Внутренний аудит. Третья линия защиты, или Последний рубеж
Обращение автора к читателям
Здравствуйте, уважаемый коллега.
Начну, пожалуй, с самого главного. Стимулом к написанию данной книги явилось мое желание поделиться с вами своим профессиональным опытом в сфере консалтинга и аудита. Книга, которую вы держите в руках, не является теоретическим или научным трудом. Она не преследует попыток анализа и оценки существующих подходов к контролю за деятельностью компании и поиска новых вариантов. Прежде всего, это мой личный опыт и практика реализации контрольных процедур, облеченные в текстовый формат.
В этой книги вам будут представлены основные подходы и методики аудита (мониторинга) хозяйственной деятельности компании: начиная от приема сотрудников на работу, заключения договоров на приобретение сырья и до момента распределения дивидендов.
Также вы познакомитесь с нюансами практического применения отдельных способов и процедур выявления (идентификации) финансовых рисков и фактов мошенничества в компании (группе компаний).
Чтобы сделать процесс чтения более увлекательным и пробудить в читателе еще больший интерес к теме аудита, консультирования и организации в компании системы контроля, я подробно описал несколько ситуации из своей собственной практики. Все ситуации касаются внутренних аудиторских проверок и сопряженных с ними контрольных процедур. По итогам описания каждой ситуации, вам будут представлены риски, обнаруженные в ходе проверок. Для устранения этих рисков я предлагаю вам самостоятельно сформировать собственные аудиторские рекомендации. Впоследствии, вы сможете их сравнить с реальными аудиторскими рекомендациями, предоставленными по итогам каждой такой проверки.
Отдельно в книге рассмотрен вопрос создания и функционирования в компании службы внутреннего аудита, как специальной независимой структурной единицы. Также в ней подробно раскрыт вопрос проведения внутренней аудиторской проверки и представлены примеры и образцы основных аудиторских документов, сопутствующих проверке.
Разумеется, что конечными целями системного контроля и мониторинга являются, прежде всего, устранение финансовых рисков и/или снижение их объемов до разумных пределов, а также предотвращение мошеннических действий – это «в идеале».
Организация в компании постоянно действующей специальной службы или периодическое проведение контрольных мероприятий с привлечением сторонних консультантов помогает сохранить финансовые ресурсы, путем предотвращения потерь, которые могут быть направлены на дальнейшее развитие компании или распределены в виде дивидендов.
В этом, кстати, и состоит главная мысль, которую я хочу донести до читателя и, прежде, всего до собственников компаний.
Все главы данной книги изложены простым, доступным для понимания неискушенного читателя языком.
Я уверен, что вам будет легко и интересно читать данную книгу. А применение на практике представленных в ней подходов, методик, процедур выявления и устранения корпоративных рисков, принесет вашей компании положительные финансовые результаты и поможет сделать вашу повседневную деятельность более эффективной.
Благодарности
Хочу поблагодарить всех моих коллег и друзей, вдохновивших меня на написание этой книги и, возможно, сами того не подозревавших – принявших участие в ее подготовке.
Также я благодарю коллектив интернет-издательства «Литрес: Самиздат» за помощь в доработке и распространении книги, в том числе и на просторах необъятной всемирной информационной компьютерной сети.
Отдельно хочу выразить благодарность Зуйковой Елене, Руководителю направления аудита компаний Группы НЛМК, Дирекции по аудиту ПАО «НЛМК» за качественную рецензию и профессиональный отзыв на данную книгу по результатам ее прочтения.
Впоследствии, некоторые моменты рукописи были мной пересмотрены: отдельные вопросы раскрыты более подробно, а «сложности перевода – с профессионального языка на человеческий» адаптированы для читателей, не являющихся экспертами в данной области и для начинающих специалистов.
Сотрудничество с Еленой оказалось весьма полезным и плодотворным. Благодарю.
Отзыв на книгу от Зуйковой Елены:
«Сегодня построение Службы внутреннего аудита (СВА) на различных предприятиях значительно отличается и зависит от уровня зрелости компании, отрасли, в которой она действует и пути эволюции, которую прошла СВА (от ревизоров, когда проводился постконтроль до стратегического партнера, когда акцент делается на превентивном подходе и стратегическом понимании бизнеса).
На начальном этапе зрелости предприятия такие службы как служба внутреннего контроля, служба управления рисками и СВА могут являться одним подразделением, на зрелом предприятии это будут уже независимые друг от друга службы, но работающие в тесном взаимодействии для достижения синергии.
