АУДИТ, КОНТРОЛЬ, УПРАВЛЕНИЕ РИСКАМИ
УДК 338
Состояние и направления развития систем внутреннего аудита, внутреннего контроля и управления рисками в компаниях с государственным участием
Учитывая возрастающее в последний период значение корпоративного управления, внутреннего аудита, контроля и управления рисками, мы провели комплексное исследование их текущего состояния и основных тенденций развития в российских компаниях с государственным участием. Проведенный анализ позволяет оценить уровень организации указанных систем и функций, наметить основные направления их совершенствования.
Ключевые слова: внутренний аудит, внутренний контроль, корпоративное управление, комплаенс, управление рисками, компания с государственным участием, нормативные материалы, исследование, респондент, направления совершенствования.
В последние годы в России, как, впрочем, и во всех развитых странах, наблюдается активный интерес к повышению уровня корпоративного управления, функции внутреннего аудита, системы управления рисками и внутреннего контроля как в частных компаниях, так и в госкорпорациях и акционерных обществах с государственным участием. Именно в них, прежде всего, Правительство Российской Федерации уделяет особое внимание повышению качества корпоративного управления.
В целях обеспечения интересов государства в компаниях с участием Российской Федерации, организации единого подхода в указной сфере, создания эффективных инструментов управления рисками и внутреннего контроля в последние два года был утвержден и введен в действие целый ряд нормативных документов.
Прежде всего, это Кодекс корпоративного управления (коммент. 1); методические рекомендации Росимущества: по организации работы внутреннего аудита в акционерных обществах с участием Российской Федерации (коммент. 2), по организации работы комитетов по аудиту советов директоров акционерных обществ с участием Российской Федерации
© Иванов О.Б., Егорова Е.А., 2015
О.Б. Иванов
Е.А. Егорова
7
Состояние и направления развития систем внутреннего аудита...
(коммент. 3); методические указания: по подготовке положения о внутреннем аудите в государственных корпорациях, государственных компаниях, а также открытых акционерных обществах с участием Российской Федерации (коммент. 4), по подготовке положения о системе управления рисками в государственных корпорациях, государственных компаниях, а также открытых акционерных обществах с участием Российской Федерации (коммент. 5).
К этим же важным документам относятся Методические рекомендации Минтруда России по разработке и принятию организациями мер по предупреждению и противодействию коррупции (коммент. 6) и Указ Президента Российской Федерации от 11 апреля 2014 года № 226 «О Национальном плане противодействия коррупции на 2014—2015 годы»; а также профессиональные стандарты «Внутренний аудитор» (коммент. 7) и «Специалист по внутреннему контролю (Внутренний контролер)» (коммент. 8).
Столь пристальное внимание со стороны государства к внутреннему аудиту, управлению рисками и внутреннему контролю обусловлено их важной ролью в обеспечении финансовой устойчивости и долговременного развития компаний и корпораций, их инвестиционной привлекательности в нестабильных экономических условиях.
В целях анализа текущей практики внутреннего аудита, управления рисками и внутреннего контроля в государственных корпорациях и компаниях, поиска направлений дальнейшего совершенствования этой важнейшей сферы, повышения эффективности финансово-хозяйственной деятельности корпораций компанией EY при поддержке ОАО «РЖД» проведено исследование, в рамках которого оценивалось соответствие текущей практики ключевым рекомендациям, изложенным в нормативных документах, и выявлялись области, требующие совершенствования.
Основные результаты «Исследования в области внутреннего аудита, внутреннего контроля и управления рисками в компаниях с государственным участием» рассматриваются и анализируются в данной статье.
Следует отметить, что российские регуляторы предъявляют определенные требования к организации внутреннего аудита, управления рисками и внутреннего контроля. Эти требования во многих аспектах совпадают с лучшей мировой практикой.
Прежде всего, они рекомендуют создавать отдельные структурные подразделения внутреннего аудита и подразделения по управлению рисками и внутреннему контролю. При этом полномочия и обязанности подразделения по управлению рисками должны быть отделены от функционала как структурных единиц, которые управляют рисками в рамках своей операционной деятельности, так и от подразделений внутреннего аудита, осуществляющих мониторинг и независимую оценку системы управления рисками.
8
Состояние и направления развития систем внутреннего аудита...
По результатам исследования видно, что в большинстве компаний внутренний аудит, управление рисками и внутренний контроль осуществляются отдельными структурными подразделениями. Тем не менее, само по себе наличие отдельного структурного подразделения не обеспечивает независимость и отсутствие конфликта интересов. Многие компании практикуют «зонтичное» управление, когда подразделения внутреннего аудита, управления рисками и внутреннего контроля подотчетны одному и тому же должностному лицу уровня «единоличный исполнительный орган минус 1». В некоторых компаниях практикуется совмещение функций внутреннего аудита, управления рисками и внутреннего контроля в одном структурном подразделении. В каждой пятой компании подразделение внутреннего аудита одновременно выполняет функцию внутреннего контроля и/или управления рисками. На рисунках 1—3 показаны результаты опроса по организации подразделений внутреннего аудита, контроля и управления рисками.
