Buch lesen: «Настольная книга по внутреннему аудиту. Риски и бизнес-процессы»
Редактор В. Ионов
Руководитель проекта И. Гусинская
Компьютерная верстка М. Поташкин
Арт-директор С. Тимонов
© Крышкин О.В., 2013
© ООО «АЛЬПИНА ПАБЛИШЕР», 2013
Все права защищены. Никакая часть электронной версии этой книги не может быть воспроизведена в какой бы то ни было форме и какими бы то ни было средствами, включая размещение в сети Интернет и в корпоративных сетях, для частного и публичного использования без письменного разрешения владельца авторских прав.
* * *
Глава 1.
Внутренний аудит как функция системы управления
Внутренний аудит как профессия существует в России уже более 10 лет. В настоящий момент число членов российского представительства Института внутренних аудиторов превышает 2500, а число сертифицированных аудиторов по международным стандартам (Certified Internal Auditors, CIA) – 150. С появлением возможности сдачи профессионального экзамена на русском языке число сертифицированных аудиторов будет расти ускоренными темпами.
Основным препятствием для развития внутреннего аудита в нашей стране стала необходимость адаптации западного опыта к российским условиям. Несмотря на банальность данного утверждения, это объективная реальность. Я сам немало времени посвятил штудированию работ западных авторов. С одной стороны, было полезно попрактиковаться в английском языке, а с другой – выбора не оставалось. Материалов по внутреннему аудиту на русском языке было мало, и им частенько недоставало практичности. Немногим лучше ситуация и сейчас. Одна из целей данной книги – немного изменить статус-кво.
Перенос западного опыта внутреннего аудита в условия российской экономики сопровождается неоднозначными побочными эффектами. Многие особенности и методы внутреннего аудита западной школы, если так можно сказать, выглядят разумно. Однако в основе их эффективности лежат факторы, которые непросто найти в российских условиях. К ним можно отнести, например, высокий уровень развития корпоративного управления, высокую исполнительскую дисциплину, склонность к системному решению проблем. Я знаю немало аудиторов, которые испытали массу негативных эмоций, от недоуменных взглядов до остракизма, при попытке подражать западным внутренним аудиторам во всем. Отчасти именно этот путь привел к некоторой дискредитации профессии внутреннего аудитора. Не секрет, что слово «аудитор» ассоциируется у большинства с человеком, занимающимся аудитом бухгалтерской отчетности, или с ревизором. Эксперименты по адаптации западного опыта добавили к подобным ассоциациям новые, среди которых самой безобидной является «мальчики и девочки, занимающиеся всякой ерундой». Однако я уверен, что этап привыкания российской экономики к внутреннему аудиту уже пройден. Многие аудиторы значительно повысили профессиональный уровень, переварив западный опыт и заменив его наработками российского производства. Вспышки мракобесия еще случаются, но в скором времени российские управленцы научатся эффективно пользоваться функцией внутреннего аудита.
Можно с уверенностью говорить о том, что внутренний аудит приобретает статус перспективной профессии. Во многом его потенциал еще не задействован. Взять хотя бы довольно распространенную на Западе практику, когда сотрудники различных подразделений проходят стажировку в подразделении внутреннего аудита в качестве простых аудиторов. Подобных примеров в России я не встречал. В силу специфики своей работы внутренний аудитор имеет гораздо больше возможностей получить представление об основных бизнес-процессах компании. Из этого следует, что при наличии определенных навыков при прочих равных условиях внутренний аудитор является предпочтительным кандидатом на должность, требующую знания различных аспектов деятельности предприятия, например должность директора по экономике и финансам, директора проектного офиса или даже генерального директора. В нашей стране пока еще прощупывают перспективность такого варианта замещения управленческих должностей. Правильный внутренний аудит учит работать с сутью проблемы, а этого качества очень не хватает многим российским управленцам. Правильный внутренний аудит учит задумываться о построении систем, эффективном сочетании бизнес-процессов и внутренних контрольных процедур, а в России пока предпочитают менять одного нерадивого сотрудника на другого, еще не запятнавшего репутацию, и сложить ручки в ожидании чуда. Только вот чудо происходит нечасто. Огромный потенциал внутреннего аудита заключается в создании внутрикорпоративной конкуренции в области управления процессами, начиная от идей и заканчивая конкретными процедурами. Ведь именно у внутреннего аудитора есть возможность объективно разобраться в нюансах различных процессов в компании и обоснованно поспорить с владельцами этих процессов. Правильный акционер или генеральный директор извлекут из этого огромную пользу, так как у них появляется возможность получить две обоснованные позиции по интересующим их вопросам. Это дает возможность выбора и контроля.
