Внутренний аудитор

Методы и подходы во внутреннем аудите

медицинской организации

Артём Горлов: «Один из моих принципов –максимальная открытость»

Издание Некоммерческого партнерства «Институт внутренних аудиторов»

№ 1, 2018

Трансформация аудита закупочной и проектной деятельности: от классического контроля –к консалтингу

Как проверить клиента и контрагента? Внешние источники данных в проектах внутреннего аудита и риск-менеджмента

НОВОСТИ

Премия «Внутренний аудитор года» …………………………………………………..... 3

ПРАКТИКА

Трансформация аудита закупочной и проектной деятельности:

от классического контроля – к консалтингу ………………….…………………… 4

Методы и подходы во внутреннем аудите медицинской организации

………………………………………………………………………………………………...…………….. 7

Как проверить клиента и контрагента? Внешние источники данных в

проектах внутреннего аудита и риск-менеджмента ……….………………… 15

МНЕНИЕ

Всегда ли начальник прав? ……………………………………………………………….... 20

Эволюция службы внутреннего аудита ……………………...…………………….... 22

ИНТЕРВЬЮ

Артём Горлов, директор департамента внутреннего контроля и

аудита АО «РТИ»: «Один из моих принципов – максимальная

открытость» ……………………………………………………………………………………..…. 25

СОБЫТИЕ

Круглый стол «Эффективная система внутреннего контроля как условие

достижения целей» на «АТОМЭКСПО-2018» …………………………………..…... 29

2

В НОМЕРЕ

Внутренний аудитор, № 1, 2018

Содержание

«Внутренний аудитор», № 1, 2018

Учредитель

Некоммерческое партнерство «Институт внутренних аудиторов»

Директор

Алексей Сонин

Выпускающий редактор

Елена Фролова-Иванова

Над номером работали: Артём Горлов, Елена Иванова, Мария Кедрова, Максим Мамонов, Ара Чалабян, Ольга

Ярская, Елена Фролова-Иванова

Адрес : Москва, Нарышкинская аллея, д. 5, строение 1

Телефон: +7 (495) 748-05-32

Выпуск: июнь 2018 года. Использование материалов возможно только с письменного разрешения редакции

В мае стартовала подготовка к Национальной премии «Внутренний

аудитор года». Премия была учреждена Институтом внутренних

аудиторов в 2013 году в качестве профессиональной награды за вклад в

развитие и продвижение внутреннего аудита в России.

Соорганизаторами Премии выступают РСПП и Московская биржа.

Традиционно Национальная премия вручается в трех номинациях:

• Служба внутреннего аудита года

• Руководитель службы внутреннего аудита года

• Внутренний аудитор года

Приём заявок начнётся 1 ноября и продлится до 31 декабря 2018 года.

Участие бесплатное.

Церемония награждения победителей и лауреатов пройдет в первый

день Национальной конференции Института внутренних аудиторов

«Внутренний аудит в России», которая состоится в марте 2019 года в

Москве.

Положение о Премии: https://www.iva-ag.ru/files/IVA-Award-

Regulations.pdf

Сайт: https://www.iva-ag.ru/

По всем вопросам, касающимся Премии, обращайтесь к Елене Фроловой-

Ивановой: pr@iia-ru.ru , тел.: (495) 748-05-32.

3

НОВОСТИ

Премия «Внутренний аудитор года»

Институт внутренних аудиторов

Деятельность Блока внутреннего контроля и аудита (ВКиА) Группы МТС состоит из целого ряда проверок, направленных на оценку дизайна и эффективности контрольных процедур:1. Операционный аудит, повышающий экономическую эффективность бизнес-процессов и предотвращающий/выявляющий возможные случаи мошенничества;2. Финансовый аудит, предоставляющий акционерам и руководству компании разумные гарантии эффективности внутреннего контроля в части подготовки достоверной финансовой отчетности, а также предотвращающий/выявляющий риски мошенничества с финансовой отчётностью;3. Аудит корпоративных функций для обеспечения соответствия деятельности компании требованиям антикоррупционного и антимонопольного законодательства и соответствующим внутренним нормативным документам компании;4. ИТ-аудит в части информационных технологий и защиты информации, применительно к деятельности Блока информационных технологий, Технического блока и Блока по корпоративной безопасности и режиму;5. Проведение независимой экспертизы, которая оценивает экономическую обоснованность и выполнение действующих нормативных документов.

4

Трансформация аудита закупочной и проектной деятельности:

от классического контроля –к консалтингу

ПРАКТИКА

Внутренний аудитор, № 1, 2018

Максим Мамонов, директор по внутреннему контролю и аудиту ПАО «МТС»

5

При проведении классических риск-ориентированных проверок выявление недостатков происходит уже после наступления негативных событий. Логично, что появилась потребность в превентивном анализе закупок и проектов, выносимых на инвестиционно-конкурсные комитеты.

И как следствие, возникли следующие направления независимой экспертизы:• экспертиза эффективности контрольных процедур по инвестиционным проектам и закупочным процедурам и их соответствие действующим нормативным документам;• экспертиза экономической обоснованности и выполнения требований нормативных документов при совершении сделок, в совершении которых имеется заинтересованность, для представления Комитету по аудиту;• оценка соблюдения требований внутренних нормативных документов компании; проведение проверочных мероприятий по фактам, имеющим признаки дисциплинарного проступка и/или нарушения исполнительской дисциплины и/или конфликтной ситуации в компании или дополнительном офисе для рассмотрения таких фактов на Комитете по дисциплине.

В начале 2014 года в Блоке ВКиА было создано специальное подразделение по контролю закупочной и проектной деятельности. Изначально в его задачи входило проведение плановых и внеплановых проверок, но со временем они существенно расширились и охватили консультирование бизнеса. Это многократно повысило востребованность подразделения в глазах менеджмента.

Классический подход к контролю проектов и закупок, который существовал в компании ранее, включал в себя классический риск-аудит и внеплановые проверки. К его сильным сторонам можно отнести соблюдение Стандартов, выявление и мониторинг нарушений, а к слабым – длительные сроки проверок и изучение вопроса «с нуля», длительные сроки мониторинга и устранения недостатков, выявление недостатков уже после наступления негативных событий.В результате трансформации подразделения к классическим функциям внутреннего контроля и аудита (риск-аудит, внеплановые проверки и обработка

обращений «горячей линии» по вопросам комплаенс)добавились анализ закупок и проектов, выносимых на инвестиционно-конкурсные комитеты, контроль сделок с заинтересованностью, участие в разработке нормативной базы в области закупок, оптимизация бизнес-процессов в проектной и закупочной деятельности, консультирование подразделений, участвующих в процессе закупок.Такая трансформация Блока позволила выиграть как самой функции внутреннего контроля и аудита, так и компании в целом. Сотрудники Блока ВКиА постоянно повышают квалификацию, больше узнают о стратегии и развитии бизнеса, углубляют знания о рынке, становятся более востребованными для компании, а сама компания – улучшает эффективность бизнес-процессов и предотвращает возможные негативные последствия. При таком подходе у внутреннего аудита растут трудозатраты, и к этому надо быть готовым.Независимая экспертиза на регулярной основе на этапе согласования значимых проектов и закупок делает процессы более прозрачными и позволяет предотвращать нарушения.

Для выявления возможных недостатков в момент утверждения закупок и инвестиций применяется регулярный мониторинг и консалтинг за счет участия в инвестиционно-конкурсных комитетах, оказания консультаций по отдельным закупкам и проектам, согласования изменений и дополнений нормативной базы. Регулярный мониторинг и консалтинг позволяет достичь целевых показателей: уложиться в согласованные сроки поставок и реализации проектов, выбрать достойное качество при экономии затрат. Основной итог регулярного мониторинга и консалтинга – достижение значительного экономического эффекта в результате учета рекомендаций.

Фокус мониторинга инвестиционных проектовВ рамках мониторинга инвестиционных проектов подразделение ВКиА анализирует, с учетом знаний рыночной ситуации, такие показатели проекта как предпосылки и потребность, реальность планов, анализ результатов закупок, финансовые и натуральные показатели, предыдущие результаты аналогов, анализ решений по проекту. Такой подход позволяет сообщить менеджменту все выявленные недостатки и рекомендации до открытия финансирования и скорректировать проект до его утверждения.

ПРАКТИКА

Институт внутренних аудиторов

6

Фокус мониторинга закупок При мониторинге закупок анализируются следующие позиции: критерии выбора и оценки, обеспечение конкуренции и отсутствие сговора, цели и потребность, механизм установления цен, рыночность цен, соответствие контрагента интересам компании, соответствие условий договора тендеру. Особый фокус мониторинга закупок направлен в виде превентивной меры на нестандартные и срочные закупки, а для уже свершённых закупок – на изменение действующих договоров.Предварительный мониторинг закупок позволяет сразу информировать менеджмент о выявленных недостатках и предлагать свои рекомендации. При этом рекомендации, данные сотрудниками Блока ВКиА, внедряются до поставки материалов и оборудования / выполнения работ / оказания услуг, что позволяет получить реальный экономический эффект.

В качестве примеров реализации рекомендаций приведу реальный опыт:

1. Предмет закупки: дорогостоящее телекоммуникационное оборудование. Заказчик предложил продлить договор на новый срок на безальтернативной основе. При анализе рынка подразделение ВКиА установило наличие аналогов другого вендора по существенно меньшей стоимости. Внутреннему заказчику была дана рекомендация рассмотреть оборудование-аналог либо провести переговоры с текущим поставщиком о снижении стоимости до рыночного уровня. Результат: проведен запрос цен и снижена стоимость закупки до уровня аналога. Компания получила 15% экономии.

2. Предмет инвестиций: электрическая мощность в регионе. Закупка была проведена до утверждения технологической концепции. В силу сильно затянувшегося процесса согласования проектная документация устарела, а реальные потребители, требующие закупаемый объем электроэнергии, уже отсутствовали. ВКиА провёл анализ планов развития региона и стратегии компании в области энергопотребления. По результатам анализа состава оборудования и существующих технологий внутреннему заказчику были даны рекомендации по исключению из затрат избыточной электрической мощности. В результате компания отказалась от реализации проекта в существенной его части инвестиций. Экономия компании – 34%. Предварительный мониторинг тендерных процедур

является еще одним превентивным направлением деятельности Блока для оценки эффективности систем внутреннего контроля в области закупок. Рекомендации Блока по данному направлению помогают подразделению закупок дополнять список предварительных контрольных процедур, изложенных в нормативных документах бизнес-процесса закупок.

КонсалтингПомимо регулярного мониторинга наиболее существенных инвестиционных проектов и закупок БВКиА на регулярной основе оказывает консультации менеджменту по различным вопросам. Например:

• анализ фактического статуса реализации уже утвержденных проектов и установление корневых причин срыва сроков и перерасхода бюджета;• выдача рекомендаций по претензионной работе с поставщиками и анализ причин неисполнения договорных обязательств для снижения издержек;• анализ информации о конечных бенефициарах и правообладателях для оценки рисков и последующих затрат на программное обеспечение;• анализ рынка товаров и работ, проверка сметной стоимости строительства;• анализ эффективности отдельных бизнес-процессов для дебюрократизации и сокращения операционного цикла.

На регулярной основе осуществляется участие в разработке нормативной базы, новых схем и подходов к осуществлению закупочной деятельности (например, в настоящий момент разрабатываются подходы к приобретению Start-up’ов), оказываются консультации подразделениям по вопросам закупок.

Консультирование подразделений позволяет отойти от сложившейся практики отношений «контролёр-проверяемый» и вовлекает менеджмент в решение вопросов на партнёрской основе. При этом осуществляется полный спектр контрольных процедур для соблюдения Стандартов и внедряются необходимые мероприятия как для совершенствования систем внутреннего контроля, так и для оптимизации бизнес-процессов.

