Внутренний аудит – основной инструмент контроля эффективности комплаенс-контроля
Раздел: Статьи российских авторов
Автор: Евгений ЗВЕРЕВ, CIA, член НП «Институт внутренних аудиторов»[1]
Статья опубликована в журнале "Акционерное общество: вопросы корпоративного управления" Апрель 4 (167), 2018
Комплаенс-риски пронизывают деятельность любой компании. Они разнообразны, многочисленны и коварны. Особый статус внутреннего аудита позволяет проводить независимую объективную оценку эффективности системы комплаенс-контроля, увеличивая тем самым стоимость компании и улучшая ее имидж среди стрейкхолдеров. Но комплаенс-аудит – это не просто контроль соблюдения требований, а профессиональное осуществление уместного внутреннего аудита.
Кризисное состояние российских предприятий связано не только с внешними факторами макроэкономической нестабильности, но и серьезными упущениями в корпоративном управлении[2], которые не позволяют достигать основной монетарной цели деятельности бизнеса ¾ создания стоимости и справедливого ее распределения для всех заинтересованных лиц (стейкхолдеров).
Корпоративное управление, взаимосвязанное с системой внутреннего контроля (далее - СВК) и управления рисками, является важнейшим фактором создания дополнительной стоимости. В учебнике[3] справедливо отмечено: «Практически любое происшествие в организации означает, что внутренний контроль в той или иной сфере не сформирован или не функционирует должным образом. Соответственно, виноват не только тот, кто допустил нарушение, но так же и тот, кто не принял всех мер для того, что бы это не произошло. Это может говорить об отсутствии или недостаточной эффективности превентивного механизма, который должен противодействовать образованию неблагоприятных ситуаций».
В данной статье обсуждается механизм предупреждения нарушений законодательства, стандартов, правил, прав и обязанностей, который должен: во-первых, иметься в наличии, во-вторых, соответствовать текущим рискам, в-третьих, исполняться.
Функция, называемая комплаенс (Compliance[4]) ¾ это система мер, которая предотвращает нарушения (как со стороны менеджмента, так и линейного персонала) норм действующего законодательства, внутренних регламентов, основных положений бизнес-этики и пр. В России основными субъектами внедрения служат участники финансового рынка, а также корпорации и предприятия, которые ориентированы на международный рынок. Однако отдельные элементы этой системы необходимы компаниям и из других отраслей, в частности:
· ведущим деятельность под жестким административным регулированием;
· публичным и иным обществам, размещающим свои ценные бумаги на бирже
· дочерним организациям и представительствам глобальных корпоративных групп, при наличии рисков распространения на их операции трансграничных требований;
· кроме того, с внедрением МСФО, политики внутреннего контроля, основанной на риск-ориентированном подходе, комплаенс получает все более широкое распространение.
Исторически функция комплаенс возникла в сфере борьбы с коррупцией, противодействия легализации доходов, полученных преступным путем и финансирования терроризма. Соответствие законам, правилам и стандартам в сфере комплаенса обычно касается таких вопросов, как соблюдение надлежащих стандартов поведения на рынке, управление конфликтами интересов, справедливое отношение к клиентам и т.п., но на наш взгляд область комплаенс значительно шире.
Структурные элементы комплаенс-контроля на предприятии.
В широком смысле комплаенс-контроль ¾ это процесс управления рисками, воздействующими на способность предприятия к непрерывной деятельности, и возникшими вследствие нарушения требований нормативно-правовых актов или потери деловой репутации.
Многие отечественные руководители считают комплаенс-контроль не очень важным элементом для успешного ведения бизнеса, поэтому не хотят тратить на это ни время, ни средства. Тем не менее, его следует внедрять независимо от размера бизнеса, ведь соблюдать законы и осуществлять антикоррупционную деятельности должны любые компании.
Главный фактор развития комплаенс-контроля ¾ государственное регулирование. Когда каждую сделку могут проверить с точки зрения соответствия каким/чьим-либо требованиям, это стимулирует, ведь никому не хочется рисковать репутацией или деньгами. «Перспективы» несоблюдения комплаенс-контроля неприятные: административные штрафы; санкции в отношении должностных лиц; приостановление деятельности; аннулирование лицензии; признание сделок недействительными ; ущерб бизнес-репутации, что ведет к потере инвестиционной привлекательности.
