Внутренний аудитор · 2019. 9. 20. · 6 НОВОСТИ Внутренний аудитор № 3 (7), 2019 5g и 4-я промышленная революция

Внутренний аудитор

Достижение оптимального баланса между предоставлением гарантий и консалтинговыми услугами «Растущая специализация во

внутреннем аудите – давно наметившийся тренд»Интервью сДенисом Овсянниковым

Издание Ассоциации «Институт внутренних аудиторов»

№ 3 (7), 2019

ИСКУССТВЕННЫЙ ИНТЕЛЛЕКТ ВНУТРЕННЕГО АУДИТА

Личный профессиональный риск в банках и НФО: как не допустить «дискриминацию»

НОВОСТИ ……………………………………………………………………………………………………………………………….……..... 4

Изменения в Программе сертификаций IIA ………………………………………………………………………...…….…… 4

5G и 4-я промышленная революция. Части I и II на русском языке .……………………………………………... 6

Центр оценки квалификаций Института внутренних аудиторов (ЦОК ИВА) ……………………………...... 7

О разработке федеральных стандартов внутреннего финансового аудита .………………………………..... 8

ПРАКТИКА

Достижение оптимального баланса между предоставлением гарантий и консалтинговыми услугами

Практическая информация от руководителей внутреннего аудита …………………………………………….. 13

Искусственный интеллект внутреннего аудита (авт. Дмитрий Бочаров) ………………………………..…… 22

Программа гарантий и повышения качества внутреннего аудита (авт. Мария Кедрова) ………….... 27

Вызовы внутреннего аудита в государственном секторе (авт. Ара Чалабян) ……………………………… 31

Внутренний аудит исполнения страховой компанией ФЗ от 07.08.2001 № 115-ФЗ «О

противодействии легализации (отмыванию) доходов, полученных преступным путем, и

финансированию терроризма». Часть 1 (авт. Ника Шамба) ……….……………………………………………….… 38

ЛИЦА ПРОФЕССИИ

Алексей Гриднев ……………………………………….………………………………………………………………………………..….. 42

ИНТЕРВЬЮ

Денис Овсянников, директор по внутреннему аудиту Tele2: «Растущая специализация во

внутреннем аудите – давно наметившийся тренд» ………….…………………………………..……...…………..….. 44

МНЕНИЕ

Путь к конструктивному диалогу: внутренний аудитор и субъект проверки (авт. Ольга Ярская)

……………………………………………………………………………………………………………………………………………………..…. 48

Качество. Мнение внутреннего аудитора (авт. Юлия Крылова) …………………………………….……………. 52

ТЕОРИЯ

Личный профессиональный риск в банках и НФО: как не допустить «дискриминацию» (авт. Снежана

Газиян) ……………………………………………………………………………………………………………………………………...….. 56

Особенности законодательных требований к внутреннему аудиту для кредитных организаций

России, Украины, Беларуси и Казахстана (авт. Сухроб Курбонов) …………………………………………..……. 63

CIA

Отчетность по CPE-часам за 2019 год ……………………………………………………………………………………………. 72

Политика в отношении поддержания и повышения квалификации: CPE-часы и отчетность

(авт. Артем Сокольский) .…………………………………………………………………………………………………………...….. 73

2

В НОМЕРЕ

Внутренний аудитор № 3 (7), 2019

Содержание

3

В НОМЕРЕ


О номере

«Внутренний аудитор» № 3 (7), 2019

Издание Ассоциации «Институт внутренних аудиторов»

Выпускающий редактор: Елена Фролова-Иванова

Редактор-консультант: Денис Малыхин, CIA, член Совета Ассоциации «Институт

внутренних аудиторов», руководитель Программы сертификации Ассоциации

«ИВА»

