А.Сонин "Внутренний аудит сегодня: и снова о рисках"
Раздел: Теория внутреннего аудита
Алексей Сонин, дипломированный внутренний аудитор (CIA), дипломированный специалист по расследованию мошенничеств (CFE). Директор Института внутренних аудиторов.
За последние годы внутренний аудит проделал большой путь в своем развитии и добился значимых успехов в вопросе признания со стороны высшего руководства компаний. Тем не менее, сегодня внутренний аудит вновь оказался на пороге перемен. Эти перемены назревали давно, и нынешний кризис лишь ускорил процесс.
«[...] В быстро меняющихся условиях ведения современного бизнеса существуют большая потребность во внутреннем аудите и большие возможности для внутреннего аудита. Важным является перенацеливание внутреннего аудита на наиболее значимые риски, которые могут определить успех или неудачу организации. Для этого от подразделений внутреннего аудита требуется лучшее понимание наиболее существенных рисков и их влияния на организацию [...]».
Можно было бы предположить, что эта выдержка из недавнего исследования на тему роли внутреннего аудита в современных условиях. Однако... Источником является исследование «Внутренний аудит: переоценка ценностей», проведенное компанией КПМГ в уже далеком 1999 году, вскоре после кризиса на фондовых рынках 1997-1998 гг., за которым последовал мировой экономический спад.
Именно в конце 20 — начале 21 века внутренний аудит прошел этап серьезных изменений. Тогда стремительный рост интереса к внутреннему аудиту был вызван возросшим вниманием собственников к состоянию системы внутреннего контроля компаний и изменениями в законодательстве многих стран, в том числе, принятием широко известного закона Сарбейнса-Оксли. В результате, с одной стороны, возросла потребность советов директоров и менеджмента компаний во внутреннем аудите, как независимой функции оценки системы внутреннего контроля. Но с другой стороны, внутренние аудиторы во многих компаниях были направлены стройными шеренгами на тестирование и документирование внутренних контролей (прежде всего, в области составления финансовой отчетности) своих компаний, погрузившись в довольно рутинную работу. Происходящий в тот момент процесс переориентации внутреннего аудита от традиционных циклических проверок систем внутреннего контроля к риск-ориентированным аудитам замедлился, а участие внутренних аудиторов в построении системы управления рисками и вовсе отошло на третий план.
В результате через несколько лет компании столкнулись с реализацией наиболее значимых рисков на фоне неэффективных систем/процессов управления рисками или отсутствия таковых.
Могли внутренние аудиторы сделать больше, чтобы помочь своим компаниям не оказаться в нынешней нелегкой ситуации? Представляется, что могли. Это подтверждают и результаты недавнего исследования, проведенного исследовательским центром Международного института внутренних аудиторов (The Institute of Internal Auditors) — 52% респондентов полагают, что служба внутреннего аудита их компании могла бы сделать больше в вопросе определения ключевых рисков и смягчения негативных последствий для компании в случае их реализации. (Противоположного мнения придерживаются 23% респондентов.)
Для этого внутреннему аудиту необходимо было, во-первых, сфокусироваться на наиболее значимых по степени своего воздействия на организацию рисках (рисках высокого уровня), в том числе стратегических, а во-вторых, суметь довести до понимания заказчиков (совета директоров и высшего исполнительного руководства) то, что сами заказчики не всегда готовы были воспринимать.
Здесь встает важный вопрос. Вопрос об уровне вовлеченности внутреннего аудита в дела компании или, иначе говоря, уровне воздействия на деятельность компании. Будет ли сфера внутреннего аудита ограничиваться оценкой рисков и системы внутреннего контроля в традиционных областях — операционной, финансовой и комплайенс — или же внутренний аудит выйдет на уровень оценки системы контроля в области принятия стратегических решений? (Именно стратегические риски несут в себе наибольшие угрозы для компании, приводящие к значительным убыткам и банкротствам.) С другой стороны, готовы ли советы директоров и высшее исполнительное руководство компаний видеть внутренний аудит в этой роли?
Для налаживания эффективного взаимодействия советов директоров и внутренних аудиторов в вопросе управления рисками, в том числе и стратегическими, необходимо выполнение ряда предпосылок. Первое — включение в совет директоров независимых директоров, независимых де факто. Второе — желание совета директоров использовать потенциал службы внутреннего аудита. Наконец, важно, чтобы члены совета директоров понимали, что риски первичны, в то время как контроль является ответом на риски, инструментом реагирования на риски. Именно поэтому внутренний аудит наряду со своей традиционной ролью в оценке надежности и эффективности системы внутреннего контроля может и должен играть более активную роль в вопросах управления рисками, в том числе и стратегическими рисками. При этом, безусловно, не подменяя, менеджмент компании.
Формы и способы такого участия могут быть самыми разнообразными и зависят от степени зрелости системы/процессов управления рисками в компании.
Прежде всего, это традиционная оценка систем/процессов управления рисками. Традиционная в том смысле, что независимая оценка систем и процессов является основной функцией внутреннего аудита. Другое дело, что собственно системы управления рисками построены в очень незначительном количестве организаций, а процессы управления рисками в большинстве случаев не формализованы. Поэтому в данном случае речь может идти об отсутствии объекта аудита как такового. В такой ситуации внутренний аудит может выступить в роли локомотива при построении/реорганизации системы/процессов управления рисками.