В целом, можно отметить, что консалтинг значительно повышает ценность подразделений внутреннего контроля и аудита в глазах менеджмента. ∞

ПРАКТИКА

Внутренний аудитор, № 1, 2018

1-ая линия защиты 2-ая линия защиты 3-я линия защиты

Департамент внутреннего аудита

Врачебная комиссия и подкомиссии

Отдел качества

Врачи-эксперты

Эпидемиологическая служба

Служба охраны труда

Служба финансового контроллинга

Служба безопасности

Внутренний контроль, осуществляемый

руководителями подразделений

Стр

аховы

е ко

мпании

, вне

шние а

уд

ито

ры

в с

исте

ме

ИС

О и

JC

I, вне

шний

финансовы

й а

уд

ит, б

анки

Ро

сзд

ра

внад

зор, Р

оспотр

еб

над

зор, К

ом

ите

ты

здраво

охранени

я го

род

ски

х а

дм

ини

стр

ац

ий,

Нар

коко

нтр

ол

ь, Р

осте

хнад

зор, М

ЧС

, ТФ

ОМ

С,

Пр

оку

рату

ра, О

бщ

еств

о за

щи

ты п

рав п

отр

еб

ите

лей

,

Ро

спри

род

над

зор, М

НС

, ПФ

, ФС

С, Т

руд

овая ко

мисси

я

Генеральный директор

Совет директоров

Организация внутреннего аудита

Подходы к организации функции внутреннего аудита в медицинской организации могут быть классическими, ориентированными на Международные основы Профессиональной практики внутреннего аудита, разрабатываемые Институтом внутренних аудиторов. В основе такой организации контрольной деятельности лежит концепция Трех линий защиты (см. схему 1).

7

Методы и подходы во внутреннем аудитемедицинской организации

Елена Иванова, руководитель департамента внутреннего аудита ООО «АВА-ПЕТЕР»

ПРАКТИКА

Внутренний аудитор, № 1, 2018

8

Контрольное окружение медицинской организации можно охарактеризовать как интенсивное. Основные органы, осуществляющие контроль за деятельностью медицинских организаций, – это Федеральная служба по надзору в сфере здравоохранения (Росздравнадзор) и Федеральная служба по надзору в сфере защиты прав потребителей и благополучия человека (Роспотребнадзор), которые совершенствуют методы своей работы: в частности, внедряют риск-ориентированный подход при планировании проверок и стандартные чек-листы при их проведении. Основными темами проверок Росздравнадзора являются качество медицинской помощи, безопасность применения медицинских изделий и лекарственных средств, Роспотребнадзора – обеспечение соблюдения санитарно-эпидемиологических норм, а также соблюдение прав пациентов в лечебном учреждении. Наряду с Росздравнадзором и Роспотребнадзором, Фонд социального страхования, Территориальный фонд Обязательного медицинского страхования следят за соответствием требованиям законодательства основной и вспомогательной медицинской деятельности, а такие службы как МЧС, Ростехнадзор, Росприроднадзор – за соответствием вспомогательной немедицинской детальности.

Контрольная деятельность первой и второй линий защиты

Первая и вторая линия защиты ведут системную координированную работу, направленную на обеспечение безопасности оказания медицинской помощи пациентам, в том числе ими регулярно проводятся инспекции и внутренние аудиты. Одним из примеров контрольных мероприятий первой линии защиты может являться проведение «коротких» кросс-аудитов с использованием структурированных чек-листов и внутренних ресурсов компании. Старшие медицинские сестры районных амбулаторно-поликлинических отделений после прохождения обучения, которое включает методику аудита и вопросы этики, проверяют другие районные отделения по узким тематикам, таким как: обращение медицинских отходов, холодовая цепь, вакцинация, организация хранения лекарственных средств. Такой аудит может занимать от 30 минут до 1 часа. Может быть применим следующий подход к устранению несоответствий: они устраняются немедленно или, если несоответствия невозможно устранить на месте, руководителем подразделения разрабатывается план корректирующих мероприятий, информация о которых поступает в сводный план корректирующих мероприятий медицинской

организации для последующего мониторинга их выполнения. В зависимости от количества и уровня риска находок во время внутренних аудитов, подразделениям присваивается рейтинг риска, который влияет на частоту внутренних проверок в следующем году. Практическая польза кросс-аудитов не только в определении и устранении несоответствий, а также в развитии среднего медицинского персонала и формировании кадрового резерва для обеспечения потребностей развития компании.Примером контрольных мероприятий второй линии защиты может быть проведение контроля качества медицинской помощи врачами-экспертами медицинских направлений с использованием чек-листа и бальной оценки. Результатами данной работы является совершенствование протоколов и внутренних алгоритмов оказания медицинской помощи, совершенствование медицинской информационной системы, выработка индивидуальных рекомендаций для врачебного персонала по плану обучения. Инспекции с использованием структурированных чек-листов могут также проводиться отделом качества, эпидемиологической службой, службой эксплуатации, и по их результатам производится немедленное исправление небольших недостатков, выработка плана корректирующих мероприятий по несоответствиям, выводы могут быть использованы для совершенствования программы обеспечения качества и безопасности медицинской помощи.

Планирование деятельности внутреннего аудита

Ежегодное планирование деятельности внутреннего аудита производится, исходя из стратегических целей, актуализированной оценки рисков и бизнес-плана компании (см. схему 2).

Институт внутренних аудиторов

ПРАКТИКА

9

Целью внутреннего аудита является предоставление гарантий совету директоров по всем существенным рискам, для чего внутренним аудитом проводится координация деятельности с подразделениями, обладающими контрольными функциями, - первой и второй линиями защиты. Для этого предлагается разработать «Схему предоставления гарантий», которая представляет собой перечень основных и вспомогательных медицинских, немедицинских процессов во всех бизнес-единицах компании, включая новые проекты и инициативы, с присвоением рейтинга каждому из них. Рейтинг формируется на основе критериев важности, сложности, степени изменений и зрелости контрольной среды, а также рисков бизнес-процесса. В годовой план отдела внутреннего аудита попадают бизнес-процессы с наибольшим рейтингом, со средним и низким – в план контрольных мероприятий второй и первой линий защиты (см. таблицу 1 «Область деятельности внутреннего аудита»).

ПРАКТИКА

Внутренний аудитор, № 1, 2018

Цели и стратегия компании, годовой

бизнес-план

Уточнение вселенной аудита

Оценка рисков

Соотнесение рисков и потенциальных объектов

аудита

Приоритезация объектов аудита

Схема предоставления гарантий

Годовой план внутреннего аудита

Схема 2. Цикл годового планирования ВА

Управление

Бюджетирование, управленческая

отчетность, управление персоналом,

маркетинг/управление продажами/PR,

развитие и т.д.

Основная медицинская

деятельность

амбулаторно-поликлинические

отделения, клиническая лаборатория,

терапевтический и хирургический

стационары, сестринская помощь и т.д.

Вспомогательная

медицинская

деятельность

Система снабжения и управления

лекарственными препаратами и

медицинскими изделиями,

инфекционный контроль и безопасность,

медицинское оборудование,

регистратура, колл-центр и т.д.

Вспомогательная

немедицинская

деятельностьЭксплуатация помещений, автохозяйство,

физическая охрана, ИТ и т.д.

Новые проекты и

инициативы

Строительство, новые филиалы

региональной поликлинической сети и

Области деятельности Бизнес-процессы

Ре

гио

нал

ьно

е

по

др

азд

ел

ен

ие

1

Ре

гио

нал

ьно

е

пд

раз

де

ле

ни

е 2

Ре

гио

нал

ьно

е

пд

раз

де

ле

ни

е 3

Ре

гио

нал

ьно

е

пд

раз

де

ле

ни

е 4

… и

т.д

.

Таблица 1. Область деятельности внутреннего аудита

10

Специфические риски медицинской организации

Медицинская организация, как и любая другая, подвержена стратегическим, финансовым рискам, рискам комплаенс. Специфические операционные риски, связанные с медицинской деятельностью, приведены в Приложении 1.В медицине не бывает мелочей, и даже несложные малоинвазивные процедуры, например, взятие крови из вены для проведения лабораторной диагностики, проведение внутримышечной инъекции или постановка вакцины, могут быть связаны с рядом рисков для пациента, таких как неверная идентификация пациента, нарушение преаналитического этапа лабораторного исследования, поствакцинальные осложнения. Т.е. медицинская сестра выполнила назначение другого пациента вследствие ошибки идентификации; пациента не предупредили о подготовке к сдаче крови, он плотно позавтракал, вместо того, чтобы быть голодным, результаты анализа недостоверны и есть риск неправильного назначения лечения; вакцина доставлялась в лечебном учреждении с нарушением температурного режима. В крупной территориально распределенной медицинской организации, имеющей несколько клиник и филиальную сеть, оказывающей первичную, специализированную и высоко технологичную медицинскую помощь в амбулаторных и стационарных условиях, появляется риск утери преемственности специалистов, искажений при передаче информации от одного специалиста к другому. С развитием информатизации повышается внимание к рискам надежности и доступности медицинских информационных систем. Например, если по какой-либо причине нет доступа к электронной медицинской карте, то это может быть критично для пациента в послеоперационный период. Рискам, связанным с инфраструктурой и эксплуатацией помещений, уделяется не меньше внимания, чем клиническим или инфекционным рискам. Остановка лифта на 15 минут –неприятный инцидент в офисном или жилом здании, однако в лечебном заведении такая остановка может быть критичной, если в лифте находится, например, женщина в родах.

Особенности внутреннего аудита в медицинской организации

Основным ориентиром внутреннего аудита являются интересы и безопасность пациентов, в том числе, соблюдение требований к защите персональных данных пациентов, включая врачебную тайну. Особое внимание уделяется соблюдению регулятивных требований и применяемых стандартов оказания медицинской помощи. Однако ввиду сложности и уникальности человеческого организма, возможны оправданные отклонения от медицинских стандартов, вариации в применении клинических рекомендаций, и внутренний аудитор должен быть к этому готов.

Сфера здравоохранения вступила в эру цифровой трансформации: принят закон и подзаконные акты, регулирующие телемедицину, формируется Единая государственная информационная система в сфере здравоохранения, в медицину приходит искусственный интеллект, внедряются робототехника, системы поддержки принятия врачебных решений, прогнозная аналитика и т.д. Отвечая на современные вызовы, внутренний аудит должен приобретать компетенции в области ИТ-аудита, применения аналитических методов, внедрения постоянного аудита и встроенных контролей. При этом, до тех пор, пока людей продолжают лечить люди, ключевым фактором успеха внутреннего аудита являются развитые коммуникативные навыки: умение слушать и задавать открытые вопросы, используя при этом «язык врача» или «язык пациента», поддерживать постоянную коммуникацию и выстраивать отношения с руководителями подразделений и функций.Увеличение скорости изменений в сфере здравоохранения диктует необходимость применения во внутреннем аудите таких подходов, как ведение проектов в Agile-формате. Можно предложить к применению такой вид внутреннего аудита как комплексных аудит многофункциональной командой с привлечением сотрудников других подразделений в качестве экспертов. Подобные аудиты позволяют быстро получать системную информацию о состоянии дел в подразделении, срез сильных и слабых сторон, вырабатывать комплексные рекомендации по развитию и совершенствованию работы подразделения. Эффективным инструментом внутреннего аудита медицинской организации является бэнчмаркинг. Его использование способствует обмену опытом специалистов и распространению лучших практик.

Институт внутренних аудиторов

ПРАКТИКА

11

Проведем внутренний аудит. Путь пациента

В заключение предлагаю провести внутренний аудит с использованием элементов методологии трейсера по отдельному пациенту, применяемой JCI (Joint Commission International, Объединенной Международной Комиссией), занимающейся аккредитацией медицинских организаций. Предположим, пациент «Х» с симптомами пневмонии, в анамнезе с сердечной недостаточностью, обращается к терапевту на амбулаторный прием, по результатам которого госпитализируется в терапевтический стационар, проходит лечение в стационарных условиях, выписывается для прохождения дальнейшей реабилитации в амбулаторных условиях (см. схему 3).