Дизайн, верстка: Елена Фролова-Иванова

Над номером работали: Ирина Барыкина, Дмитрий Бочаров, Снежана Газиян,

Артем Горлов, Алексей Гриднев, Мария Кедрова, Юлия Крылова, Елена

Кошмелева, Сухроб Курбонов, Анна Лернер, Денис Малыхин, Александр

Московкин, Павел Нагорнов, Денис Овсянников, Артем Сокольский, Елена

Фролова-Иванова, Ара Чалабян, Алексей Чепайкин, Ольга Ярская

Адрес: Москва, Нарышкинская аллея, д. 5, строение 1

Телефон: +7 (495) 748-05-32

Выпуск: сентябрь 2019 года. Использование материалов возможно только с

письменного разрешения Института внутренних аудиторов

Мнения, оценки и рекомендации в статьях, размещенных в издании, отражают

точку зрения их авторов, не являются обязательными к исполнению и могут не

совпадать с позицией Института внутренних аудиторов. Ассоциация «ИВА» и

авторы материалов, опубликованных в издании, не несут ответственности за

возможные последствия, которые могут быть причинены в результате

использования или невозможности использования ими размещенных

материалов. Читатель/ пользователь самостоятельно оценивает возможные

риски совершения юридически значимых действий на основе размещенной в

издании информации и несет ответственность за их неблагоприятные

последствия.

4

НОВОСТИ


Изменения в Программе сертификаций IIA

Международный Институт внутренних аудиторов (IIA) сообщает, что Совет по

профессиональным сертификациям (Professional Certifications Board) одобрил несколько

изменений в программах сертификаций IIA, которые вступили в силу 1 сентября 2019 года:

1. Изменение общего срока программы – только для CIA

Срок, который дается кандидату на сдачу всех 3-х частей экзамена CIA, теперь составит 3

года (вместо 4-х лет). Кандидаты, участие которых в Программе сертификации было

утверждено до 1 сентября 2019 года, смогут завершить программу сертификации в течение

4-х лет. У кандидатов, которые начнут участвовать в Программе 1 сентября 2019 года или

позже, будет 3 года на сдачу экзаменов. Кандидаты по-прежнему могут запросить продление

участия в Программе на один год.

2. Период ожидания для пересдачи экзамена сокращен – для всех программ

сертификации

Для того, чтобы кандидаты на получение любой из сертификаций и квалификаций могли

быстрее завершить процесс сертификации, период ожидания пересдачи экзамена будет

сокращен с 90 до 60 дней. Если период ожидания не переходит через общий срок участия в

Программе, кандидаты смогут пересдать экзамен по истечении 60 дней после неуспешной

сдачи экзамена.

3. Требования к опыту кандидатов на получение промежуточной квалификации

Internal Audit Practitioner (IAP)

Поскольку промежуточная квалификация Internal Audit Practitioner (IAP) предназначена для

лиц, которые только пришли во внутренний аудит, квалификационные требования к

кандидатам на получение квалификации IAP больше не будут включать требование шести

месяцев работы во внутреннем аудите или эквивалентный опыт. Дополнительную

информацию о программе IAP см. на сайте : https://global.theiia.org/certification/cia-

certification/Pages/Internal-Audit-Practitioner.aspx

https://global.theiia.org/certification/cia-certification/Pages/Internal-Audit-Practitioner.aspx

5Внутренний аудитор № 3 (7), 2019

Среди тем конференции: • Аудитор на страже средств акционера: аудит действий топ-менеджмента

• Управление рисками в контексте непрерывного аудита

• Внутренний аудит и комплаенс: партнерство, инструменты, обмен опытом

• Внутренний аудит как бизнес-партнер

• Цифровые инструменты внутреннего аудитора: практика применения

• Опыт автоматизации внутреннего аудита в крупной российской госкорпорации

• Аудит использования социальных сетей

Докладчики конференции: Роман Абдусалямов, руководитель службы внутреннего аудита ООО «Сибирская

генерирующая компания»

Антон Бирюков, ведущий аудитор УВА по Поволжскому банку ПАО Сбербанк

Дмитрий Бочаров, вице-президент по внутреннему контролю и аудиту Segezha Group

Ирина Волкова, ведущий аудитор департамента внутреннего аудита ПАО «Аэрофлот»

Снежана Газиян, эксперт Института внутренних аудиторов

Валентин Зубов, управляющий директор по внутреннему аудиту дивизиона внутреннего

аудита АО «РОСНАНО»

Ольга Кожумяченко, менеджер направления УВА по Среднерусскому банку ПАО Сбербанк

Игорь Кожуров, заместитель директора департамента внутреннего аудита ПАО «Аэрофлот»

Алексей Коряков, эксперт Института внутренних аудиторов

Максим Ларичев, менеджер направления УВА по Сибирскому банку ПАО Сбербанк

Екатерина Лобова, менеджер по внутреннему контролю и аудиту ПАО «МТС»

