П. Гришина "Внутренний контроль, аудит и оценка рисков: опыт АВТОВАЗа"
Раздел: Практика внутреннего аудита
Полина Гришина, FCCA, член Института внутренних аудиторов, руководитель практики бизнес консультирования ГК United Experts, в прошлом - вице-президент по внутреннему контролю и аудиту ОАО «АВТОВАЗ»
В современном мире бизнеса без построения эффективной системы внутреннего контроля и управления рисками невозможен успех крупного предприятия. Многие российские компании сегодня осознали важность этой функции. АВТОВАЗ - не исключение.
В начале 2008 года Совет директоров АВТОВАЗа утвердил стандарт предприятия «Внутренний контроль» в ОАО «АВТОВАЗ». Основные положения» (далее СТП «Внутренний контроль»). Но в связи с кризисом появились другие приоритеты, и системных действий по внедрению внутреннего контроля не велось. Активное внедрение данного стандарта началось в 2010 году. Высшее руководство пришло к пониманию того, что надо искать источники повышения эффективности и снижения рисков (внешних и внутренних), укреплять репутацию и повышать доверие к компании. Для выполнения этих задач было организовано новое подразделение - Служба внутреннего контроля и аудита.
Согласно принятому в СТП «Внутренний контроль» определению, внутренний контроль — это процесс, выполняемый руководством и персоналом компании, направленный на обеспечение разумной уверенности относительно достижения целей компании.
Кроме того, внутренний контроль – это обязательная функция всех руководителей ОАО «АВТОВАЗ». Руководители всех уровней управления несут ответственность за организацию и поддержание эффективной системы внутреннего контроля, обеспечивающей достижение поставленных целей в следующих областях: результативность и эффективность хозяйственной деятельности, достоверность всех видов отчетности, соблюдение законодательства, нормативных и других документов, регламентирующих различные виды деятельности.
СТП «Внутренний контроль» устанавливает, что элементами внутреннего контроля являются среда контроля, оценка рисков, контрольные процедуры, системы информационного обеспечения и коммуникаций и мониторинг системы внутреннего контроля. Как видим, структура элементов внутреннего контроля была разработана на базе рекомендаций Комитета спонсорских организаций Комиссии Трэддуэй (COSO) «Управление рисками организаций. Интегрированная модель». В данной статье будет рассмотрена взаимосвязь и взаимодействие между оценкой рисков и мониторингом системы внутреннего контроля.
В СТП «Внутренний контроль» вводится следующее определение оценки рисков: выявление и анализ внешних и внутренних рисков, воздействующих на достижение целей. Оценка рисков должна осуществляться на всех уровнях управления и во всех подразделениях.
Мониторинг системы внутреннего контроля подразделяется на непрерывный и периодический. Непрерывный мониторинг осуществляется руководителями структурных подразделений, а периодический – службами внутреннего аудита. СТП дает следующее определение: внутренний аудит – это процесс независимой и объективной оценки эффективности системы внутреннего контроля и предоставления консультаций, выполняемый службами внутреннего аудита АВТОВАЗа, направленный на достижение поставленных целей и совершенствование деятельности. В это понятие входит аудит:
- эффективности бизнес-процессов,
- соблюдения законодательства,
- сохранности активов,
- качества,
- информационных систем,
- экологический аудит и аудиты в других областях.
Оценка рисков как первый шаг построения системы внутреннего контроля
Согласно СТП «Внутренний контроль» все руководители АВТОВАЗа отвечают за обеспечение функционирования процесса оценки рисков, под которой понимается выявление и анализ внешних и внутренних рисков, воздействующих на достижение целей. Внутренние аудиторы также осуществляют свою деятельность, основываясь на оценке рисков. В стратегии развития АВТОВАЗа один из разделов этого документа посвящен анализу рисков.
Практическая реализация положений СТП «Внутренний контроль» началась в конце 2010 года с составления карты рисков, относящихся к деятельности общества, к которым были отнесены операционные, правовые и финансовые риски. Для выявления этих рисков руководителем Службы внутреннего контроля и аудита была проведена диагностика уровня развития системы внутреннего контроля и составлен каталог бизнес-процессов, в который вошли около 300 подпроцессов, которые могут иметь место на таком крупном предприятии, как АВТОВАЗ. За базу для составления полного каталога была взята документация по системе менеджмента качества (СМК). Каждый процесс, включая процессы, включенные в СМК, был проанализирован и дополнен недостающими подпроцессами, существующими фактически, но не описанными в процессной модели СМК.