внутренний Зуди!
(ся дел ним лсдмщепение)
Внутренний аудит совмещен с внутренним
контролем
Внутренний aynnt совмещен ; управлением рисками и внутренним кшлролем
Подразделение отсутствует
Рисунок 1. Варианты организации подразделения внутреннего аудита.
Ав%
334
Управление рисками (ошелында пщцшдрлеиие л Управление рисками О№ёи|£»0С Внг|Л№*«И* аудитом и внутренним контролем
Подразделение отсутствует
Рисунок 2. Варианты организации подразделения внутреннего контроля
9
Состояние и направления развития систем внутреннего аудита...
26%
7%
внутренний кситрснп. (отдельное пощиадепенне} внутренний контрол^ совмеддас внутренним аудитом
внутренний шхтрочи 'домешен с внутренним аудитом и управлением рнмамм
Внутренний контроль совмещен с комплаенсоы
Поддазделение отсутствуй
Рисунок 3. Варианты организации подразделения управления рисками
Причинами указанной практики могут быть как недостаточно полное понимание целей и функционала внутреннего аудита, управления рисками и внутреннего контроля, так и ограничение бюджета наряду с дефицитом квалифицированного персонала. Таким компаниям необходимо подумать о пересмотре организационной структуры и выделении внутреннего аудита в самостоятельное структурное подразделение с целью обеспечения его независимости в соответствии с требованиями регуляторов, международных стандартов внутреннего аудита и Лимской декларации ИНТОСАИ (коммент. 9).
Следует отметить, что в настоящее время наблюдается тенденция к выделению функции управления соответствиями (комплаенс) в отдельное направление, в компаниях создаются самостоятельные структурные подразделения, хотя пока этой функции еще нет во многих компаниях, принявших участие в исследовании (лишь каждый четвертый респондент указал на ее наличие) — рисунок 4.
19%
комплаенс
(отдельное подразделение) Комплаенс совмещен С внутвдиним ймтролем
подгыздемнме отсутствует
74%
Рисунок 4. Варианты организации подразделения комплаенс
10
Состояние и направления развития систем внутреннего аудита...
Одним из наиболее важных для внутреннего аудита является вопрос разграничения его административной и функциональной подотчетности, так как
подотчетность является ключевым фактором обеспечения независимости внутреннего контроля и аудита.
Нормативные документы (Кодекс корпоративного управления, методические рекомендации и указания Росимущества) однозначно предполагают установление двойной подотчетности подразделения внутреннего аудита. Функционально подразделение внутреннего аудита должно быть подчинено совету директоров общества (его комитету по аудиту), а административно — лицу, способному обеспечить осуществление внутренним аудитом своих полномочий (как правило, непосредственно единоличному исполнительному органу).
Вместе с тем, на практике данное условие соблюдается далеко не всегда. По результатам опроса только каждая пятая компания, участвовавшая в исследовании, демонстрирует соответствие вышеуказанным требованиям и представляет собой эталон практики в области внутреннего аудита (рисунок 5). При этом 67% из них являются эмитентами на фондовых биржах, то есть данное разграничение является причиной неукоснительного соблюдения ими правил листинга.
Фу1*цШ о-ayflKTI
е друг ниц функции* / ЯДиТиьмНфуПр^кЛрмкй Щ Эталонная пдаспмсл внутдотегс аудит* Фукшм 3MVTдачко- вуоета orcyTTW I
Рисунок 5. Практика внутреннего аудита.
В остальных 78% компаний отклонение от эталонной практики выглядит следующим образом:
отсутствие функции внутреннего аудита;
• совмещение функций внутреннего аудита, управления рисками и внутреннего контроля в одном подразделении;
подотчетность подразделения внутреннего аудита должностному лицу уровня «единоличный исполнительный орган минус 1».
11
Состояние и направления развития систем внутреннего аудита...
В частности в ОАО «РЖД» Центр внутреннего аудита «Желдора-удит» административно подчинен единоличному исполнительному органу компании через директора по внутреннему контролю и аудиту, а функционально — комитету по аудиту и рискам совета директоров компании, что соответствует всем параметрам, предусмотренным Кодексом корпоративного управления.
Такая архитектура подчиненности внутреннего аудита не является препятствием для соблюдения принципа разграничения административной и функциональной подотчетности. Как отмечено в одобренных Правительством Российской Федерации Методических указаниях по подготовке положения о внутреннем аудите в государственных корпорациях, государственных компаниях, а также открытых акционерных обществах с участием Российской Федерации: «в отдельных случаях с учетом организационно-функциональной структуры корпорации, компании, акционерного общества, если это не противоречит требованиям законодательства и нормативным актам, может быть предусмотрена административная подотчетность внутреннего аудита, помимо единоличного исполнительного органа, также должностному лицу, наделенному на основании законодательства и внутренних нормативных документов соответствующими полномочиями по управлению и распоряжению в корпорации, компании, акционерном обществе и непосредственно подчиненному единоличному исполнительному органу, способному обеспечить реализацию всех полномочий внутреннего аудита, предусмотренных внутренними документами корпорации, компании, акционерного общества (например, вице-президенту, заместителю генерального директора и т.п.)».