Марина Ломсадзе, руководитель направления УВА Центрального аппарата ПАО Сбербанк

Андрей Лукьянов, заместитель директора департамента регионального аудита ПАО «НК

«Роснефть»

Анна Сергеева, директор по внутреннему аудиту и контролю АО «Стройтрансгаз»

Максим Сухарин, директор департамента непрерывного мониторинга СВК, блок внутреннего

аудита, ПАО «Ростелеком»

Алексей Чепайкин, директор по внутреннему контролю и аудиту АО «Концерн

Росэнергоатом», электроэнергетического дивизиона Госкорпорации «Росатом»

Программаhttp://conf.iia-ru.ru/Для членов Института внутренних аудиторов действует скидка 10%

http://conf.iia-ru.ru/Программа конференции Внутренний аудит в России 3-4 октября.pdf

http://conf.iia-ru.ru/

6

НОВОСТИ


5G и 4-я промышленная революция. Части I и II на русском языке

На сайте Института внутренних аудиторов опубликован перевод на русский язык частей I и II

глобального исследования «5G и 4-я промышленная революция», выпущенного

Международным Институтом внутренних аудиторов (IIA) в 2019 году в рамках проекта

Понимание глобальных перспектив (Global Perspectives and Insights).

Применение стандарта 5G обеспечит беспрецедентный рост способности передавать данные,

открывая двери для ранее невозможных сервисов и приложений. Производительность

стандарта 5G обещает высокую скорость передачи данных, экономию энергии, снижение

затрат, более высокую емкость системы и широкие возможности подключения устройств.

В Части I Исследования рассматривается потенциальное влияние стандарта 5G и дается

представление о том, что компаниям необходимо знать, чтобы быть к нему готовыми. В

Части II приведены возможные последствия для компаний и внутреннего аудита в мире,

живущему по стандарту 5G, где "всё соединено".

Институт внутренних аудиторов благодарит волонтеров из числа членов Института –

Ирину Андрееву, Елену Бабичеву, Антона Краснопольского и Марию Маршакову – за перевод

части I и части II глобального исследования «5G и 4-я промышленная революция»!

Членам Института внутренних аудиторов перевод исследования доступен на сайте в разделе

Личный кабинет.

Путь: Личный кабинет → Материалы и информация → Прикладные материалы → Аудит

ИС/ИТ.

Если вы хотите стать переводчиком-волонтером и внести свой вклад в развитие профессии,

обращайтесь в Институт внутренних аудиторов к Елене Фроловой-Ивановой ([email protected]).

Участие в переводах дает СРЕ-часы.

mailto:[email protected]

Центр оценки квалификаций Института внутренних аудиторов (ЦОК ИВА) проводит независимую оценку квалификации на соответствие профессиональным стандартам:

«Внутренний аудитор»утвержден приказом Министерства труда и социальной защиты Российской Федерации от «24» июня 2015 г. № 398н;

«Специалист по внутреннему контролю (внутренний контролер)» утвержден приказом Министерства труда и социальной защиты Российской

Федерации от «22» апреля 2015 г. № 236н.

ПОДТВЕРЖДЕНИЕ КВАЛИФИКАЦИИ – ЭТО ВОЗМОЖНОСТЬ ПОДНЯТЬ ВАШ ПРОФЕССИОНАЛЬНЫЙ СТАТУС И ОТКРЫТЬ НОВЫЕ КАРЬЕРНЫЕ ПЕРСПЕКТИВЫ!

ЦЕНТР ОЦЕНКИ КВАЛИФИКАЦИЙ ИНСТИТУТА ВНУТРЕННИХ АУДИТОРОВ

Адрес:125167, Москва,Нарышкинская аллея, дом 5, строения 1, 2

Телефоны:+7 (495) 748-05-22+7 (495) 748-05-32

Сайт:http://cok.iia-ru.ru/

http://cok.iia-ru.ru/


Стартовала подготовка к Национальной премии «Внутренний аудитор года». Институт внутренних аудиторов рад сообщить, что процедура подачи заявок в номинации «Служба внутреннего аудита года» существенно упростилась.

Премия была учреждена Институтом внутренних аудиторов в 2013 году. Сейчас соорганизаторами Премии выступают РСПП и Московская биржа.

