Наша газета постоянно освещает вопросы внутреннего аудита в компаниях1. В соответствии с законодательством все публичные акционерные общества до 1 января 2021 г. обязаны сформировать комитеты по аудиту. О том, как организовать работу комитета по аудиту, о роли и месте внутреннего аудита в оценке системы рисков и внутреннего контроля рассказывает Никита Масюк, руководитель внутреннего аудита, АО «Россети Тюмень».
Отечественный бизнес, несмотря на всю финансовую мощь государственного сектора, в некоторых вопросах характеризуется догоняющим развитием. Так, ряд технологий управления и присущие им векторы развития, применяемые во всем мире на протяжении десятилетий, все еще укореняются в российском предпринимательстве. Конечно, такое отставание связано с историей отношений частной собственности и политического курса в стране. Бизнесмены конца прошлого века только начинают передавать функцию управления своим наследникам, при этом большинство из них продолжают возглавлять семейные компании.
Традиционными предпосылками передачи функций стратегического и операционного управления в частном бизнесе считают пенсионный (или предпенсионный) возраст собственников-учредителей, необходимость расширения производств и географии присутствия, которым может помешать «творческий» кризис лидеров и отсутствие необходимых компетенций внутри бизнеса.
Стратегические цели и финансовые интересы собственников могут идти вразрез с операционными задачами менеджмента, что в совокупности с другими причинами повышает актуальность корпоративного управления, обеспечивающего систему сдерживания и противовесов всех заинтересованных сторон: собственников, совета директоров, исполнительного менеджмента и иных стейкхолдеров.
Главный источник конфликта возникает в целеполагании собственника и наемного руководителя, при котором понимание первоочередного использования чистой прибыли генеральным директором может пойти вразрез с желанием собственника получить дивиденды. Конфликт также может быть усугублен личными финансовыми интересами наемного менеджера, для достижения которых он может прибегать к нерациональным методам управления капиталом.
Различия интересов могут также возникать между несколькими собственниками, оказывающими существенное влияние на деятельность компании. При таком конфликте, при прочих равных обстоятельствах, победу одержит та сторона, чей голосующий пакет окажется более весомым, но оценить влияние такого решения на финансовое положение компании возможно только по истечении времени. Минимизировать риски и конфликты в компании со сложной иерархией управления (особенно это касается публичных акционерных обществ) может хорошо организованная работа комитета по аудиту.
Задачи комитета по аудиту в системе корпоративного управления
Кодексом корпоративного управления2 понятие «корпоративное управление» определяется как система взаимоотношений между исполнительными органами акционерного общества, его советом директоров, акционерами и другими заинтересованными сторонами, обеспечивающая равенство условий для всех акционеров — владельцев акций одной категории (типа) и равное отношение к ним со стороны общества.
Корпоративное управление внедряется в бизнес-модель для риск-ориентированного использования ресурсов, обеспечения сохранности инвестиций собственников и привлечения новых. В основе управления должны стоять принципы устойчивого развития с определенной стратегией, миссией, корпоративными ценностями и видением. Таким образом, система становится важнейшим инструментом повышения устойчивости и эффективности деятельности предприятий.
Совет директоров определяет ориентиры развития общества, ключевые показатели деятельности и основные бизнес-цели, оценивает и одобряет стратегию и бизнес-планы.
Вслед за лучшей мировой практикой корпоративное управление в России уходит от формального существования и переходит в практическую плоскость, привлекая к своей деятельности независимых директоров и экспертов. Совет директоров подотчетен акционерам.
В рамках полномочий совет директоров должен обеспечить эффективное функционирование систем управления рисками и внутреннего контроля общества путем утверждения соответствующих политик, рассмотрения отчетной информации и иных действий, в том числе через создание профильных комитетов: комитета по аудиту, комитета по номинациям, комитета по вознаграждениям, комитета по стратегии.