Однако при применении указанной нормы необходимо учитывать, что такое должностное лицо должно быть наделено соответствующими полномочиями и способно обеспечить выполнение внутренним аудитом своих функций. Оно не должно осуществлять управление операционной деятельностью, требующей принятия управленческих решений в отношении объектов аудита.
Результаты опроса свидетельствуют об активном развитии внутреннего аудита в государственных компаниях за последние пять лет. Возраст подразделений внутреннего аудита в каждой третьей компании составляет от одного года до пяти лет. К 2015 году свой пятилетний рубеж перешагнули подразделения внутреннего аудита каждой пятой компании. В 30% компаний возраст подразделений внутреннего аудита превышает 10 лет.
В большинстве компаний (74%) подразделение внутреннего аудита проводит до 50 проверок в год, из них в каждой четвертой организации — до 10 проверок в год. Только 18% респондентов проводят свыше 100 проверок в год. Численность подразделений внутреннего аудита в таких компаниях составляет 50 сотрудников и более.
Самое большое количество времени отводится на выполнение плана аудиторских проверок — на это указали более половины респонден-
12
Состояние и направления развития систем внутреннего аудита...
тов (63%). Менее четверти опрошенных заявили, что тратят больше половины времени на специализированные аудиторские проверки (15%), а 11% компаний делят время поровну между плановыми и внеплановыми проверками.
Вполне объяснимо, что существует непосредственная взаимосвязь между численностью персонала компании и количеством сотрудников подразделений внутреннего аудита (рисунки 6—8).
Как показало исследование в небольших компаниях с численностью персонала до 10 тысяч человек, количество внутренних аудиторов в большинстве случаев не превышает 10 сотрудников. По мере роста числа сотрудников увеличивается и штат внутренних аудиторов. Практически во всех компаниях с численностью персонала от 100 тысяч человек количество внутренних аудиторов насчитывает как минимум 50 сотрудников.
Подобная закономерность также наблюдается в мировой практике. Согласно результатам исследования GAIN (Global Audit Information Network) за 2014 год, проведенного Институтом внутренних аудиторов, в крупных компаниях с численностью персонала свыше 100 тысяч человек количество внутренних аудиторов превышает 100 сотрудников.
Между тем такой зависимости от размера активов или выручки компании (как видно из рисунков 9 и 10) не наблюдается.
14* эзч £5%
60%
36* SO* 40*
25*
I'lQottpvfvxxoo 25-50 ohuviiw™
От 50 тш. болида 100 тыс. lOOiuc.
ч?лдак человек
50-IQOCOtfrflbWHOB 6w)H l№
Рисунок 6. Численность сотрудников подразделения внутреннего аудита в зависимости от размера компании.
Рисунок 7. Численность сотрудников подразделения управления рисками в зависимости от размера компании.
Рисунок 8. Численность сотрудников подразделения внутреннего контроля в зависимости от размера компании.
13
Состояние и направления развития систем внутреннего аудита...
lud
ез*
364
к
274
264
2S4
504
254
От Ю млрд рублей ДО 100 ним ру&Юй
От 100 млрд рублей ДО 500 мл Дд рублей
Сныил 500 мл fill
рублей
■ МОСРтруйпищр 10-25 софупичое 25-50 софудтпгав
ННООСИРУЯлико* Бел» 100
ССТВЮШКО»
вел
ззч
334
174
Д& 50 млрд От SO млрд c»b*uit
руЬп^ рублей 250иЛрд
AD 250 млрд pyfreA
рублей
■ ИОСРП^гдиичОв ID-25 сиг руд»* *04 SS'SOttrtpvjfvinw
50-100 СФгйудничот
5cm 100 ахфудмичо*
Рисунок 9. Численность сотрудников подразделения внутреннего аудита в зависимости от размера активов компании.
Рисунок 10. Численность сотрудников подразделения внутреннего аудита в зависимости от размера выручки компании.
Важное значение в организации внутреннего аудита в компании имеют показатели его эффективности. Выполнение плана аудиторских проверок является одним из основных ключевых показателей эффективности (КПЭ) в подавляющем большинстве компаний (96%). Также в качестве ключевых показателей используются: значимость выводов и рекомендаций, полученных в результате проведения внутренних аудиторских проверок (42%), отклонение от плана выполнения внутренней аудиторской проверки (25%) и экономический эффект от деятельности подразделения (25%). Результаты опроса заинтересованных сторон используют как КПЭ только 21% участников исследования. Результаты исследования показаны на рисунке 11.
ймпй>*)*1* ляде аудиторски: лкяек*
Значимость икмцсан речрмандааижй. полученные р рмильтате про» дечин инутречни: аудиторски: пооеерэ<
Отклонение 0» WVM вылопкямл внущенкй аудитарслпй проверки (по времени, ресурсам И Лр.)