Внутренний аудит, осуществляя периодический мониторинг и давая оценку эффективности и надежности системы внутреннего контроля, способствует достижению целей по повышению эффективности деятельности, надежности и достоверности отчетности и по соблюдению законодательства и внутренних нормативных документов. Таким образом, с точки зрения объекта оценки, проводимой внутренними аудиторами, все внутренние проверки можно условно разделить на «аудиты эффективности», в ходе которых выполняется анализ эффективности процедур контроля в бизнес-процессах и эффективности использования ресурсов и «аудиты соответствия», в ходе которых определяется полнота и достоверность учетных данных, оценивается степень выполнения стандартов и требований и подтверждается соответствие им.
Например, внутренний аудит охраны труда можно отнести к «аудитам соответствия», т.к. его целью является проверка соблюдения стандартов безопасности труда. Внутренний экологический аудит или внутренний аудит СМК осуществляют проверку соблюдения соответствующих стандартов ИСО и внутренней нормативной документации, разработанной во исполнение этих стандартов и, следовательно, также относятся к «аудитам соответствия».
Внутренние аудиты эффективности являлись новой для АВТОВАЗа деятельностью. Для организации этой работы необходимо было определить процессы, в которых уровень операционных рисков является существенным. С учетом анализа внешних и внутренних рисков, приведенного в стратегии развития АВТОВАЗа, для всех подпроцессов было определено наличие рисков, присущих каждому из них. При этом для каждого подпроцесса определялось содержит ли он риски, связанные с поставщиками, с продвижением продукции, финансово-экономические, правовые и регуляторные, техногенные, риски информационных систем, производственные и т.п.
Таким образом, была введена типология рисков в финансово-хозяйственной деятельности, которая впоследствии нашла отражение в нормативном документе компании. По сумме ответов о наличии тех или иных видов рисков была проведена рейтинговая оценка уровня риска процесса. Процессы, в которых выявлено наибольшее количество присущих им рисков, были выбраны в качестве пилотных для проведения аудитов эффективности. На основании проведенной рейтинговой оценки уровня риска был составлен и утвержден президентом компании ОАО риск-ориентированный план проверок, проводимых Службой внутреннего контроля и аудита на 2011 год, а также план внедрения системы внутреннего контроля до 2013 года, включающий вопросы организации Службы внутреннего контроля и аудита.
Взаимодействие внутренних аудиторов при периодическом мониторинге системы внутреннего контроля
Внутренние проверки выполнялись на АВТОВАЗе и до внедрения СТП «Внутренний контроль» внутренними аудиторами системы менеджмента качества и экологического менеджмента, специалистами управления кадров и других подразделений завода. Эти службы подчиняются руководителям различных функциональных подразделений, за которыми закреплена ответственность за одну из областей внутреннего контроля. Например, отдел СМК, имеющий в своем составе бюро по внутреннему аудиту СМК, подчиняется Директору по качеству.
В соответствии с СТП в компании была создана центральная Служба внутреннего контроля и аудита в непосредственном подчинении президенту ОАО «АВТОВАЗ». Эта служба призвана осуществлять координацию взаимодействия всех существующих служб внутреннего аудита, которые обязаны согласовывать с ней свои планы работы и направлять отчеты по результатам проверок. Центральная служба должна оценивать эффективность и адекватность внутреннего аудита, проведенного другими службами и направлять в комитет по аудиту результаты этих оценок.
Кроме этого в соответствии с СТП Служба внутреннего контроля и аудита и сама проводит проверки в следующих областях:
- аудит бизнес-процессов,
- аудит системы внутреннего контроля подготовки внешней финансовой и налоговой отчетности,
- аудит сохранности, целевого и эффективного использования активов,
- аудит информационных систем, аудит системы внутреннего контроля подготовки внутренней отчетности,
- аудит соответствия законодательству.
