Отдел Большого брата
После череды корпоративных скандалов и принятия закона Сарбейнса-Оксли американская публичная компания не может существовать без системы внутреннего контроля. А для российских компаний внутренний контроль - это способ борьбы акционеров со злоупотреблениями менеджмента и управленческой анархией.
Древнеримский писатель и крупный землевладелец Марк Порций Катон, живший в 234-149 годах до н. э., утверждал, что изучать успешность хозяйственной деятельности поместья следует не по учетным книгам, а с помощью личного осмотра. Иными словами, проверять надо не только бухгалтерские документы, но и саму организацию хозяйственных процессов. Этот постулат, известный как "принцип Катона", обрел особую актуальность после череды американских и европейских скандалов, связанных с фальсификацией отчетности менеджментом и массовыми хищениями акционерной собственности в компаниях Enron, WorldCom, Qwest, Parmalat. В США для эмитентов ценных бумаг был принят закон Сарбейнса-Оксли, делающий основной упор на наличие в компании системы внутреннего контроля. Обеспечивает ли она адекватное отражение операций и активов компании в отчетности, достоверность финансовых показателей, гарантирует ли она, что все расходы и доходы имели место с санкции руководства и главных акционеров компании - вот вопросы, волнующие теперь инвесторов.
Но, как отмечает Алексей Сонин, президент Института внутренних аудиторов, нет процедур, которые способны помешать высшему руководству фальсифицировать отчетность. Генеральные и финансовые директора были вовлечены во все ставшие известными случаи фальсификаций финансовой отчетности. Поэтому по закону Сарбейнса-Оксли директора, виновные в недосмотре или злоупотреблениях, рискуют на несколько десятков лет угодить за решетку. Немудрено, что закон стимулировал бурный прогресс внутреннего аудита в компаниях, акции которых котируются на американских биржах.
Впрочем, и российским компаниям имеет смысл "подтягивать" внутренний контроль. Но не для того, чтобы выполнить требования регуляторов фондовых рынков на Западе и в России, а для борьбы со злоупотреблениями и обеспечения достоверности информации, поступающей к акционерам. Многие компании для контроля используют "сверхжесткие" бюджеты, не дающие руководителям на местах никакой свободы при расходовании средств. Однако, по словам Александра Пчелинцева, директора по консалтингу департамента управленческого консалтинга компании IBS, актуальной проблемой для российских холдингов является нецелевое расходование средств, хотя при этом внутрикорпоративная отчетность выглядит неплохо. Например, рассказывает Пчелинцев, крупный сырьевой холдинг с "дочками" и "внучками" централизовал контроль над финансовыми потоками вплоть до того, что все платежи по всем "дочкам", рассредоточенным по России, выполняются через холдинговую компанию. Контроль вроде был достигнут полный, однако такая схема очень жестко ограничивала менеджмент предприятий, который начал искать другие механизмы платежей, пустившись в махинации с расходными статьями. Решением вопроса стало выделение непрофильных бизнесов, позволившее положить конец "перетряхиванию" ресурсов. Непрофильные подразделения были выведены из компаний холдинга, с оставшимися предприятиями холдинг перешел на договорные отношения, а они легко проверяются.
В очень многих российских компаниях из-за отсутствия контрольно-ревизионного управления, службы контроллинга или аналогичных структур, проверяющих на местах, кто, сколько, за что платит и по каким документам, риски злоупотреблений реализуются практически неизбежно.
На вершине айсберга
В системе внутреннего контроля можно выделить отдельный хозяйственный процесс, называющийся закрытием финансовой отчетности. Необходимо, чтобы были регламентированы процессы сбора информации с дочерних предприятий и передачи ее в корпоративный центр. Немаловажную роль играет и учетно-управленческая информационная система, наличие брэнда типа SAP или Oracle - это позитивный сигнал и для инвесторов, и для аудиторов. Если в компании налажен учет по международным стандартам (GAAP или IFRS) и желательна система консолидации отчетности, значит, нужна группа соответствующих специалистов достаточной квалификации. Важно также, отмечает Андрей Еленсон, партнер компании Deloitte & Touche, чтобы все бизнес-процессы были описаны: недостаточно купить дорогостоящего специалиста по US GAAP, который смог бы "сваять" отчетность на своем ноутбуке. Поэтому важно, чтобы процессы были структурированы.
Достоверность показателей и адекватность учета зависят не только от финансового департамента, но и от других основных подразделений: производственно-технологического, закупочного, сбытового. На каждом предприятии есть 10-15 ключевых бизнес-процессов: закупки, продажи, компьютерный контроль корпоративного уровня. Все они влияют на достоверность финансовой отчетности. Например, элементарная процедура взвешивания готовой продукции в цехах тоже в конечном счете влияет на формирование определенных статей в отчетности. Значит, и контроль за этой несложной процедурой важен для достоверности финансовых данных.