Основоположник концепции корпоративного управления Боб Трикер определяет систему корпоративного управления как взаимозависимость задачи топ-менеджмента в управлении компанией и совета директоров — в контроле за правильностью такого управления.
Законодательное закрепление контрольной функции за советом директоров произошло с принятием Федерального закона от 19.07.2018 № 209-ФЗ, в соответствии с которым акционерные общества публичного типа обязаны сформировать комитеты по аудиту в срок до 01.01.2021 (в редакции Федерального закона от 07.04.2020 № 115-ФЗ). Для организаций нефинансового сектора экономики на протяжении всей национальной истории корпоративного управления образование комитетов являлось правом советов директоров, а не обязанностью.
Комитет по аудиту призван обеспечить предварительное углубленное рассмотрение вопросов, перед их утверждением советом директоров, в области контроля за финансово-хозяйственной деятельностью общества, в том числе с оценкой независимости аудитора публичного общества и отсутствия у него конфликта интересов, а также с оценкой качества проведения аудита бухгалтерской (финансовой) отчетности общества.
Например, перед вынесением кандидатуры руководителя внутреннего аудита на утверждение совету директоров ее рассматривает комитет по аудиту, и при соответствии кандидата всем предъявляемым требованиям он может быть одобрен комитетом. В теории комитет по аудиту может не согласовать претендента, и в этом случае рекрутеры снова приступят к рассмотрению кандидатов. Однако на практике, учитывая сложную систему управления корпорациями, к моменту вынесения вопроса на комитет по аудиту кандидат, как правило, уже проходит все необходимые согласования и решение комитета является простой необходимой формальностью.
Комитет по аудиту вправе приглашать на свои заседания любых сотрудников общества, руководителя подразделения внутреннего аудита и представителей внешней аудиторской организации. Встречи комитета и руководителя внутреннего аудита рекомендуется проводить не реже одного раза в квартал, при этом присутствие иных сотрудников компании должно быть ограничено в целях сохранения конфиденциальности обсуждаемой информации.
Лучшая практика организации функционирования комитетов по аудиту, когда формирование комитета происходит только из числа независимых директоров3 и при обязательном наличии как минимум одного независимого директора, обладающего опытом и знаниями в области подготовки, анализа, оценки и аудита бухгалтерской (финансовой) отчетности, информацию о котором рекомендуется раскрывать публично.
Комитет по аудиту должен обеспечивать защиту интересов внутреннего аудита, особенно в ситуациях, когда разрешение конфликта невозможно без вмешательства сверху.
Хорошей практикой неформального подхода Кодекса корпоративного управления к регулярным встречам комитета по аудиту и внутреннего аудита является знакомство членов вновь избранного комитета (или его председателя) с руководителем и ведущими менеджерами внутреннего аудита. Это обеспечит понимание системы реальных ценностей сотрудников подразделения внутреннего аудита и позволит комитету более ясно представлять, будут ли соответствовать фактически предоставленные гарантии внутреннего аудита реальному положению дел.
В соответствии с Кодексом корпоративного управления комитет по аудиту организует и осуществляет контроль:
-
в области бухгалтерской (финансовой) отчетности;
-
в области управления рисками, внутреннего контроля, а в случае отсутствия комитета по корпоративному управлению — и корпоративного управления;
-
в области противодействия недобросовестным действиям работников общества и третьих лиц;
-
в области проведения внутреннего и внешнего аудита.
Также к контрольным функциям комитета по аудиту относятся вопросы обеспечения независимости и объективности внутреннего аудита.
Одно из ранних упоминаний о внутреннем аудите содержалось в распоряжении ФКЦБ РФ от 04.04.2002 № 421/р «О рекомендации к применению Кодекса корпоративного поведения»4, в котором лишь указывалось на необходимость построения эффективного взаимодействия внутреннего и внешнего аудита. В 2002 г. Центральный банк России под внутренним аудитом понимал контрольно-ревизионную службу — независимое от исполнительных органов структурное подразделение, отвечающее за проведение ежедневного внутреннего контроля. С введением нового кодекса корпоративного управления национальное видение функции внутреннего аудита было сближено с лучшей мировой практикой.
