Юлия Белякова: Как построить правильную модель взаимодействия внутреннего аудита с руководством и акционерами бизнеса

Внутренний аудит в том или ином виде сейчас есть в каждой компании, которая относит себя к акционерным обществам (в том числе – с государственным участием), госкорпорациям, банкам, финансовым или страховым компаниям и так далее. В данной статье речь пойдет о том, как в нынешних реалиях грамотно построить взаимодействие между службой внутреннего аудита, руководством и акционерами бизнеса.

Прежде всего давайте определимся, какова сфера ответственности функции внутреннего аудита.

Государство в рамках федерального законодательства выделяет следующие задачи внутреннего аудитора:

• проверка финансово-хозяйственной деятельности организаций корпорации;
• проверка соблюдения установленного порядка ведения бухгалтерского учета и составления бухгалтерской (финансовой) отчетности в организациях корпорации;
• проверка законности осуществляемых организациями корпорации хозяйственных операций;
• проверка эффективности использования имущества и иных ресурсов организаций корпорации;
• проверка целевого использования средств специальных резервных фондов корпорации ее организациями;
• осуществление по решению наблюдательного совета, генерального директора или правления корпорации контроля за финансово-хозяйственной деятельностью ее организаций.

Оценка зрелости системы внутреннего аудита

С моей точки зрения, для успешного диалога между аудитом и акционерами в первую очередь необходимо определить степень зрелости службы внутреннего аудита. Компания PriceWaterhouseCoopers[1] предлагает оценивать ее по шести уровням, но для большего соответствия российским реалиям целесообразно добавить еще один уровень.

1) Номинальное присутствие. Обычно штат службы ограничен одним-двумя сотрудниками, которые выполняют свою функцию в минимально возможном объеме. Зачастую в дополнение к основным обязанностям, которые не связаны с аудитом.

2) Минимальный вклад. Служба обеспечивает своевременное выполнение плана аудита.

3) Фиксация проблем. Аудит предоставляет высшему руководству перечень нарушений и недостатков, но при этом не проводит их причинно-следственного анализа.

4) Поставщик гарантий. Служба внутреннего аудита объективно гарантирует эффективность системы внутреннего контроля организации.

5) Помощник в решении проблем. Помимо выполнения плана аудита, служба проводит причинно-следственный анализ выявленных проблем и нарушений, рекомендует скорректировать их наиболее приемлемым способом.

6) Инициатор перемен. Служба внутреннего аудита в дополнение к уровню 5 активно вносит разумные предложения по повышению эффективности деятельности и предоставляет информацию о меняющейся картине рисков.

7) Доверенный советник (консультант). В дополнение к уровню 6 служба внутреннего аудита постоянно оценивает перспективы, консультирует бизнес, в том числе проводит стратегические консультации по рискам.

Если проанализировать статьи «Внутренний контроль» в Федеральных законах о государственных корпорациях, станет ясно, что аудиту отводят место где-то между «Фиксацией проблем» и «Поставщиком гарантий». Однако на сегодняшний день такое позиционирование уже устарело.

Максимально продвинутым государственным органом в области внедрения аудиторской функции я бы назвала Центральный Банк. В своем Положении № 242-П он так определил задачи внутреннего аудита:

«4.1.1. Проверка и оценка эффективности системы внутреннего контроля в целом, выполнения решений органов управления кредитной организации (общего собрания акционеров (участников), совета директоров (наблюдательного совета), исполнительных органов кредитной организации).

4.1.2. Проверка эффективности методологии оценки банковских рисков и процедур управления банковскими рисками, установленных внутренними документами кредитной организации (методиками, программами, правилами, порядками и процедурами совершения банковских операций и сделок, управления банковскими рисками), и полноты применения указанных документов.

4.1.3. Проверка надежности функционирования системы внутреннего контроля за использованием автоматизированных информационных систем, включая контроль целостности баз данных и их защиты от несанкционированного доступа и (или) использования, с учетом мер, принятых на случай нестандартных и чрезвычайных ситуаций в соответствии с планом действий, направленных на обеспечение непрерывности деятельности и (или) восстановление деятельности кредитной организации в случае возникновения нестандартных и чрезвычайных ситуаций.

4.1.4. Проверка и тестирование достоверности, полноты и своевременности бухгалтерского учета и отчетности, а также надежности (включая достоверность, полноту и своевременность) сбора и предоставления информации и отчетности.

4.1.5. Проверка применяемых способов (методов) обеспечения сохранности имущества кредитной организации.

4.1.6. Оценка экономической целесообразности и эффективности совершаемых кредитной организацией операций и других сделок.

4.1.7. Проверка процессов и процедур внутреннего контроля.

4.1.8. Проверка деятельности службы внутреннего контроля кредитной организации и службы управления рисками кредитной организации.

4.1.9. Другие вопросы, предусмотренные внутренними документами кредитной организации».