В ходе текущей операционной деятельности требуется осуществление комплаенс-контроля по всем ее направлениям и функционал каждого структурного подразделения на любом предприятии всегда включает этот контроль. Деятельность каждого подразделения должна быть направлена, в т.ч. и на выполнение комплаенс-контроля в своей зоне ответственности, а все подразделения должны взаимодействовать между собой в этом направлении[5].
|
Наименование структурного элемента функции комплаенс |
Компетенции |
Ответственные за реализацию элементов функции комплаенс |
|
Производственная деятельность |
Сбор информации о нарушениях, изменениях и отклонениях, выявление и анализ их причин; раскрытие информации о существенных событиях; соблюдение сроков представления внутренних управленческих отчетов. |
Структурные подразделения (цеха, бригады, отделы) основного, вспомогательного, обслуживающего производств и служб. |
|
Продажи |
Обеспечение соблюдения разграничений между внешними и внутренними (собственными) операциями; реклама; ценообразование. |
Отдел продаж (маркетинга), планово-экономическое подразделение. |
|
Финансовая и операционная отчетность |
Обеспечение достоверности информации об операциях в системах учета; компиляция сведений о нарушениях и рисках в процедурах контроля над финансовыми рисками и при формировании отчетности; обобщение сведений о рисковых событиях и убытках. |
Бухгалтерия, планово-экономическое и финансовое подразделения. |
|
Деловая репутация |
Выявление клиентов и операций, подверженных риску; выявление несоответствия во внутренних процедурах и действиях сотрудников, влекущее риск применения санкций и потери репутации |
Наблюдательный совет (Совет директоров), исполнительные органы. |
|
Правоотношения как внутри, так и вне предприятия. |
Обобщение информации о внутренних и внешних правовых конфликтах; данные о состоянии внутренней и внешней нормативной базы; проекты нормативных документов; правовая оценка нарушений, выдаваемой функцией комплаенс и иными подразделениями, на предмет принятия дальнейших юридических действий и правовых последствий; исполнение законодательства о рекламе и антимонопольного законодательство. |
Юридическая служба |
|
Обеспечение безопасности |
Выявление сведений о возможных и выявленных злоупотреблениях, нарушениях защиты информации и активов. |
Служба безопасности, ИТ- подразделения, бухгалтерия |
|
Управление персоналом |
Распространение кодексов поведения, закрепление необходимых требований в контрактах, а также отдельные вопросы обучения и оценки работников. |
Отдел кадров |
|
Взаимоотношения с проверяющими органами |
Предоставление документы по запросам внешних контролирующих органов, обобщение информации о нарушениях, координация усилий различных подразделений в спорных ситуациях |
Наблюдательный совет (Совет директоров), исполнительные органы, Генеральный директор, заместители по направлениям деятельности. |
Для комплексного решения задач комплаенс-контроля целесообразно создание службы-координатора, но для основной массы отечественных предприятий это является непозволительной роскошью и функции координатора зачастую отдаются контрольно-ревизионному подразделению (подразделению внутреннего контроля) или Юридической службе. Однако важность и обязательность исполнения задач комплаенс-контроля требует координации усилий на уровне заместителя Генерального директора.
Роль внутреннего аудита в осуществлении комплаенс-контроля
Эффективное корпоративное управление полагается на процедуры внутреннего контроля и на обмен информацией с высшим руководством (совет директоров и топ-менеджмент) относительно эффективности такого контроля. Эффективная система внутреннего контроля обеспечивает необходимую степень уверенности в том, что компания сможет своевременно реагировать на неблагоприятные проявления внешней среды и стимулировать внутренние ресурсы для достижения целей каждого бизнес-процесса. Высшее исполнительное руководство несет ответственность за организацию и поддержание функционирования эффективной системы внутреннего контроля, а так же за осуществление мониторинга ее функционирования.