Основным результатом деятельности центральной Службы внутреннего аудита является сводная, комплексная оценка состояния системы внутреннего контроля. Таким образом, по смыслу СТП «Внутренний контроль» на Службу внутреннего контроля и аудита была возложена функция «мега мониторинга».
В службу внутреннего контроля и аудита из службы по безопасности было передано КРУ, успешно работающее уже 5 лет и имеющее 29 высоко-квалифицированных специалистов в области аудита и бухгалтерского учета. Кроме того, в составе Службы внутреннего контроля и аудита было образовано управление внутреннего аудита и оценки рисков, куда за 3 месяца были набраны более 20 новых сотрудников. Основными задачами этого управления, в соответствии с Положением о его работе, являются:
- формирование методологии по организации деятельности внутреннего аудита и управления рисками,
- организация и координация комплекса работ по проведению самооценки внутреннего контроля и управления рисками структурными подразделениями,
- проведение обучения по вопросам внедрения и функционирования системы внутреннего контроля и системы управления рисками,
- проведение внутренних аудиторских проверок по основным направлениям деятельности с целью оценки внутреннего контроля.
Для отбора сотрудников была составлена матрица профессиональных компетенций, включающая в себя компетенции существующих сотрудников КРУ и целевые компетенции службы внутреннего контроля и аудита. Были выявлены области, где существующих компетенций не достаточно (например, для проведения аудита информационных систем или металлургического производства). Соответствующие специалисты подбирались для того, чтобы в первую очередь устранить эти пробелы.
Мероприятия по повышению информированности о системе внутреннего контроля и улучшению взаимодействия
Для минимизации напряженности, которая может создаться при организационных изменениях в связи с внедрением или усовершенствованием системы внутреннего контроля нам было необходимо предпринять ряд мер, связанных с распространением информации о предстоящих изменениях и доведением ее до всех участников. Было принято решение о создании сетевой организации для внедрения быстрых изменений, создания нормативной базы, проведения обучения. Суть идеи заключается в следующем: руководителей подразделений АВТОВАЗа попросили назначить лидеров внутреннего контроля из числа авторитетных сотрудников, которые образовали сетевую организацию. В 14 подразделениях было назначено около 40 лидеров внутреннего контроля. Таким образом, создалась сетевая организация поверх существующей иерархической организационной структуры.
Лидеры внутреннего контроля стали связующим звеном между Службой внутреннего контроля и аудита и подразделениями завода. Для них службой внутреннего контроля и аудита были подготовлены и проведены обучающие семинары. На семинарах обсуждалось распределение ролей между органами контроля и управления в структуре АВТОВАЗа, вопросы организации внутренних аудиторских проверок и оценки рисков, ожидаемые результаты работы лидеров внутреннего контроля.
Сеть лидеров внутреннего контроля при взаимодействии между подразделениями и Службой внутреннего контроля стала ключевым фактором в скорости распространения информации и по горизонтали, и по вертикали. При этом рутинная работа и обмен информацией проходил не официальными письмами «от руководителя к руководителю», а по электронной почте, что позволило преодолеть бюрократические барьеры и явилось стимулом для инициативных предложений от исполнителей.
Для многих проблем, выявленных внутренними аудиторами в подразделениях, на уровне исполнителей достаточно быстро находилось решение. Оказалось, что сотрудники и раньше предлагали изменения в процессах и документах, но часто встречали непонимание со стороны своих непосредственных руководителей, либо сопротивление со стороны других служб, с которыми пытались согласовать изменения. Поэтому у сотрудников накопился негативный опыт. Лидеры внутреннего контроля, хорошо ориентирующиеся в распределении функций и задач внутри своего подразделения содействовали получению необходимой аудиторам информации и вели разъяснительную работу с сотрудниками, что способствовало открытому диалогу между проверяемыми и проверяющими. Сотрудники начали самостоятельно обдумывать и высказывать предложения по улучшению деятельности, ожидая, что внутренние аудиторы помогут решить проблемы.
Руководителям подразделений необходимо было напомнить, что за контроль на заводе отвечает не только президент и КРУ, но и они сами. В марте 2011 года состоялось установочное совещание на тему «Внедрение системы внутреннего контроля на АВТОВАЗе» с участием президента и топ-менеджмента компании. Руководители подразделений были проинформированы о наличии утвержденного Советом директоров СТП «Внутренний контроль», ознакомлены с целями и задачами системы внутреннего контроля. Президентом было отмечено, что процедуры внутреннего контроля должны быть необходимыми и достаточными, т.е. обеспечить необходимую работу, но при этом не создавать излишние препятствия для текущей деятельности. Служба внутреннего контроля и аудита представила план внедрения системы внутреннего контроля и годовой план проверок.
