Внутренний контроль и аудит помогает повысить эффективность бизнеса

| статьи | печать

Недавно прошла конференция по теме внутреннего управления рисками, контроля и внутреннего аудита. На мероприятии, организованном порталом CFO-Russia.ru и группой Prosperity Media при информационной поддержке «ЭЖ», обсуждался целый спектр вопросов, начиная от вариантов взаимодействия этих служб и заканчивая набором инструментов, которые ими используются. Некоторые из этих вопросов и ответы на них от ведущих экспертов представлены в нашей статье.

Большинство экспертов считают, что и у руководства компаний, и у их сотрудников есть понимание необходимости внутреннего контроля и аудита, более того, руководство приветствует развитие систем внутреннего контроля и аудита, так как при адекватной системе управления есть ощущение «общего кармана» и зависимости системы стимулирования от достигнутых общих результатов и экономии ресурсов. Это во многом отличает правильно выстроенный бизнес от предприятий и организаций с бюджетным финансированием, где зачастую руководители стремятся максимально исчерпать бюджет, а не эффективно управлять ресурсами и справедливо стимулировать персонал в зависимости от их результатов и экономии.

Модель «трех линий защиты» об организации внутреннего контроля и аудита

Варианты взаимодействия служб внутреннего контроля и внутреннего аудита во многом опираются на модель так называемых «трех линий защиты»1, в основе которой лежит ряд методологических положений. Основная идея модели состоит в реализации наиболее эффективной системы внутреннего контроля, гарантирующей минимизацию всевозможных рисков, для этого выстраиваются:

  • 1-я линия защиты (бизнес-функции): ее реализует операционное руководство, которое несет ответственность за оценку, регулирование и минимизацию рисков, а также за обеспечение эффективной системы внутреннего контроля. Это так называемые владельцы рисков и бизнес-процессов и исполнители контрольных процедур;

  • 2-я линия защиты (функции мониторинга): обеспечение и отслеживание внедрения эффективной практики управления рисками, внутреннего контроля, соблюдение законодательства и административных правил/внутренних регламентов и расследование фактов мошенничества. Для выполнения задач этой линии защиты обычно задействованы подразделения по управлению рисками, внутреннего контроля, комплаенс-подразделение по соблюдению требований (регулятивных и прочих);

  • 3-я линия защиты (независимая функция): используя риск-ориентированный подход, внутренний аудит информирует совет директоров и высшее руководство об эффективности оценки рисков и управления ими, а также о качестве работы первой и второй линий защиты.

Первые две линии защиты подчиняются административно и функционально высшему руководству (правлению), третья линия может административно подчиняться высшему руководству, а функционально — комитету по внутреннему аудиту при совете директоров/наблюдательном совете.

Это самая общая модель, а значит, возможны варианты как взаимодействия и подчинения соответствующих подразделений (ответственных лиц), так и применяемых инструментов. Тем более ценными могут быть практические примеры реализации функций внутреннего контроля и аудита в реалиях российского среднего и крупного бизнеса.

Какие варианты организации внутреннего контроля и аудита существуют

На практике встречаются разные варианты, например:

  • объединение функций внутреннего контроля и управления рисками и подчинение их финансовому блоку, который осуществляет помимо своих классических функций в целом контроль бизнеса и ведет единый реестр рисков, при этом внутренний аудит выделяется в отдельный департамент;

  • для очень больших компаний (группы компаний, распределенных регионально, и т.п.) актуальной является децентрализованная модель внутреннего контроля и/или внутреннего аудита;

  • подчинение системы внутреннего контроля и внутреннего аудита финансовому директору;

  • при определенной стадии развития корпоративной культуры возможно и оправданно, что система внутреннего контроля и управления рисками выполняет роль внутреннего консультанта, сотрудники сами приходят в эту службу при наличии вопросов, а для большей эффективности в их системы KPI встраиваются показатели по рискам;

  • для некоторых видов бизнеса и компаний вполне оправдана и модель, когда внутри предприятия есть только финансовый аудит, а все остальные задачи закупаются как услуги у сторонних организаций (аутсорсинг).

