Хотя риски, контрольные процедуры, аудиторские тесты — три кита современного внутреннего аудита, важнее эффективные связи между ними.
Когда в нашей стране не было иных методов хозяйствования, кроме Госплана и обязательств перед партией, на Западе начали внедрять инструменты корпоративного управления. Уже существовали и концепция управления рисками, и опыт построения систем внутреннего контроля, и идея внутреннего аудита. Казалось бы, самое время заняться внедрением системы управления рисками, предшествующей и внутреннему контролю, и тем более аудиту. Но мы пошли другим путем.
Риск-менеджмент находится в зачаточном состоянии примерно на 95% предприятий небанковского сектора экономики. В банковской среде речь идет в основном о кредитном риске, риске ликвидности и других «классических» банковских рисках. Все это не выше второго (из пяти возможных) этапа развития интегрированной системы управления рисками (ИСУР).
Этот этап называется «Несогласованные действия по снижению рисков, реализующихся в работе различных департаментов». Исходя из названия у него два существенных недостатка: невнимание к прочим рискам (причем прочие не означают малозначительные) и несоответствие между расходами на управление рисками и их значимостью для банка как для «классических» рисков, так и для «прочих».
Система внутреннего контроля, именно система с неким центром, координирующим ее развитие и отвечающим за эффективность ее деятельности, встречается чаще, чем ИСУР. Но не так часто, чтобы участники профессионального сообщества воспринимали ее как нечто само собой разумеющееся.
Зато внутренний аудит чувствует себя сравнительно неплохо. Наверное, каждый второй внутренний аудитор сталкивался с ситуацией, когда менеджмент предлагал провести «аудит наличия товарных запасов на складе».
Проблема не в том, что оценить количество товара на складе может любой работник, а не только дорогостоящий и всесторонне образованный сотрудник отдела внутреннего аудита. Проблема в убежденности менеджмента, что недостачи на складе — самая существенная угроза бизнесу.
Сегодня очень удобно объяснять, что даже если на складе хранятся алмазы, то их недостача — пустяки по сравнению с кризисом. Когда падают цена и спрос, дебиторы перестают платить, увеличение расходов на охрану того самого склада все чаще будет приводить к мысли, что закопать алмазы обратно в стылую якутскую землю — самое разумное бизнес-решение.
Системный подход к управлению рисками — это инструмент, позволяющий не понять, что угроза рецессии, обвала мировых рынков и валют существует всегда, а осознать необходимость в аналитике, которая вовремя просигналит о приближении глобальных макроэкономических изменений.
Конечно, предприятию понадобится план действий на случай таких изменений, цель которого — обеспечить успешность бизнеса в любых условиях. Поэтому надо обдумать и разработать этот план заранее, а не составлять перечень действий по тушению пожара непосредственно в ночь после него.
Наладив процесс получения такой аналитики, разработав план и доведя его до сведения исполнителей, можно заняться борьбой с недостачами на складе. Впрочем, можно решать обе проблемы одновременно, но только не в обратном порядке. Ведь благородная смерть бизнеса в условиях редко происходящего кризиса не сравнится с убытками даже от частых недостач на складе.
К сожалению, риск-ориентированная система внутреннего аудита не заменит систему управления рисками. И причина вполне объективна. Как только внутренний аудитор становится риск-менеджером, он перестает быть тем специалистом, основная задача которого — оценивать эффективность всех бизнес-процессов, начиная с системы управления рисками. Дело в том, что самому объективно оценивать свою работу крайне сложно, а в условиях такой неточной науки, как управление рисками, просто невозможно. Но внутренний аудит может помочь предприятию и с риск-менеджментом:
- разработать методологию управления рисками (если в отделе внутреннего аудита есть специалист, который в силу своего образования, предыдущего опыта и творческого потенциала способен выполнить эту задачу);
- разработать, обеспечить координацию и проведение тренингов по вопросам управления рисками для сотрудников компании;
- обеспечить координацию внедрения ИСУР в деятельность компании;
- консультировать сотрудников компании по всем вопросам управления рисками.
Правда, все это возможно только в том случае, если в отделе внутреннего аудита хотя бы два человека.
Но результат стоит усилий: к тому моменту, когда система управления рисками перейдет на пятый (последний из возможных) уровень развития, все менеджеры компании будут принимать решения с учетом рисков и необходимых контролей. У внутренних аудиторов останется только один пункт в годовом плане аудитов — оценка эффективности ИСУР.