Экокнчтчкккй Ютектрт даятелдесп! поярдздЕгачтв, еыМЛнечшт функцич вмутреиыетч аунттга
25*
25%
иеаультаты опроса «интерес»»**™ сторон
21*
АУДИТОРСКИХ рекОм#ЧайЦЙЙ Срмти продол **тел»«с1ъци и» аудиторской PP0M(W«
друг»
42%
064
Рисунок 11. Используемые ключевые показатели эффективности внутреннего аудита.
14
Состояние и направления развития систем внутреннего аудита...
По данным исследования Института внутренних аудиторов Internal audit around the world (коммент. 10), в международной практике только 14% компаний используют в качестве КПЭ выполнение плана аудиторских проверок. Это объясняется тем, что, по мнению руководителей подразделений внутреннего аудита международных компаний, сам по себе показатель выполнения плана аудиторских проверок недостаточен для полной оценки эффективности функции и должен рассматриваться вместе с другими показателями (такими как результаты опроса заинтересованных сторон и экономическая эффективность).
В ходе исследования были рассмотрены вопросы мотивации и квалификации сотрудников.
Дефицит квалифицированного персонала на фоне растущей текучести кадров заставляет компании разрабатывать и применять различные мотивационные программы.
Следует отметить, что сотрудников подразделений внутреннего аудита, контроля, управления рисками и комплаенса больше всего мотивирует интересная работа (89%). Второе место занимает возможность карьерного роста (52%). При этом такие факторы, как обучение и повышение квалификации (44%) и компенсационный пакет (41%), заняли только третье и четвертое места соответственно.
Как показывают результаты исследования, в каждой четвертой компании специалисты в области внутреннего аудита обладают сертификатами Certified Internal Auditor. В каждой третьей организации внутренние аудиторы имеют степень Master of Business Administration. В большинстве компаний у аудиторов есть российские сертификаты в области аудита и бухгалтерского учета (например, квалификационный аттестат аудитора, аттестат профессионального бухгалтера или налогового консультанта). В международных компаниях, согласно данным исследований ИВА, сертификация по внутреннему аудиту также не является обязательным требованием, хотя ее наличие приветствуется.
Лишь в 8% участвовавших в опросе организаций сотрудники подразделения управления рисками имеют профессиональные сертификаты в области управления рисками, такие как Financial Risk Manager (FRM) и Certification in Risk Management Assurance (CRMA). Сертифицированных специалистов в области внутреннего контроля и комплаенса нет ни в одной. Это обусловлено устойчивой позицией руководителей и специалистов служб внутреннего аудита, которые, признавая любое обучение полезным, рассматривают указанную сертификацию как необязательное, дополнительное повышение квалификации, скорее направленное на расширение кругозора аудитора, нежели связанное с развитием практических навыков (рисунок 12). Одним из факторов, ограничивающих возможности для обучения и сертификации, является возможность сдачи экзамена только на английском языке.
15
Состояние и направления развития систем внутреннего аудита...
Рисунок 12. Сертификаты и дипломы сотрудников.
Большинство респондентов повышают квалификацию сотрудников подразделений за счет внешних тренингов (85%), внутреннего корпоративного обучения (63%) и участия в профессиональных ассоциациях (59%), таких как Институт внутренних аудиторов (ИВА), Некоммерческое партнерство «Национальное объединение внутренних аудиторов и контролеров» (НОВАК), Русское общество управления рисками (РусРиск), Международная Комплаенс Ассоциация (ICA).
Одним из факторов успешного функционирования систем внутреннего аудита, управления рисками и внутреннего контроля является формирование комплекса внутренних документов компании (политик, положений, стандартов, методик, инструкций). Они должны определять принципы и подходы к построению систем управления рисками и внутреннего контроля, распределение функций и обязанностей, а также порядок взаимодействия между участниками данных процессов.
Политики и процедуры в области управления рисками и внутреннего контроля должны быть доведены до сведения каждого сотрудника и последовательно применяться в масштабах всей организации.
В рамках исследования анализировалось наличие в компаниях ключевых нормативных документов в области внутреннего аудита, управления рисками и внутреннего контроля — таких как антикоррупционная политика, положения о внутреннем аудите, о системе управления рисками, о внутреннем контроле и т.п. (рисунок 13).
На то, что в их организации утверждено положение о внутреннем аудите, указали 89% респондентов. О наличии положения о внутреннем контроле сообщили 77% респондентов, и 68% опрошенных компаний имеют положение о системе управления рисками. Эти высокие показатели свидетельствуют о значительном внимании как акционеров, так и руководства компаний к вышеназванным вопросам.
16
Состояние и направления развития систем внутреннего аудита...
Рисунок 13. Утверждение нормативных документов в компаниях
Учитывая, что в соответствии с частью 1 статьи 13.3 Федерального закона «О противодействии коррупции» организации обязаны разрабатывать и принимать меры по предупреждению коррупции, а Кодекс корпоративного управления рекомендует организациям разработать антикоррупционную политику, предполагается, что компании с госучастием обеспечат соответствующий уровень указанной работы. Однако, как показал опрос, практически в каждой второй компании антикоррупционная политика не разработана.