Таким образом, на практике сложилась достаточно значительная вариативность организации и интеграции работы внутреннего аудита (IA, Internal Audit), внутреннего контроля (IC, Internal Control) и управления рисками (ERM, Enterprise Risk Management).

Большинство специалистов из предметной области сходятся во мнении, что выстраивать и развивать тесную коммуникацию между IA, IC и ERM необходимо на основе системного подхода, при этом начинать можно с разработки процедур и подсистемы внутреннего контроля и затем на этой основе строить всеобъемлющую систему управления рисками организации.

Изменение объектов и методов внутреннего контроля, управления рисками и внутреннего аудита

Оценка и контроль рисков основаны во многом на классических экспертных и математико-статистических методах. К последним, например, относятся расчеты различных характеристик случайной величины: дисперсии, математического ожидания, среднеквадратического отклонения (это основные наиболее известные и применяемые на практике), имитационное моделирование (например, на основе метода Монте-Карло) и другие методы. Но меняются и возникают новые риски, в связи с чем необходимо использование новых методов или применение методов из других областей.

Технологическая сингулярность, подразумевающая высочайшее развитие искусственного интеллекта, что сейчас и происходит, приводит к тому, что роль человека в принятии решений снижается, за счет использования новейших технологий (машинного обучения, и т.д.). При этом растет скорость принятия решений, но, как и раньше, существует огромное количество рисков ошибочных управленческих решений, появляются и новые риски. Глеб Зазнов, советник генерального директора, КРП-Инвест (РЖД), выделяет следующие группы рисков, связанных с управленческими решениями:

  • информация — может быть недостоверной, неактуальной, нерелевантной;

  • методы и процедуры — отсутствуют жесткие процедуры и критерии выбора решения;

  • компетенции — несоответствие знаний и опыта руководителя профилю принимаемых решений;

  • видение — нечеткое, фрагментарное, поверхностное;

  • понимание — искаженное представление о структуре и зависимостях;

  • образ мыслей — фокус на оперативной ситуации, стереотипах и страхе перемен.

Для минимизации этих рисков можно использовать известный метод разделения обязанностей, используемый давно и успешно во многих странах при разработке корпоративных информационных систем для обеспечения их безопасности. Это метод, основанный на разработке матрицы конфликта полномочий, в англоязычной терминологии именуется Segregation of Duties (SoD).

В его основе лежит принцип разделения обязанностей сотрудников (и/или подразделений) по ключевым процессам или функциям более чем по одному сотруднику, то есть по важным бизнес-процессам матрица показывает, какую часть задач выполняет отдельный сотрудник. Без такого разделения затруднительно осуществлять управление рисками мошенничества и снижать количество управленческих ошибок2. На основе анализа проблемных участков разрабатывается матрица процессов и полномочий («как должно быть»). По одной оси идут варианты ролей (подписывает, изменяет или вводит данные, утверждает, проверяет и т.д.), по другой — подпроцессы или процедуры в рамках выбранного ключевого процесса (функции). На пересечении в ячейках матрицы пишут имена ответственных лиц и/или подразделений. Обобщенный пример матрицы представлен на рисунке.


52,9% обнародованных случаев мошеннических действий были совершены лицами, обладавшими для этого достаточным спектром полномочий, в одиночку, без сговора. Это показало масштабное исследование 2018 г. по теме профессионального мошенничества и злоупотреблений, проведенное Ассоциацией сертифицированных ревизоров против мошенничества (Association of Certified Fraud Examiners, ACFE)3. Тем актуальнее становится использование эффективных методов для минимизации подобных рисков, например приведенной выше матрицы процессов и полномочий.