Каждый внутренний аудитор должен стремиться стать правильным. Определим теперь, что же понимать под правильным внутренним аудитом.
Глава 2.
Фундаментальные вопросы и формирование подхода к работе
Место внутреннего аудита в управленческой иерархии предприятия
В подавляющем большинстве случаев подразделение внутреннего аудита является сервисным. Такие подразделения оказывают услуги основным производственным подразделениям1. Однако от компании к компании содержание и прочие особенности этих услуг могут существенно различаться. Это отличает функцию внутреннего аудита от других сервисных функций, услуги которых более однородны. В основе различий лежат три ключевых фактора:
1) линии подчинения;
2) локализация функции;
3) подход к аудиту.
Линии подчинения
Разумеется, подразделение внутреннего аудита (далее ПВА) всегда кому-то подчиняется. Однако в отличие от других подразделений линии подчинения ПВА могут выстраиваться различным образом. Можно выделить четыре наиболее распространенных варианта:
• функциональное подчинение аудиторскому комитету, административное подчинение генеральному директору;
• функциональное подчинение акционеру (акционерам) компании, административное подчинение генеральному директору;
• функциональное и административное подчинение генеральному директору;
• функциональное и административное подчинение директору по экономике и финансам.
Функциональное подчинение аудиторскому комитету, административное подчинение генеральному директору. Данный вариант принято считать классическим. Многие российские компании, особенно входящие в топ-200, используют именно его. С точки зрения компании этот вариант обеспечивает максимальную независимость ПВА. Независимость может усиливаться полномочиями аудиторского комитета не только утверждать фронт работ для ПВА, но и утверждать его бюджет и вознаграждение руководителя. В российских условиях такая схема подчинения обросла рядом неоднозначных нюансов. Во-первых, у аудиторского комитета может отсутствовать право принимать определенные решения (например, об установлении уровня компенсации для руководителя ПВА) с юридической точки зрения. Поэтому решение таких вопросов часто переходит в понятийную сферу, что нельзя назвать лучшей практикой с точки зрения правильного корпоративного управления. Во-вторых, в ряде российских компаний генеральный директор является фигурой звездной и подминает под себя часть функций аудиторского комитета. Есть компании, в которых генеральным директорам вообще безразличны потуги аудиторского комитета, так как они находятся в близких отношениях с ключевыми акционерами. В-третьих, нередко генеральные директора по неизвестным причинам забывают о том, что они всего лишь наемные работники, и начинают примерять манеры собственника компании. И частенько им позволяют это делать. В-четвертых, квалификация многих аудиторских комитетов не позволяет генерировать вразумительные директивы для ПВА. Одни просто не разбираются во внутреннем аудите, другие не разбираются в бизнесе компании, третьи делают только то, что умеют (например, штудируют отчетность компании и задают каверзные вопросы), а четвертые являются просто пассажирами и стремятся растянуть свое пребывание в почетном статусе насколько это возможно (идти на конфликт при такой установке чревато).
Функциональное подчинение акционеру (акционерам) компании, административное подчинение генеральному директору. Это, пожалуй, наиболее позитивная схема для полноценного функционирования ПВА в российских условиях, особенно если акционер стремится заработать деньги относительно честными способами. Такая схема встречается нечасто. В целом она более свойственна компаниям среднего размера, однако я знаю примеры, когда ее использовали довольно крупные компании (выручка несколько миллиардов долларов).
Акционер кровно заинтересован в сохранении и приумножении своего капитала. Для реализации функций внутреннего аудита такой настрой наиболее благодатен. Прямая коммуникация устраняет «трудности перевода». Акционер обеспечивает максимальную административную поддержку. Однако оборотной стороной этих преимуществ являются повышенные требования к профессиональной компетенции ПВА. Наличие прямого доступа к акционеру может вызвать букет негативных эмоций со стороны руководителей других подразделений. Одним из побочных эффектов статуса приближенного является рост цены ошибки. Попросту говоря, если ПВА совершит более-менее существенную ошибку (например, поспешит с выводами по результатам аудиторского проекта), многие захотят погреть на ней руки. Как будут развиваться события, зависит от множества факторов. Именно поэтому руководитель ПВА должен объективно оценивать свои способности и способности своей команды, ибо, как говорится, кому многое дано, с того много и спросится.