Еще одним важным аспектом нормативного обеспечения внутреннего аудита, управления рисками и внутреннего контроля является формат утверждения соответствующих политик и положений. Они, в соответствии с Кодексом корпоративного управления и методическими указаниями Росимущества, должны рассматриваться комитетами по аудиту, стратегии и рискам и утверждаться советом директоров общества. Однако, например, на вопрос об утверждении положения о внутреннем аудите респонденты указали, что положение утверждается советом директоров или комитетом по аудиту только в 56% обследованных компаний. Даже не смотря на то, что это предусмотрено правилами листинга, остальные организации данную процедуру не соблюдают.
В системе корпоративного управления, в части организации функции внутреннего аудита, важное место отводится комитету по аудиту совета директоров компании. Кодекс корпоративного управления рекомендует формировать комитет по аудиту из независимых директоров. Между тем каждая третья компания имеет в составе комитетов по аудиту представителей менеджмента, то есть исполнительных директоров. Таким организациям необходимо принимать во внимание, что это может ограничивать не-
17
Состояние и направления развития систем внутреннего аудита...
зависимость внутреннего аудита, а также оказывать влияние на объективность анализа финансовой отчетности, оценки эффективности систем внутреннего контроля и управления рисками. Лишь каждая пятая компания обеспечивает соблюдение требований Кодекса корпоративного управления, формируя комитеты по аудиту полностью из независимых директоров. Фактическая структура комитетов по аудиту показана на рисунке 14. По результатам исследования, все компании-респонденты, являющиеся эмитентами фондовой биржи, соблюдают правила листинга, содержащие требования к независимости членов комитета по аудиту.
Рисунок 14. Структура комитетов по аудиту.
Методические рекомендации Росимущества также предусматривают, что председателем комитета по аудиту публичной компании следует избирать независимого директора, в остальных случаях — неисполнительного директора. При этом указанные рекомендации отмечают, что «в случае, если у компании отсутствуют требования по наличию в совете директоров независимых директоров и она не выбрала их в состав совета в добровольном порядке, комитет по аудиту формируется из неисполнительных членов совета директоров, обладающих наибольшей квалификацией и опытом для выполнения функций комитета по аудиту».
Вместе с тем, для компании со значительной долей участия Российской Федерации (и тем более со 100% государственной собственностью, каковой, например, является ОАО «РЖД»), на наш взгляд, представляется ценным обеспечение более существенного влияния лица уполномоченного государством. И как результат, допустимость избрания председателя комитета из числа директоров — профессиональных поверенных.
Важным моментом в оценке уровня работы исследуемых подразделений является степень удовлетворенности органов управления и высшего руководства работой подразделений внутреннего аудита, управления рисками, внутреннего контроля.
18
Состояние и направления развития систем внутреннего аудита...
По результатам исследования наблюдается консенсус совета директоров, комитета по аудиту и высшего руководства в оценке деятельности подразделений внутреннего аудита, управления рисками, внутреннего контроля (рисунки 15—17).
Рисунок 15. Степень удовлетворенности членов советов директоров работой подразделений.
Рисунок 16. Степень удовлетворенности членов комитетов по аудиту работой подразделений.
Рисунок 17. Степень удовлетворенности руководителей высшего звена работой подразделений.
19
Состояние и направления развития систем внутреннего аудита...
Руководители высшего звена 40% компаний удовлетворены работой службы внутреннего аудита, еще около 30% склонны оценивать ее деятельность скорее положительно, ожидая прогресса в ближайшие два года. При этом исполнительные органы оценивают работу подразделений управления рисками и внутреннего контроля более позитивно, чем советы директоров тех же компаний. Особого внимания заслуживает функция комплаенс — ее совершенствования ожидают и совет директоров, и исполнительное руководство компаний (более 75% респондентов).
Особое место в ходе исследования было отведено системе управления рисками. Как отмечено в Кодексе корпоративного управления: «Система управления рисками и внутреннего контроля позволяет обществу своевременно реагировать на возникающие риски и представляет собой совокупность организационных мер, методик, процедур, норм корпоративной культуры и действий, предпринимаемых обществом для достижения оптимального баланса между ростом стоимости общества, прибыльностью и рисками, для обеспечения финансовой устойчивости общества, эффективного ведения хозяйственной деятельности, обеспечения сохранности активов, соблюдения законодательства, устава и внутренних документов общества, своевременной подготовки достоверной отчетности».
Исследование было направлено на определение уровня формализации отдельных процессов, таких как выявление и оценка рисков, разработка мероприятий по управлению рисками, мониторинг их выполнения и т.д. Результаты исследования показывают, что в большинстве компаний указанные процессы документируются (рисунок 18). Однако, если основные процессы (такие как идентификация и оценка рисков) выполняются в подавляющем большинстве компаний, то более сложные процессы (например, разработка мероприятий по управлению рисками и мониторинг их выполнения) задокументированы только в 59% организаций. При этом мо-
Рисунок 18. Формализация процессов управления рисками
20
Состояние и направления развития систем внутреннего аудита...