В подавляющем большинстве российских компаний внутренний аудит находится сейчас где-то между уровнями «Минимальный вклад» и «Фиксация проблем». И, по мнению большинства генеральных директоров, ему там и стоит оставаться. На мой взгляд, это мнение ошибочно: служба внутреннего аудита должна стремиться выйти на уровень доверенного советника. Далее мы рассмотрим, что для этого требуется.

Как сегодня меняются компетенции службы внутреннего аудита

Устоявшийся в большинстве служб внутреннего аудита подход можно описать так: «найти, доложить, рекомендовать исправить». Я считаю его нецелесообразным. Аудиторы должны действовать проактивно, оценивая угрозы заранее и предоставляя консультации по минимизации рисков.

Для такой кардинальной смены подходов необходимо уделять много внимания обучению аудиторов, улучшая их экономические, юридические и технические знания, а также развивая навыки в области переговоров, психологии управления, эмоционального интеллекта. Но и этого мало. Необходимо, чтобы государство вкладывало системные и последовательные усилия в повышение налоговой и юридической грамотности собственников.

Также, чтобы оставаться востребованным в современных условиях, аудит должен наращивать целый ряд важнейших компетенций.

• Умение реформировать процессы

Это касается всех процессов. Зачастую каждая служба занята своим делом и не думает о результате в целом для компании. Поэтому реформирование процессов подразумевает и включение сотрудников различных служб в систему внутреннего контроля.

• Постоянное расширение кругозора

Например, в компании составили требования для электронной торговой площадки: к юридической составляющей замечаний нет, к финансовым условиям – на первый взгляд, тоже. Но документ в виде заявки с требованиями оказывается бесполезным для бизнеса, так как не позволяет найти исполнителя.

Это происходит потому, что специалисты оторваны от реальной жизни. Компания будет искать контрагента, предлагая неприемлемые финансовые условия на торгах в рамках 223-ФЗ или 44-ФЗ. Поэтому потенциальный выигрыш в тендере влечет за собой слишком большой риск для победителя. Если после подведения итогов закупки он откажется поставить товар по заявленной цене, его занесут в реестр недобросовестных поставщиков, и другие заказчики не станут впоследствии с ним работать. Поэтому заявка с «неподъемными» условиями так и останется невыполненной, а компания потеряет время, а значит – и деньги, на составление новых требований и проведение новых закупочных процедур.

Чтобы анализировать эффективность процессов, а также предотвращать описанные выше ситуации, аудитор должен обладать знаниями из разных областей и уметь оценивать проблему всесторонне.

• Повышение экспертных знаний

Это вопрос профессионализма. Аудитору нужно быть экспертом в своей области. Если у него базовое юридическое образование, то в идеале его квалификация должна быть выше, чем у юристов, которых он проверяет. Прекрасно, если квалификация и авторитет аудитора таковы, что он не просто занимается проверками постфактум, а к нему обращаются представители профильных подразделений за экспертным мнением.

• Гибкость

Очень часто аудитор обращает излишнее внимание на мелочи, которые можно проигнорировать ради решения глобальных задач. Любимое замечание многих аудиторов и контролеров: «Вы нарушаете такой-то пункт регламента». Возможно, стоит посмотреть с другой стороны и задать вопрос: «Не устарел ли регламент?», а не в сотый раз повторять одно и то же замечание. Аудиторы нужны не для того, чтобы все запрещать.

• Умение прогнозировать

Этот навык помогает аудитору рассчитать приемлемый уровень риска, который может принять на себя компания без потери эффективности.

• Способность преодолевать шаблоны

Одним из способов преодоления шаблонов я бы назвала оптимизацию расходов путем автоматизации и унификации различных типовых функций. Например, автоматизировать юридическую функцию не только в части составления типовых договоров, но и досудебных претензий по типовым договорам и типовым искам.

• Поиск путей оптимизации

Это касается как структуры компании, так и отдельных процессов. К примеру, организация решила создать подразделение для поддержания функции добровольной сертификации по ISO. Она начала указывать на своей продукции: «Мы сертифицированы по ISO…». Если в результате продажи увеличились на 5%, валовая выручка – на 1%, и это принесло 10 условных единиц, а содержание подразделения обходится в 1 условную единицу, значит, решение было оправданным. Но бывает и наоборот: у компании уже 25-я сертификация, а продажи падают. И если законодательство не требует обязательного наличия сертификации, есть серьезный повод задуматься об эффективности не только данной функции, но и всего процесса производства и сбыта.

• Выработка уникальных компетенций

Аудитору нужно быть немного психологом и уметь донести свои требования, рекомендации и замечания до руководителей так, чтобы избежать конфликтов.

Другими словами, современный аудитор не может быть специалистом только в одной конкретной области – он должен быть экспертом широкого профиля и систематически расширять перечень своих навыков.

Что ждет акционер от службы внутреннего аудита

В презентациях аудиторов часто можно увидеть такую градацию ожиданий акционера от службы внутреннего аудита:

1.    На этапе выживания компании:

• предотвращение неприемлемых потерь;
• сохранение имущества компании;
• обеспечение получения планируемого дохода.