Функциональное и административное подчинение генеральному директору. Данная схема более широко распространена, чем предыдущая, и с точки зрения возможностей для ПВА не сильно отличается от нее. К тому же нередко в российских компаниях мажоритарные акционеры являются одновременно и генеральными директорами.
Функциональное и административное подчинение директору по экономике и финансам. Несмотря на некоторую специфичность, данная схема используется многими компаниями, по большей части крупными. Отчасти именно размеры подталкивают к такой схеме подчинения. Ну и, конечно, не стоит забывать про мнение акционеров и генеральных директоров. С моей точки зрения, у этой схемы мало позитива и много неудобств. Во-первых, практически однозначно ПВА будет иметь дело с ограниченным кругом вопросов. И, прежде всего, этот круг вопросов будет определяться задачами, стоящими перед дирекцией по экономике и финансам. Во-вторых, если начинающим аудиторам интересно работать в таком ПВА, то более продвинутым аудиторам будет уже скучновато. В-третьих, в зависимости от веса руководителя дирекции по экономики и финансам внутри компании ПВА может получить возможность расширить свое поле деятельности. Однако данное обстоятельство весьма субъективно и должно восприниматься больше как бонус, чем гарантия.
Отдельно хотелось бы остановиться на таком важном факторе успеха ПВА, как административный ресурс. Линии подчинения указывают на формальное наличие административного ресурса той или иной степени серьезности. Очень хорошо, когда формальный административный ресурс является фактическим. На практике такое случается не всегда (например, подчинение генеральному директору еще не означает, что он будет безоглядно поддерживать вас во всем или в чем-то). Следует заметить, что характер административного ресурса, которым может воспользоваться ПВА, не менее чем на 50 % определяет успешность работы ПВА. Это особенно актуально для российских компаний, многие из которых пока не особо преуспели в создании эффективных систем управления, мало зависящих от действий отдельных людей. Потенциально наибольший административный ресурс предлагает второй вариант, за ним следует третий, затем первый и, наконец, четвертый. Каждый аудитор должен помнить о важности административного ресурса и выбирать будущего работодателя с учетом этого фактора.
Локализация функции
На первый взгляд значимость локализации функции внутреннего аудита не очевидна. Однако в ряде случаев данный фактор может существенно влиять на деятельность ПВА. С точки зрения локализации выделяются два основных варианта:
• централизованная функция внутреннего аудита;
• децентрализованная функция внутреннего аудита.
Централизованная функция внутреннего аудита. В группе компаний функция аудита физически базируется только в одной из них. Во многих случаях в подобных группах одна из компаний является управляющей, а другие – управляемыми. Последние могут быть как самостоятельными юридическими лицами (управляющая компания владеет управляемой компанией полностью или частично), так и просто обособленными подразделениями управляющей компании (например, филиалами). Ключевой особенностью данного вида локализации является то, что сотрудники ПВА бывают в управляемых компаниях лишь периодически. Периодичность зависит от:
• ресурсов ПВА (чем больше сотрудников, тем больше объектов аудита может охватить ПВА и тем чаще посещаются эти объекты);
• аудиторского цикла (отчасти он зависит от ресурсов ПВА, однако может устанавливаться произвольно, например посещение объекта аудита не реже одного раза в три года);
• установок руководства ПВА и руководства группы компаний (установки могут либо ускорить очередной визит ПВА на объект аудита, либо отложить такой визит на определенное время или вообще навсегда).