ниторинг статуса и реализации рисков формализован только в 56% компаний, а расследование причин их возникновения проводится только в 33% компаний. Большинство из них являются эмитентами фондовых бирж.
По результатам опроса у каждой второй компании не определен риск-аппетит (толерантность к риску). Многие компании сталкиваются со сложностями в данном вопросе и только половина респондентов указывает на то, что формулирует отношение и поведение компании к отдельным типам рисков и бизнес-целям и определяет количественные и качественные метрики к ним. Между тем Методические указания по подготовке положения о системе управления рисками в государственных корпорациях, государственных компаниях, а также открытых акционерных обществах с участием Российской Федерации требуют закрепить в положении о системе управления рисками порядок определения риск-аппетита, который должен разрабатываться исполнительными органами компании, утверждаться советом директоров (наблюдательным советом) и пересматриваться на регулярной основе. Для получения информации об общепринятых практиках можно руководствоваться таким документом COSO как Understanding and Communicating Risk Appetite, 2012.
Применение количественных методов оценки рисков дает возможность получить более точные результаты, а значит разработать меры реагирования с учетом анализа соотношения затрат и получаемых результатов. Среди респондентов более трети компаний (37%) применяют количественные методы оценки в отношении большинства рисков, 26% — только для анализа отдельных типов рисков, а 37% вообще не используют количественные методы оценки рисков.
Следует подчеркнуть, что организации, пересматривающие риски и их оценку на регулярной основе, имеют существенные преимущества перед другими компаниями, поскольку могут легко выявлять новые актуальные риски и соответствующим образом адаптировать свою стратегию. Кроме того, организации, в которых пересмотр рисков проводится на регулярной основе, способны разрабатывать такие меры реагирования, которые не только снижают негативный эффект в случае их принятия, но и позволяют в полной мере использовать открывающиеся возможности.
Результаты опроса показывают, что каждый третий респондент не проводит переоценку рисков. Еще немногим более трети компаний проводят ее на ежегодной основе, тем самым ограничивая свою способность к пересмотру бизнес-стратегии с учетом изменений в профиле рисков.
В контексте последних изменений в геополитической и экономической среде (в том числе изменение геополитической ситуации и санкций) стратегические, а также финансовые риски являются наиболее существенными и для государственных компаний (57% и 39% соответственно). Наименее значимыми наши респонденты считают риски, связанные с искажением финансовой отчетности и с мошенничеством (рисунок 19).
21
Состояние и направления развития систем внутреннего аудита...
Рисунок 19. Наиболее существенные риски
Интересно, что в рамках глобального исследования, параллельно проведенного EY среди международных компаний, наиболее существенными были названы финансовые, операционные и репутационные риски, киберугрозы, а также риски, связанные с законодательными изменениями. При этом риски, возникающие в результате геополитического кризиса, не актуальны для международных компаний.
В ходе российского исследования отдельно рассматривалось использование результатов оценки рисков подразделением внутреннего аудита.
На вопрос «Полагаются ли подразделения внутреннего аудита при составлении годового риск-ориентированного плана на результаты оценки рисков, проведенной руководством компании?» больше половины респондентов (54%) ответили положительно и 23% опрошенных заявили, что оценка рисков не проводится, либо служба внутреннего аудита делает ее самостоятельно. При этом Методическими рекомендациями Росимущества по организации работы внутреннего аудита предусмотрено, что «план деятельности внутреннего аудита разрабатывается на основе риск-ориентированной модели аудита, с использованием информации и запросов, полученных от исполнительных органов и совета директоров компании, результатов оценки рисков компании (подготовленных, например, службой управления рисками, если такая служба имеется в компании)».
Один из важнейших вопросов исследования — совершенствование функций внутреннего аудита, контроля, управления рисками.
В ходе опроса исследовались основные проблемы, с которыми сталкиваются подразделения внутреннего аудита, управления рисками, внутреннего контроля и комплаенса в изучаемых компаниях. Основные препятствия на пути совершенствования указанных функций по оценкам респондентов показаны на рисунке 20.
Также респонденты определили следующие основные области для совершенствования систем управления рисками и внутреннего контроля (рисунок 21): расширение периметра системы, в том числе на большее коли-
22
Состояние и направления развития систем внутреннего аудита...
Рисунок 20. Основные препятствия на пути совершенствования функций внутреннего аудита, контроля, управления рисками.
Рисунок 21. Основные области совершенствования внутреннего аудита, контроля,
управления рисками.
23
Состояние и направления развития систем внутреннего аудита...
чество бизнес-процессов и дочерних/зависимых обществ (56%), повышение степени интеграции системы управления рисками в процесс бюджетирования (52%), повышение степени ее интеграции в процесс стратегического планирования (52%), а также улучшение координации между подразделениями в рамках системы управления рисками и внутреннего контроля (52%).