Система внутреннего контроля создается Советом директоров компании, ее менеджментом и каждым сотрудником. СВА дает оценку существующей выстроенной системе внутреннего контроля (контрольной среде), эффективности управления рисками, тем самым способствуя совершенствованию деятельности компании, снижению рисков и способствует достижению целей компании.
Данная книга дает в сконцентрированном виде общее понятие о внутреннем аудите, изложенном простым, доступным языком, без применения академических, не всегда понятных не специалистам терминах. Я бы порекомендовала данный труд для неспециалистов в области внутреннего аудита для общего понимания о деятельности внутреннего аудита, его принципов, пользы для предприятия. Для тех, кто хочет получить более глубокое понимание о деятельности внутреннего аудита, я бы порекомендовала дополнительно ознакомиться с Кодексом этики внутреннего аудитора, МПСВА и Практическими рекомендациями по их применению, Законом Сарбейнса-Оксли, моделью COSO, моделью «Трех линий защиты» и др.»
Зуйкова ЕленаРуководитель направления аудита компаний Группы НЛМКДирекции по аудиту ПАО «НЛМК».»Предисловие
Управление рисками – задача всех сотрудников компанииМодель трех линий защитыВ большинстве крупных компаний в целях обнаружения и управления рисками используется Модель трех линий защиты. Данная модель представляет собой три фильтра или барьера для всех входящих в компанию рисков.
Данная модель позволяет не только эффективно функционировать каждой отдельной линии защиты на своем уровне, но и помогает четко сформулировать и разграничить цели и функции всех трех линий защиты, а также помогает им работать в едином системном и эффективном взаимодействии друг с другом.
На рисунке 1 схематично изображена данная модель. Подробнее ознакомиться с данной моделью (с описанием всех характеристик, присущих каждой линии защиты) вы можете в приложении № 1.
Рисунок 1. Модель трех линий защиты
Первую линию защиты представляют руководители отделов, ответственные за исполнение бизнес-процессов (так называемые, владельцы рисков). Они стараются эффективно исполнять свои ежедневные задачи, а также управлять рисками, как до начала осуществления бизнес-процессов, так и во время их исполнения. Это первая преграда для рисков.
На второй линии защиты представлены методологический и консультационный отделы, а также отделы по управлению рисками, внутреннего контроля, комплаенса и служба безопасности. Вторая линия обнаруживает и управляет рисками. Перечисленные выше структурные единицы (отделы) контролируют процесс эффективного и безрискового выполнения функций первой линии. И это второй барьер на пути входящих рисков.
Отмечу, что по существу, первые две линии защиты могут рассматриваться, как полноценная система внутреннего контроля (на практике принято использовать аббревиатуру – СВК).
Третья линия защиты или последний рубеж – это департамент по внутреннему аудиту. Данное подразделение проверяет эффективность работы всей СВК в целом (первой и второй линий защиты) и дает высшему руководству независимое заключение о том, что организация управляет рисками должным образом и ее система управления рисками и система внутреннего контроля являются эффективными.
Как мы видим, следует четко разграничивать внутренний контроль и внутренний аудит. При этом СВК выстраивает управление компанией: выполнение бизнес-процессов и работу с рисками, а СВА, в свою очередь, дает оценку: как и насколько эффективно работает СВК.
В этой связи обращаю ваше внимание, что в данной книге я постарался раскрыть основные составляющие эффективного функционирования именно третьей Линии защиты: внутреннего аудита (ВА). Данный вопрос представлен в книге в системном аспекте. Системность внутреннего аудита заключается во взаимодействии всех его элементов, которое принято называть системой внутреннего аудита или СВА.
Практика применения первой и второй линий защиты будут рассмотрены в последующих изданиях.
Глава 1. Системный подход во внутреннем аудите
Системный подход к контролю за компанией представляет собой совокупность методов и способов, необходимых для выполнения определенных задач и достижения поставленных целей. Данный подход к мониторингу деятельности формируется индивидуально под каждую компанию, в зависимости от потребностей и требований, которые ставят перед ним собственники.
В системном подходе к контролю (мониторингу) за хозяйственной деятельностью компании, именно внутренний аудит, по сравнению с другими видами контрольных процедур, такими как обязательный аудит, инициативный аудит, комплаенс, дью-диллидженс и прочие, занимает главенствующее положение.