Все нормативные документы, презентации и другая полезная информация, касающаяся внутреннего аудита и оценки рисков, была выложена в общем доступе для всех сотрудников на новой информационной страничке службы во внутреннем информацио-нном портале.
Аудиты эффективности как инструмент бенчмаркинга и стимулирования организационных (управленческих) инноваций
После проведения обучения были запущены пилотные проекты по аудитам эффективно-сти бизнес-процессов. Было необходимо как можно быстрее показать первые результаты и тем самым приобрести доверие к проводимым изменениям. Другая задача пилотных проектов - отработка технологии для последующей автоматизации аудиторской работы в системе управления аудитом TeamMate1. Необходимо отметить, что на АВТОВАЗе эта система внедрялась параллельно проведением пилотных аудитов эффективности, документация по которым велась в Excel. Тестирование системы было проведено в рамках этих пилотных аудиторских проектов.
Процедуры внутреннего контроля, как отмечалось ранее, являются основным объектом оценки в ходе аудитов эффективности. СТП «Внутренний контроль» не дает детального описания, каким образом должны выполняться процедуры контроля в том или ином процессе, чтобы деятельность осуществлялась эффективно. Поэтому Службой внутреннего контроля был проведен анализ международных отраслевых практик. Описаны в общей сложности более 400 требований, предъявляемых к процедурам внутреннего контроля на основе анализа передового опыта и практик управления. В первую очередь требования по выполнению процeдур контроля были разработаны для основных процессов, включенных в план внутренних аудиторских проверок эффективности.
По итогам обсуждений с руководством были в целом согласованы требования к проверяемым областям, включающие ожидаемые процедуры внутреннего контроля в бизнес-процессах, которые с разумной уверенностью могут обеспечить прозрачность, достоверность, полноту и надежность учетных данных и всех видов отчетности, сохранность, целевое и эффективное использование активов и ресурсов, достижение стратегических целей, развитие информационного обеспечения и соответствие законодательству.
При проведении аудитов эффективности можно выделить следующие этапы:
1) Планирование. На этом этапе проводятся встречи с подразделениями, проходит изучение внутренних нормативных документов компании, а также лучших практик (как российских, так и зарубежных), определяются и согласовываются с руководством требования к выполнению процедур внутреннего контроля в бизнес-процессах, проводится предварительное обследование объектов аудита. В ходе предварительного обследования выясняются цели подразделений, выполняются аналитические процедуры, составяются блок-схемы процессов, дается базовая оценка риска процесса.
По результатам первого этапа руководству был представлен анализ контроля, описанного в утвержденных стандартах предприятия, методических указаниях и инструкциях в сравнении с тем, какие процедуры контроля аудиторы ожидали увидеть, т.е. с согласован-ными требованиями к проверяемым объектам. Не дожидаясь окончательных выводов аудиторов, подразделения начали работу по разработке планов корректирующих мероприятий и внедрению рекомендаций для улучшения директивного контроля, сформулированного в нормативных документах.
Кроме этого на этапе планирования осуществляется разработка программ аудита для подпроцессов, в которых базовая оценка риска недостижения целей является высокой, либо средней. Этап планирования завершился встречами с представителями проверяемых подразделений и лидерами внутреннего контроля для обсуждения планов-графиков работ по проверке фактического выполнения контрольных процедур и вопросов, на которых необходимо обратить внимание в процессе аудитов. Таким образом, на этап планирования было отведено от 4 – 6 недель в зависимости от проекта.
