В любой организации есть структурные подразделения, цель которых не зарабатывать деньги, а обеспечивать ее безопасность. Это риск-менеджмент, внутренний аудит, контрольно-ревизионная служба, служба экономической безопасности и т.д. Но часто у этих служб нет четкого разделения полномочий и сфер ответственности и поэтому они неэффективно взаимодействуют между собой. От этого и эффективность защиты бизнеса невысокая.
Анализ внешних рисков
Одна из важных тенденций в развитии внутреннего аудита – повышение его уровня: от тестировщика контрольных процедур до аналитика важнейших рисков.
Совет директоров в большей степени, чем контрольные процедуры, интересуют риски и недостатки инвестиционных проектов, сделок слияния или поглощения, бизнес-планирования. Задача внутреннего аудита – провести их анализ. Ведь менеджмент, представляя на утверждение совету директоров, например, крупный инвестиционный проект, рассматривает его прежде всего как возможность заработать, поскольку мотивирован на получение прибыли. Чем больше потенциальная прибыль, тем выше связанные с ее получением риски.
Часто менеджмент склонен недооценивать связанные с проектом риски, так как в случае успеха получает бонусы, а в случае провала особо ничего не теряет (теряют акционеры).
Внутренний аудит должен дать независимую и желательно консервативную оценку рисков проекта, чтобы совет директоров, принимая решение, имел сбалансированную с точки зрения «возможности – угрозы» информацию. В отсутствие «противовеса» в виде внутреннего аудита количество сверхрискованных и вследствие этого неудачных проектов может разорить организацию.
Возможность внутреннего аудита быть «внутренним оппонентом» и аналитиком рисков стратегического уровня, безусловно, зависит от квалификации аудиторов и желания совета директоров, а также генерального менеджера иметь подобного оппонента.
Расширение функций
Сейчас прослеживается тенденция к расширению функций внутреннего аудита: от исследования рисков ограниченного числа процессов (например, формирования финансовой отчетности и закупок) к комплексному охвату всех процессов организации.
Совет директоров требует от внутреннего аудита оценки рисков всех значимых для безопасности бизнеса процессов.
В обеспечении самой экономической безопасности компании функции внутреннего аудита состоят:
- в оценке системы экономической безопасности в целом и предоставлении информации совету директоров и высшему менеджменту;
- в участии в выполнении процедур процесса обеспечения экономической безопасности.
Естественно, внутренний аудитор в такой компании должен обладать высокими профессиональными навыками получения и анализа информации, чтобы быстро осваивать новую информацию и быть способным компетентно ее анализировать, иногда привлекая внешнюю экспертизу.
Аудит корпоративной культуры
Возрастает понимание роли персонала организации как ее главного актива и источника угроз безопасности. Рост уровня информатизации делает доступными для персонала все большие объемы данных. Информационные технологии техническими методами предотвращают утечку информации. Но потери от действий нелояльного персонала превышают ущерб от действий конкурентов в несколько раз.
Информация становится активом, по ценности превышающим все материальные активы, вместе взятые. В числе наиболее ценных активов организации называют эффективную корпоративную культуру как средство обеспечения лояльности персонала. Лояльность (или способность быть лояльным) начинает оцениваться при подборе персонала как одно из необходимых качеств. В связи с этим фокус внимания внутреннего аудита смещается на процессы формирования корпоративной культуры, управления персоналом. Аудит корпоративной культуры – новое и актуальное для внутреннего аудита направление развития.
Какие мероприятия предусмотрены в организации для целенаправленного формирования корпоративной культуры? Насколько они эффективны? Как оценивается существующей уровень корпоративной культуры? Совет директоров все чаще требует от внутреннего аудита ответов на эти вопросы.
Выявление и предотвращение хищений
Кризис продемонстрировал рост уровня хищений. Специалисты по их расследованию всегда знали, что период экономического спада создает среду, в которой ослабевает внутренний контроль, а сотрудники чувствуют себя менее лояльными к работодателю. Ослабляемая экономика в большей мере создает условия сертифицированным специалистам по борьбе с хищениями показать, насколько существенна их роль.
Можно предположить, что в ближайший год советы директоров и менеджмент потребуют от внутреннего аудита резкого усиления работы по выявлению и предотвращению хищений. Обеспечить скорейшее максимальное снижение непроизводительных затрат – задача для внутреннего аудита на ближайшее время. Насколько аудит к ней готов, настолько он окажется востребован.