Стоит сказать пару слов про влияние установок. Типичными являются две установки: специальное задание и специальное ограничение. Специальные задания могут быть как плановыми, так и спонтанными. Специальные задания обычно нельзя назвать плановыми по той причине, что при формировании плана ПВА на предстоящий год на специальные задания выделяется ресурс времени, но не указывается тематика заданий. Тематика и цель обычно уточняются в течение года при возникновении необходимости (например, участие в точечном расследовании предполагаемого мошенничества при осуществлении конкретных закупок). Специальное ограничение может быть перманентным (навсегда или на продолжительный период) или временным, а также в целом иметь нейтральный (не влияет на возможности) или негативный (устраняет возможности) характер. Некоторые из типичных примеров:
• перманентное негативное ограничение – запрет на проведение каких-либо проектов ПВА на потенциальном объекте аудита;
• временное нейтральное ограничение – перенос проекта ПВА на более позднее время по просьбе руководства объекта аудита;
• перманентное нейтральное ограничение – руководство группы компаний просит сосредоточиться на наиболее крупных компаниях и отказаться от проведения проектов ПВА в более мелких компаниях до определенного момента в будущем.
Типичным примером централизованной функции внутреннего аудита является ПВА в составе управляющей компании холдинга без создания подчиненных ПВА на местах (в управляемых компаниях).
Децентрализованная функция внутреннего аудита. В группе компаний функция аудита физически базируется в двух и более компаниях. В данном случае ПВА имеет возможность постоянно влиять на деятельность управляемых компаний или просто компаний присутствия. Ключевой особенностью данного вида локализации является более высокая уязвимость независимости функции внутреннего аудита по сравнению с централизованным вариантом локализации. Это связано со следующими факторами:
• удаленностью локального ПВА – отсутствует возможность постоянного мониторинга действий сотрудников локального ПВА, о многих событиях, потенциально угрожающих независимости, можно узнать только постфактум;
• ограничением административного влияния на локальное ПВА – у руководства многих ПВА довольно часто отсутствуют формальные и регламентированные рычаги административного управления подшефными ПВА на местах. Например, оно может не иметь права определять уровень вознаграждения сотрудников локальных ПВА, оно может не иметь права принимать или увольнять сотрудников локальных ПВА, оно может не иметь права определять тематику работы локальных ПВА;
• корпоративным подходом к управлению управляемыми компаниями – в силу определенных причин управляющие компании могут ограниченно влиять на деятельность управляемых компаний. Это относится и к ПВА даже при наличии необходимых формальных и регламентированных процедур.
Несмотря на указанные недостатки, децентрализованная функция внутреннего аудита имеет одно существенное преимущество – потенциал увеличения объема и качества работ, а также потенциал увеличения процента выполнения и эффективности выполнения мероприятий, разрабатываемых по результатам проектов внутреннего аудита. Это связано с тем, что, находясь непосредственно на предприятии, сотрудники локального ПВА имеют возможность более глубоко вникнуть в специфику его работы. Также постоянное присутствие аудиторов создает определенное давление на сотрудников управляемой компании, что, при правильном приложении силы, может благотворно сказаться на выполнении планов мероприятий. Для управляемых компаний с низкой исполнительской дисциплиной наличие аудитора за спиной играет решающую роль в исполнении плана мероприятий. Кроме того, сотрудники локальных ПВА всегда могут оказать помощь на месте и непосредственно в момент возникновения проблем.
Подход к аудиту
Под термином «подход» к аудиту понимается проведение проектов внутреннего аудита по определенной тематике и с использованием определенной методологии. Разумеется, базовая методология внутреннего аудита довольно универсальна – необходимо составлять рабочие документы, необходимо формировать доказательную базу, необходимо использовать выборочное тестирование и т. д. Однако тематика проекта предполагает использование методологических приемов, специфичных только для конкретных задач того или иного проекта. В целом можно выделить пять ключевых подходов к аудиту, а именно:
• операционный;
• бухгалтерский;
• комплаенс;
• ревизионный;
• риск-ориентированный.
Операционный подход к аудиту. В первую очередь при использовании данного подхода анализируется структура и содержание бизнес-процессов, а также их систем контроля. Основная задача заключается в выявлении факторов, препятствующих достижению целей бизнес-процессов. В большинстве случаев перед анализом бизнес-процесса и его системы внутреннего контроля необходимо задокументировать данный процесс, т. е. составить графическое и словесное описание. Также широко применяется тестирование адекватности и эффективности внутренних контрольных процедур бизнес-процессов, имеющее специфичную методологию. Операционный подход к аудиту позволяет получить максимум информации о нюансах работы любого предприятия. Это имеет колоссальное значение для понимания деятельности предприятия и формирования подхода к эффективному управлению. К сожалению, большинство российских управленцев не обладают достаточной информацией и не представляют деятельность предприятия как систему взаимодействующих бизнес-процессов.