Немаловажную роль играют инструменты контроля корпоративного уровня: регламенты, кодексы, наличие организационных структур. Для обеспечения достоверности отчетности, говорит Андрей Еленсон, все меры должны действовать в комплексе: и борьба со злоупотреблениями, и идентификация рисков. Исторически отчетности в России уделялось второстепенное внимание, российская бухгалтерская отчетность редко используется как инструмент принятия решений. Поэтому ее достоверность никогда не считалась слишком важной. Как результат - российские предприятия неплохо отслеживают мошенничество физическое, тот же вынос продукции, например, то, что входит в компетенцию служб безопасности. А в вопросах, связанных с мошенничеством "белых воротничков" и менеджмента среднего и высшего звена, у компаний большие пробелы. Службы внутреннего аудита находятся не в лучшей форме; не везде они есть, да и там, где есть, они малоактивны.
Поиск брешей
Построение системы внутреннего контроля - это прямая и непосредственная задача менеджмента, считает Дмитрий Коточигов, старший консультант практики управления финансами и контроллинга "БДО Юникон". Решение, что и как строить, принимает менеджмент. А аудиторы, внутренние или внешние, находят бреши в контрольных процессах. При этом объект внутреннего аудита - не только финансы, но и все остальные сферы деятельности: закупки, сбыт, производство.
Пример №1. Сырье в одной из компаний закупалось через механизм тендерных торгов. Однако тендерная комиссия состояла исключительно из менеджеров отдела закупок. С одной стороны, был внедрен тендерный механизм (казалось бы, продвинутый элемент контроля), но с другой - главное условие действенности этого механизма (независимость участников) не реализовано. Выход: включить в состав тендерной комиссии представителей служб безопасности и финансового департамента. Тем самым гарантируется контроль за независимостью принятия комиссией решений в интересах всего предприятия, а не только снабженцев.
Пример №2. Крупная компания в рамках своих инвестиционных программ выполняла проект капитального строительства. Однако смета на реализацию проекта, контроль за его исполнением, а также подписание актов о выполненных работах были возложены на одну и ту же структурную единицу - управление капитального строительства. Несколько процессов (подготовку сметы, выбор подрядчика, приемку выполненных работ) контролировали одни и те же люди. Это открывало дорогу для самых разнообразных манипуляций. Выход: "отделить" функцию подготовки сметы от отдела капитального строительства, а также включить в процесс контроля за исполнением и приемки работ другие дирекции - производственную, отдел контроля качества и финансовую дирекцию. А в процессе выбора подрядчика должны участвовать еще и финансовая дирекция и служба безопасности.
Пример №3. В компании действовала система утвержденных кредитных лимитов для покупателей. Все эти лимиты "забивались" в информационную систему, которой пользовались менеджеры по продажам. Однако она не имела защиты от внесения изменений, и любой менеджер мог исправить вручную сумму уже утвержденных лимитов, при этом система не оставляла даже следа от введенных исправлений. Это серьезная брешь в системе внутреннего контроля. Исправить ее оказалось легко путем программной "заплатки".
На крупном предприятии может быть до 600 ключевых контрольных процедур, и это примеры только трех из них. По словам Андрея Еленсона, аудит и отладка системы внутреннего контроля - это огромные проекты на полтора-два года.
COSO смотрит на тебя
Закон Сарбейнса-Оксли ссылается на модель внутреннего контроля, разработанную Комитетом спонсорских организаций (The Committee of Sponsoring Organizations of the Treadway Commission, COSO) так называемой комиссии Тредвея в Конгрессе США. Согласно методологии COSO, существуют три основных цели внутреннего контроля: проверка эффективности хозяйственных операций, соответствия операций и учета требованиям законов, а также обеспечение достоверности финансовой отчетности. Соответственно, задача построения эффективной системы внутреннего контроля в том, чтобы структурировать все контрольные процедуры для всех важных бизнес-процессов, дабы выполнить три этих "сверхзадачи".
Модель COSO состоит из пяти ключевых компонентов: контрольной среды, оценки рисков, контролирующих мероприятий, внутренних коммуникаций и мониторинга.
1_Формирование эффективной внутренней среды (control environment). Это фундамент системы внутреннего контроля. Корпоративная культура, управленческий стиль высшего менеджмента, кадровая политика, корпоративный кодекс, организационная форма и полномочия службы внутреннего аудита, содержание программ по противодействию внутреннему мошенничеству, система бюджетирования, политика в сфере ИТ, закупок, сбыта - весь этот свод внутренних писаных и неписаных правил формирует контрольную среду и в конечном счете предопределяет качество отчетности и эффективность хозяйственных процессов.