Повысить эффективность рабочих процессов, а также значительно сократить время, затрачиваемое на сбор данных и обмен информацией, документирование, подготовку отчетности, архивирование и выполнение других задач позволяет использование передовых технологий и современных инструментов, таких как электронные системы автоматизации функций внутреннего аудита, управления рисками и внутреннего контроля.
По результатам исследования можно сделать вывод о том, что в большинстве случаев государственные компании применяют электронные системы для автоматизации функции внутреннего аудита и процесса управления рисками (рисунок 22). При этом в основном используется программное обеспечение собственной разработки.
ПО не HcnOnbJvfcitH
ПО собственной разработку ? другое
SAP GHC
SAP GPC н Teammate
48*
Рисунок 22. Использование автоматизированных систем
Большинство компаний, использующих программное обеспечение в деятельности службы внутреннего аудита, имеют большой штат внутренних аудиторов (свыше 100 сотрудников), что соответствует международной практике. Между тем половина компаний-респондентов вообще не используют инструменты автоматизации в рамках деятельности подразделений внутреннего аудита.
Кодексом корпоративного управления «в рамках системы управления рисками и внутреннего контроля общества рекомендуется организовать безопасный, конфиденциальный и доступный способ (горячую линию) информирования совета директоров (комитета совета директоров по аудиту) и подразделения внутреннего аудита о фактах нарушений законодательства, внутренних процедур, кодекса этики общества любым его работником и (или) любым членом органа управления или органа контроля за финансово-хозяйственной деятельностью общества».
Опрос в данной области был направлен на то, чтобы выяснить, имеется ли такой инструмент в государственных компаниях, как он исполь-
24
Состояние и направления развития систем внутреннего аудита...
зуется в деятельности служб внутреннего аудита и других подразделений, участвующих в построении и оценке системы внутреннего контроля и управления рисками, а также какие подразделения отвечают за обработку поступающей информации.
Исследования показали, что у каждой второй компании отсутствует внешняя горячая линия, а у каждой четвертой — внутренняя. В большинстве компаний, имеющих горячую линию, нет единого подхода к оценке, обработке и использованию полученной информации. На рисунке 23 представлены результаты опроса респондентов в этой части.
Рисунок 23. Обработка информации, поступившей на горячую линию.
Подводя итог следует отметить, что в течение последних лет наблюдается высокий уровень заинтересованности государственных органов в развитии в подведомственных организациях систем управления рисками, внутреннего контроля и аудита, как механизмов повышения эффективности деятельности компаний. Это, несомненно, вносит позитивные изменения в их работу.
Согласно результатам исследования, в большинстве акционерных обществ с участием Российской Федерации и государственных корпораций предусмотрена функция внутреннего аудита. Кроме того, компании уделяют внимание системам управления рисками и внутреннего контроля. Получает развитие функция комплаенс.
Публичные компании в большей степени, чем остальные, следуют примерам передовой практики, что является следствием необходимости соблюдения требований регуляторов и биржи.
Следующим уровнем развития процессов управления рисками должна стать количественная оценка рисков, использование методов моделирования и сценарного анализа с учетом прогнозируемых трендов, соотнесение
25
Состояние и направления развития систем внутреннего аудита...
существенных рисков с показателями эффективности. Это позволит интегрировать управление рисками в стратегию и операционную деятельность.
Формализация процедур внутреннего контроля и их распространение на большее количество бизнес-процессов, а также дочерних и зависимых обществ будет способствовать оптимизации бизнес-процессов, соблюдению требований законодательства, повышению прозрачности и надежности финансовой отчетности.
Комментарии
1. Кодекс корпоративного управления (одобрен 21 марта 2014 года Банком России). В первоочередном порядке он внедряется в 12 акционерных обществах с участием Российской Федерации в соответствии с поручением Правительства Российской Федерации от 31 июля 2014 года № Ш-П13-5859.
2. Методические рекомендации по организации работы внутреннего аудита в акционерных обществах с участием Российской Федерации (утверждены приказом Росимущества от 4 июля 2014 года № 249).
3. Методические рекомендации по организации работы комитетов по аудиту советов директоров акционерных обществ с участием Российской Федерации (утверждены приказом Росимущества № 86, от 20 марта 2014 года).
4. Методические указания по подготовке положения о внутреннем аудите в государственных корпорациях, государственных компаниях, а также открытых акционерных обществах с участием Российской Федерации (одобрены поручением Правительства Российской Федерации от 24 июня 2015 года № ИШ-П13-4148).
5. Методические указания по подготовке положения о системе управления рисками в государственных корпорациях, государственных компаниях, а также открытых акционерных обществах с участием Российской Федерации (одобрены поручением Правительства Российской Федерации от 24 июня 2015 года № ИШ-П13-4148).