Бухгалтерский подход к аудиту. Типичным примером данного подхода является деятельность внешних аудиторов. Как известно, их основной задачей является аудит финансовой отчетности для подтверждения ее достоверности. Внешние аудиторы не документируют бизнес-процессы, не оценивают адекватность и эффективность внутренних контрольных процедур. Поле их деятельности весьма ограниченно. Многие внутренние аудиторы были в прошлом внешними аудиторами, однако нередко данное обстоятельство является скорее недостатком, а не достоинством. Многие внутренние аудиторы после ухода из сферы внешнего аудита продолжают использовать тот же подход в работе. Это приводит к тому, что ряд ПВА во многом дублируют работу внешних аудиторов, занимаясь аудитом достоверности финансовой отчетности и оценкой правильности расчета налоговых отчислений. На мой взгляд, эти задачи по силам самой дирекции по экономике и финансам. Все, что нужно, – это создать методологический отдел по бухгалтерскому и налоговому учету, а также проводить регулярное обучение сотрудников по данной тематике. Услугами внешних аудиторов необходимо пользоваться для оценки, в том числе, эффективности деятельности методологического отдела и эффективности программ обучения.
Комплаенс-подход к аудиту. Суть данного подхода заключается в оценке полноты и правильности соблюдения разного рода внешних и внутренних правил. Внешние правила определяются законами, постановлениями, приказами, предписаниями и прочими в основном письменными директивами государственных и негосударственных регулирующих органов. Внутренние – корпоративными и локальными регламентами и стандартами, внутренней организационно-распорядительной документацией (приказы, распоряжения и прочее). Условно комплаенс-подход можно разделить на поверхностный и углубленный. При поверхностном подходе фиксируется только факт нарушения без оценки его последствий. Рекомендации по исправлению нарушения довольно прямолинейны, так как в основном рекомендуется соблюдать нарушенные правила. При углубленном подходе могут оцениваться последствия нарушения, а также предлагаться варианты исправления ситуации, включающие внесение изменений в сами правила (например, в случае их устаревания). Однако использование углубленного подхода требует довольно высокой квалификации команды внутренних аудиторов, наличия интегрированных знаний. По этой причине чаще встречается поверхностный подход, что в большинстве случаев создает минимальную добавленную стоимость для компании. Исключением являются две ситуации, когда нарушение грозит очевидными серьезными последствиями, например отсутствие лицензии, влекущее приостановку деятельности (внешние правила), и когда регламенты и стандарты компании оптимальны (внутренние правила). Однако в отношении первой ситуации все равно необходима оценка последствий, а это под силу не каждому комплаенс-аудитору и не в каждом случае. Что касается второй ситуации, то есть один нюанс. Большинство регламентов подобны автомобилям – как новый автомобиль теряет определенную стоимость сразу после схода с конвейера (и теряет ее на протяжении всей своей жизни), так и новый регламент теряет часть своей актуальности сразу после выпуска (и продолжает терять ее в дальнейшем). Этот процесс ускоряется, если компания находится в стадии активных перемен и/или развития. Таким образом, возвращаясь к оценке полезности поверхностного подхода, можно сделать следующий вывод: полезность является во многом случайной величиной, поэтому здесь нужно брать количеством проанализированного материала. Многое зависит от позитивного внимания менеджмента к работе команды внутренних аудиторов (необходимость в дополнительной оценке полезности, просеивании информации). Если менеджмент будет штудировать результаты работы команды внутренних аудиторов, то он найдет полезное для себя. В этой ситуации для команды внутренних аудиторов на первое место выходит способность обеспечить достаточно большой охват анализируемого материала и доступность результатов своей работы для восприятия и понимания.