Как и ранее, Национальная премия вручается в трех номинациях: • Служба внутреннего аудита года• Руководитель службы внутреннего аудита года• Внутренний аудитор года

Приём заявок начнётся 1 ноября и продлится до 31 декабря 2019 года. Участие бесплатное.

Церемония награждения победителей и лауреатов состоится в первый день Национальной конференции Института внутренних аудиторов «Внутренний аудит в России» в марте 2020 года в Москве.

По всем вопросам, касающимся участия в Премии, пожалуйста, обращайтесь к Елене Фроловой-Ивановой, тел.: (495) 748-05-32, [email protected]


9

НОВОСТИ


О разработке федеральных стандартов внутреннего финансового аудита

Минфин России сообщает, что в соответствии с недавно принятыми изменениями в

Бюджетный кодекс Российской Федерации в части совершенствования государственного

(муниципального) финансового контроля, внутреннего финансового контроля и

внутреннего финансового аудита, а также в соответствии с Программой разработки

федеральных стандартов внутреннего финансового аудита на 2018-2020 годы

подготовлены три проекта федеральных стандартов внутреннего финансового аудита:

• «Определения, принципы и задачи ВФА»;

• «Основания и порядок организации ВФА, а также случаи и порядок передачи полномочий

по осуществлению ВФА»;

• «Права и обязанности должностных лиц (работников) при осуществлении внутреннего

финансового аудита».

Указанные проекты федеральных стандартов внутреннего финансового аудита размещены

на официальном сайте Министерства финансов Российской Федерации в рубрике: Минфин

России / Деятельность / Бюджет / Внутренний финансовый контроль и аудит в

государственном секторе/ Нормативные правовые акты и методические рекомендации, а

также на сайте ВФКА.РФ в рубрике: ВФКА.РФ / Совет по развитию методологии

государственного финансового контроля и внутреннего финансового контроля и аудита в

государственном секторе / Журнал событий.

Комментарии по документам можно направлять на почту [email protected]

Ссылки на проекты документов:

Об утверждении федерального стандарта внутреннего финансового аудита «Определения, принципы и задачи внутреннего финансового аудита»

Об утверждении федерального стандарта внутреннего финансового аудита «Основания и порядок организации внутреннего финансового аудита, а также случаи и порядок передачи полномочий по осуществлению внутреннего финансового аудита»

Об утверждении федерального стандарта внутреннего финансового аудита «Права и обязанности должностных лиц (работников) при осуществлении внутреннего финансового аудита»


http://govfinance.ru/analytics/373915/



10

НОВОСТИ


Краткая информация о проектах стандартов ВФА

Для реализации обновленных положений БК РФ Минфин подготовил три стандарта

внутреннего финаудита. В них заложены основные принципы, задачи, порядок организации

внутреннего аудита, а также права и обязанности должностных лиц при аудите. Применять

стандарты надо будет с 1 января 2020 года.

Использовать стандарты должны главные администраторы (администраторы) бюджетных

средств:

• главный распорядитель бюджетных средств (ГРБС)/ распорядитель бюджетных средств

(РБС);

• главные администраторы (администраторы) доходов бюджета;

• главные администраторы (администраторы) источников финансирования дефицита

бюджета;

• получатель бюджетных средств (ПБС).

Стандарт о принципах и задачах финаудита

Внутренний финансовый аудит (далее - ВФА) проводится специальным структурным

подразделением либо уполномоченным должностным лицом, у которого есть полномочия

проводить ВФА. Также полномочия по осуществлению аудита могут быть переданы внутри

ведомственной сети главного администратора бюджетных средств.

По ранее действовавшим нормам объектами ВФА были структурные подразделения, а

теперь объектом аудита становятся бюджетные процедуры.

В целях обеспечения функциональной независимости к мероприятиям аудита могут быть

привлечены работники и эксперты, которые:

• не участвуют в организации и выполнении аудируемых внутренних бюджетных процедур в

текущем периоде, а также не участвовали в такой деятельности в аудируемом периоде и в

течение предшествующего ему года;

• не имеют родства или свойства с субъектами ВФА;

• не имеют иного конфликта интересов, создающего угрозу способности беспристрастно и

объективно выполнять обязанности в ходе планирования и проведения мероприятий ВФА.