Идентификация пациентаДля идентификации должно использоваться минимум два идентификатора. Например, фамилия, имя, отчество и дата рождения. Идентификация производится при записи на прием, в начале приема, до проведения инвазивных и прочих процедур и выдачи лекарственных средств пациенту. Запрещено использовать только один идентификатор или в качестве идентификаторов только фамилию пациента и номер палаты, из-за риска того, что среди пациентов медицинской организации есть полные тёзки, или что однофамильцев из соседних палат переместили в другие палаты.

Оценка состояния/ Переоценка состояния/Управление больюПри госпитализации производится оценка состояния пациента. Основываясь на оценке состояния, врачом

приемного отделения должна быть произведена приоритезация пациента при госпитализации. По результатам проведения диагностических исследований должна быть произведена переоценка состояния и пересмотр плана лечения. Внимание должно быть уделено болевому синдрому пациента, и по результатам оценки с использованием стандартной стандартной шкалы, должна быть назначена соответствующая терапия. При госпитализации оценивается риск падения пациента, принимаются меры по его снижению.

Взаимодействие специалистов/ ПреемственностьПри получении результатов лабораторных исследований, свидетельствующих о состоянии пациента, угрожающем его жизни, законодательством предусмотрена обязанность информирования лечащего врача и/или пациента. При проведении внутреннего аудита важно убедиться, что такой пациент был не только проинформирован, но и своевременно госпитализирован. При передаче информации по цепочке «амбулатория-> стационар-> амбулатория» в электронной карте пациента должны быть сделаны все необходимые врачебные записи. При направлении на диагностические исследования (например, МРТ, КТ) лечащий врач должен сделать соответствующую запись о целях предстоящего исследования.

Лекарственное обеспечениеУправление лекарственным обеспечением должно носить системный характер и быть направлено на обеспечение должного хранения и безопасного применения.

Повышение приверженности выполнению врачебных назначений/ Вовлечение семьиПри прохождении как амбулаторного, так и стационарного лечения пациент должен быть ознакомлен с планом лечения, обучен проведению процедур и применению лекарственных средств. Во время пребывания в стационаре контроль выполнения назначений лежит на медицинском персонале лечебного учреждения, однако трудно переоценить роль семьи в повышении приверженности следования рекомендациям врача. Например, родственники, живущие отдельно, могут переоценивать возможности пожилого человека после операции. Поэтому обучение по использованию вспомогательных средств после травматологической операции целесообразно проводить как непосредственно для самого пожилого пациента, так и для его родственников. ∞

Внутренний аудитор, № 1, 2018

ПРАКТИКА

12Институт внутренних аудиторов

ПРАКТИКА

Амбулаторный прием

• Идентификация пациента

• Оценка состояния, назначения, план обследования и диспансеризации

• Лекарственное обеспечение

• Передача терапевтом информации о пациенте для госпитализации

Госпитализация

• Оценка состояния, приоритезация пациента в приемном покое

• Информированное согласие

• Оценка риска падения, оценка боли, план питания

• План лечения

• Лекарственное обеспечение

• Планирование выписки

Диагностика

• Передача информации о пациенте для проведения диагностического исследования

• Доставка пациента

• Обоснованность назначения высоко-рискованных препаратов (контраст)

• Информирование о критических результатах лабораторных исследований

• Пересмотр плана лечения

Пребывание в стационаре

• Переоценка состояния и пересмотр плана лечения

• Идентификация пациента

• Лекарственное обеспечение

• Обучение пациента по процедурам и препаратам, контроль выполнения назначений

• Вовлечение семьи

• Планирование выписки

Выписка

• Процесс перенаправления пациента и передачи информации терапевту

• Инструкции и обучение пациента и родственников

• Передача пациента родственникам

Реабилитация

• Настройка целей (краткосрочных и долгосрочных, согласование с целями пациента)

• Обучение пациента и вовлечение семьи

Схема 3. Чек-лист «Путь пациента «Х»»

13Внутренний аудитор, № 1, 2018

ПРАКТИКА

Приложение 1. Специфические операционные риски медицинской организации

Область риска Риски

Клинические

риски

▪ Ошибки в идентификации пациентов

▪ Клинические осложнения (во врачебной и сестринской практике)

▪ Повторная госпитализация

▪ Нежелательные реакции, поствакцинальные осложнения

▪ Неадекватные реанимационные действия

▪ Ошибки назначения и применения лекарственных средств

▪ Ошибки диагностики

▪ Нарушения преаналитического этапа лаборатории и подготовки к

диагностическим исследованиям

▪ Проблемы, связанные с аутсорсингом (лаборатория, скорая помощь и т.д.)

▪ Болевой синдром у пациента

Риски, связанные с

персоналом

▪ Проблемы, связанные с обучением медицинского персонала (недостаточное

обучение, некачественное обучение и т.п.)

▪ Недостатки во взаимодействии и преемственности специалистов, качестве

коммуникации при передаче пациента (амбулатория-стационар-амбулатория,

операционная-ПИТ, приемный покой-стационар и т.д.)

▪ Проблемы, связанные с обучением пациентов и их семей для выполнения

врачебных рекомендаций (недостаточное обучение, некачественное обучение,

его отсутствие и т.п.)

▪ Нарушение клинических рекомендаций и стандартов, стандартных

операционных процедур

▪ Отсутствие или недостаточность необходимых коммуникативных навыков/

эмоциональной компетентности или отсутствие их должного уровня

▪ Отсутствие, недостаточность или сбои во взаимодействии/ командной работе/

нарушение правил этики и деонтологии

▪ Отсутствие, недостаточность или сбои в самоконтроле/ следовании

внутренним правилам (маникюр, украшения и т.д.)

Инфекционный

контроль и

безопасность

▪ Нарушение правил первичной сортировки пациентов в приемном покое

▪ Внутрибольничные осложнения

▪ Перекрестное заражение

▪ Нарушения в процессе стерилизации и хранения стерильных инструментов

▪ Несоблюдение холодовой цепи

▪ Производственные травмы персонала

▪ Нарушения при хранении и утилизации игл и режущих предметов

▪ Падения пациентов

▪ Риски, связанные с особо опасными инфекциями

▪ Риск массовой эпидемии

▪ Нарушения при хранении и применении особо опасных жидкостей

▪ Нарушения при хранении и транспортировке биологических материалов

14Институт внутренних аудиторов

ПРАКТИКА

Приложение 1. Специфические операционные риски медицинской организации (продолжение)

Область риска Риски

Управление опытом

пациента

▪ Ненадежное предоставление услуги: несоблюдение расписания

▪ Низкая доступность услуги

▪ Нарушения приватности

Информационная

безопасность

▪ Риски, связанные с защитой персональных данных пациентов, включая

врачебную тайну

▪ Доступность медицинской информационной системы для третьих лиц

Медицинское

оборудование

▪ Сбои в работе критического оборудования

▪ Недостатки, некачественное обучение персонала или отсутствие обучения

▪ Доступ третьих лиц к системе хранения изображений

Инфраструктура и

система

инженерного

обеспечения

▪ Отключение воды, теплоснабжения, электроснабжения

▪ Затопления

▪ Инциденты с системой вентиляции

▪ Остановка лифта

▪ Риск пожара и ограниченная возможность или отсутствие возможности

эвакуации пациентов в случае пожара

▪ При проведении ремонтно-строительных работ: шум, пыль, вибрация,

повреждение действующих систем инфраструктуры

▪ Нежелательные природные явления

Физическая

безопасность

▪ Агрессивные пациенты

▪ Несанкционированный доступ пациентов в помещения, предназначенные для

служебного пользования

▪ Различные противоправные действия со стороны пациентов, родственников,

медицинского персонала и других лиц

Репутация ▪ Жалобы пациентов

▪ Необоснованные негативные отзывы в Интернете

▪ Подделка справок

В современном мире финансовым организациям на постоянной основе приходится противостоять различным видам мошенничества – как со стороны контрагентов (поставщиков, подрядчиков), так и со стороны клиентов (заемщиков, страхователей – если рассматривать банковскую сферу и страхование). Поэтому проявление должной осмотрительности при выборе контрагентов и заключение договоров с добросовестными партнерами является залогом успешного долгосрочного сотрудничества и способом избежать возможных финансовых потерь бизнеса.

В противном случае организации могут столкнуться с финансовыми, репутационными и налоговыми рисками: заключение договоров с "фирмами-однодневками", несвоевременная поставка товара и оказание услуг (как следствие – нарушение «цепочки» и срыв сроков действующих контрактов), поставка товара либо оказание услуг ненадлежащего качества, возникновение просроченной дебиторской задолженности, выплата страхового возмещения в рамках фиктивных страховых случаев, возникновение просроченной задолженности и невозврат выданного кредита и финансирования, необходимость досоздания РВПС при ухудшении финансового положения контрагента и пр.

15

Как проверить клиента и контрагента? Внешние источники данных в проектах внутреннего аудита и риск-менеджмента

ПРАКТИКА

Внутренний аудитор, № 1, 2018

Мария Кедрова, директор управления внутреннего аудита «Ренессанс Страхование»

Следовательно, до заключения договорных

отношений крайне важно обладать полной

информацией о потенциальных контрагентах и

клиентах (как юридических, так и физических лицах)

для проверки их благонадежности и

платежеспособности, в том числе в целях соблюдения

принципа «Знай своего клиента» (“Know Your

Customer”, “KYC”).

Для проведения оценки контрагентов и клиентов

обычно запрашиваются следующие документы: у

физических лиц – документ, удостоверяющий

личность, справки о доходах, документы,

подтверждающие информацию о трудовом стаже; у

юридических лиц – учредительные документы

(копии устава, свидетельств о регистрации в ЕГРЮЛ

и о постановке на учет в налоговом органе и пр.),

копии бухгалтерской и налоговой отчетности и т.п.

В целях проверки достоверности вышеуказанных

сведений, а также для получения дополнительной

информации о контрагентах и клиентах, в практике

широко применяются внешние источники данных, в

том числе общедоступные источники в сети

Интернет. Однако следует учитывать, что по

результатам проверок возможна некоторая доля

погрешности (к примеру, в параметрах

идентификации, если ФИО клиента

распространенные).

Среди наиболее широко используемых открытых

источников в сети Интернет, которые используются

в проектах внутреннего аудита и риск-менеджмента

в банковской сфере и страховании, можно выделить

следующие.

Проверка юридического и физического лица

• Официальный сайт Главного управления по

вопросам миграции МВД России

http://services.fms.gov.ru/info-service.htm?sid=2000

Онлайн проверка паспорта заемщика, страхователя,

генерального директора, учредителя по списку

недействительных российских паспортов. Проверка

паспорта на действительность может быть

автоматизирована, поскольку данный сервис можно

интегрировать с информационными системами

организаций.

16

ПРАКТИКА

Институт внутренних аудиторов

• Официальный сайт Федеральной налоговой

службы

https://egrul.nalog.ru/

Ресурс позволяет сформировать выписку из ЕГРЮЛ,

проверить юридический адрес контрагента по базе

адресов «массовой регистрации», узнать о наличии

непогашенной налоговой задолженности,

осуществить поиск руководителей контрагентов в

реестре дисквалифицированных лиц.

позволяет ознакомиться с актами по результатам

судебных споров, в которых контрагенты

участвовали в качестве истцов и ответчиков.

Кроме того, можно получить информацию о

начале процедуры банкротства в отношении

контрагентов.

• Банк данных арбитражных судов

https://ras.arbitr.ru/

Банк данных всех арбитражных судов России

позволяет ознакомиться с актами по результатам

судебных споров, в которых контрагенты

участвовали в качестве истцов и ответчиков.

Кроме того, можно получить информацию о

начале процедуры банкротства в отношении

контрагентов.