Дело в том, что по отношению к внутреннему аудиту, остальные виды контрольных мероприятий, как показывает практика, являются «специальными». При этом они могут существовать как отдельно, так и в составе процедур внутреннего аудита, являясь его элементами.
Внутренний аудит, в свою очередь, представляет собой комплекс мероприятий, направленных на всесторонний и всеобъемлющий контроль за деятельностью компании (группы компаний). Причем эти мероприятия реализуются, как правило, силами специалистов, состоящих в штате компании и находящихся в постоянном взаимодействии с ее остальным персоналом.
Учитывая данное обстоятельство, именно штатные внутренние аудиторы более глубоко, по сравнению с внешними консультантами, понимают особенности деятельности их компании, что позволяет в большинстве случаев быть более эффективными в своей профессиональной деятельности.
Однако есть и обратная сторона медали: в ходе внутренней проверки между штатным внутренним аудитором и лицом, ответственным за объект контроля, не исключен конфликт интересов. Этот конфликт может вылиться, например, в скрытое или явное противостояние сторон. Аудитору в такой ситуации важно придерживаться принципа независимости профессионального суждения и помнить, что он действует в интересах собственников, а не нанятых ими для управления компанией менеджеров.
Тем не менее, штатный внутренний аудитор и лицо, ответственное за объект проверки трудятся у одного работодателя. Это значит, что они пересекаются по рабочим вопросам, ведут переписку, телефонные разговоры, ходят на деловые встречи, посещают корпоративные мероприятия, т. е. так или иначе – взаимодействуют друг с другом.
При таких обстоятельствах, нельзя исключать, что аудитор попадет под влияние лицо, ответственное за объект проверки и важность внутрикорпоративных отношений окажется для аудитора более значимой и ценной, в сравнении и выражением полного и независимого профессионального мнения.
Например, при обнаружении замечаний штатный аудитор, не желая ссориться с лицом, ответственным за объект контроля, может предоставить искаженное профессиональное мнение в пользу проверяемого.
Как мы видим, внутрикорпоративные отношения могут негативно повлиять на профессиональное суждение аудитора. Чтобы этого не произошло, собственникам компании следует выстроить структуру подчиненности таким образом, чтобы внутренние аудиторы были подотчетны только Комитету по аудиту. Да и самим аудиторам рекомендуется избегать неформального общения с проверяемыми лицами вне контрольных процедур, а также помнить об Этике аудитора и, наверное, главном принципе в аудите – независимости профессионального суждения.
Внешний же аудитор или консультант, напротив: не стеснен необходимостью сохранения «добрососедских» отношений с персоналом компании. Одновременно с этим, он не вступает в соперничество с лицами, ответственными за объект контроля. Он беспристрастен и просто выражает свое независимое мнение. Влияние персонала компании на его профессиональное суждение минимальное, хотя возможны варианты…
Раздел 1.1. Внутренний аудит и его виды. Основа контроля или последний рубеж
В этой главе, мы рассмотрим виды внутреннего аудита, в качестве его составных элементов; проанализируем порядок нормативного регулирования внутреннего аудита; перечислим его основные принципы и разберемся с их толкованием.
Сразу хочу обратить ваше внимание, что единого подхода к определению того или иного вида аудита, раскрытию целей и задач и однозначного их понимания и толкования на практике не сложилось. Фактически, в каждой компании, в штате которой имеется хотя бы один внутренний аудитор, разработаны свои собственные процедуры контроля, адаптированные под нужды данной организации.
В большинстве случаев система внутреннего аудита склоняется в сторону мониторинга за подготовкой бухгалтерской отчетности и налоговых деклараций, а также к соблюдению внутреннего документооборота и «буквальному» исполнению бизнес-процессов, согласно принятым регламентам. А все остальные процедуры такие, как например, внутренний аудит управленческой отчетности; оценка последствий сделок, а также их прогнозный анализ; определение степени эффективности персонала компании, в том числе, ее руководства, можно отнести к такому вида внутреннего контроля, как аудит по спецзаданиям собственников.
При этом основные элементы внутреннего аудита, с которыми мне лично довелось столкнуться на практике, схематично показаны ниже, на рисунке 2.
Рисунок. 2. Элементы ВА
Как было сказано выше, вне рамок СВА все представленные на данном рисунке элементы могут существовать и по отдельности: вне зависимости друг от друга, как самостоятельные и самодостаточные процедуры котроля.