Помимо рисков управленческих решений Глеб Зазнов обозначил актуальные киберриски:

  • размытие границ между организациями и ликвидация периметра сети, который организация должна защищать;

  • ускорение внедрения экспоненциальных технологий, что приводит к новым киберрискам и усложняет реакцию на них;

  • искусственный интеллект — начинает заменять или дополнять экспертов, это может привести к возникновению новых возможностей и уменьшению затрат, а также создавать новые риски;

  • изменение облика бизнеса — инновационные организации создают новые модели доходов и оказания услуг с использованием цифровых технологий, которые сопряжены с киберрисками;

  • интернет вещей — помимо несомненной пользы создает и возможности для уязвимости устройств;

  • мобильные устройства — для растущего числа пользователей становятся единственным и важным каналом взаимодействия, что приводит к росту вероятности реализации киберугроз.

Современные методы работы служб внутреннего контроля и аудита опираются на цифровизацию. В связи с необходимостью импортозамещения и снижением стоимости программного обеспечения Алексей Винокуров, начальник управления внутреннего аудита, ВДНХ, рекомендует использовать отечественное ПО, которое должно опираться на глубокое знание проблематики этой предметной области и обладать гибкой платформой: простотой администрирования и возможностью самостоятельной настройки (или доработки) системы силами своей ИТ-службы. В таком ПО должен быть изначально заложен алгоритм, позволяющий отследить выполнение поставленных задач исполнителем и осуществлять контроль за закрытием поручений, история выполнения которых затем попадает в единую базу архива. Качественное ПО для внутреннего контроля и аудита позволяет вести единые гибкие справочники и массивы данных, мониторить информацию по задачам и проектам, использовать типовые алгоритмы для взвешивания наблюдений. В результате уже через несколько месяцев использования таких ИТ-решений в разы увеличивается скорость формирования отчетов при соблюдении заданного стандарта качества. Также существенно увеличивается показатель своевременности исполнения поручений.

Как оценить эффективность работы внутреннего аудита

В ежегодных исследованиях компании PwC на тему современного состояния профессии аудитора подчеркивается его роль в качестве доверенного советника руководства при достижении внутренним аудитом высшей ступени зрелости4. Кратко о результатах последнего исследования см. «ЭЖ», 2018, № 30.

Роль доверенного советника, по сути, консультанта руководства, является результатом эволюции функций внутреннего аудита от специалиста, который просто должен выполнить план аудита (минимальный вклад), через стадии поиска проблем, поставщика гарантий, помощника в решении проблем — до инициатора перемен. К сожалению, во многих российских компаниях роль внутреннего аудита находится на первых стадиях эволюции.

По меткому выражению независимого эксперта Юлии Беляковой, дипломированного аудитора, на самом деле для руководства (заказчика) важны два вопроса, на которые оно (он) хочет получить ответ от внутреннего аудитора. И если внутренний аудитор коротко и ясно отвечает на эти вопросы, он становится доверенным советником руководства.

Звучат эти вопросы так:

  • Сколько это будет стоить?

  • Что мне за это будет?

Ответ на первый вопрос должен содержать финансовую оценку возможных потерь в случае негативного развития событий. Ответ на второй вопрос связан с ответственностью руководства и ответственных лиц в связи с неисполнением законодательных норм. Как заметила Юлия Белякова, от внутреннего аудита руководство ожидает не большого количества объемных отчетов, а качественной экспертизы и предложений по решению проблем. Важно не смешивать внутренний аудит с другими функциями (например, контрольной), он должен стать для бизнеса советником, а не «карающим мечом правосудия».

Василий Ряховский, руководитель отдела внутреннего аудита, Монэкс Трейдинг, привел пример системы показателей, характеризующей эффективность внутреннего аудита. Перечни этих показателей организация определяет самостоятельно, разрабатывает процедуры расчета и их анализа, согласовывая их с основными стейкхолдерами для получения объективной оценки. Приоритетность выбора показателей зависит от поставленных руководством стратегических целей и задач, особенностей организационной структуры, использования риск-ориентированного подхода в осуществлении ключевых направлений деятельности. Этапы создания системы оценки эффективности внутреннего аудита могут идти параллельно-последовательно:

  • определение понятия «эффективность» внутреннего аудита применительно к своей организации;

  • определение ключевых внутренних и внешних стейкхолдеров;

  • разработка системы измерения показателей результативности и эффективности;

  • внедрение регулярного мониторинга.