• Социальные сети

Поиск негативной информации о потенциальных

заемщиках и страхователях (физических лицах) в

различных социальных сетях.

Для быстрого поиска одновременно в нескольких

социальных сетях можно использовать

специальные «агрегаторы», однако поиск через

подобные инструменты не всегда эффективен,

поскольку требует полного совпадения ФИО

клиента (как известно, многие пользователи

указывают вымышленные имена).

Проверка транспортных средств физических и юридических лиц

• Официальный сайт ГИБДД

https://гибдд.рф

Здесь вы можете найти большое количество

полезной информации о транспортном средстве

(далее – ТС), водителе, штрафах ГИБДД: к примеру,

сведения о ТС и периодах его регистрации за

различными собственниками, о федеральном

розыске ТС, о дорожно-транспортных

происшествиях с участием ТС. Кроме того, можно

проверить факт выдачи водительского

удостоверения и наличие информации о лишении

права управления.

• Официальный портал Правительства Москвы

«Автокод»

https://avtokod.mos.ru/

История владения и эксплуатации транспортного

средства, зарегистрированного в Москве и

Московской области.

17

ПРАКТИКА

Внутренний аудитор, № 1, 2018

Кроме того, на официальном сайте ФНС

(https://www.nalog.ru/rn77/taxation/reference_work/c

onception_vnp/) размещены применяемые при

налоговых проверках «Общедоступные критерии

рисков самостоятельной оценки рисков для

налогоплательщиков», которые также могут быть

использованы компаниями в качестве индикаторов

риска при анализе своих контрагентов.

• Официальный сайт Федеральной службы

судебных приставов

http://fssprus.ru/

Информация по непогашенной задолженности и

исполнительным производствам юридических и

физических лиц.

• Банк данных арбитражных судов

https://ras.arbitr.ru/

Банк данных всех арбитражных судов России

• Реестр уведомлений о залоге движимого

имущества Федеральной нотариальной палаты

https://www.reestr-zalogov.ru/

Проверка транспортного средства на предмет

нахождения в залоге.

Проверка имущества физических и юридических лиц

• Официальный сайт Федеральной службы

государственной регистрации, кадастра и

картографии (Росрреестр)

https://rosreestr.ru/wps/portal/online_request

Запрос общедоступных сведений о местонахождении

и наличии прав/ограничений по объектам

недвижимого имущества.

• Карты Google maps, Yandex maps

Подтверждение адреса местонахождения объекта

недвижимости, кроме того, есть возможность

просмотра фотографий объекта недвижимости в 3D-

режиме.

Помимо открытых источников, в проектах

внутреннего аудита и риск-менеджмента также

используются дополнительные внешние источники

данных и программные решения.

• Информационный ресурс «СПАРК»

http://www.spark-interfax.ru/

Программное решение от Interfax. Формирование

экспресс-оценки рисков и карточки контрагента,

содержащей информацию о структуре компании,

идентификационные сведения (дата регистрации,

ИНН, ОГРН, данные об учредителях, генеральном

директоре, осуществляемых видах деятельности),

о взаимосвязях и аффилированности, об

арбитражных делах, банкротстве, реорганизации

или ликвидации компании. По контрагентам, по

которым имеются сведения о финансовой

отчетности, система автоматически (на основании

заложенных формул) проводит анализ основных

финансовых показателей деятельности компании.

• X-Compliance

http://www.spark-interfax.ru/ru/services/x-

compliance

Программное решение от Interfax. Комплексная

проверка клиентов и контрагентов в соответствии

с требованиями российского законодательства и

международных стандартов в области ПОД/ФТ.

Позволяет получить идентификационные

сведения (кроме паспортных данных), провести

проверку нахождения клиента в перечне

террористов и в санкционных списках, установить

факт принадлежности клиента к категории ПДЛ.

Кроме того, есть возможность определения

уровня риска клиента (по системной либо по

пользовательской методике).

18

ПРАКТИКА

Институт внутренних аудиторов

Для проверки нахождения клиента в перечне

террористов также используются открытые базы

данных на официальном сайте

Росфинмониторинга.

• Бюро кредитных историй

Запрос кредитной истории контрагентов и клиентов

для анализа текущей долговой нагрузки и

своевременности погашения кредитной

задолженности. Для осуществления запроса

компании необходимо заключить договорные

отношения с БКИ (НБКИ, Equifax и пр.), а также

получить согласие от контрагента на получение его

кредитной истории.

• Бюро страховых историй Российского союза

автостраховщиков

Информация о страховой истории клиентов по

КАСКО, ОСАГО, ДСАГО. Относительно новый сервис

РСА, в данный момент в стадии тестирования.

Таким образом, в настоящее время имеется

достаточно широкий инструментарий внешних

источников данных (в том числе общедоступных),

которые помогут провести оценку

благонадежности потенциальных клиентов и

контрагентов и выбрать надежного партнера для

бизнеса. ∞

19

ПРАКТИКА

Внутренний аудитор, № 1, 2018

Я начал заниматься внутренним аудитом с 1999 г., когда перевелся из департамента банковского надзора ЦБ РА в Группу аудита – первую в Армении, основанную в 1996. До 2002 г. мы работали изолированно, даже не знали про Стандарты внутреннего аудита. С приходом нового руководителя мы стали следить за тем, что происходит в мире.

Сегодня внутренний аудит есть во всех банках и страховых компаниях, что является требованием ЦБ с 2005 г., а также в государственном секторе с 2013 г. по закону, разработанному при поддержке международных организаций. С радостью должен отметить, что состоявшиеся службы внутреннего аудита есть в таких компаниях, которые по закону не обязаны их иметь. В целом, ИВА-Армения насчитывает 177 членов из 60 организаций, еще около 250 внутренних аудиторов работают в 100 органах государственного и территориального управления.

Тем не менее, степень развития вышеуказанных служб внутреннего аудита очень разная. Есть структуры, работающие в соответствии с лучшим международным опытом и стандартами; наряду с ними встречаются и те, которые только называются «внутренним аудитом». Ниже я попробовал выделить те вызовы, преодоление которых позволит нам иметь более развитый внутренний аудит и сформировать культуру управления. Они типичны как для Армении, так и для территории в целом – начиная с Восточной Европы и заканчивая Среднеазиатскими странами, и предопределяются, в первую очередь, культурой управления.

Вызов 1. Культура единоличного правления Начальник всегда прав и знает ответы на все вопросы, ему нельзя перечить, его слова не обсуждаются. Культура единоличного правления широко распространена как в государственном, так и в частном секторах: будь то министр или губернатор, владелец или директор. При этом система спускается каскадом, в каждом последующем уровне начальник единолично принимает решения. В такой ситуации внутренний аудит рассматривается либо как препятствие, либо как инструмент проверки, без возможности выражать собственное мнение. Организации, которые перешли к коллегиальному принятию решений, смогли улучшить культуру управления.

20

Всегда ли начальник прав?

Ара Чалабян, президент IIA-Армения, главный аудитор Центрального Банка Армении

МНЕНИЕ

Внутренний аудитор, № 1, 2018

21

Вызов 2. Культура избегания ответственностиНачальник знает ответы на все вопросы, с него и спрос. Эта культура производна от единоличного правления, в результате чего подчиненные избегают брать на себя ответственность и принимать решения. Часто начальники жалуются, что сотрудники избегают брать на себя ответственность, забывая при этом, что в свое время не приложили должных усилий для поощрения инициативности. Изменение подобной культуры требует времени, так как многие, получая возможность выражать мнение, не спешат становиться соучастником общего дела; это нужно воспитывать в людях. В условиях сегодняшнего информационного потока очень важен вклад всех способных людей, и внутренний аудит может играть детонирующую роль.

Вызов 3. Культура стыда “Я не виноват” говорит ребенок, разбивший что-то, “У нас нет рисков” говорит начальник, когда внутренний аудитор спрашивает про специфические риски, присущие их процессам. Человек по сути не безошибочен, а любой процесс имеет присущие ему риски, но часто люди не желают оказываться в центре внимания со своими проблемами. Они думают, что если не озвучивать свои проблемы, с них и спроса не будет, не осознавая, что изначально не сдерживая риски они предстанут перед большей проблемой в будущем. У нас есть коллеги, которые каждый год обращаются к нам с просьбой провести аудит, чтобы вместе выявить новые риски и найти решения. Это и есть здоровый подход и путь к саморазвитию.

Вызов 4. Культура правилВ пункте такого-то закона или регламента так написано, и мы не можем это нарушить. Международные стандарты, которые мы переводим и принимаем после независимости, в большинстве основаны на принципах. Тем не менее, часто эти принципы превращаются в императивные нормы закона или регламента и становятся правилами. В итоге мы забываем про принцип, на основе которого разработанстандарт, и примыкаем к тому правилу, в который

превратили принцип. Принципом разныхмеждународных стандартов является приоритет содержания над формой, но мы часто обращаем больше внимания на форму. Здесь необходимо изменение мышления, которое закоренело также в нашей образовательной системе.

Вызов 5. Образовательная культура Многие вспомнят, что в студенческие годы девушки, записывающие лекции, имели важную роль. Мы затем копировали эти стенограммы и учили, чтоб сдать экзамен. Я долгое время хранил эти копии после окончания университета, но в один день понял, что так и не воспользовался ими, и тогда выкинул их. Наша образовательная система чаще заставляет запоминать, вместо того, чтобы учить думать. Как следствие, студенты ожидают, что их мозги наполнят знаниями, вместо того, чтобы учиться думать. Те, кто после традиционного образования идут получать современное университетское или профессиональное образование, осуществляют этот переход.

Вызов 6. Синдром (культура) ревизора Проверяющий всегда прав, а хороший проверяющий всегда найдет нарушения. Многие хотят стать инспектором (налоговым, таможенным или дорожного патруля), проверяющим, «ревизором», так как это предоставляет им рычаги и позволяет самовыражаться за счет ошибок других. Даже если нет коррупционных проявлений, все равно проверяющий видит свою роль в выявлении недостатков – часто в виде нарушения пункта закона. Внутренний аудит – это совершенно другая культура, направленная на выявление и сдерживание рисков. Интересно, что в ряде языков Восточной Европы и даже в немецком нет слова «аудит», и взамен употребляются синонимы слова «ревизия», что сильно ограничивает значение «аудита». Все попытки перевести слово «аудит» сводятся к ограничению его значения, недоразумению и искажению. Здесь часто также видим, что попытки переделать бывших ревизоров во внутренних аудиторов проваливаются. Решения заключаются в новом поколении, в новом образовании и в новых подходах. ∞

МНЕНИЕ

Институт внутренних аудиторов

Эволюция – это постепенное развитие, непрерывное изменение. Она не так радикальна, как революция, но верно сказал Д. Глуховский: «Эволюция идёт вперёд, и тот, кто не умеет изменить себя, вымирает…» Слова писателя точно отражают то, что происходит сегодня со службой внутреннего аудита.

За последние несколько лет функционал и роль внутреннего аудита в компании сильно изменились и продолжают меняться, требуя от аудиторов постоянного развития и приобретения новых компетенций. Об этом пишет, например, Джим Пельтье (JimPelletier) в статье Internal Audit's Digital Transformation Imperative (перевод на сайте НП «ИВА»). Несмотря на положительную тенденцию, описанную в указанной статье, заинтересованные стороны в компании не всегда понимают ценность подразделения внутреннего аудита и не видят всех его возможностей, возлагая на ВА, помимо основного функционала, операционные задачи. Так, в описании вакансии внутреннего аудитора можно встретить, например, требование проводить взыскание дебиторской задолженности и урегулировать проблемы с клиентом; проверять и оценивать благонадежность контрагентов и др.

