Внутренний аудит с «человеческим лицом»: конструктивное партнерство между проверяющими и проверяемыми для достижения общего результата

Внутренний аудит с «человеческим лицом»: конструктивное партнерство между проверяющими и проверяемыми для достижения общего результата

Аудиторская функция играет особую роль в сохранении и приумножении стоимости компании. Находясь на третьей линии защиты и не участвуя в текущей деятельности организации, внутренний аудит призван помочь совету директоров, собственникам и руководству оценить свое соответствие выбранной бизнес-стратегии при оптимальном соблюдении требований внешних контролирующих органов и адекватной реакции на вызовы конкурентов в условиях волатильности рынков. В данной публикации рассмотрены некоторые из аспектов, которые успешно используются в практике и способствуют процессу построения конструктивного партнерства между проверяющими и проверяемыми для достижения общего результата деятельности крупной международной финансовой группы.

Ключевые слова: риск-ориентированный подход, база для экспертных суждений, планирование и оценка результатов проверок, цель аудита, оценка эффективности бизнеса, отчеты о результатах проверки, деятельности аудиторов, плановые/неплановые/специальные проверки, институт наставничества.

внутренний аудит стоимость конкурент Весь мой профессиональный опыт связан с внутренним аудитом: восемь лет работы в США в отрасли внутреннего аудита (ВА) американских инвестиционных банков и семь лет в России, среди которых руководство функцией ВА в «Ренессанс Капитале», продвижение профессии ВА посредством работы во внешнем консалтинге в компании PwC в качестве лидера практики внутреннего аудита, а в последние годы в должности регионального руководителя внутреннего аудита финансовой группы Societe Generale в части ее российского бизнеса. В рамках «Декабрьских дебатов» мне хотелось бы поделиться с вами одной из успешных практик, которую нам удалось реализовать на базе команды ВА Росбанка, входящего в состав данной финансовой группы.

Начну с имиджа ВА. Кто же тот самый аудитор, которого вроде бы так боятся? Существует миф, что аудитор выполняет роль полицейского, является врагом и вообще занудой по характеру. Уважаемая публика, хочу заверить вас, что мы, как и все люди, отличаемся друг от друга по характеру, но в целом этот имидж ошибочный.

В течение 2014—2015 гг. мы активно занимались построением команды. Это может показаться нестандартным, но наши основные требования к кандидатам сводились не столько к многолетнему банковскому опыту в сфере ВА, сколько к наличию здравого смысла, хорошо развитому аналитическому мышлению, умению схватывать и структурировать информацию «на лету», сильным коммуникационным навыкам, ну и конечно, к вниманию к деталям.

Не секрет, что в некоторых организациях служба ВА является чем-то искусственно выстроенным в целях удовлетворения требования регулятора о ее наличии. Хотя такой подход существует, на мой взгляд, он не приносит возможной синергии между департаментом ВА (ДВА) и руководством/владельцами компании. Для успешного сотрудничества руководству организации и ДВА необходимо понимать, что:

• • ВА не самоцель, а помощник в достижении бизнес-целей каждого проверяемого подразделения в частности и общих целей компании в целом;
• • проверки ВА — это «прививки», которые процедурно не всегда приятно получать, но которые помогают проверяемым подразделениям увидеть свои «болезни» и вылечить их, до того как зарождающиеся «вирусы» разрушили бизнес-процессы;
• • ВА стимулирует проверяемые подразделения меняться к лучшему в ходе исполнения аудиторских рекомендаций;
• • ВА — это инструментарий совета директоров и собственников, позволяющий им видеть реальную ситуацию в компании.

Считаю, что в Росбанке установлены именно такие отношения между ДВА и руководством. Наша аудиторская команда насчитывает около 70 человек. Мы практикуем внутренний аудит с «человеческим лицом», заточенный на увеличение ценности компании. Рассмотрим, из чего состоит партнерский образ ДВА, транслируемый как позиция высшего руководства и совета директоров группы Societe Generale на все ее бизнес-единицы в России. Как вы увидите далее, ключ к успеху зиждется на шести столпах (использование риск-ориентированного подхода, правильное определение причины проблемы, фокус на эффективность бизнес-процессов, короткие и понятные отчеты, правильно смоделированные KPI аудиторов и гибкий план аудиторских проверок). Итак, приступим…