Система показателей, предложенная Василием Ряховским, может включать группы количественных и качественных показателей оценки внутреннего аудита.

К количественным группам относятся, например, эффективность персонала, эффективность аудиторских рекомендаций и консультаций, окупаемость затрат на аудит. К качественным группам показателей можно отнести соблюдение стандартов аудита и кодексов этики, профессиональный уровень сотрудников и его повышение, удовлетворенность стейкхолдеров.

Если кратко обобщить мнения экспертов, что же такое эффективный внутренний аудит, то можно выделить два важных момента (своего рода KPI):

  • внутренний аудит должен вовремя и качественно выполнять план по аудиту;

  • представлять понятные и ценные отчеты руководству, при этом короткие и максимально информативные (утрируя — «в трех фразах охватить суть»).

Оценка внутреннего аудита имеет и обратную сторону: чем выше эффективность подразделений, выполняющих функции третьей линии защиты (а также и подразделений второй линии защиты), тем выше и эффективность самой организации в целом. В идеале эти службы должны выполнять превентивные задачи — прогнозировать риски, избегать их и, как было сказано выше, выполнять роль доверенного советника руководства и консультанта для сотрудников, что реализовано в некоторых компаниях.

Как сделать контроль более эффективным

Эксперты в ходе обсуждения обозначили подходы, которые применяются в их компаниях для увеличения эффективности внутреннего контроля. Их можно рекомендовать для практического использования всем предприятиям:

  • контроль может попросту не работать, если неэффективно выстроены и бизнес-процессы, и сам процесс контроля. Поэтому сначала необходимо провести анализ и при необходимости — реинжиниринг бизнес-процессов;

  • делаются акценты на наиболее значимых ключевых рисках в системе внутреннего контроля и управления рисками — для крупных торговых компаний и сетей это может быть акцент на управлении запасами, в этих случаях разрабатывается матрица или шкала рисков по запасам;

  • вести управление рисками по значимым проектам;

  • развивать ИТ-решения по внутреннему контролю — на рынке присутствуют российские качественные разработки для управления бизнес-процессами, можно разрабатывать свои программ-ные решения и интегрировать их с «коробочными»;

  • должны быть ясно прописанные контрольные процедуры — правила игры и санкции. При этом надо учитывать, что есть две группы персонала с точки зрения внутреннего контроля. Первая группа — те, кто сознательно хотят нарушать правила и наносить тот или иной ущерб компании (который может носить как материальный, финансовый, так и нематериальный характер). А основная часть персонала — вторая группа, они нарушают те или иные правила, бизнес-процессы неосознанно. Этой группе персонала надо активно помогать и развивать у них стремление к самоконтролю. Все это должно опираться на хорошо проработанную модель стимулирования персонала.

***

На наш взгляд, основной вопрос не в том, как надо «перетасовать карты», то есть не в том, как организационно подчинить и соотнести подразделения, а в том, насколько организация — и в целом система управления — адекватно понимает и хочет решать задачи внутреннего контроля, управления рисками и внутреннего аудита в целях повышения эффективности организации, а также гарантирует ее долгосрочное существование и развитие. А способы решения — механизмы и инструменты — могут быть разными, каждая компания на основе общих принципов адаптирует и выстраивает модель «трех линий защиты» под себя.

К сведению

Экспоненциальные технологии отличаются быстрым и многократным улучшением своих характеристик и удешевлением, например, связанные с мобильной связью, использованием искусственного интеллекта.

1 Подробное исследование «Трех линий защиты» компании PwC 2015 года см.: https://www.pwc.ru/ru/events/2015/assets/pwc_10november_2.pdf.

2 Такой же принцип применяется в политической сфере и называется разделением полномочий (separation of powers).

3 С исследованием можно ознакомиться на сайте ACFE по ссылке: https://www.acfe.com/report-to-the-nations/2018/.

4 Исследование PwC см. по ссылке: https://www.pwc.ru/ru/publications/assets/state-internal-audit-russian.pdf.