22

Эволюция службы внутреннего

аудита

Ольга Ярская, главный специалистУправления внутреннего контроля и анализа рисков АО «ГОЗНАК» yadore@mail.ru

МНЕНИЕ

Внутренний аудитор, № 1, 2018

23

Как же изменить ситуацию? Как двигаться в ногу со временем и не допускать превращения подразделения внутреннего аудита в исполнителя чуждых ему задач?Полагаю, мы должны посмотреть на себя со стороны. Внутренним аудиторам полезно задуматься о своей истинной ценности для компании, совершенствовать свои компетенции и демонстрировать эти положительные изменения руководству. Только постоянно развиваясь, аудиторы смогут полностью реализовать свой потенциал в компании и обеспечить свою актуальность в быстро меняющемся мире.

Ниже я предлагаю несколько шагов, которые помогут подразделению аудита стать более полезным и современным, а также повысить свой авторитет в компании.

1. Открытость к сотрудничествуКлючевой момент в работе аудиторов — это сотрудничество. Готовность к сотрудничеству позволяет установить доверие между проверяющим и проверяемым. Обычно, узнав о предстоящем визите аудиторов, человек включает психологическую защиту и начинает рассуждать примерно так: «Если ко мне пришли с проверкой, то к моей работе есть претензии и я делаю что-то неправильно». Что мы можем сделать, чтобы изменить отношение к службе аудита? Во-первых, нужно дать себе установку на то, что наша работа – это общение и выстраивание эффективной коммуникации. Чтобы показать свою искреннюю заинтересованность и открытость к сотрудничеству, аудиторы обязаны изучить тему проверки, знать ее особенности, а также собрать информацию о ключевых сотрудниках, вовлеченных в процесс: как давно работают, их достижения, карьерный рост и др.Опыт автора показывает, что эти знания не только помогут лучше разобраться в ситуации при проверке, но и правильно выстроить взаимоотношения с проверяемыми. Во-вторых, желательно предоставлять коллегам из других подразделений соответствующую информацию, организовывать встречи, быть готовым оказать содействие в решении проблемы. Не нужно брать на себя операционную функцию, но помочь аудиторы могут.Информационная открытость важна при проведении любого мероприятия, будь то служебное расследование фактов мошенничества или обычная внутренняя проверка.

Необходимо тщательно готовиться к совещаниям и встречам с проверяемыми. Спокойно и доступным языком рассказывать им о цели мероприятия, методах сбора доказательств (без раскрытия деталей). Если проводится служебное расследование, обязательно сказать о том, что аудиторы никого не будут допрашивать, а лишь попросят дать письменные объяснения и проведут интервью для установления причин несоответствия, соберут материалы для подтверждения фактов. Словом, аудитор должен уметь расположить людей к себе и настроить их на диалог. Конечно, каждое подразделение ВА выбирает свой стиль: «каратель» или консультант, формальный проверяющий или реальный помощник. Нельзя отрицать, что имидж подразделения иногда формирует вышестоящее руководство, но выстраивать отношения с людьми и собирать доказательства придется аудиторам, поэтому, выбирая подход к работе, необходимо оценивать последствия, думать о том, какой будет получен результат и как он отразится на вашей репутации.Роль «карателя», злобного, бескомпромиссного аудитора, изолирует ВА от участия в проектах компании и будет препятствовать конструктивному сотрудничеству с проверяемыми коллегами, например, при реализации плана корректирующих действий и в других мероприятиях по совершенствованию деятельности компании.

2. Обсуждение аудиторских документов с проверяемымиСотрудничество с проверяемым подразделением может включать обсуждение отчётных материалов. Аудиторы не могут нести ответственность за выявление абсолютно всех рисков и недостатков системы внутреннего контроля, присущих проверяемому направлению. Мы также можем ошибаться в своих выводах, поэтому всегда нужно, чтобы проверяемые могли ознакомиться с ними и прислать аргументированные замечания для обсуждения спорной ситуации.Хорошим тоном считается обговорить то, что при обсуждении будут рассматриваться только объективные аргументы с подтверждающими данными. Это позволит уйти от эмоциональных неконструктивных и длительных согласований. А представители внутреннего аудита заработают репутацию объективных специалистов.

МНЕНИЕ

Институт внутренних аудиторов

24

3. База знаний, отражающая результаты проверок в общем видеАудиторы зачастую сталкиваются с тем, что в разных подразделениях компании встречаются одни и те же типичные нарушения. Особенно это характерно для больших организаций с филиальной структурой или повторяющимися процессами. Для имиджа подразделения аудита и общего развития компании была бы очень полезна постоянно обновляемая база данных, содержащая описание типичных нарушений. Это не означает, что аудитор будет раскрывать все результаты проверки и нарушать кодекс этики, а также Международные основы профессиональной практики. Его задача систематизировать и классифицировать сведения так, чтобы они стали полезными для других. Как говорил в своей статье Джим Пельтье: «Аудит рассматривается как возможность обучения и получения новой информации. Аудиторы делятся данными, информацией и накопленным опытом». Организация такой базы может стать эффективным средством для обмена знаниями. Проверяемые не только смогут выявить несоответствия в своей работе, но и изменят свое отношение к проверкам.

4. Аудитор как катализатор изменений Внутренние аудиторы не должны бояться предлагать изменения. Как правило, рынок подвержен постоянным изменениям, и зачастую бывает так, что сотрудники не готовы меняться и использовать предложения аудиторов в работе, а руководство не считает целесообразным тратить на них финансовые и временные ресурсы. Думаю, каждый аудитор сталкивался с ситуацией, когда предлагаемые изменения оспаривались с многих сторон, но это не следует рассматривать как непреодолимое препятствие. Чтобы рекомендации аудитора приняли и начали внедрять, нужно: 1) досконально изучить передовой опыт в проверяемой области и предлагать улучшения, приводя примеры успешного их использования;

2) предоставлять руководству исчерпывающую информацию для принятия взвешенных управленческих решений;3) глубоко анализировать проверяемые процессы и показывать проблемы в них;4) проверять качество и надежность экономических и финансовых показателей.Список инструментов может варьироваться в зависимости от специфики компании, но все они необходимы для того, чтобы показать руководству и проверяемым, какую выгоду они получат от предлагаемых изменений. В общем, чтобы рекомендации приняли, нужно доказать, что они всем полезны, и что их необходимо воплотить в жизнь.

5. Ясная и полезная коммуникацияЧтобы подразделение ВА могло обосновать свою ценность, аудиторы обязаны владеть грамотной устной и письменной речью, уметь проводить интервью и выступать без подготовки, если потребуется. Но многие аудиторы, к сожалению, плохо владеют коммуникативными навыками. Отрицать существование проблемы нельзя, поскольку современным аудиторам требуется не только писать грамотные и хорошо структурированные отчеты, но и выступать в роли бизнес-консультантов, повышающих эффективность компании, представлять информацию устно и письменно, в сжатом и развернутом виде, писать summary и др.

Автор предложил лишь некоторые пути развития внутреннего аудита. Уверена, что их намного больше. Хочется закончить статью словами Джима Пельтье: «Дело в том, что мы отступаем, осознавая значительные изменения, происходящие вокруг нас, и начинаем по-новому смотреть на то, как трансформировать внутренний аудит, чтобы максимизировать его ценность для компании».А какие методы используете вы, чтобы отвечать вызовам времени и рынка? ∞

МНЕНИЕ

Внутренний аудитор, № 1, 2018

Интервью с Артёмом Горловым, директором департамента внутреннего контроля и аудита АО «РТИ»

Беседовала Елена Фролова-Иванова

«Один из моих принципов –максимальная открытость»

ИНТЕРВЬЮ

Внутренний аудитор, № 1, 2018 25

26

- В направлении внутреннего аудита меня больше

всего удивляет разнообразие взглядов на то, что из

себя представляет данная функция и чем она

призвана заниматься. Одни ограничиваются, по сути,

контрольно-ревизионной деятельностью, другие

готовы браться за очень широкий спектр задач. А

каково Ваша видение?

- Сейчас службы внутреннего аудита могут

выполнять абсолютно разные функции, кто-то

является чисто контрольной службой, кто-то

работает с рисками, участвует в консультационных

проектах. Набор задач службы чаще всего определяет

заказчик аудита и частично – законодательство, тем

не менее аудиторы, если видят в себе силы, сами

могут предлагать менеджменту расширить их

функционал и, соответственно, зону влияния,

перейти к предвосхищению проблем, а не

«посмертному анализу», как это часто бывает. Мне

кажется, это не только добавит ценности такои

службе, но принесет бо́льшую пользу компании. Но

надо понимать, что для этого перехода аудиторам

потребуется доказать свою полезность и нарастить

компетенции сотрудников внутреннего аудита.

- Тема полезности – сейчас одна из самых

обсуждаемых. В этом контексте говорят и о

консалтинге, и даже об отдельных направлениях

операционной деятельности. Что Вы думаете по

этому поводу?

- Все чаще на конференциях и других мероприятиях

от руководителей зрелых служб ВА мы слышим, как

аудит переходит от предоставления гарантий к

участию в консультационных проектах вместе с

менеджментом. И это не может не радовать. Как мне

кажется, это дополнительная возможность принести

пользу компании. Но, зная российские реалии, надо

быть осторожным в желании освоить новую область

деятельности. Консалтинг — это всего лишь

дополнительная услуга, которую может оказывать

аудит, при условии, что аудиторы продолжают

эффективно предоставлять гарантии. В ином случае,

мы оказываем компании «медвежью услугу», так как

снижаем качество предоставления гарантий

(качество, которое не всегда и присутствует) и

используем ресурсы на новую услугу.

- Какие барьеры на пути формирования эффективной СВК вы видите?

- На мой взгляд, это низкая заинтересованность менеджмента в постановке СВК и плохое представление владельцев бизнес-процессов о своих целях и рисках. Не надо снимать со счетов и роль аудиторов в популяризации понимания о СВК, рисках и контрольных процедурах. Задайте себе вопрос: как часто вы в вашей компании реально тестируйте эффективность контрольных процедур, их дизайн? Часто ли вы пишите о рисках, оценивайте их? Оцифровывайте ли вы, там, где это возможно, эффект от работы контрольной процедуры? К сожалению, часто даже в крупных российских компаниях, аудиторы этого не делают, а подходят к своей работе, скорее, как к комплаенсу, и иногда делают экспертные заключения о недостатках в процессе, которые обнаружили без объективного заключения о контрольных процедурах. Конечно, такой подход имеет опосредованное отношение к предоставлению гарантий и, в итоге, дискредитирует отношение к контрольным процедурам и СВК в целом со стороны линейного менеджмента. Если бы, приходя к объекту аудита, мы демонстрировали каким образом, по нашему мнению, выглядит процесс, выстраивали вместе с менеджментом представление о ключевых рисках и связанных с ними контрольных процедурах, а потом тестировали их и делали вывод об их достаточности/ избыточности, эффективности и дизайну, показывали, какие последствия мы уже имеем и как это сказалось на риске, то менеджмент сам бы понимал, насколько важно работать с рисками и контрольными процедурами.

- У Вас накоплен большой опыт работы с широкой географической разветвленностью бизнеса и наличием самостоятельных филиалов. Пожалуйста, поделитесь, с какими сложностями может столкнуться ВА в таких условиях и как их преодолеть?

- Руководитель ВА при построении географически разрозненной функции внутреннего аудита или контроля зачастую может сталкиваться с недостатком коммуникации служб внутреннего аудита между собой и, как итог, с низкой

ИНТЕРВЬЮ

Институт внутренних аудиторов

27

эффективностью работы разных подразделений. При этом такие проблемы вполне решаемы руководителем функции ВА, хотя и требуют затрат ресурсов. Первыми шагами по повышению эффективности могут быть: подготовка и распространение единой методологии работы, единых шаблонов аудиторских программ по ключевым процессам. После чего необходимо объявить те показатели, по которым будет оцениваться эффективность работы каждого аудитора, и периодически обмениваться опытом и проводить проекты смешенными командами.Для повышения эффективности работы таких служб целесообразно централизовать ряд процессов: формирование плана проектов на год и мониторинг выполнения рекомендаций. При разветвленной географии также не последнюю роль играет работа с компетенциями аудиторов.