Место и роль внутреннего аудита в системе корпоративного управления
Федеральным законом от 19.07.2018 № 209-ФЗ в срок до 01.01.2021 (в редакции Федерального закона от 07.04.2020 № 115-ФЗ) публичные акционерные общества обязаны сформировать подразделения внутреннего аудита — «глаза, уши и руки» комитета по аудиту, что коррелируется с правом публичных акционерных обществ отказаться от ревизионных комиссий, атавизма советской надзорной деятельности. Непубличные акционерные общества также вправе ликвидировать ревизионную комиссию, но для обеспечения интересов акционеров и для организации непрекращающегося контроля за финансово-хозяйственной деятельностью целесообразно создание подразделения внутреннего аудита. Наличие подразделения внутреннего аудита, в том числе в предприятиях иных организационно-правовых форм, следует закрепить в уставе.
Обязанность публичного акционерного общества организовать управление рисками и внутренний контроль с 19.07.2018 закреплена в ст. 87.1 Федерального закона от 26.12.95 № 208-ФЗ «Об акционерных обществах». Эта правовая норма определяет место внутреннего аудита в системе корпоративного управления: совет директоров обязан утвердить политику общества в области организации и осуществления внутреннего аудита для оценки надежности и эффективности управления рисками и внутреннего контроля.
Система координат внутреннего аудита в корпоративном управлении обеспечивается ключевыми задачами комитета по аудиту по отношению к внутреннему аудиту, что в достаточной мере формирует его место и роль:
-
вопрос о необходимости создания системы внутреннего аудита (в случае отсутствия) и способе организации системы (собственное структурное подразделение или привлеченная организация) перед утверждением советом директоров рассматривается комитетом по аудиту;
-
независимость и объективность внутреннего аудита обеспечивается комитетом по аудиту путем:
— рассмотрения политики в области внутреннего аудита, положения о структурном подразделении, осуществляющем функцию внутреннего аудита перед их утверждением советом директоров;
— рассмотрения плана деятельности подразделения внутреннего аудита перед утверждением советом директоров;
— рассмотрения вопросов и подготовки мотивированной позиции о назначении (освобождении от должности) руководителя подразделения внутреннего аудита и размере его вознаграждения, установления ключевых показателей эффективности (далее — КПЭ), применения к нему дисциплинарных взысканий перед принятием решения советом директоров;
— рассмотрения существующих ограничений полномочий или бюджета на реализацию функции внутреннего аудита, способных негативно повлиять на эффективное осуществление функции внутреннего аудита и при необходимости — информирование совета директоров;
-
вопрос об оценке эффективности осуществления функции внутреннего аудита предварительно рассматривается комитетом по аудиту с последующим утверждением советом директоров.
Международный стандарт аудита 610 «Использование работы внутренних аудиторов», утвержденный приказом Минфина России от 09.01.2019 № 2н, предоставляет право внешней аудиторской организации (аудитору), при соблюдении ряда ограничений, привлекать к своей работе подразделение внутреннего аудита. При этом внутренний аудит в рамках полномочий, наделенных комитетом по аудиту, осуществляет контроль за подходом к проведению аудита бухгалтерской (финансовой) отчетности внешним аудитором. Надзор за эффективностью такого двустороннего взаимодействия должен обеспечиваться комитетом по аудиту, в том числе путем совместных встреч с внутренним и внешним аудитором по вопросам контроля за независимостью и объективностью привлеченной аудиторской организации, условий договора с ней, принципов проведения аудита, а также оценки качества выполнения аудиторской проверки и заключений по ней.