2.    На этапе расцвета компании:

• защита служебной финансовой и иной информации;
• обеспечение конкурентоспособности компании;
• снижение стоимости заемного капитала.

3.    На этапе развития компании:

• рост деловой репутации;
• повышение кредитного рейтинга;
• обеспечение роста рыночной стоимости компании.

Но эта градация работает только в теории. Зачастую сами акционеры бизнеса не знают, чего ждут от службы внутреннего аудита. Их неумение или нежелание сформулировать задачу вкупе с непониманием высшим менеджментом важности аудита часто приводит к тому, что в компании де-юре (а иногда и де-факто) объединяют в одно подразделение службы внутреннего контроля, внутреннего аудита, риск-менеджмента, комплаенса, системы качества, методологии процессов и процедур.

Хорошо, если руководитель этого подразделения подчиняется Совету Директоров или генеральному директору. Но бывает и так, что он подконтролен финансовому или операционному директору, или директору по безопасности. Это чревато негативными последствиями для бизнеса. Например, финансовый директор вряд ли позволит аудитору проверять свою работу и писать генеральному директору докладные о найденных ошибках. Если даже аудитору удастся выполнить свои обязанности, это может стать его последней проверкой в компании, поскольку возникает прямой конфликт интересов.

Поэтому контролирующее звено не должно подчиняться никому, кроме первого лица или Совета Директоров. В идеале же аудит должен подчиняться именно Совету Директоров, потому что аудитор, так или иначе, оценивает эффективность и генерального директора.

Как ответить на основные вопросы акционера

Все многообразие вопросов акционера к аудитору, по сути, можно свести к нескольким простым вопросам:

• «Менеджмент компании эффективен?»
• «Я все сделал, чтобы заработать как можно больше, а потерять как можно меньше?»
• «Мы минимизировали наши риски до приемлемого уровня?»
• «Какова моя ответственность при наихудшем раскладе?»

Ответы на эти простые, на первый взгляд, вопросы скрываются за сложными и зачастую противоречивыми представлениями компании и ее собственников о том, каким должен быть внутренний аудит. У многих из них нет четкой картины работы аудитора. Нередко его рассматривают как второго бухгалтера. Случается, что собственники сначала выражают заинтересованность в работе аудитора, а потом говорят, что не нуждаются в его контроле, замечаниях и рекомендациях.

Поэтому аудитору сложнее всех сотрудничать с акционерами. Чтобы иметь возможность четко отвечать на вопросы руководства, он должен соответствовать следующим критериям.

• Быть профессионалом.
• Не совмещать внутренний аудит с другими функциями. Если ему приходится быть еще и внутренним контролером, риск-менеджером и так далее, он не сможет полноценно выполнять свою основную задачу.
• Не подчинять внутренний аудит бизнес-куратору.
• Стать для бизнеса советником, а не «карающим мечом правосудия». Если начать с первой же ошибки всех отчитывать, коллеги его возненавидят.
• Решать задачи бизнеса, а не свои.
• Не нагружать собственников огромными отчетами о проблемах, а предлагать пути решения.

Аудитору нужно не только понимать бизнес-картину компании, но и учитывать сложившуюся систему взглядов и способов ведения бизнеса владельцев и высшего менеджмента с их внутренними противоречиями, коллизиями и взаимодействиями. Без этого любой специалист в лучшем случае не сможет решить поставленных перед ним задач, а в худшем – будет отвергнут корпоративной системой.

В условиях российских реалий для усиления функции аудита необходимо:

• четко выстроенные регуляторные требования и полномочия внутреннего аудита на уровне закона;
• введение регламентирующих внутренний аудит и риск-менеджмент подзаконных требований, схожих с требованиями Центрального Банка России к внутреннему аудиту, риск-менеджменту, комплаенсу. Требования необходимо распространить на все коммерческие организации за исключением малого бизнеса и микробизнеса, а также на некоммерческие организации, которые получают субсидии государства;
• создание или наделение действующего регулятора функциями, схожими с полномочиями Центрального Банка России, в области надзора за деятельностью внутреннего аудита и контроля, риск-менеджмента в указанных выше компаниях. Перестроить мировоззрение многих руководителей невозможно, поэтому нужны изменения на уровне законных и подзаконных актов: внесение требований по созданию независимых служб контроля, а также введение крупных штрафов и возможности приостановки деятельности за неисполнение этих требований.

Резюмируя вышеизложенное, могу сказать, что единственно верная модель взаимодействия внутреннего аудита с руководством и акционерами бизнеса – заинтересованность обеих сторон в достижении стабильно высокого финансового результата совместными усилиями. Причем этого результата нужно достигать с минимальным риском как для компании, так и для акционеров и менеджмента.

Юлия Белякова, независимый эксперт, экс-заместитель начальника департамента внутреннего аудита «Газпромбанка»

---

[1] Использована концепция PriceWaterhouseCoopers , но описание уровней изменено.