- Поговорим о компетенциях. Как именно можно с ними работать?

- С учетом того, что специфика работы служб внутреннего аудита и контроля в разных компаниях серьезно отличается, руководителю функции необходимо определить набор компетенций, который наиболее релевантен к специфике работы именно его службы. Удобным инструментом для выявления областей развития аудиторов и построения эффективной функции является матрица компетенций службы внутреннего аудита, о которой я уже рассказывал ранее (статья «Матрица компетенций как инструмент повышения качества аудита» была опубликована в журнале "Акционерное общество: вопросы корпоративного управления", май, 2018; полный текст статьи можно найти на сайте ИВА) .Сами знания можно почерпнуть, организуя специализированные тренинги как внутри компании, так и вне, при этом сейчас много полезной информации есть и в открытых источниках. Для меня хорошим ресурсом являются материалы как международного, так и российского Института внутренних аудиторов. Презентации коллег, видеотренинги являются очень полезным источником информации, но безусловно не вся информация может быть полезна именно вам, ее необходимо перекладывать на свой опыт.

- Сейчас все больше специалистов говорят, что коммуникация играет во внутреннем аудите ключевую роль. Как Вы выстраиваете отношения с объектом аудита?

- Как ни странно, первое, чем я руководствуюсь –максимальная открытость. В начале аудита я стараюсь лично встретиться с руководителем аудируемого подразделения, рассказываю, как мы выполняем аудит, цели проекта. Я поясняю, что аудит может пройти с пользой для него: например, своим проектом я могу донести, оцифровать те идеи, которые он, как руководитель, или его подчиненные, давно пытались донести высшему руководству, но у них не получалось это сделать. Опытный руководитель бизнес-процесса часто понимает, что лучше не противостоять аудиторам, а их квалифицированный ресурс использовать в своих интересах – корыстных (зачастую) или некорыстных – я не переживаю по этому поводу, поскольку мы в любом случае должны дать информации свою беспристрастную оценку. Резюмируя мой подход, первый шаг – это максимальная открытость, второй – поиск точек взаимного интереса. Как правило, в 80% случаев такой подход окупается и менеджмент становится лояльнее к аудиторам.

-А с заказчиком аудита?

- По моему опыту, с заказчиком легче выстраивать взаимоотношения, чем с объектом аудита. Все-таки, отношения с заказчиком более продолжительны, и результаты аудита ему действительно интересны. Фактором успеха здесь является хорошая репутация функции, которая выстаивается, как минимум, на протяжении нескольких лет. Как один из надежных и, к сожалению, нечасто используемых способов построения репутации функции отмечу прозрачный мониторинг эффекта от уже внедренных мероприятий по итогам предыдущих аудитов. Он позволяет продемонстрировать реальную пользу от того, как работает аудит. Тогда заказчик будет понимать, что аудиторам можно доверять, они действительно отстаивают и работают на интересы компании. Такой заказчик всячески будет поддерживать аудит и привлекать его к решению важных для компании задач.

ИНТЕРВЬЮ

Внутренний аудитор, № 1, 2018

28

- Что Вы думаете о внутреннем аудите «для галочки»?

- Не будем лукавить: компании с таким подходом к ВА, к сожалению, есть. Для меня тут решение простое: если вы чувствуете, что ВА существует «для галочки», понимаете, что никому не интересны результаты вашей работы, то с системой не надо бороться. Из таких компаний надо уходить, чтобы не тратить свою энергию и драгоценное время.

- Продолжим тему коммуникаций. Любому руководителю, помимо чисто профессиональных задач, приходится решать множество вопросов, связанных с коллективом и взаимоотношениями внутри него. Как Вы выстраиваете отношения с подчиненными?

- Для меня здесь основным является тот же принцип, что и в отношениях с аудируемыми – максимальная честность. Я рассказываю о своих подходах, сложностях и ожиданиях от коллектива. Часто продуктивно работает подход, когда мы с каждым сотрудником обсуждаем его планы на год, 3 и 5 лет и вместе определяем мероприятия, которые он должен выполнить за это время, чтобы добиться своих целей. И ничего страшного, если эти цели не всегда будут совпадать с целями подразделения, главное – найти точки соприкосновения. Например, если аудитор в течение 3-х лет хочет перейти в менеджмент, это его право, и несмотря на то, что такое решение может нанести ущерб функции, нет смысла его переубеждать, можно, например, предложить ему в этом помощь, если он успешно реализует проекты в схожих направлениях, развить его компетенции в таких процессах. С сотрудниками я всегда заключаю, если так можно выразиться, устную оферту о том, что тем из них, кто покажет хорошие результаты и продемонстрирует желание к развитию, я посодействую в разностороннем развитии как специалистов своего дела, что в итоге серьезно повысит их стоимость на рынке. Мотивация к демонстрации хороших результатов далеко не всегда касается материальной составляющей. Это могут быть более широкие зоны ответственности, публичная деятельность аудитора (статьи, выступления), возможность обучать других сотрудников, общекорпоративные программы по развитию сотрудников и прочее.

- Насколько я знаю, Вы один из самых молодых (если не самый молодой!) руководителей направления внутреннего аудита в крупных российских производственных компаниях. Такой результат впечатляет. Поэтому очень интересно узнать, как Вы относитесь к тому, чем занимаетесь.

- Я искренне люблю свою работу. Мне интересно разбираться в проблемах, с которыми сталкивается компания, помогать путем разработки рекомендаций в области работы с рисками и контрольными процедурами. Я хочу, чтобы аудит был ключевым помощником менеджмента в решение сложных задач. Также мне интересно развивать компетенции аудиторов и функции в целом, чтобы повысить качество наших услуг и в будущем освоить новые. Я расстроен тем, что немного молодых специалистов приходит в профессию и имеют понимание того, чем они будут и чем они должны заниматься. Например, студенты, которые еще не определились с будущим направлением работы, часто не знают, что такое внутренний аудит, и в лучшем случае сравнивают нас с внешними аудиторами. Но ведь это очень разные профессии: например, операционный внутренний аудит ближе по своей специфике к консалтингу, только с акцентом на риски и контрольные процедуры. Сейчас этому не учат в образовательных учреждениях, а информации о профессии на русском языке крайне мало. Поэтому я буду всегда стараться поддержать любые инициативы Института внутренних аудиторов по популяризации профессии в нашей стране. ∞

ИНТЕРВЬЮ

Институт внутренних аудиторов

14 мая 2018 года в Сочи в рамках X Международного форума «АТОМЭКСПО-2018» прошел Круглый стол «Эффективная система внутреннего контроля как условие достижения целей», организованный Госкорпорацией «Росатом» совместно с Институтом внутренних аудиторов.

29

Круглый стол «Эффективная система внутреннего контролякак условие достижения целей»

на «АТОМЭКСПО-2018»

СОБЫТИЕ

Внутренний аудитор, № 1, 2018

В мероприятии, которое собрало около 150

представителей профессии, приняли участие

представители Совета Федерации Федерального

собрания РФ, Министерства финансов РФ,

Казначейства РФ, Генеральной прокуратуры РФ,

крупнейших компаний России и других стран.

Модераторами пленарной дискуссии выступили

партнеры консалтинговых компаний PwC и EY.

Участники Круглого стола обсудили критерии

эффективности работы системы внутреннего

контроля (далее – СВК), барьеры на пути

дальнейшего развития СВК, тренды развития служб

внутреннего контроля и аудита (далее – ВКиА), в том

числе цифровизацию и внутреннее

консультирование бизнеса, поделились собственным

опытом.

В начале своего выступления Александр Локтев,

директор департамента внутреннего контроля и

аудита – главный контролер Госкорпорации

«Росатом», коротко рассказал о трансформации

внутреннего аудита (далее – ВА) в России и привел в

качестве примера Госкорпорацию «Росатом». В

частности, он отметил, что в десятилетней

ретроспективе явно прослеживается отставание

российских практик от зарубежных. В то время

передовые мировые практики характеризовались

глубоким уровнем стандартизации и формализации с

ориентиром на финансовые показатели, внедрением

практик достоверности финансовой отчётности и

приоритетом независимого ВА. В России в тот период

преобладала контрольно-ревизионная деятельность

с минимум внедрённых контролей в бизнес-

процессы. По словам Александра Локтева, благодаря

усилиям и энтузиазму Института внутренних

аудиторов в 2011-2015 гг. удалось совершить рывок

на пути адаптации и применения лучших мировых

практик. В корпоративной культуре осознана

сущность ВК и признана ценность независимого ВА. В

этот же период российскими регуляторами была

проведена работа по формированию основ

профессиональной деятельности. 10 лет назад в

«Росатоме» было принято решение о запуске и

формировании инновационной модели СВК вместо

догоняющей модернизации, которая была присуща

многим коллегам по профессии. Такой подход

обусловлен базовой ценностью «Росатома» –

безопасностью, которая включает в себя и

безопасность бизнеса, т.е. безопасности отрасли.

Отсюда в «Росатоме» и опора на принципы

открытости и установления

партнерства, позволивших сформировать понятную

для специалистов четвертую линию защиты

бизнеса в виде контроля заинтересованных сторон:

внутренний арбитраж закупок, Горячую линию,

автоматизированную систему контроля радиации и

многое другое. В 2015 году «Росатом» достиг

целевой модели, характеризующейся полным

соответствием международным стандартам и

национальной нормативной базе, формализации

процессной модели и контрольных процедур, и

главное – был осуществлен отход от контроля по

отклонениям к контролю по рискам. Говоря о

перспективе, то на сегодня в Госкорпорации

сформированы линии СВК 2020, которые

характеризуются 5 ключевыми компонентами:

принцип достаточности («контроль там, где надо»);

преобладание цифрового контроля; наличие

проактивного комплаенса; завершение перехода к

культуре результата и адаптация систем ВК к

требованиям стран присутствия. Бизнесу в

быстроменяющемся мире требуется предсказуемая

система управления, основанная на контрольной

аналитике, встроенной в бизнес-процессы.

Соответственно, должен быть завершен переход от

контроля по рискам (прогнозная модель) к

контролю достижения целей (модель предсказания

негативных последствий), и от независимого

контроля – к контрольно-аналитической

деятельности. Ключевым критерием

эффективности должны стать удовлетворенность

клиентов, партнеров и собственников компании. На

этом пути есть барьеры: как внутренние барьеры (в

компании), так и внешние. К внутренним можно

отнести привычку менеджмента искать

упрощенные варианты из-за сложности задач и

сжатых сроков. Внешние барьеры: это, во-первых,

очень высокие требования к компетенциям

30

СОБЫТИЕ

Институт внутренних аудиторов

внутренних аудиторов, которые диктуются

сложными задачами, что при наличии внутреннего

барьера и непредсказуемости будущего тормозит

наработку эффективных практик и побуждает ВА

работать в лучшем случае в рамках догоняющей

модернизации; во-вторых, ориентир

профессионального сообщества на устоявшиеся

контрольные практики, освоенные в рамках

догоняющей модернизации, побуждает регулятора

также оценивать СВК по соответствующим

практикам, закрепленным в нормативной базе.

Получается замкнутый круг. Нет права на поиск

лучших решений, которые могут выходить за рамки

нормативно-правовых актов. Но ориентация на пост-

контроль подобна езде на автомобиле, глядя в

зеркало заднего вида. Иногда это делать нужно, но на

скоростной трассе современного бизнеса надо

смотреть вперед.

Многие спикеры Круглого стола коснулись в своих

выступлениях будущего внутреннего аудита и дали

свои прогнозы. Анна Лернер, директор

департамента внутреннего аудита ПАО

«Ростелеком», связывает перспективы развития

профессиональной области с цифровизацией.