Однако, для формирования и функционирования единой и, самое главное, эффективной системы внутреннего аудита, все перечисленные элементы должны быть тесно связаны друг с другом и находиться в постоянном взаимодействии.
Давайте рассмотрим эти элементы подробнее и разберемся: в чем практическая польза каждого из них. А для этого следует понять, что представляют собой эти элементы и определить их основные цели и задачи.
1.1.1.Внутренний аудит финансовой отчетности
Итак, первым в списке у нас: внутренний аудит финансовой отчетности. Данный вид внутреннего аудита направлен на выявление рисков, связанных, прежде всего, с достоверностью показателей внутренней управленческой отчетности.
В ходе данного аудита анализируются:
– порядок формирования финансовых показателей;
– полнота и документальная достоверность отраженных данных;
– осуществляется сравнение значений строк отчетности с данными учета;
– выявляются искажения.
Также, данный вид аудита включает в себя контроль подготовленных для внешних пользователей показателей бухгалтерской отчетности и налоговых деклараций. Как правило, в рамках СВА, такой аудит осуществляется до момента представления бухгалтерской отчетности в Росстат и налоговых деклараций в ИФНС РФ. Такая процедура необходима для того, чтобы выявить несоответствия отчетности и налоговых деклараций на стадии их подготовки, внести корректировки и представить контролирующим органам достоверные данные. Это помогает избежать ошибок, влекущих начисление налогов, штрафов и пени.
При этом по желанию собственников бизнеса, аудит может быть проведен и после представления названных документов в надзорные ведомства.
Однако, в такой ситуации, применение санкций в отношении компании, в случае обнаружения контролирующими органами ошибок, становится более вероятным.
1.1.2. Стратегический внутренний аудит
Следующим элементом СВА на рисунке 1 представлен стратегический аудит, который охватывает вопросы стратегического развития компании, ее инвестиционную деятельность, контроль значимых для компании показателей.
В ходе осуществления стратегического аудита рассматриваются любые ключевые вопросы, влияющие на жизнеспособность компании, ее репутацию, положение на рынке, завоевание новых территорий.
Основными целями и задачами стратегического аудита являются, в частности:
– выявление рисков и негативного влияния на деятельность компании в результате совершения или намерения совершить крупные сделки, требующие одобрения;
– оценка последствий перехода права собственности на дорогостоящие активы;
– анализ соглашений по приобретению и продаже акций, долей;
– изучение влияния смены единоличного исполнительного органа (далее по тексту – ЕИО) и ключевых должностей на изменение основных показателей компании, предопределяющих ее финансовую устойчивость, тренд на развитие, «жизненную силу».
Степень достижения перечисленных показателей, в свою очередь, является индикатором эффективности действующего руководства.
Также в ходе применения процедур стратегического аудита могут быть рассмотрены вопросы подготовки компании к первому публичному размещению акций, выход на международные торговые биржи, реорганизация компании, в том числе, сделки по слиянию и поглощению (M&A) и т. п.
Стратегический аудит, в прочем, как и другие элементы СВА (виды внутреннего аудита), может рассматривать вопросы, как стратегического планирования деятельности компании, с применением прогнозного анализа, так и последствия такого планирования, путем использования ретроспективного подхода.
1.1.3.Корпоративный внутренний аудит
Далее следует внутренний аудит корпоративного управления. Данный элемент призван оценивать соответствие процедур и методов внутреннего управления компанией её целям и возможность их совершенствования. Одновременно с этим оценивается динамика развития управленческих технологий и компетенций.
Практика применения процедур корпоративного внутреннего аудита в акционерных обществах и обществах с ограниченной ответственностью (с количеством учредителей более двух) может оказаться весьма полезной для собственников компании. Результаты такого аудита могут быть использованы для оценки эффективности работы нанятого топ-менеджмента и действий партнеров, в том числе совладельцев.
Зачастую такие процедуры являются не просто обоснованными, например, в связи с конфликтом интересов собственников, принимающих корпоративные решения, но и просто жизненно необходимыми в целях сохранения бизнеса, например, в связи с выводом топ-менеджментом активов компании и ее преднамеренном банкротстве.