Во-вторых, речь идет о консультационном участии внутреннего аудита в режиме реального времени в области управления рисками. Представляется, что роль внутреннего аудитора в этом вопросе недооценивается как заказчиками (советами директоров и менеджментом), так и самими внутренними аудиторами. В качестве возможных механизмов назовем участие внутреннего аудита в обсуждение соответствующих вопросов на заседаниях совета директоров, специальных комиссий и комитетов, проведение рабочих встреч с руководителями различного уровня.
А теперь представим гипотетическую (а, возможно, для некоторых руководителей служб внутреннего аудита — вполне реальную) ситуацию, когда внутренний аудитор на этапе подготовки компанией планов на 2008-2010 годы приходит к генеральному директору с предложением критически переосмыслить базовые предпосылки и факторы, на которых строятся планы компании. Нет, внутренний аудитор не ставит под сомнение компетентность специалистов, работающих над подготовкой плана, не оспаривает право менеджмента принимать решения и не призывает отказаться от новых инвестиционных проектов, отложить размещение ценных бумаг на фондовом рынке, прекратить производство некоторых наименований продукции. Но внутренний аудитор ставит вопрос об адекватности предпосылок, исходя из которых компания планирует свои действия. Ведь вполне разумна мысль, что экономический рост не бывает бесконечным, пузыри (на фондовом рынке, кредитном рынке, рынке недвижимости и т.п.) имеют обыкновение лопаться, безудержный рост цен на сырье сменяется их резким падением. А поскольку эти закономерности никто не отменял и никто не опроверг, внутренний аудитор предлагает генеральному директору подготовить новый сценарий неблагоприятного развития событий и основанный на этом сценарии пессимистический вариант плана. Возможно, в этом пессимистическом варианте компания отложит или вовсе откажется от очередной покупки убыточных иностранных предприятий на пике их стоимости, не будет начинать строительство нового производственного объекта, не заключит договор со 100% предоплатой на приобретение дорогостоящего оборудования, не выдаст миллиардный кредит под залог товарных запасов и т.п.
Что бы на это ответил генеральный директор? Скорее всего, посоветовал бы внутреннему аудитору занять место генерального директора, если тот такой умный. Или же просто отправил бы внутреннего аудитора восвояси — ведь каждый должен заниматься своим делом. И поступил бы именно так, даже если бы разделял мнение аудитора. Потому что, прислушайся генеральный директор к мнению внутреннего аудитора, выскажи сомнения собственнику или на совете директоров, это привело бы к неудовольствию собственника, совета директоров с непредсказуемыми последствиями для генерального директора. Ведь в последние годы считалось дурным тоном не верить в наступление эры непрекращающегося роста.
Должен ли был внутренний аудитор довести свое мнение до совета директоров, если этого не сделал генеральный директор? И готов ли был совет директоров прислушаться к мнению внутреннего аудитора?
Ответ на первый вопрос определяется в каждом конкретном случае, прежде всего, исходя из степени зрелости службы внутреннего аудита и уровня профессионализма внутренних аудиторов. Обсуждение с советом директоров вопросов, имеющих отношение к стратегическим рискам и принятию стратегических решений, является в высшей степени ответственным шагом для любого руководителя службы внутреннего аудита.
При ответе на второй вопрос представляется, что совет директоров еще в меньшей степени, чем менеджмент, был готов прислушаться к мнению аудитора.
Во-первых, потому что члены совета директоров ничем не рисковали, утверждая предложенные менеджментом стратегии и планы, в основе которых лежали неверные предпосылки. Во-вторых, они не всегда были готовы выступить вразрез с мнением собственника, требовавшего экспансии на новые рынки, приобретения новых зарубежных активов, участия в новых проектах, роста показателей деятельности и т.д. (Вновь во всей остроте встал вопрос наличия действительно независимых директоров в советах директоров компаний.) А с собственником для компании, как известно, связаны самые большие возможности, но и самые большие риски. В-третьих, члены совета директоров в излишней степени полагались на мнение менеджмента во всем, что касается управления стратегическими (да и не только) рисками, при этом, не всегда обращаясь к внутреннему аудиту, чтобы узнать его точку зрения.
Считается, что в значительной степени возникновению нынешнего кризиса способствовали неполноценные системы/процессы управления рисками или вовсе отсутствие таковых в компаниях. Хотя и признается, что это — не основная причина. Тема, которая пока не обсуждается широко в российском бизнес-сообществе, — какую роль должны были играть советы директоров в вопросе создания эффективной системы управления рисками и что им необходимо делать в будущем, чтобы такая система, действительно, заработала.
Но это уже тема для отдельного обсуждения. Подчеркнем лишь, что в вопросе управления рисками советы директоров имеют надежного помощника в лице внутреннего аудита. При этом членам совета директоров следует понимать, что существует грань, которую внутренний аудит не должен пересекать, дабы не вторгаться в компетенции менеджмента. Поэтому крайне важно, чтобы ключевые заказчики как можно раньше определили и сформулировали свои ожидания в отношении роли и задач внутреннего аудита в области управления рисками. Не менее важно, чтобы внутренний аудит сам извлек и помог бы ключевым заказчикам извлечь уроки из событий последнего десятилетия, связанных с очевидными недостатками существующих подходов к вопросу управления рисками. В противном случае мы будем снова и снова цитировать исследование 1999 года, а роль внутреннего аудита будет тем временем становиться все более и более второстепенной.