Интернет вещей, умные города, цифровые

экосистемы, виртуальная реальность,

интеллектуальные датчики, технологии определения

местонахождения, облачные услуги, анализы

больших массивов данных – все это на сегодняшний

день основные тренды цифрового будущего. По

мнению докладчика, цифровизация повлияет

абсолютно на все процессы, изменит цепочки

поставок, управление ресурсами, оборудованием,

процесс управления персоналом, в целом –

распределением мощностей и технологические

карты. Сегодня уже недостаточно заниматься лишь

автоматизацией и цифровизацией отдельных

операций или производственных процессов.

Качественный скачок эффективности бизнеса

предполагает создание модели управления совсем

другого порядка – киберфизических систем. Эти

системы начинают самостоятельно обмениваться

информацией, анализировать ее на протяжении всего

жизненного цикла создания продукта или услуги.

Революционные изменения в бизнес-процессах в

свою очередь будут затрагивать такие важнейшие

компоненты как управление и безопасность данных в

этих процессах. При текущем стремительном

развитии технологий это выводит на совершенно

другой уровень риски в них и задачи СВК. Конечно,

для ВА это время новых вызовов, когда приходится активно и очень быстро наращивать свои компетенции, исследовать новые области рисков, а также давать рекомендации по их снижению. Так, например, крупные проекты, связанные с программой Цифровой экономики, осуществляются путем заключения госконтрактов, которые, в свою очередь, обеспечиваются через процедуру казначейского сопровождения. По словам Анны Лернер, естественно, что фокус внимания ВА смещается в сторону таких крупных проектов. При этом осуществляется отдельная оценка рисков защиты и управления данными, рисков новых технологий, которые используются при реализации этих проектов, отдельно анализируются риски процессов непосредственного обеспечения таких контрактов, в т.ч. казначейского сопровождения. Одновременно с этим сильно повышается значение превентивной функции, в рамках которой происходит оценка предварительной готовности существующей СВК компании к реализации таких проектов, достаточности контрольных процедур, которые существуют в компании. При необходимости формируются рекомендации для внедрения дополнительных контролей, в т.ч. делается значительный акцент на ИТ-контролях в ИТ-системах. Дополнительно на текущий момент «Ростелеком» внедряет функцию непрерывного аудита. Она основана на глубоких знаниях процесса, выделении индикаторов, которые будут характеризовать эффективность процессов, непрерывность их течения. Это в дальнейшем позволит эффективным и быстрым образом выявлять ранние сигналы о потенциальной реализации рисков или изменений факторов рисков в том или ином процессе, получать актуальную информацию в режиме реального времени для последующих предметных аудиторских проверок с фокусным погружением в проблематику.

В таких областях, как атомная энергетика и авиация, люди должны быть уверены в безопасности, и в том, что все риски определены и находятся под контролем. Леонид Душатин, директор департамента внутреннего аудита ПАО «Аэрофлот», подчеркнул, что ВА должен включать в свои планы работы темы, связанные с безопасностью: ИБ, т.е. защита серверов, разработка планов непрерывной работы в случае форс-мажорных ситуаций, защита персональных данных и др. В ПАО «Аэрофлот» ВА наряду с аудиторской деятельностью занимается консалтингом и исследованием основных бизнес-процессов в

31Внутренний аудитор, № 1, 2018

СОБЫТИЕ

компании, и тем самым помогает бизнесу, который не всегда имеет возможность проверять все процессы с т.зр. рисков и соответствия регламентам. По мнению Леонида Душатина, все сложные компании должны документировать свои бизнес-процессы и риски. С развитием технологий эти задачи возможны только с использованием автоматизированных систем. «Аэрофлот» уже внедрил SAP Audit Management, специальную систему для аудиторов. Автоматизация ВА идет параллельно с с цифровизацией всего бизнеса компании. Однако широкое использование ИТ не делает процесс ВА автоматическим, поскольку ВА требует экспертнойоценки тех результатов и корректности тех данных, которые выдают информационные системы; переноса этих данных из одних информационных систем в другие; оценки полноты и корректности переноса данных – все это творческая работа, требующая человеческого участия, и вряд ли здесь аудиторы могут быть заменены роботами. В декабре 2017 года «Аэрофлот» совместно со Сбербанком одни из первых запустили проект на базе блокчейн: систему документооборота между компаниями и государственными организациями (ФАС и др.). Докладчик подчеркнул, что будущее за цифровыми технологиями, использованием информационных систем, блокчейн, Big Data, но человек – его компетенции, его добросовестность и порядочность, объективность и независимость – всегда востребован и является приоритетом. Внутренние аудиторы должны быть гармонично встроены в компанию и исходить из всегда присутствующих ограниченных возможностей – это время, деньги, компетенции, квалификация. По его словам, основной критерий эффективности ВК – это отсутствие инцидентов, сбоев и серьезных ошибок, что в авиационной отрасли измеряется индексом «три девятки» (99,9) –

нормативом безопасности, который определяется, исходя из количества мелких, средних и крупных инцидентов; и СВК эффективна, если этот показатель выполняется. Внутри компании разрабатываются и внедряются специальные методики анализа отдельных бизнес-проектов и бизнес-процессов, в которых есть свои специфические критерии оценки эффективности. Наличие такой практики позволяет обеспечить преемственность, единообразие и высокое качество при выполнении работ разными (в т.ч. по своей подготовке и взглядам) людьми.

Продолжая тему эффективности СВК, Юрий Жеймо, директор по внутреннему аудиту ПАО «МегаФон», член Совета Института внутренних аудиторов, посоветовал использовать бенчмаркинг в определении эффективности в экономическом смысле, но образно предостерег, что сравнивать надо «яблоки с яблоками»: у всех свои особенности, поэтому важно мериться именно с конкурентами. Если же речь идет об эффективности ВК как о способности системы выдавать желаемый результат, то здесь нужны качественные критерии. В этом случае многие компании используют, в частности, 17 принципов, содержащиеся в концепции COSO Внутренний контроль. По мнению докладчика, первый барьер при формировании эффективной СВК – это люди. Ихкомпетентность, отношение к вопросам ВК, общее понимание, что это такое и для чего существует, как правило, являются главным препятствием. Поэтому надо вкладываться в человеческий капитал, иметь компетентных для своей должности и мотивированных работников, формировать менталитет, культуру управления рисками. Ведь во многих случаях ВК рассматривается как некая бюрократическая единица, отнимающая время и мешающая заниматься поставленными задачами. Также ВА надо быть очень аккуратным в вопросе разделения ответственности за риски. За них несут ответственность соответствующие подразделения и сотрудники, которые с этими рисками работают и которые ими управляют. Партнерство с бизнесом со стороны службы ВКиА должно выражаться в помощи более эффективного управления рисками и их предвидения. При этом стратегию развития ВА можно выразить в «трех A»: Assure, Advise, Anticipate, т.е. «предоставление независимой оценки объекта, консультирования по тому или иному вопросу в рамках компетенции и формулирование предложений по улучшению управления рисками». В целом, в соответствии с концепцией «3 линии

32

СОБЫТИЕ

Институт внутренних аудиторов

защиты» (Combined Assurance), стратегия развития подразделения ВК должна быть направлена на координацию действий организации по управлению рисками, чтобы не оставалось «белых пятен» и чтобы было понятно, какими рисками, кто и как управляет, а с другой стороны – чтобы не было дублирования и пересечения, чтобы контроль не был излишним. Также Юрий Жеймо поделился практикой продвижения ценностей ВК и ВА для совета директоров и сотрудников с помощью welcome-курсов для всех новых сотрудников (которые рассказывают и о ВА) и интранета. Он отметил, что самое важное – это продвигать их «делом», т.е. тем, как сотрудники ВА делают свою работу.Говоря о перспективах ВКиА, докладчик также упомянул цифровизацию и выделил два тренда для ВА: расширение выборки и переход к сплошному аудиту и режим реального времени – в цифровом мире, в отличие от бумажного, с помощью различных инструментов он станет возможным.

Тему эффективности, стратегического развития и продвижения ценностей ВКиА продолжил Александр Долгополов, руководитель службы внутреннего контроля и аудита ПАО «СУЭК». По его мнению, деятельность СВК должна быть направлена на достижение целей организациимаксимально оптимальным способом. Здесь можно выделить два ключевых компонента: правильное определение цели (оценка системы целеполагания –это одна из ключевых функций ВА и ключевых задач компании) и использование тех инструментов, которые имеются для обеспечения этих целей. Для дальнейшего развития важно определение стратегического вектора развития СВК в компании. Важно найти правильный баланс между интересами стейкхолдеров, при этом вести последовательную работу по разъяснению необходимости изменений. Компаленс – это одна из составляющих формирования ответственности менеджмента на первой линии защиты. Как точно заметил докладчик, комплаенс не присутствует в ДНК человека и развивать его трудоемко и долго, но тем не менее, этим нужно заниматься. И необходимо вести разъяснительную работу о том, что есть СВК, зачем она нужна на всех уровнях управления, начиная с самого низа и заканчивая уровнем СД, с объяснением того, какую пользу приносит СВК в компании. Ведь ВА имеет наиболее широкую картину как инцидентов внутри компании, чтобы проиллюстрировать неэффективность каких-то инструментов, так и лучшие мировые практики. Роль ВА – быть агентом изменений. Критически важна поддержка «сверху», в

том числе топ-менеджмента, совета директоров. ВА не должен выступать исполнителем определенных процедур и брать на себя управление проектами, поскольку это создает большую опасность снятия ответственности с менеджмента на разных уровнях управления. По мнению Александра, сложная и важная задача – инициировать изменения в компании, участвовать в качестве консультанта, предлагающего в т.ч. стратегические изменения в СВК, помощника, контролера, органа мониторинга за исполнением определенных процессов, но при этом не брать на себя роль исполнителя. В компании «СУЭК» ценности ВК и ВА продвигаются для сотрудников и совета директоров с помощью различных инструментов, которые постоянноэволюционируют. Например, при проведении проверки менеджменту рассылается информационная, максимально короткая презентация об объектах аудита, о том, что такое ВА и ВК, с напоминанием, что ответственность за ВК за ними, а задача ВА – непосредственно проводить проверки. Подразделение ВА проводит периодические выезды в регионы, собирает широкую аудиторию управленцев высшего и среднего звена и проводит разъяснительную работу. Также оно участвует в обучающих сессиях служб на второй линии защиты – комплаенс, риск-менеджмент и др., рассказывая, у кого какой функционал.

Владимир Кременицкий, директор функции Внутренний аудит ООО «СИБУР», поделился опытом компании в области ВА и рассказал о том, в каких ролях ВА может быть еще полезен бизнесу. Он отметил, что в «СИБУРе» ВА – это сервисная функция; и если у нее имеются компетенции и ресурсы, то она может не только оценивать процессы, но и участвовать в разработке, реализации и внедрении процедур и систем. Для того, чтобы быть более прозрачными и полезными бизнесу, в компании была разработана система ролевой модели ВА: контроль и аудит, а также другие роли, которые ВА может осуществлять одновременно в разных проектах, областях и процессах. На данный момент их шесть. Они зафиксированы и оговорены с менеджментом и советом директоров. Для каждой роли разработаны стандартные продукты ВА, которые им соответствуют. Роль диагностика: ВА по просьбе менеджера процесса диагностирует процесс, выявляет несоответствия и несбалансированности и преподносит наблюдения владельцам процесса. Роль оценщика: ВА проверяет процесс, который

33

СОБЫТИЕ

Внутренний аудитор, № 1, 2018

зарегламентирован, формализован, выявляет соответствующие отклонения и сообщает о них. Роль, связанная с оптимизацией и развитием: исследовав процесс, ВА находит недостатки, совместно с менеджментом создает концепт, будущий стандарт; или, например, предлагает, как можно автоматизировать систему. Роль разработчика: если в компании есть неформализованный процесс, ВА вместе с менеджментом составляет полный концепт системы или процесса. Роль внедренца: ВА переносит то, что разработано в реальную жизнь, совместно отрабатывает, обучает людей, которые осуществляют данный процесс, мониторит, изменяет, корректирует. Эти роли закладываются в план работы ВА: 30-35% составляет классическая роль ВА, остальное –разработки, консалтинг и различные внедренческие процессы.