• 1. Все проверки основаны на применении риск-ориентированного подхода, в рамках которого:
  • • проводится ежегодная оценка рисков по всей деятельности банка с обсуждением каждого риска с владельцами рисков, в результате чего карта рисков формируется как сверху вниз, так и снизу вверх:
    • — я как руководитель ВА встречаюсь с руководителями банков (CEO), топ-менеджментом и представителями совета директоров;
    • — ключевые сотрудники ДВА взаимодействуют с руководителями среднего звена;
  • • при формировании ежегодного плана проверок учитывается:
  • — сформированная карта рисков;
  • — пожелания совета директоров, CEO, топ-менеджмента и менеджмента среднего звена;
  • — фактические операционные потери;
  • — результаты самооценки эффективности контроля, проведенные владельцами контроля согласно внутренней процедуре Росбанка;
  • — общая оценка контрольной среды. Почеркну, что этому в финансовой группе уделяется много внимания на самом высоком уровне, включая руководителей группы Societe Generale и Росбанка;
  • • устанавливается плотное взаимодействие между ДВА и Комитетом по аудиту Росбанка. Например, ДВА информирует комитет о наиболее значимых нарушениях, выявленных во время проверок, а также о статусе выполнения мероприятий по устранению нарушений. В случае просрочки исполнения мероприятий лицо, ответственное за их своевременное внедрение, может быть приглашено на заседание Комитета по аудиту с целью отчитаться о проделанной работе и причинах задержки.
• 2. Для аудита с «человеческим лицом» важно не найти виновника, а правильно увидеть за «симптомами» проблемы ее реальную причину и помочь собственнику процесса устранить ее. Так, например, при проверке филиала или отделения аудиторы производят глубокий анализ причин обнаруженных нарушений/недостатков процесса по всей цепочке вплоть до процессов головного офиса, чтобы разобраться в источнике проблемы (в настройках/технологиях/установках головного офиса или локальных причинах).
• 3. Как это ни удивительно слышать, по итогам аудиторской проверки контроля может стать меньше. К примеру, если проанализировав процесс, мы видим наличие двойного/тройного контроля, в некоторых случаях такое дублирование может быть признано излишним. В результате оптимизация контроля в одном процессе освобождает ресурсы для участков, где наблюдается дефицит контроля. Очевидно, что такой подход позволяет проверяемым подразделениям напрямую осознавать пользу самих проверок.
• 4. По итогам проверки составляется лаконичный, прозрачный и всем понятный отчет. Аналогичный отчет двухлетней давности достигал в Росбанке 130 страниц, сейчас его стандартный размер — не более 25 страниц. Понятность и прозрачность отчета достигаются длительными тренировками и многоуровневыми проверками предложенных версий отчетов. Главное при написании отчета — это наличие четко выверенной фактуры, концентрация на причине проблемы и понимание, кто же является его читателем (руководство, владельцы, непосредственные проверяемые, регулятор и т. д.). Такие стандарты, конечно, могут продлевать общий срок выпуска самого отчета, однако обеспечивают отсутствие «сюрпризов» на финишной прямой и способствуют выстраиванию диалога с проверяемыми, нацеленного на разработку предложений по устранению выявленных недостатков.
• 5. Большое значение для формирования аудита «с человеческим лицом» имеют подходы к оценке аудиторской команды, практикуемые в Росбанке. В зависимости от уровня все сотрудники ДВА имеют свои КР1, что коррелирует с общебанковским подходом к оценке персонала. Оценку команды ДВА мы проводим путем недавно внедренного института наставничества, одной из задач которого является помощь младшим коллегам в распознавании своих зон развития и дальнейшей работе над ними. Я же сама непосредственно оцениваю деятельность своих прямых подчиненных, начальников управлений, ну и конечно, утверждаю финальную оценку каждого сотрудника ДВА.

Сразу оговорюсь, что в состав КР1 ДВА Росбанка намеренно не был включен такой показатель, как «количество наблюдений» в рамках каждой проверки. На мой взгляд, КР1 такого рода стимулирует аудиторов в целях достижения хороших личных показателей искусственно «разбивать» наблюдения на более мелкие, фокусироваться на несущественных проблемах и сводить «на нет» риск-ориентированный подход.

Аналогично сомнительным, на мой взгляд, является КР1, нацеленный на определение денежной выгоды, появившейся у организации после внедрения аудиторских рекомендаций. На сегодняшний день отсутствует четкий инструментарий, позволяющий объективно измерить данный ХИ, в то время как мы считаем это обязательным условием.

сотрудников ДВА основаны на хорошо измеряемых и объективно понятных параметрах, таких как:

• • соблюдение сроков по выставлению целей проверки (в начале проверки, при ее детальном планировании);
• • своевременная сдача отчета;
• • соблюдение сроков по оценке полноты достижения поставленных ранее целей проверки (в конце проверки);
• • количество переработок отчета и т. д.