2_Рациональный риск-менеджмент (risk assessment). Система контроля должна начинаться с зон повышенного риска, с тех участков деятельности компании, где существует наибольшая угроза финансовых потерь: хищения, порча сырья или готовой продукции, нерациональное расходование средств, значительные убытки из-за налоговых штрафов и так далее. Поэтому важной составляющей систем внутреннего контроля является риск-менеджмент. Его задача - идентифицировать риски и составить "карту рисков", выделить наиболее критичные риски с точки зрения потенциального ущерба (при отсутствии должного контроля), разработать пути их минимизации, и, наконец, проводить ежегодную переоценку рисков. Процесс анализа должен быть осмысленным, например риск хищений в столовой путем подписания фальшивых платежек имеет высокую вероятность наступления, но небольшой ущерб. Если затраты на устранение риска превышают размер потенциального ущерба, не имеет смысла им заниматься.
3_Разработка контрольных процедур "на все случаи жизни" (control activities). Когда приоритеты системы внутреннего контроля благодаря риск-менеджменту расставлены и выявлены бреши в системе контроля, наступает черед конкретных мер по усилению контроля. Модель COSO предусматривает девять видов контролирующих воздействий, то есть способов реагирования на недостатки. Вот несколько примеров. Неясно, кто за что отвечает - нужно четко разграничить сферы ответственности; трудно определить виновников ущерба - нужно придумать способы авторизации операций, контрактов, изменений в документах. Если слишком много лиц имеют доступ к конфиденциальным данным или ценным активам - следует ограничить доступ; а когда намечаются расхождения между реальными и отчетными запасами на складах - провести инвентаризацию складских остатков.
4_Беспрепятственная внутренняя коммуникация (information & communications). Речь идет о том, чтобы в компании были созданы условия для получения полных и достоверных данных, их хранения и обработки, а главное - для полноценного информационного обмена между подразделениями и различными уровнями руководства.
5_Мониторинг (monitoring). Сюда относятся способы надзора высших уровней управления за работой низших. Это различные виды аудита, в том числе аудит качества, техники безопасности, внутренний аудит. Часто мониторинг проводится для того, чтобы найти какие-либо отклонения от стандартных показателей или правил. Поэтому основой мониторинга являются различные корпоративные нормативы, например, по складским остаткам или же срокам закрытия бухгалтерских книг.
Иерархия контроля
В настоящее время, считает Дмитрий Коточигов, многие российские компании подменяют службу внутреннего аудита контрольно-ревизионными управлениями (КРУ). Но внутренний аудит служит более широким задачам по оценке процессов внутреннего контроля, управления рисками, корпоративного управления. КРУ фокусируются на проверке сохранности товарно-материальных ценностей, выполнении распоряжений руководства, а также на расследовании мошенничеств. Но в круг обязанностей КРУ не входит контроль за достоверностью и адекватностью подготавливаемой компанией финансовой отчетности.
Однако для нормального контроля нужно и то, и другое: и методология учета, и функции КРУ, если это промышленное предприятие, плюс функции внутреннего аудита (то есть проверки соответствия реальных процессов тем, что описаны в документах, проверка правильности ведения финансовых операций).
Уровень контроля нулевой. В компании нет никакого контроля: ни КРУ, ни внутреннего аудита. Все друг другу доверяют. Рано или поздно эта ситуация изменяется. И первое, что появляется в системе контроля, когда бизнес растет,- КРУ.
Уровень контроля первый. Характерен для сельскохозяйственных предприятий. КРУ работает, но больше почти ничего нет. Компанию ничего не интересует, кроме проверки дебиторской задолженности, наличия на балансе определенных активов и проверки финансовых показателей. Только проверка, методологии нет. Персонал - специалисты в области злоупотреблений, а не в бухучете.
Уровень контроля второй. В компании есть отдел внутреннего аудита (ОВА). Он может выполнять две разные функции: КРУ плюс методология. Часть сотрудников занимается разработкой правил ведения учета и выполнения операций, а часть - проверками. Как правило, это разные специалисты: бухгалтеры, которые занимаются методологией, и люди, которые ездят по местам и вскрывают злоупотребления.
Уровень контроля третий. Если бизнес-единицы распределены географически, то КРУ остается. Если нет, то все функции берет на себя отдел внутреннего аудита. Пример: телекоммуникационная компания, стремящаяся выйти на IPO. Необходима финансовая отчетность за три года, международный аудит. В компании создается отдел внутреннего аудита, который разрабатывает методики, то есть помогает сотрудникам правильно вести учет и одновременно делает предаудиторскую проверку. Отдел не "лопатит" первичные документы, но знает, в чем могут быть проблемы, оценивает используемые схемы и общается с аудиторами.