Ревизионный подход к аудиту. При данном подходе в чистом виде основная работа ПВА состоит в оценке системы обеспечения сохранности имущества компании. При использовании данного подхода ПВА направляет много ресурсов, попросту говоря, на работу с риском мошенничества. В силу ограниченности перечня анализируемых вопросов ревизионная деятельность нередко приводит к типовым однотипным проверкам. Особенно ярко данная тенденция прослеживается, например, в розничной торговле. В некоторых случаях ревизионная деятельность может требовать специальных знаний (техпроцессы, технология и т. д.), однако даже такая серьезная подготовка направлена на выявление только случаев злоупотребления и халатности. Обычно ревизоры не рассматривают проблему в комплексе. От этого их рекомендации или даже требования по исправлению негативной ситуации зачастую имеют карательный характер – наказать, оштрафовать, объявить выговор и т. п. В отличие от правильного внутреннего аудитора, который при обнаружении проблемы старается создать систему предотвращения ее повтора, ревизор при обнаружении проблемы старается вызвать перманентное ощущение неотвратимости наказания. Однако нельзя сказать, что тактика ревизионной деятельности в корне неправильна. Просто основной слабостью данного подхода является отсутствие системного анализа и признания того, что причинно-следственные связи могут оказаться сложнее, чем кажется.
Риск-ориентированный подход к аудиту. Ключевым ограничением предыдущих четырех подходов является их тематическая и методологическая предопределенность. С одной стороны, это хорошо, так как узкоспециализированный подход позволяет повысить качество и увеличить объем выполняемой работы на единицу используемых ресурсов. С другой стороны, все эти подходы страдают ограничениями и не позволяют выполнять более приоритетные задачи, если они не попадают в поле экспертизы. Простой пример – с точки зрения бухгалтерского и даже налогового учета приобретение имущества по завышенной цене (при условии правильного и полного составления всех первичных документов и правильного и полного отражения операций в учете) не идентифицируется как проблема. При использовании риск-ориентированного подхода данная проблема с высокой вероятностью попадет в поле зрения команды внутренних аудиторов, так как, во-первых, изначально риск возникновения подобных ситуаций довольно высок, во-вторых, в большинстве случаев такие ситуации являются следствием пробелов в системе внутреннего контроля. Таким образом, риск-ориентированный подход позволяет избавиться от большинства ограничений других подходов и нацелен на выявление наиболее приоритетной тематики работы ПВА. При его использовании вся деятельность предприятия рассматривается с точки зрения рисков и возможностей. Как только риск обретает определенные параметры (в результате сочетания риск-образующих факторов), ключевым из которых является способность препятствовать достижению целей предприятия, он включается в тематику работы ПВА. К сожалению, риск-ориентированный подход не лишен собственных ограничений. Наиболее серьезным из них являются повышенные требования к составу и квалификации сотрудников ПВА, так как наиболее существенные риски могут быть связаны с разными аспектами деятельности предприятия и касаться разных бизнес-процессов. Хорошая новость заключается в том, что правильное использование методологии анализа и оценки бизнес-процессов и систем внутреннего контроля способно существенно нивелировать ключевое ограничение риск-ориентированного подхода. Более подробно нюансы риск-ориентированного подхода к аудиту представлены в следующей главе.
Мы рассмотрели влияние трех ключевых факторов – линий подчинения, локализации функции и подхода к аудиту – на место внутреннего аудита в управленческой иерархии предприятия. Вариации сочетаний данных факторов могут открывать перед командой внутренних аудиторов различные возможности по влиянию на процветание своей компании. Например, чем существеннее административная поддержка, чем более разветвленной является организационная структура ПВА и чем разнообразнее тематика работы, тем больше возможности ПВА по позитивному воздействию на реализацию целей компании. Однако расширение таких возможностей не может длительное время происходить в отрыве от качественных характеристик команды внутренних аудиторов. Здесь возможны два основных сценария развития событий. В первом случае ПВА изначально получает все требуемые ресурсы и карт-бланш от руководства. Однако этим еще нужно уметь воспользоваться. Попросту говоря, если ПВА не продемонстрирует адекватных результатов работы, его ресурсы и возможности могут быть существенно урезаны. Вернуть их будет непросто. Во втором случае ПВА сначала доказывает свою состоятельность и только потом получает доступ к ресурсам и поддержку руководства. Однако процесс расширения ПВА и расширения его сферы деятельности может протекать непросто и болезненно. Более детально эта ситуация рассмотрена в главе 5. В обоих сценариях есть свои плюсы и минусы. Тем не менее, если команда внутренних аудиторов высокопрофессиональна, для нее предпочтительнее первый сценарий – аудиторы, имеющие высокую квалификацию, должны найти способ достойно воспользоваться предоставленными возможностями.