2) Выполнение. На данном этапе осуществляется проверка фактического выполнения процедур контроля в подразделениях завода в соответствии с утвержденной программой аудита. В зависимости от вида контроля осуществлялось выборочное тестирование и документирование работы в Excel. В результате тестирования были выявлены недостатки фактического выполнения контроля в сравнении с разработанными ранее требованиями и разработаны рекомендации по их устранению
3) Информирование и предоставление результатов. На данном этапе проводятся согласительные совещания с проверяемыми подразделениями, целью которых является информирование о сделанных аудиторами выводах, а также подтверждение того, что наблюдения и факты изложены правильно. В результате этого этапа формируется итоговый отчет о проверке, в котором дается оценка эффективности процесса в сравнении с лучшими практиками организации контроля, а также определяется остаточный уровень риска в процессе.
В отчет включается информация о мерах, которые были приняты для устранения недостатков, выявленных в промежуточном отчете. Отчет включает мнение подразделений, если оно отличается от выводов внутренних аудиторов и направляется руководителю проверяемого подразделения для принятия мер, а также вышестоящему руководителю для сведения и проверки исполнения. Кроме того, итоговый отчет может быть направлен в подразделения, деятельность которых может влиять на ход устранения недостатков для оказания содействия.
4) Мониторинг устранения недостатков. На данном этапе служба внутреннего контроля и аудита осуществляет регистрацию изменения статуса выявленных недостатков: получает планы корректирующих действий, анализирует их на соответствие замечаниям аудиторов и проверяет разумность плановых сроков устранения. После получения от подразделения информации об устранении недостатка, проводятся контрольные мероприятия, целью которых является подтверждение факта устранения недостатка и переоценка риска.
Таким образом, за первый год проведения аудитов эффективности была разработана и внедрена методология их проведения, которая легла в основу настроек системы управления аудитом TeamMate.
Аудиты соответствия как обязательная часть плана работы
Необходимо отметить, что второе управление, вошедшее в состав Службы по внутреннему контролю и аудиту, – КРУ продолжало работу без существенных изменений. Основная цель деятельности КРУ - проведение «аудитов соответствия». КРУ отвечает за проверки на соответствие законодательству (кроме трудового и экологического), проводит проверки сохранности и целевого использования активов, в том числе исполнения бюджетов. По результатам проверок составлялись акты и отчеты, которые были немного переформатированы для улучшения качества представления информации и их структуры. Важным изменением в деятельности КРУ явилось применение обоснованной выборки, что позволило также проводить экстраполяцию полученных выводов на всю совокупность и повысило значимость результатов проверок.
Специалисты КРУ также являются внутренними аудиторами, однако помимо проверок они традиционно принимали участие в инвентаризациях и в комиссиях по вопросам списания активов и обязательств, где давали соответствующие рекомендации, а также следили за соблюдением законодательства РФ и нормативных актов ОАО «АВТОВАЗ». В ходе анализа этой деятельности был выявлен конфликт интересов, влияющий на независимость КРУ как подразделения, дающего оценку соблюдения законодательства. Встал вопрос о необходимости привлечения к этой работе специалистов, которые непосредственно не заняты в проверках, что положило начало консультационному направлению работы Службы внутреннего контроля и аудита. В дальнейшем для эффективного взаимодействия с подразделениями завода утвержден Регламент предоставления консультационных услуг и организации внеплановых работ службы внутреннего контроля и аудита.
Самооценки системы внутреннего контроля обеспечивают непрерывный мониторинг
Нам было важно донести информацию о мировых практиках организации контроля и до тех подразделений, которые не охвачены глубоким аудитом. Это было сделано путем организации самостоятельной оценки подразделениями завода рисков и состояния системы внутреннего контроля. Основную роль в этом играли лидеры внедрения внутреннего контроля.
Самооценка была намеренно разделена на 2 этапа - подразделения провели самооценку рисков, ее результаты стали основой самооценки внутреннего контроля. Здесь также как и в аудитах эффективности роль Службы внутреннего контроля и аудита заключалась в разработке формуляров с описанием базовых требований к системе внутреннего контроля и обсуждению типичных вопросов/проблем по заполнению формуляров с лидерами внедрения внутреннего контроля.
Результаты самооценки показали необходимость обучения персонала и руководителей методам оценки рисков - определению вероятности, степени воздействия и размеров потенциального ущерба. Поэтому отделом оценки рисков, входящим в состав службы внутреннего контроля и аудита, была подготовлена и прошла согласование в службах Инструкция по оценке рисков, что стало началом внедрения системы управления рисками.