Отдел, служба, комитет
Финансовое здоровье предприятия находится в руках финдиректора. Поэтому все контрольные службы, связанные с деятельностью финансового блока (службы бюджетного контроля, контроллинга), тоже находятся в ведении финансового директора. Это его инструменты, за применение которых он и получает зарплату. Исключение - те структуры, которые касаются всего предприятия в целом, то есть КРУ. Они контролируют его самого.
"Заказчики" же общекорпоративного внутреннего контроля и аудита - либо генеральный директор, либо лица еще более высокого ранга. Варианты: комитет по аудиту при совете директоров; ОВА в подчинении либо у генерального директора, либо у финансового директора. Но некоторые эксперты говорят, что подчинение службы аудита финансовому директору не самый лучший способ, так как не обеспечивает ее независимости от предприятия. В крупных холдингах, говорит Александр Пчелинцев, акционеры продвигают идею создания комплексного отдела внутреннего аудита, который подчиняется непосредственно гендиректору и занимается не только финансами, но и производственным аудитом, аудитом качества, закупок, капитального строительства. А самого генерального директора и других топ-менеджеров контролирует отдел внутреннего аудита управляющей компании холдинга, которая контролирует всех "дочек".
В прошлом году в отечественных компаниях началось создание "высшей формы" аудиторских структур - комитетов по аудиту. Основой стало Положение о деятельности по организации торговли на рынке ценных бумаг Федеральной службы по финансовым рынкам от 15.12.2004. Согласно этому документу, компании, акции которых находятся в котировальных списках российских бирж, не только должны сформировать комитеты по аудиту из числа независимых директоров, но и фактически передать этому комитету функцию надзора за деятельностью служб контроллинга и внутреннего аудита. Аудиторский комитет оценивает полноту и качество системы внутреннего контроля на предприятии и курирует важнейшие составляющие промежуточной финансовой отчетности, а также окончательную финансовую отчетность компании на всех стадиях ее подготовки. Он также занимается оценкой качества риск-менеджмента и ведает отношениями предприятия с внешними аудиторами: готовит предложения по выбору внешнего аудитора и оценивает обоснованность затрат на его услуги. Правда, это постановление уголовными карами, как закон Сарбейнса-Оксли, не грозит, и вряд ли многие российские компании отнесутся к нему слишком серьезно. Отрадно хотя бы то, что процесс пошел.
"У нас появляется отличная возможность воспользоваться опытом западных коллег"
Дмитрий МОХНАЧЕВ, член правления Международного московского банка:
- Западный опыт создания нормативно-правовой базы для организации системы внутреннего контроля над банковской деятельностью - сейчас актуальная тема, активно обсуждаемая в печати. Считаю эту тенденцию весьма позитивной, поскольку у российских компаний, и в том числе банков, появляется отличная возможность воспользоваться опытом западных коллег, чтобы избежать их ошибок.
Ведь в настоящее время российская модель внутреннего аудита еще далека от западного уровня и зачастую выполняет функцию внешнего аудита, в определенной степени дублируя его. Совершенствование практики внутреннего аудита в нашей стране позволило бы многим организациям более эффективно использовать свои ресурсы и избегать дополнительных затрат.
Хотелось бы особо отметить, что для эффективной работы системы внутреннего контроля, помимо законодательных актов, необходима заинтересованность менеджеров в формировании в компании традиций содействия мерам внутреннего контроля, а также непрерывного мониторинга ее эффективности. Важно, чтобы те, кто принимает решения и определяет цели развития своей компании, четко понимали, что внутренний аудит - это тот инструмент, который позволяет своевременно выявлять и устранять ошибки в работе, способствуя тем самым ее эффективности.
Для банка построение системы эффективных методов управления рисками - необходимость, так как банки по определению обязаны быть стабильными, надежными и безопасными. Внутренний аудит, как независимая оценка всех аспектов деятельности банка, дает нам возможность оптимально организовывать свою деятельность.
Международный московский банк, как банк со стопроцентным участием иностранного капитала, в полной мере использует передовой опыт своих европейских акционеров. Так, служба внутреннего аудита появилась у нас еще в 1992 году. В 2001 году был создан комитет по аудиту, который состоит из представителей акционеров, наделенных широкими полномочиями в вопросах внутреннего контроля, аудита и риск-менеджмента. Эти мероприятия способствовали созданию в нашем банке эффективной системы управления рисками, которая является одной из важных составляющих западного качества того обслуживания, которое мы предоставляем нашим клиентам.
Юлиана Петрова
01.02.2006
Секрет фирмы
|