Приказами Росимущества от 04.07.2014 № 249 и от 03.09.2014 № 330 определена основная цель функционирования внутреннего аудита — содействие совету директоров и исполнительным органам:
-
в повышении эффективности систем управления рисками, внутреннего контроля, корпоративного управления посредством проведения анализа, оценки данных систем;
-
в построении общегрупповой функции внутреннего аудита в соответствии с корпоративной практикой, нормами законодательства РФ.
Резюмирую совокупность подходов к определению места и роли внутреннего аудита в системе корпоративного управления: внутренний аудит должен осуществляться путем создания отдельного структурного подразделения или с привлечением независимой внешней организации. Функционально подразделение внутреннего аудита должно быть подотчетно совету директоров (через комитет по аудиту), а административно — непосредственно единоличному исполнительному органу общества.
Внутренний аудит находится за рамками операционной деятельности предприятия, не участвует в финансово-хозяйственной жизни бизнеса. Но даже в идеальном корпоративном устройстве может существовать зависимость внутреннего аудита от менеджмента компании: при согласовании закупочных процедур на выбор центров повышения квалификации, при согласовании сотрудников подразделения (рядовой персонал подразделения не является предметом интереса комитета по аудиту), при согласовании графиков отпусков, предоставления социальных гарантий сотрудникам подразделения и т.д.
Роль внутреннего аудита при оценке системы управления рисками и внутреннего контроля
Ответственность за эффективность системы управления рисками и внутреннего контроля, направленной на достижение поставленных перед обществом целей, несет совет директоров. Информация об исполнении советом директоров его роли в системе управления рисками и внутреннего контроля должна раскрываться публично.
В рамках системы управления рисками и внутреннего контроля обществу целесообразно организовать конфиденциальную горячую линию, через которую будет происходить передача информации о любых фактах (подозрениях) нарушений законодательства и локальных нормативных актов напрямую в подразделение внутреннего аудита (с дальнейшим информированием совета директоров через комитет по аудиту).
Внутренний аудит осуществляет надзор за надежностью и эффективностью системы управления рисками, внутреннего контроля и системы корпоративного управления, подготовку предложений по их совершенствованию, в соответствии с Кодексом корпоративного управления. Результаты оценки должны доводиться до сведения совета директоров не реже одного раза в год.
При оценке системы управления рисками как компонента (или основы) принятия управленческих решений внутренний аудит в том числе осуществляет:
-
оценку зрелости элементов системы управления рисками (внутренняя среда, постановка целей, определение событий, оценка рисков, выполнение мероприятий по управлению рисками, средства контроля, информация и коммуникации, мониторинг);
-
проверку полноты выявления и корректности оценки рисков менеджментом общества всех уровней;
-
проведение анализа информации о реализовавшихся рисках и достижении целей корректирующих мероприятий по управлению риском и недопущению его реализации (снижении вероятности реализации).
Проводя оценку системы управления рисками, внутренний аудит осуществляет контроль за эффективностью и результативностью деятельности топ-менеджмента, так как вопросы управления рисками относятся к высшему уровню принятия решений, а следовательно, результаты оценки имеют особую ценность для совета директоров, назначающего генерального директора компании.
Результаты оценки системы внутреннего контроля, наоборот, предоставляют информацию об эффективности бизнес-процесса, ответственность за их реализацию лежит на функциональных руководителях среднего звена. Результаты оценки необходимы топ-менеджменту для принятия управленческих и кадровых решений в отношении подконтрольных подразделений и руководителей.
Осуществляемая внутренним аудитом оценка эффективности системы внутреннего контроля включает:
-
анализ соответствия целей бизнес-процессов, структурных подразделений целям общества, определение адекватности критериев достижения поставленных целей;
-
оценку дизайна контрольных процедур на надежность и способность противодействия осознанным и неосознанным нарушениям руководящих документов;
-
проверку достаточности, ясности регламентации бизнес-процессов в локальных нормативных актах;
-
проверку достоверности бухгалтерской (финансовой), статистической, управленческой и иной отчетности;
-
оценку эффективности исполнения корректирующих мероприятий по ранее выявленным нарушениям (недостаткам) системы внутреннего контроля;
-
проверку обеспечения сохранности активов, рациональности использования ресурсов.