Совет директоров – определяет общие направления организации СВК, анализирует ее общую эффективность и соответствие характеру, масштабам и условиям деятельности, а также рассматривает результаты оценки ее эффективности, выявленные существенные недостатки и рекомендации по их устранению.
Роль внутренних аудиторов заключается в наблюдении и в оценке (независимой и объективной) работы СВК, а так же в разработке рекомендации по повышению ее надежности и эффективности. Таким образом, внутренний аудит существует для того, чтобы оказывать поддержку высшему руководству в результативном и эффективном исполнении обязанностей по контролю над деятельностью компании, и именно такая поддержка является одним из случаев, когда внутренний аудит приносит пользу.
В 2013 году глобальный Институт внутренних аудиторов (The IIA) представил модель «Трех линий защиты», которая является доступным и эффективным механизмом, координирующим процессы управления рисками и внутреннего контроля за счет четкого определения и разграничения соответствующих функций и обязанностей.
На рисунке представлена упрощенная схема[6] модели.
Международная практика определяет, что первая линия защиты — это функциональные подразделения, вторая — контролирующие службы, которые осуществляют контроль в тех или иных функциональных областях и могут быть связаны с функциональными подразделениями взаимодействием или подчиненностью, а внутренний аудит выступает третьей линией защиты (обороны).
Особый статус внутреннего аудита в компании, основанный на:
· целях, полномочиях и ответственности (Профессиональный стандарт 1000, The IIA);
· независимости и объективности (Профессиональный стандарт 1100, The IIA);
· профессионализме и профессиональном отношении к работе (Профессиональный стандарт 1200, The IIA);
· возможности обмена информацией, координации деятельности с другими внутренними[7] и внешними сторонами и использования результатов их работы (Профессиональный стандарт 2050, The IIA),
позволяет ему проводить независимую объективную оценку эффективности системы внутреннего контроля, проверяя, как работают все его виды.
Внутренний аудит обеспечивает уверенность в эффективности корпоративного руководства, управления рисками и комплаенс, в том числе, что способы, которыми первая и вторая линии обороны управляют рисками, достигают целей корпоративного управления.
Эта гарантия охватывает широкий круг задач, включая соблюдение законов, положений, политик, процедур и контрактов. Но это не должно быть соблюдением просто ради соблюдения. Внутренний аудит должен учитывать стратегическую бизнес-цель и меры контроля, которые помогают «смягчить» риск при движении к ней, в т.ч. при осуществлении мер, связанных с комплаенс.
Комплаенс-аудит ¾ это НЕ просто контроль соблюдения требований.
Несмотря на явную важность комплаенс-аудита, многие менеджеры по-прежнему считают, что эти аудиты не существенны, поскольку часто выглядят следующим образом:
- Цель: Проверить соответствие требованию "A".
- Критерий: Клиент должен делать «A».
- Ситуация: Клиент не делает «A».
- Рекомендация: делать «A».
Внутреннему аудиту необходимо обеспечить, чтобы комплаенс-аудиты предоставляли существенные гарантии высшему руководству касательно соблюдения требований и увеличивали стоимость компании. За замечанием ¾ «вы должны исполнять требование «A»» ¾ должен существовать достаточно серьезный нормативный/юридический риск.
Внутренние аудиторы могут повысить ценность комплаенс-аудита, профессионально выполнив уместный аудит. Выполнение уместного аудита означает изучение в первую очередь того, почему требуется соблюдение требований. Как правило, это касается правовых, нормативных, операционных или этических причин.
Преобразование комплаенс-аудитов в деятельность по увеличению стоимости компании начинается с формулирования цели аудита. Это определяет, что именно внутренний аудит пытается сделать и как он управляет деятельностью, критериями, планом работы и конечными результатами.
Если целью является просто проверить соответствие критерию «А», тогда делается заключение: «Вы не делаете «А»», далее рекомендация: «Делать «А»».
Однако если целью является: «Проверить необходимость, наличие и адекватность соответствия критерию «А», то внутренний аудит будет лучше ориентирован на решение вопросов корпоративного управления, управления рисками и комплаенс.
В этом типе аудита (увеличение стоимости компании) одним из первых шагов необходимо определить, существуют ли прежние комплаенс-риски.