По результатам аудита руководителю главного администратора (администратора)

бюджетных средств предоставляют заключение, которое содержит:

• информацию о результатах оценки исполнения бюджетных полномочий главного

администратора (администратора) бюджетных средств, в том числе заключение о

достоверности бюджетной отчетности;

• предложения о повышении качества финансового менеджмента, в том числе о повышении

результативности и экономности использования бюджетных средств;

• заключение о результатах исполнения решений, направленных на повышение качества

финансового менеджмента.

В стандарте также раскрыты основные методы, принципы и задачи ВФА.

11

НОВОСТИ


Стандарт о порядке организации ВФА

Вся ответственность по организации ВФА лежит на руководителе каждого главного

администратора (администратора) бюджетных средств.

Руководитель должен принять одно из следующих решений:

• об образовании субъекта ВФА на основе принципа функциональной независимости (с ее

обеспечением);

• о передаче полномочий по осуществлению ВФА.

В первом случае создается (определяется) структурное подразделение ВФА или

уполномоченное должностное лицо наделяется соответствующими обязанностями, во

втором – полномочия по контролю передаются на сторону, например, вышестоящей

организации.

Главные администраторы (администраторы) бюджетных средств, создавшие субъект ВФА

(наделившие полномочиями по осуществлению ВФА), должны издать акты, в которых надо

утвердить:

• порядок составления, утверждения и ведения годового плана проведения мероприятий

ВФА (внесения в него изменений);

• порядок представления руководителю предложений о проведении внеплановых

мероприятий ВФА;

• порядок формирования и утверждения программы мероприятия ВФА, в том числе внесения

в нее изменений, а также сбора информации для целей ее формирования;

• порядок формирования аудиторских групп, включая порядок назначения руководителя

аудиторской группы, а также привлечения к проведению мероприятий ВФА должностных

лиц (работников) главного администратора (администратора) бюджетных средств и

экспертов;

• порядок приостановления или продления проведения мероприятия ВФА, а также

составления рабочей документации мероприятия ВФА;

• порядок представления заключения, а также возражений и предложений субъектов

внутреннего финконтроля, являющихся руководителями структурных подразделений

главного администратора (администратора) бюджетных средств, по результатам

проведенного мероприятия ВФА;

• форму, порядок составления и ведения (актуализации) реестра бюджетных рисков;

• порядок составления, утверждения и представления годовой отчетности о результатах

деятельности субъекта ВФА;

• порядок проведения мониторинга реализации выводов, предложений и рекомендаций

субъекта ВФА, включая выполнение субъектами внутреннего финконтроля мероприятий по

устранению выявленных нарушений или недостатков, минимизации (устранению)

бюджетных рисков, организации внутреннего финконтроля, а также по совершенствованию

организации, выполнения (обеспечения выполнения) внутренних бюджетных процедур;

• порядок обеспечения контроля качества проведения мероприятий ВФА;

• иные положения, необходимые для обеспечения осуществления ВФА с соблюдением

федеральных стандартов ВФА, в том числе касающиеся передачи полномочий по

осуществлению ВФА (их принятия от администраторов бюджетных средств).

12

НОВОСТИ


Передать полномочия по ВФА можно в следующих случаях:

• если нет возможности создать собственный субъект ВФА на основе принципа

функциональной независимости;

• нет необходимых и достаточных ресурсов для осуществления ВФА;

• нет работников, обладающих необходимыми профессиональными знаниями, навыками и

компетенциями, позволяющими этим лицам осуществлять ВФА (выполнять стоящие перед

субъектом ВФА цели и задачи) беспристрастно, качественно и с недопущением конфликта

интересов любого рода;

• главный администратор бюджетных средств нашел нарушения при выполнении

полномочий по осуществлению ВФА или выявил необеспечение контроля качества

проведения мероприятий ВФА;

• администратор бюджетных средств выполняет однотипные внутренние бюджетные

процедуры, операции, в отношении которых бюджетные риски минимизированы

(устранены).