Если в организации отсутствуют программы по борьбе с хищениями и инструкции по обеспечению анонимности для сотрудников, сообщающих о хищениях, не налажена обратная связь с персоналом по вопросам выявления хищений через корпоративную газету и другие информационные каналы, не проводятся тренинги по деловой этике, то потери от хищений превысят 5% выручки.
Комплексный подход к объединению служб
Сегодня для многих компаний типична ситуация, когда риск-менеджмент подчиняется заместителю директора по стратегии, служба безопасности – генеральному директору, внутренний аудит – финансовому директору. Поэтому компании принимают решение сосредоточить управление всеми подобными функциями в одних руках. Иногда процессы интеграции идут естественным путем без осознания необходимости решить проблему комплексно. Например, несколько крупных компаний в России передали функции риск-менеджмента в ведение внутреннего аудита. С точки зрения соответствия стандартам профессиональной деятельности Института внутренних аудиторов целесообразно было бы подчинить эти подразделения директору по безопасности бизнеса, распределив между ними функции и ответственность. В этом случае ущерба независимости и объективности внутреннего аудита можно избежать, если директор по безопасности бизнеса будет подчинен совету директоров в части функций внутреннего аудита и генеральному директору – в части остальных функций.
Нередко на практике усиливается контрольно-ревизионная функция внутреннего аудита и возрастает его роль в проведении финансовых расследований. Этого требуют и международные стандарты профессиональной деятельности (www.iia-ru.ru), предписывающие внутреннему аудитору играть активную роль в выявлении случаев мошенничества и хищений.
В ряде компаний контрольно-ревизионные функции переданы в подразделение внутреннего аудита. Это также можно рассматривать как проявление тенденции к комплексному решению проблемы экономической безопасности.
В любом случае даже при активно работающем совете директоров внутренний аудит независим от менеджмента ровно настолько, насколько эту необходимость и пользу от него понимает генеральный директор.
Правильно работающий главный внутренний аудитор всегда является посредником между советом директоров и менеджментом, и обе стороны должны воспринимать его как инструмент для решения задач.
Источники угроз экономической безопасности
Внешние:
- рынок – изменение спроса, курса валют, стоимости кредитов, продуктовой линейки, добросовестная конкуренция;
- недобросовестная конкуренция и иные незаконные умышленные действия третьих лиц против компании;
- угрозы репутации компании по политическим, страновым, религиозным и другим мотивам, исходящие от органов власти и общественных организаций, коррупция;
- катастрофы, промышленные аварии, стихийные бедствия, террористические акты.
Внутренние:
- персонал – разглашение информации, умышленные нарушения контрольных процедур с целью хищения, саботаж, халатность;
- несовершенство системы контрольных процедур (отсутствие необходимых контролей, незнание их сотрудниками).
Объекты защиты
Активы:
- материальные активы (оборудование, запасы, здания и т.п.);
- информация и нематериальные активы (технологии, коммерческая информация, персональные данные, государственная тайна, репутация компании);
- персонал (физическая защита, обеспечение лояльности, принадлежность к группам рисков).
Операции:
- экономическая эффективность текущих операций;
- экономическая эффективность стратегических решений и инвестиций;
- обеспечение непрерывности бизнеса.
Роль внутреннего аудита в процессах защиты экономической безопасности
Задача внутреннего аудита – дать совету директоров и высшему менеджменту обоснованную уверенность в том, что риски по данному виду угрозы снижены до приемлемого уровня. Для этого внутренний аудитор должен убедиться, что:
- процессы предотвращения угрозы существуют;
- они организованы эффективно;
- имеют результаты, соответствующие ожиданиям;
- выполнялись предшествующее время как положено;
- результаты достоверно отражаются в отчетности;
- есть обоснованная уверенность, что они будут выполняться далее как положено.
Фокус точки зрения на информацию
Служба безопасности |
Внутренний аудит |
Риск-менеджмент |
Произошедшие события Факты, доказательства Скрытая (скрываемая информация) |
Произошедшие события и риски Мнения и доказательства Открытая и скрываемая информация |
События, которые еще не произошли (риски) Экспертные оценки (суждения) Открытая информация |