В соответствии с методикой самооценки качества корпоративного управления в компаниях с государственным участием, утвержденной приказом Росимущества от 22.08.2014 № 306, обязательной оценки требуют принципы прав акционеров, совет директоров, исполнительное руководство, прозрачность и раскрытие информации, управление рисками, внутренний контроль, внутренний аудит, корпоративная социальная ответственность, деловая этика и комплаенс.
Оценка корпоративного управления обеспечивает гарантии защиты прав акционеров и предоставляет собственникам нефинансовую информацию о качестве управления их инвестициями. При проведении оценки корпоративного управления основное внимание внутреннего аудита уделяется разграничению полномочий и оценке выполнения возложенных функций и обязанностей на участников системы корпоративного управления. Оценка корпоративного управления включает следующие направления:
-
проверку соблюдения этических принципов и корпоративных ценностей;
-
проверку порядка постановки целей общества и мониторинга достижения;
-
проверку уровня нормативного обеспечения и процедур информационного взаимодействия;
-
проверку обеспечения прав акционеров, в том числе подконтрольных обществ, и эффективности взаимоотношений с заинтересованными сторонами;
-
анализ процедур раскрытия информации о деятельности общества и подконтрольных ему обществ.
Вопросы управления рисками и внутреннего контроля при достаточном нормативном регулировании составляют систему показателей эффективности операционного менеджмента компании, в то время как вопросы корпоративного управления являются ключевой ответственностью и элементом КПЭ работы совета директоров.
Внутренний аудит, осуществляя надзорную деятельность за эффективностью реализации отдельных функций совета директоров и находясь в его подчинении, фактически попадает в конфликт интересов, который потенциально (а возможно, в отдельных компаниях и практически) влияет на объективность выводов внутреннего аудита.
Лучшие практики организации корпоративного управления предполагают включать в годовой отчет общества, наряду со сведениями, предусмотренными законодательством, результаты оценки комитетом по аудиту эффективности процесса проведения внутреннего аудита для повышения степени доверия акционеров к выводам внутреннего аудита.
***
Возможно, такая система взаимооценки, при которой каждый участник является и объектом, и субъектом оценки одновременно, позволяет этим элементам корпоративного управления действовать наиболее гармонично, избегая концентрации рычагов влияния у какого-либо одного участника. Фактически же данное наблюдение поднимает дискуссионный вопрос о пересмотре места внутреннего аудита в системе корпоративного управления и его выводе за рамки единоличного влияния совета директоров. Речь здесь идет как минимум о вопросах назначения и освобождения от должности руководителя внутреннего аудита, а также утверждения условий договора с ним и передачи этих вопросов на утверждение общему собранию акционеров, по примеру российской практики работы с ревизионной комиссией.
1 Например, № 14 и № 23 за 2020 г., № 7 и № 10 за 2019 г.
2 Опубликован в письме Банка России от 10.04.2014 № 06-52/2463 «О Кодексе корпоративного управления».
3 Российским законодательством не установлено определение «независимый директор», но, исходя из содержания действующих нормативных актов и норм Кодекса корпоративного управления, независимым директором признается член совета директоров, который не является в настоящий момент (и не являлся в прошлом) единоличным исполнительным органом АО, в том числе не был управляющим, членом коллегиального исполнительного органа, лицом, занимающим должности в органах управления управляющей организации, не является и не являлся в прошлом супругом, родителем, ребенком, полнородным и неполнородным братом или сестрой, усыновителем или усыновленным лица, занимающего должности в органах управления АО, управляющей организации общества либо являющимися управляющим общества.
4 Документ отменен.