством (TQ)
Согласование со службой защиты инфо-данных
(CD)
Информация
HWU
40
Konzernrevision, Lutz Cauers, September 2013
Рисунок 6. Система риск-ориентированного планирования внутреннего аудита концерна DB
Организация внутреннего аудита в компаниях Германии
Организация внутреннего аудита в компаниях Германии
Еще одним важным элементом современной системы внутреннего контроля является комплаенс-аудит.
Ввиду все возрастающего внимания в мире к проблемам коррупции, вступления в силу Закона о борьбе со взяточничеством Великобритании (UK Bribery act 2010) и усиления активности надзорных органов в отношении применения Закона о противодействии коррупции за рубежом США (Foreign corrupt practices act), ужесточение антикоррупционного законодательства в Германии, введение дополнительных требований в международные стандарты профессиональной деятельности внутреннего аудита по оценке рисков мошенничества и др , во многих компаниях создана специальная структура комплаенс (Compliance) .
Например, концерн DB AG на протяжении ряда лет является корпоративным членом Transparency International — международной неправительственной организации, основанной в 1993 году с целью борьбы с коррупцией, — активно участвует в инициативной группе «Вместе против коррупции» Федерального министерства внутренних дел Германии, а также в рабочих группах по обмену опытом по вопросам комплаенс с коллегами из других международных концернов
Главными целями структуры комплаенс являются: предотвращение злоупотреблений и нарушений против ценностей концерна, снижение персональных рисков акционеров, членов совета директоров и высшего менеджмента, повышение эффективности деятельности, улучшение имиджа компании, повышение доверия инвесторов Наиболее проблемными областями комплаенс-рисков являются применение юридических санкций, нанесение существенного финансового убытка или потери репутации, нарушения антимонопольного, налогового, трудового законодательства, искажение финансовой отчетности, несоблюдение технических стандартов и норм
В структуре подразделения комплаенс существует специальный отдел, который занимается сбором, обработкой и анализом информации В DB AG строго соблюдается принцип: защита «информаторов» — абсолютный приоритет! Передача информации, в том числе анонимной, производится лично, по телефону, по E-mail, а также по электронной многоязычной системе передачи информации BKMS .
Вся деятельность Compliance построена на строгом соблюдении кодекса этики и корпоративных стандартов и тесном взаимодействии с менеджментом В целях предотвращения и своевременного обнаружения злоупотреблений, а также для того чтобы обеспечить соответствие деятельности организаций нормам и требованиям применимого гражданского и уголовного законодательства, на основе комплаенс-рисков совместно с менеджментом разрабатываются и внедряются комплаенспрограммы
140
Организация внутреннего аудита в компаниях Германии
Особый порядок взаимодействия установлен между Compliance и службой внутреннего аудита и контроля . Руководитель службы внутреннего аудита и контроля является членом Комплаенс-комитета, на котором производится обмен информацией в целях анализа рисков, рассматриваются существенные обстоятельства комплаенс-информации для выработки согласованных действий, изучаются конфликтные ситуации между различными подразделениями концерна и т д
Основные элементы системы комплаенс регулируются стандартом PS 980 Института аудиторов Германии (IDW) .
Учитывая, что в современных условиях руководство компании несет личную ответственность за нарушения в подчиненных ему подразделениях (а никто не хочет нести ответственность за содеянное подчиненными), в компаниях создаются и усиливаются системы внутреннего контроля . Наличие эффективной СВА может служить доказательством того, что в компании сделано все, чтобы исключить негативные явления или, как минимум, снизить риск их появления . Наличие действенной системы — доказательство невиновности
Важнейшим условием функционирования системы внутреннего контроля и аудита является формирование кадрового потенциала СВА, постоянное повышение квалификации персонала и профессиональная подготовка, в том числе через корпоративное повышение квалификации, а также в сертифицированном центре Deutsches Institut ftir Interne Revision (DIIR) (специализированная дочерняя компания института) . DIIR финансирует профессуру специализированной кафедры в одном из университетов DIIR предлагает собственную профессиональную квалификацию — Interner Revisor DIRR
Таким образом, качество внутреннего аудита обеспечивается:
— стандартами и регламентами;
— независимостью, объективностью и неограниченным доступом к информации;
— профессиональной подготовленностью и достаточностью персональных ресурсов (количество и качество);
— достаточной документацией для обеспечения проверочных мероприятий;
— эффективным последовательным аудит-процессом;
— доступностью для проверки всех процессов и организационных областей;
— системностью и комплексностью решения задач внутреннего контроля, аудита и управления рисками
План аудирования должен быть сформирован с помощью стандартизированной и риск-ориентированной методики .
141
Организация внутреннего аудита в компаниях Германии
References
При подготовке статьи использованы материалы, полученные в ходе личных контактов в период пребывания в Германии в сентябре 2013 года:
1 . Laue J.C., Brandt V., Scheckenhofer M. Corporate Governance und Interne
Revision in Deutschland. KPMG, 19. 09.2013. In German.
2 . Mohle H, Rudi N. Interne Revision in Deutschland. Grundlagen und Standards
des Deutsches Institut ftir Interne Revision . Deutsches Institut fur Interne Revision e.V. , Frankfurt, 20.09.2013. In German.
3 . Cauers L. Organisatorische Status der internen Revision und Kontrolle im
Konzern DB AG — Aufgaben, Funktionen und Berichterstattung im Rahmen der neuen Struktur Konzernrevision Deutsche Bahn AG September 2013 In German