Стандарт о правах и обязанностях внутренних аудиторов

Должностные лица (работники) субъекта ВФА при проведении мероприятий могут,

например:

• запрашивать документы, материалы и информацию, связанные с исполнением внутренних

бюджетных процедур;

• получать доступ к информационным системам, содержащим информацию о выполнении

субъектами внутреннего финансового контроля внутренних бюджетных процедур;

• посещать помещения и территории, которые занимают субъекты внутреннего финансового

контроля;

• подготавливать предложения по совершенствованию правовых актов и иных документов,

устанавливающих требования к организации, выполнению (обеспечению выполнения)

внутренних бюджетных процедур;

• консультировать по вопросам, связанным с проведением мероприятия ВФА и его

результатами;

• подготавливать предложения и рекомендации по разработке и выполнению субъектами

ВФК мероприятий по совершенствованию организации и выполнения внутренних

бюджетных процедур, включая устранение выявленных нарушений и недостатков.

Помимо прочего руководитель субъекта ВФА может формировать аудиторские группы,

самостоятельно проводить аудит, обсуждать с руководителем главного администратора

(администратора) бюджетных средств планирование, проведение и результаты аудита,

привлекать к проведению мероприятий экспертов. Требования к таким экспертам

устанавливаются в этом же стандарте.

При проведении аудита субъекты внутреннего финконтроля обязаны не только выполнять

законные требования руководителя и членов аудиторской группы, но и по окончании

проверки разработать и выполнить мероприятия по совершенствованию внутренних

бюджетных процедур, а также устранить выявленные нарушения и недостатки. Если же

аудит проводится методом наблюдения, то субъект контроля обязан осуществлять все

внутренние бюджетные процедуры в присутствии должностных лиц, осуществляющих

проверку.

Введение. Не будьте (слишком) непреклонными

«Признаком высокого интеллекта является способность одновременно держать в голове две противоположные идеи и сохранять способность действовать»

Описание высокого интеллекта, сделанное Ф. Скоттом Фитцджеральдом, характеризует первоклассные подразделения внутреннего аудита, которые поддерживают оптимальный баланс между предоставлением гарантий и консультированием. С одной стороны, директора по внутреннему аудиту, которые поделились опытом, как поддерживать такой баланс, тверды в убеждении, что на первом месте должны быть предоставление гарантий и непоколебимое стремление внутреннего аудита быть независимым. Тем не менее, они подчеркивают, что гибкость является решающей в деле добавления стратегической стоимости организации через клиентские услуги, которые выходят за рамки традиционной работы по предоставлению гарантий.

«Мы говорим нашим сотрудникам, чтобы они не зацикливались на боязни пересечь линию независимости», - говорит один из руководителей по……............................*Материал был опубликован в рамках CBOK Stakeholder Report (IIA), 2019

13

Достижение оптимального баланса между

предоставлением гарантий и консалтинговыми услугами.

Практическая информация от руководителей внутреннего аудита*

ПРАКТИКА


Автор: Карен Брэди, CIA, CRMA, CFE, вице-президент по аудиту и комплаенс (США)

Перевод: Павел Нагорнов, CIA, начальник управления специальных проектов дирекции по внутреннему аудиту ПАО «ФосАгро»

14

внутреннему аудиту (далее – CAE; Chief AuditExecutive – директор по внутреннему аудиту, примечание переводчика). – «Лучше мы будем менее жесткими, но обеспечим отличное обслуживание клиентов».

Согласно результатам проведенного в 2015 году исследования CBOK Stakeholder Study (www.theiia.org/CBOK), заинтересованные стороны хотят, чтобы внутренний аудит давал советы там, где это не вредит работе по предоставлению гарантий. Области за пределами предоставления гарантий, которые наиболее часто указывались опрошенными (среди них был широкий круг топ-менеджеров и членов советов директоров), включают консультирование по вопросам совершенствования бизнес-процессов, содействие риск-менеджменту и мониторинг, предупреждение менеджмента о возникающих проблемах и меняющихся сценариях, выявление известных и новых рисков, изучение основ и методов управления рисками.

Надо отметить, что все CAE, поделившиеся своими взглядами на передовые практики по балансу между предоставлением гарантий и консультациями, отмечают непоколебимую приверженность поддержанию независимости их служб и приоритету услуг по предоставлению гарантий над другими видами деятельности. Они строят процессы и тактики таким образом, чтоб минимальные требования к предоставлению гарантий и обеспечению независимости были соблюдены, промониторены, снабжены достаточным количеством ресурсов и доведены до сведения аудиторского комитета. Также у них есть коллекция интересных практик по выбору, разработке, мониторингу и доведению результатов консультационных проектов, которые могут составлять от 7% до 40% времени и ресурсов внутреннего аудита. В большинстве случаев CAE заявляют, что соотношение гарантии/ консультирование варьируется от 80 к 20 до 75 к 25.