Задачи, присущие данному виду внутреннего аудита, отчасти перекликаются с задачами, подлежащими раскрытию в рамках процедур стратегического внутреннего аудита. Тем не менее, корпоративный аудит преследует весьма специальные цели и рассматривает вопросы, относящиеся исключительно к сфере внутрикорпоративного управления. Основными задачами корпоративного аудита являются:
– оценка работы органов управления и контроля;
– анализ структуры уставного (акционерного) капитала и прав учредителей (акционеров);
– аудит раскрытия компанией информации о своей деятельности и обеспечение ее достоверности.
В результате проведенного аудита заинтересованные собственники компании (учредители, акционеры) могут определить наличие или вероятность возникновения у кого-то из их числа намерения продать свою часть бизнеса (долю, акции), либо совершить крупную сделку, что может привести к появлению расхождений между ними в отношении ключевых вопросов управления компанией.
Информация, представленная аудиторами, позволит заинтересованным в результатах аудита собственникам оценить последствия решений других собственников, действовавших не в интересах бизнеса, а также поможет разработать (при необходимости) соглашение, которое предотвратит утрату ими контроля над компанией.
1.1.4. Операционный внутренний аудит
Операционный внутренний аудит, или как принято называть его по-другому, аудит бизнес-процессов затрагивает текущую деятельность компании: производственную, финансовую, социальную, оперативное планирование, работу информационных систем, вопросы бюджетирования, подготовку управленческой отчётности и т. д. и т. п.;
Главной задачей операционного аудита является изучение аудиторами операций компании, с целью дать рекомендации по экономичному и эффективному использованию ее ресурсов, эффективному достижению целей и осуществлению ежедневного функционирования компании.
Результат операционного аудита предполагает подготовку аудиторами специальной информации (в том числе, рекомендаций), которая поможет менеджменту в выполнении их обязанностей и в повышении рентабельности компании или ее отдельных структурных единиц.
По существу, это проверка методов функционирования хозяйственной системы в целях оценки ее производительности и эффективности, контроль управления продукцией. Данный вид аудита также известен, как аудит хозяйственной деятельности компании или, как сказано выше, ее бизнес-процессов.
В целях достижения достоверных и актуальных данных, процедуры внутреннего операционного аудита должны в обязательном порядке включать три основных подхода к проведению проверки.
Во-первых, аудит бизнес-процесса (в том числе, проекта и, вообще, любой хозяйственной операции) должен происходить в динамике и основываться на изменениях ключевых значений компании, на которые этот бизнес-процесс влияет напрямую. Изменение ключевых значений можно отследить на даты, приходящиеся на начало проверяемого периода, его течение и окончание. В данном случае, важно понять: как влияет бизнес-процесс на показатели компании;
Во-вторых, аудитору следует:
– оценивать уровень достижения целей бизнес-процесса (проекта, отдельной хозяйственной операции, их совокупности и т. д.);
– определять степени его завершенности, полноты исполнения и эффективности.
Все эти характеристики бизнес-процесса (проекта, отдельной хозяйственной операции, их совокупности и т. д.) также сравниваются с ключевыми показателями деятельности компании;
В-третьих, операционный аудит любого бизнес-процесса (проекта, отдельной хозяйственной операции, их совокупности и т. д.), предполагает проведение такой обязательной процедуры, как всесторонняя оценка деятельности компании. Данный подход к проведению проверки является особо значимым, т. к. аудитор должен видеть и оценивать иные обстоятельства, косвенно влияющие на характеристики проверяемого бизнес-процесса. Здесь может помочь такой процесс мышления, как индукция.
Используя данный поход, аудитор должен понять: какие произошедшие (происходящие) в компании обстоятельства повлияли (влияют сейчас или могут повлиять в будущем) на достижение целей бизнес-процесса, степень завершенности, полноту его исполнения и эффективности.
Обладая такими сведениями можно спрогнозировать: как будут развиваться события в будущем, какие обстоятельства могут повлиять на бизнес-процесс и какой результат, в конечном итоге, получит компания по итогам его завершения или на определенную дату.
Всесторонняя и объективная оценка всей деятельности компании в течение проверки может существенно повлиять на итоги аудита отдельного бизнес-процесса.
1.1.5. Правовой внутренний аудит
Последним элементом, очень часто включаемым в состав СВА, является правовой внутренний аудит.
Данный элемент СВА призван следить за соблюдением требований законодательства РФ, международного права и положений внутренних регламентов (инструкций) и прочих локально-нормативных актов в компании. Задачами правового аудита являются:
– соблюдение кадровой службой компании требований трудового законодательства Российской Федерации;