По результатам мониторинга как непрерывного так и периодического руководители структурных подразделений должны организовать разработку и внедрение планов корректирующих действий, направленных на улучшение деятельности и контролировать их выполнение, а также направлять эти планы и отчеты о выполнении в службы внутреннего контроля. Службы внутреннего контроля проверяют планы корректирующих действий на соответствие своим замечаниям и контролируют результаты внедрения. Такие полномочия накладывают на внутренних аудиторов функцию надзора, к которой проверяемые не всегда могут отнестись адекватно.
Возможно, главным барьером для изменений и принятия корректирующих мер по выявленным недостаткам является «барьер в голове», обусловленный страхом потери авторитета в случае, если аудитор вдруг окажется прав, а также боязнь, дисциплинарных взысканий и депремирования. В связи с этим актуален вопрос об условиях наложения взысканий и наказаний. Наказание должно быть заслуженным, то есть, если было нарушено законодательство и человек по должности обязан был его знать, то нельзя не наказывать. Отсутствие наказания в этом случае ведет к потере авторитета руководителя и деморализации коллектива.
Результаты проекта по становлению системы внутреннего контроля
В конце 2011 года службой внутреннего контроля и аудита были сформированы и представлены руководству общества 5 итоговых отчётов по внутренним аудиторским проверкам эффективности процессов за 2011 год. Данные отчёты включали в себя оценку эффективности процедур внутреннего контроля бизнес-процессов, итоги деятельности проверенных подразделений по устранению выявленных недостатков системы внутреннего контроля, оставшиеся существенные недостатки СВК, их последствия и рекомендации по устранению, а также оценку уровня остаточных рисков по каждому проверенному процессу. Во исполнение Программы по повышению информированности о системе внутреннего контроля в декабре 2011 года состоялось мероприятие, посвященное подведению итогов за 2011 год. Были награждены лидеры внутреннего контроля и сотрудники подразделений, которые принимали активное участие в совершенствовании контроля.
Президенту компании и комитету по аудиту был направлен итоговый отчет о результатах работы службы, включающий сводную оценку состояния системы внутреннего контроля, которая сделана на основе внутренних аудиторских проверок «эффективности» и «соответствия», а также самооценок, проведенных подразделениями. Область покрытия составила 70% процессов. С учетом оценки рисков по результатам аудитов и самооценки, проведенной подразделениями при координации Службы внутреннего контроля и аудита, была впервые составлена карта рисков АВТОВАЗа за 2011 год и актуализирована информация о рисках для отчета эмитента за 4 квартал 2011 года и годового отчета. Результаты оценки рисков были использованы для составления планов работы службы внутреннего контроля и аудита, которые в начале 2012 года были утверждены президентом компании.
По результатам проверок соблюдения законодательства и сохранности активов в 2011 году подразделения АВТОВАЗа разработали более 600 планов корректирующих действий. Я это называю управленческим катарсисом – без признания недостатков не бывает их исправления. Кроме того, аудиторы через мониторинг напоминают о сроках и держат "руку на пульсе", чтобы удостовериться: работа по улучшению деятельности ведется. В результате последующего мониторинга выполнения планов аудиторы получили информацию о том, что 40% планов было внедрено уже в 2011 году. Так маленькими шагами на АВТОВАЗе проходят большие изменения.
Мировая практика и опыт ведущих российских предприятий показывает: построение эффективной системы внутреннего контроля важно не только для акционеров и собственников компании, но и для самой организации и ее сотрудников, поскольку правильно организованный контроль позволяет качественно и эффективно реализовыв-ать бизнес-задачи. А это, в свою очередь, открывает большие перспективы развития для компании и для сотрудников. Но для развития важно иметь мужество признавать недостатки.
По результатам 2012 года АВТОВАЗ - лидер российского авторынка, а система управления рисками и система внутреннего контроля повышает его устойчивость в долгосрочной перспективе и создает условия для развития и инноваций.
- Информационная система TeamMate включает в несколько взаимосвязанных модулей (TeamRisk, TeamSchedule, TeamEWP и др., позволяющих проводить оценку рисков, планировать работу, вести аудиторскую документацию, формировать отчеты, осуществлять мониторинг исправления недостатков, накапливать базу знаний и распределить доступ к информации в зависимости от роли пользователя).