Меня же как руководителя внутреннего аудита во всех российских бизнес-единицах группы оценивает мое функциональное руководство в Париже и председатель правления Росбанка (административный руководитель).

• 6. В Росбанке практикуется гибкий план аудиторских проверок за счет соотношения проверок трех видов:
  • • плановые проверки составляют около 65% от общего числа проверок;
  • • специальные проверки, которые проводятся либо по запросу председателя правления, либо инициированы самим ДВА на основе сигналов о наличии серьезных злоупотреблений (например, вскрытии случаев мошенничества);
  • • внеплановые проверки, инициированные ДВА в случае наличия признаков повышенного уровня рисков, при том что эти риски не покрываются плановыми проверками на год.

Важно отметить, что список плановых проверок держится в тайне от проверяемых подразделений, но проходит этап согласования с председателем правления Росбанка и Комитетом по аудиту. В этом смысле все проверки являются «аудит-сюрпризами» для проверяемых подразделений, заранее не проинформированных ни о перечне проверок, ни о времени их проведения.

Резюмируя вышесказанное, подчеркну, что аудиторская функция играет особую роль в сохранении и приумножении стоимости компании. Находясь на третьей линии защиты и не участвуя в текущей деятельности организации, внутренний аудит призван помочь совету директоров, собственникам и руководству оценить свое соответствие выбранной бизнес-стратегии при оптимальном соблюдении требований внешних контролирующих органов и адекватной реакции на вызовы конкурентов в условиях волатильности рынков.

В нашей организации в части функции внутреннего аудита с «человеческим лицом» этому способствуют следующие моменты:

• 1. Риск-ориентированный подход как объективная, независимая база для экспертных суждений, планирования проверок и оценки их результатов.
• 2. Цель аудита не найти виновника, а обнаружить причину и решить проблему.
• 3. Оценка бизнес-процесса с точки зрения его эффективности и вынесение предложений по его оптимизации.
• 4. Лаконичные, прозрачные и понятные отчеты о результатах проверки.
• 5. Четко выстроенные, релевантные и хорошо измеримые KPI для команды ДВА.
• 6. Гибкий план проверок, где есть место внеплановым и специальным проверкам наряду с плановыми аудитами, для мобильного реагирования на возникающие риски.

Уважаемые коллеги, хочу пожелать вам удачи на поприще выстраивания сильной функции внутреннего аудита, и не забывайте, что ключ к успеху — это никаких сюрпризов и общение, общение и еще раз общение!

• 1. Ненадышин В.А., Лозовая Е. А. Контрольные службы на службе? Опыт применение модели COSO // Аудит. — 2016. — № 1.
• 2. Роберт Э. Миттельштадт-мл. Окажется ли Ваша следующая ошибка роковой? Как избежать цепи ошибок, губительных для вашей компании. — М.: Олимп-Бизнес, 2012.
• 3. Шихвердиев А. П. Внутренний контроль и управление рисками в системе корпоративного управления // Вестник Научно-исследовательского центра корпоративного права, управления и венчурного инвестирования Сыктывкарского государственного университета. — 2012.
• 4. Control Objectives for Information and Related Technology — COBIT 1996. Retrieved from the ISACA: http://www.isaca.org/Knowledge-Center/cobit/ Documents/COBIT4.pdf
• 5. Colbert J. L., Bowen P. L. Comparison of Internal Controls: COBIT, SAC, COSO and SAS 55/78 // Audit and Control Journal. — 1996. — № IV. — 26−35.
• 6. The COSO Financial Controls Framework 1992. Retrieved from the Committee of Sponsoring Organizations of the Treadway Commission’s Internal Control: http://www.sox-online.com/coso_cobit_coso_framework.html
• 7. International Auditing and Assurance Standards Board (IAASB). Web site: http://ru.ifac.org/IAASB/
• 8. Internal Audit in Banks and the Supervisor’s Relationship with Auditors (BCBS 84, 2001). Retrieved from the BCBS: http://www.bis.org/publ/bcbs84.htm
• 9. Sound Practices for the Management and Supervision of Operational Risk (BCBS 96, 2003, 2010). Retrieved from the BCBS: http://www.bis.org/publ/ bcbs195. pdf
• 10. Systems Auditability and Control Report (SAC 1994). The Institute of Internal Auditors Research Foundation, Price Waterhouse (Firm).

Размещено на Аllbеst.ru.