6. Методические рекомендации Министерства труда и социальной защиты Российской Федерации по разработке и принятию организациями мер по предупреждению и противодействию коррупции (разработаны во исполнение подпункта «б» пункта 25 Указа Президента Российской Федерации от 2 апреля 2013 года № 309 «О мерах по реализации отдельных положений Федерального закона «О противодействии коррупции» и в соответствии со статьей 13.3 Федерального закона от 25 декабря 2008 года № 273-ФЗ «О противодействии коррупции»),
7. Профессиональный стандарт «Внутренний аудитор» (утвержден приказом Министерства труда и социальной защиты Российской Федерации от 24 июня 2015 года № 398н).
8. Профессиональный стандарт «Специалист по внутреннему контролю (Внутренний контролер)» (утвержден приказом Министерства труда и социальной защиты Российской Федерации № 236н от 22 апреля 2015 года).
26
Состояние и направления развития систем внутреннего аудита...
9. ИНТОСАИ — Международная организация высших органов финансового контроля.
10. 8. Research Report “Internal Audit Around the World: A Perspective on Global Regions” (CBOK, Institute of Internal Auditors, 2014).
Литература
1. Кодекс корпоративного управления (одобрен 21 марта 2014 года Банком России). Электронный ресурс. Режим доступа: http://base.garant. ru/70640276/ (дата обращения 5 октября 2015 года).
2. Методические рекомендации по организации работы внутреннего аудита в акционерных обществах с участием Российской Федерации (утверждены приказом Росимущества от 4 июля 2014 года №249). Электронный ресурс. Режим доступа: http://www.rosim.ru/documents/226258 (дата обращения 5 октября 2015 года).
3. Методические рекомендации по организации работы комитетов по аудиту советов директоров акционерных обществ с участием Российской Федерации (утверждены приказом Росимущества № 86 от 20 марта 2014 года). Электронный ресурс. Режим доступа: http://www.rosim.ru/ documents/194473 (дата обращения 5 октября 2015 года).
4. Методические указания по подготовке положения о внутреннем аудите в государственных корпорациях, государственных компаниях, а также открытых акционерных обществах с участием Российской Федерации (одобрены поручением Правительства Российской Федерации от 24 июня 2015 года № ИШ-П13-4148). Электронный ресурс. Режим доступа: http://www.rosim.ru/activities/corp/methodology/documents/metod_ ukaz_norm_dok (дата обращения 5 октября 2015 года).
5. Методические указания по подготовке положения о системе управления рисками в государственных корпорациях, государственных компаниях, а также открытых акционерных обществах с участием Российской Федерации (одобрены поручением Правительства Российской Федерации от 24 июня 2015 года № ИШ-П13-4148). Электронный ресурс. Режим доступа: http://www.rosim.ru/activities/corp/methodology/documents/metod_ ukaz_norm_dok (дата обращения 5 октября 2015 года).
6. Иванов О.Б. Риск-ориентированная система внутреннего контроля и аудита // Железнодорожный транспорт. 2015. №6. С. 44—51.
7. Иванов О.Б., Егорова Е.А. Будущее внутреннего аудита создается сегодня // ЭТАП: Экономическая Теория, Анализ, Практика. 2012. №4. С.4—31.
References
1. The Code of Corporate Governance. Available at: http://base.garant. ru/70640276/ (accessed 05 October 2015). (in Russian).
2. Methodical recommendations on organization of internal audit in joint stock companies with participation of the Russian Federation (approved by order of
27
Состояние и направления развития систем внутреннего аудита...
the Federal property management Agency dated July 4, 2014, #249). Available at: http://www.rosim.ru/documents/226258 (accessed 05 October 2015). (in Russian).
3. Methodical recommendations on organization of work of the audit committees of the boards of Directors of joint stock companies with participation of the Russian Federation (approved by order of Rosimushchestvo dated 20 March, 2014, # 86). Available at: http://www.rosim.ru/documents/194473 (accessed 05 October 2015). (in Russian).
4. Guidelines for the preparation of the regulations on internal audit in state corporations, state companies and open joint stock companies with participation of the Russian Federation (approved by order of the Government of the Russian Federation dated June 24, 2015 # ISH-P13-4148). Available at: http://www.rosim.ru/activities/corp/methodology/documents/metod_ukaz_ norm_dok (accessed 05 October 2015). (in Russian).
5. Guidelines for the preparation of provisions on the system of risk management in state corporations, state companies and open joint stock companies with participation of the Russian Federation (approved by order of the Government of the Russian Federation dated June 24, 2015 # ISH-P13-4148). Available at: http://www.rosim.ru/activities/corp/methodology/documents/metod_ukaz_ norm_dok (accessed 05 October 2015). (in Russian).
6. Ivanov O.B. The risk-oriented internal control and audit system. Zhelezno-dorozhnyi transport [Rail transport]. 2015. No.6. Pp. 44—51. (in Russian).
7. Ivanov O.B, Egorova E.A. Future of the internal audit created today. JeTAP: Jekonomicheskaja teorija, Analiz, Praktika [ETAP: Economic theory, Analysis, Practice], 2012. No.4. Pp. 4—31. (in Russian).