В Круглом столе также приняли участие представители Министерства финансов РФ и Казначейства РФ, которые поделились своим видением темы ВКиА.

За последнее десятилетие сложилось четкое разделение бизнеса и сектора госуправления: разные учёт, отчётность и контроль; в госуправлении теперь есть внутренний финансовый контроль (далее –ВФК) и внутренний финансовый аудит (далее – ВФА). По словам Сергея Романова, директора департамента бюджетнойметодологии и финансовой отчетности в государственном секторе Минфина России, в эти понятия вкладываются не только деньги, которые контролирует министерство, но и компетенция управления финансами. Сегодня Минфин России регулирует ВФК и ВФА для госучреждений. По мнению Сергея Романова, вводя понятие ВК и ВА в нормативной базе Минфин вносит некую сумятицу в этих понятиях для всех остальных игроков в этой сфере: «Появляются наши собственные определения ВК и ВА, которые могут не совсем укладываться в те принципы, которые бизнес сегодня использует при создании своих СВКиА». Говоря о секторе госуправления Сергей Романов сравнил его с государственной корпорацией «в квадрате»: у нее есть основная организация, правительство, федеральные органы власти, огромное количество учреждений – «дочки», которые действуют от ее имени и выполняют те поручения и достигают те цели и задачи, которые есть у этой «госкорпорации в квадрате». Как в любой корпорации у него есть ВК и ВА: Казначейство – это орган государственного ВФК,

который осуществляет свои полномочия, ориентируясь на управление рисками и предварительный контроль; Счетная Палата РФ выполняет функции ВА. Таким образом, 2/3 системы – это контроль и аудит. Часть, которая сегодня вызывает спор, по мнению Сергея Романова, это система ведомственного контроля, при котором орган власти контролирует себя и свои подведомственные учреждения на предмет выполнения норм законодательства, компетенций, за которые они отвечают, эффективности управления финансами и требований к организации ВКиА. Если объединить все три компонента, получится то, что не будет вызывать вопросов ни у внешней, ни у внутренней среды: законченная СВКиА сектора госуправления с системой ведомственного контроля, учитывающая технологии, которые сегодня применяются в ВКиА. Это понимание системы ВКиА сектора госуправления, которая не касается правил и процедур для управления бизнесом.

Федеральное Казначейство – федеральный орган исполнительной власти, выступающий в двух ипостасях: с одной стороны, это орган ВК Правительства, с другой стороны, он должен организовывать внутриведомственный ВК и ВФК. По словам Алексея Солодова, начальника управления внутреннего контроля и аудита Федерального Казначейства, по первому полномочию Федеральное Казначейство делает акцент на предотвращение нарушений: предлагаются новые формы контроля, например, казначейское сопровождение. Оно позволяет предотвращать серьезные нарушения, и последние проверки показывают действительную эффективность этого метода. Новое направление –бюджетный мониторинг – это не контроль, а легкое наблюдение с информированием о имеющихся нарушениях при сопровождении тех или иных крупных проектов.

«Росатом» – один из глобальных технологических лидеров; занимает первое место в мире по величине портфеля зарубежных проектов и реализует 33 строящихся энергоблока за рубежом, включая первую АЭС в Бангладеш "Руппур" и первую атомную станцию в Египте – Эль-Дабаа на берегу Средиземного моря. Поэтому на Круглом столе выступили представители Египта, Бангладеш и других государств, которые поделились опытом, а также подходом к ВА в своих странах.

34

СОБЫТИЕ

Институт внутренних аудиторов

Абдалла Мохамед (Abdalla Mohamed), СЕО IIA Egypt; CAE в Egyptian Drilling Company (Египет): «В Египте существует разная практика ВА – как традиционная контрольно-ревизионная, так и современная, основанная на анализе рисков. И сейчас именно последняя получает наибольшее распространение. Крупные компании в основном используют международные стандарты ВА, а малые и средние предприятия продолжают опираться на традиционные практики. Например, в нашей компании роль ВА заключается не только в том, чтобы удостовериться в надёжности финансовой отчетности, но и в том, чтобы работа компании в целом была эффективной: мы решаем, как делать вещи правильно с первого раза, активно используя подход LEAN Six Sigma».Большое внимание г-н Мохамед уделил позиционированию подразделения ВА внутри компании и способам, которыми ВА сможет завоевать доверие среди коллег всех уровней. Он убеждён, что ВА сам должен заниматься своим продвижением, чтобы сотрудники внутри организации поняли, что они нуждаются в ВА, его помощи и советах. Если, например, руководство просит функцию ВА провести какую-либо инспекцию, ВА может указать, какую дополнительную роль он готов взять на себя. Руководство компании должно доверять ВА, а ВА должен создавать это доверие, завоевать его внутри организации, помогать в принятии решений. Поэтому функции ВА надо участвовать во всех стратегических сессиях внутри организации и в каскадировании информации от высшего руководства. По мнению докладчика, очень важная составляющая – это коммуникация, то, как информация доносится до других людей. Сотрудники любого звена также как и руководство должны понимать, какова стратегия и цели организации. И ВА может помочь в этом отношении: оценить цели и стратегию компании, надлежащим ли образом они коммуницируются на другие уровни в иерархии компании. Также ВА может участвовать в процессе принятия решений, выступать в качестве консультанта, у которого есть данные, опыт, время и знания. Г-н Мохамед отметил, что невозможно всё контролировать лишь жестким контролем, надо использовать «мягкий» контроль (в частности, корпоративную культуру), создавать соответствующую среду и систему, которая позволит избежать тех или иных проблем, связанных с действиями персонала.

Атик Раббани (Atique Rabbani), президент IIA-Бангладеш, рассказал о состоянии ВК, комплаенс и практики ВА в Бангладеш, коснувшись последнихзаконодательных актов Бангладешской комиссии по ценным бумагам и Бангладешского Банка: «Страна развивается (Бангладеш получила независимость в 1971 году), происходит становление СВК и терминологии в области ВА; сейчас, в соответствии с законодательством, в каждом банке должна быть СВК и комплаенс. Есть и проблемы, связанные с функцией ВА: отсутствие приверженности руководства надежной и постоянно улучшающейся первой и второй линий защиты. Позиционирование, что ВА выше чем руководитель отдела ВК и комплаенса, может вызвать путаницу. Начальник отдела ВК и комплаенса предположительно будет создавать и внедрять ВК в организации. ВА, действуя независимо и объективно, обеспечивает анализ и оценку, включая оценку рисков, и предлагает улучшения. Нынешняя цель – стать по-настоящему цифровой Бангладеш, что обязывает изучать возможности, предоставляемые ИТ, в оказании помощи аудиторам: искусственный интеллект, машинное обучение, Big Data, прогнозная аналитика для обеспечения непрерывного аудита крупных организаций».

Руби Сривастава (Rubi Srivastava), финансовый директор Индийской Корпорации по атомной энергии (NPCIL), Индия, отметила, что до 2013 года роль внутренних аудиторов компании сводилась к отчетности по закупкам материалов, проданным услугам и товарам. После принятия закона в силу вступили новые правила, отражающие передовые мировые практики. Уровень цифровизации в странепо-прежнему низкий, и большая часть операций выполняется вручную.

Ара Чалабян, президент IIA-Армения, главный аудитор Центрального Банка Армении, сообщил, что финансовый сектор отличается низким уровнем регулирования, и в ВА в целом используются лучшие лучшие международные практики, уже 10 лет есть система внешней оценки. ЦБ Армении разработал свою систему оценки качества эффективности работы, основанную на 5 ключевых критериях: работа в команде/ сотрудничество, эффективность, профессиональное развитие, включая наличие международных сертификаций, прозрачность, ответственность, включая инициативность.

35

СОБЫТИЕ

Внутренний аудитор, № 1, 2018

Кристина Лагерстедт (Kristiina Lagerstedt), руководитель СВА (VP, Audit & Assurance) корпорации «Санома Груп» (Sanoma) (Финляндия): «Финляндия не относится к зарегулированным странам; нет универсального подхода к ВА, который был бы един для всех, нет такого подхода, который бы считался правильным, как нет и такого, который бы считался неправильным. Топ-менеджмент сам определяет, как в их компании должен работать ВК и ВА. В нашей компании роль ВА – это помощь руководству. Конечно, в инициативах необходима поддержка руководства и совета директоров. Отмечу, что в ДНК внутренних аудиторов должен быть встроен комплаенс, соблюдение всех требований. Миссия ВА –это обеспечивать поддержку руководству и совету директоров в областях с высоким риском. И ВК эффективен, когда происходит то, что желаемо, и предотвращается то, что не желаемо».

Иштван Ленкеи, Исполнительный директор Paks II Ltd. (Венгрия), отметил, что СВКиА должна быть прозрачна, однозначна и поддерживать принятие решений, направленных на достижение поставленных целей. У компании, как у генерального заказчика, есть возможность проводить ВА у подрядчиков. В ходе таких аудитов подрядчики бесплатно приобретают большой опыт и получают разностороннюю полезную информацию.

Круглый стол был высоко оценен всеми участниками. Сергей Бурков, ESSAR OIL LIMITED, отметил полезный формат мероприятия и высказал предложение о том, что с учетом успехов «Росатома» в развитии ВКиА, Госкорпорации стать площадкой, на которой руководители служб ВКиА могли бысобираться и вне рамок проведения Форума АТОМЭКСПО для обмена мнениями по профессиональным вопросам. По мнению Юрия

Жеймо, ПАО «МегаФон», Круглый стол являетсязамечательной площадкой для обмена мнениями и опытом, в том числе международным, по вопросам ВКиА, и нужно приветствовать усилия, которые компания «Росатом» прилагает как для построения высокоэффективной СВК внутри компании, так и продвижения лучших практик в России. Для ЕленыЩёголевой, ПАО «РусГидро», обсуждения, которые прошли на Круглом столе, стали дополнительным подтверждением правильности шагов, которые предпринимаются для развития СВК Холдинга ПАО «РусГидро»: «Сегодня мы пришли к необходимости перестраивать своё виденье развития СВК, направляя усилия на создание гибкой, сбалансированной и надежной системы, отвечающей современным тенденциям бизнеса. И в этом, безусловно, помогают совместные встречи профессионального сообщества, в рамках которых участники обмениваются идеями, решениями и самым ценным – это своим опытом». Леонид Душатин, ПАО «Аэрофлот», также высоко оценил мероприятие Госкорпорации «Росатом», которое, по его мнению, развивает профессиональные навыки и горизонтальные связи с коллегами –руководителями ВА ряда ведущих российских компаний. Участие же представителей Института внутренних аудиторов – как российского, так и зарубежных, – а также регулятора, сделало этот профессиональный форум еще более запоминающимся и ярким. В заключении хочется отметить, что ВК и ВА в крупнейших российских компаниях постоянно развивается и идет в ногу со временем, смотрит на лучшие практики как внутри страны, так и в мире. Благодаря тем практикам, которые применяются в области ВКиА, такие компании как Госкорпорация «Росатом» являются достойными и уважаемыми партнерами для различных организаций по всему миру. ∞

36

СОБЫТИЕ

Институт внутренних аудиторов

Некоммерческое партнерство «Институт внутренних аудиторов» (НП «ИВА»), зарегистрированное в 2000 году, является профессиональной ассоциацией, объединяющей более 4000 внутренних аудиторов, внутренних контролеров и работников других контрольных подразделений российских компаний и организаций.

Институт внутренних аудиторовИВА www.iia-ru.ruFACEBOOK www.facebook.com/iiarus/

Тренинги ИВА www.iva-edu.ruНациональная конференция ИВА www.iva-conf.ruНациональная Премия ИВА www.iva-ag.ru