Возможно, они уже устранены путем:
- изменения процессов (например, компания больше не занимается этим продуктом или компания больше не использует этот производственный процесс);
- передачи их кому-то другому (например, субподрядчику);
- реорганизации бизнес-процессов, изменения местоположения или переоснащения (возможно, устранили, передали или уменьшили риск).
Отсутствует риск ¾ отсутствует требование соответствия, а увеличение стоимости компании происходит за счет устранения расходов по исполнению уже не требующегося соответствия.
При хорошем понимании текущего уровня рисков и их источников, следующим шагом является рассмотрение требований к адекватности и эффективность контрольных процедур. Это требует понимания причин и источников риска и технологии контроля. «Требуется ли контроль? Рассматривает ли он первопричину? Есть ли лучшие способы «смягчения» риска?» Отвечая на эти вопросы, внутренний аудит может выявить ненужные, неэффективные или излишние контроли, что может снизить стоимость комплаенс при одновременном снижении рисков. Дальнейшим шагом будет осуществление традиционных аудиторских действий (т.е. просто контроль соблюдения требования).
Если внутренний аудитор обнаружил несоответствие, недостаточно рекомендовать ¾ «делать «A»». Рекомендации должны устранять первопричину, в том числе определять, почему соответствие не выполняется. Было ли руководство осведомлено об этом требовании? Менеджмент способен исполнять требование? Имеются ли компенсирующие средства управления риском несоответствия, которые должны быть реализованы?
Внутренние аудиторы должны соотносить выявленное несоответствие с целями компании и не просто требовать «делать «А»», а обосновать это и дать рекомендацию, которая поможет менеджменту. Кроме того, сама процедура аудита должна быть выполнена эффективно, с максимальным использованием методов анализа данных. Выполнение комплаенс-аудита надлежащим образом и эффективно (а не просто ¾ «сделали ли вы «А»?») приведет к значительному повышению значимости этого типа аудита, а так же снизит предвзятость к нему.
Как было сказано выше, риски, связанные с несоответствием каким-либо требованиям, воздействуют на всю деятельность компании.
Высшее руководство может увеличить стоимость компании и улучшить ее имидж среди стрейкхолдеров, используя внутренний аудит для управления комплаенс-рисками и усиления комплаенс-контроля, а для этого необходимо:
1. внедрить функцию комплаенс в компании;
2. определить координатором решения задач комплаенс-контроля руководителя уровня заместителя генерального директора;
3. поручить внутреннему аудиту осуществление независимой оценки эффективности комплаенс-контроля;
4. требовать от него выполнения комплаенс-аудита надлежащим образом и эффективно.
[1] Некоммерческое партнерство «Институт внутренних аудиторов» (НП «ИВА»), зарегистрированное в 2000 г., является профессиональной ассоциацией, объединяющей более 4000 внутренних аудиторов, внутренних контролеров и работников других контрольных подразделений российских компаний и организаций.
[2] Корпоративное управление (Governance) – совокупность процессов и организационных структур, создаваемая Советом директоров для информирования, управления и мониторинга деятельности организации в целях достижения поставленных целей.
[3] С.М. Резниченко, М.Ф. Сафонова, О.И. Швырева. Современные системы внутреннего контроля: учебное пособие. //Высшее образование. 2016.
[4] Комплаенс (англ. compliance — согласие, соответствие; происходит от глагола to comply — исполнять) — буквально означает (см. Оксфордском словаре английского языка ) действие в соответствии с запросом или указанием; повиновение.
[5] Колесникова Е.Н. Комплаенс-контроль – новый уровень обеспечения экономической безопасности предприятия. //Экономика и финансы организации и государства. №4(6)\2012.
[6] «Внутренний Аудит как инструмент в борьбе с мошенничеством — опыт Мрии». //Сайт Latifundist.com
[7] Внутренний Аудит – не единственная служба, которая заинтересована в обеспечении контроля. Как правило, в компании существуют и другие соответствующие подразделения. Хотя участие этих подразделений во внутреннем контроле будет осуществляться скорее с технической стороны, Внутренний Аудит дополняет, анализирует, оценивает действенность их мер по контролю в сфере их ответственности.