Консультационные практики и подходы, представленные этими руководителями внутреннего аудита и которые приведены в этом материале, убедительны по большей части благодаря генерируемым ими выгодам, ориентированным на управление, риски и контроль, как для компании в целом, так и для культуры и репутации внутреннего аудита. «Консультирование помогает внутренним аудиторам продемонстрировать, что

предоставление нам слова приносит пользу компании», - утверждает один из CAE. «Мы приносим экспертизу в области управления, риск-менеджмента и контролей, а также задаем критичные для успеха бизнеса вопросы в тот момент, когда это может повлиять на принятие менеджментом решений, что помогает нашим партнерам развивать бизнес».

Услуги разные – выгоды схожие

«Наша консультационная работа поставила нас в очень выгодную позицию в нашей компании, нас рассматривают не как полицейских, а как функцию, которая помогает менеджменту двигать бизнес вперед и позволяет нашим аудиторам получить более глубокое понимание процессов».

Консультационные услуги и проекты, которые описали CAE, огромны, разнообразны и стратегические по сути. Необходимость таких услуг может как быть выявлена самим внутренним аудитом, так и запрошена заинтересованными сторонами. Некоторые из этих предложений –порядка 20% – состоят из того, что многие читатели отнесут к сути функционала внутреннего аудита –управление, риск-менеджмент и контроли –например, внедрение «горячей линии» по этике или консультирование по соответствию Закону Сарбейнза–Оксли (SOX) изменяемых процессов в связи с новым стандартом учета. Другие консультационные активности – их значительно бОльшая доля – сосредотачиваются на более широких и зачастую более стратегических инициативах: проектирование и запуск новой бизнес-линии, предложения товаров и услуг, капитальный ремонт завода или запуск нового совместного предприятия. Консалтинговые услуги, как правило, направлены на проекты, которые находятся на стадии рассмотрения или планирования, в процессе или до реализации. Получение мнения внутреннего аудита по управлению, риск-менеджменту и контролям позволяет менеджменту лучше принимать решения и достигать целей и приводить бизнес к успеху.

Анна Лернер, главный аудитор ПАО «Ростелеком», считает, что участие в качестве консультанта именно в начале проекта или стратегической инициативы приносит значительную пользу компании и позволяет расширять профессиональные границы сотрудников внутреннего аудита, что, в свою

Институт внутренних аудиторов

ПРАКТИКА

15

очередь, находит отражение в более качественном и профессиональном подходе во взаимодействии с бизнесом в ходе проведения аудитов. Одновременно с этим улучшаются внутренние коммуникации и общее удовлетворение от своей работы.

Запросы менеджмента отражают желание внедрить ноу-хау в области внутреннего аудита в такие процессы, как планирование непрерывности бизнеса или назначение высших органов управления, для улучшения процессов организации. Один из CAE подробно рассказал о консультационном задании, в рамках которого служба внутреннего аудита провела оценку недавних мер по ликвидации последствий катастрофы после экстремальных погодных явлений. Другой CAE рассказал о том, что внутренний аудит направляет своих представителей на ежегодное выездное совещание руководителей высшего звена, в ходе которого новые руководители получают инструкции и рекомендации, касающиеся того, что внутренний контроль является неотъемлемой частью культуры компании и обязанностей руководителей.

По мнению Александра Московкина, директора по внутреннему контролю и аудиту АО «РТИ», внутренний аудит обладает эксклюзивным набором знаний для успешной реализации эффективных проектов по консультированию менеджмента в бизнес-областях. Возможность «взгляда сверху» на связанные процессы и понимание текущей ситуации в каждом из них (на основе ранее выполненных проектов аудита) позволяет внутренним аудиторам предлагать взвешенные решения.

Хотя проекты в области информационных технологий (ИТ) также составляют существенную долю консультативной работы внутреннего аудита, эти связанные с технологиями консультации также значительно различаются, начиная от вовлечения в разработку казначейских или HR-информационных систем до выбора нового поставщика облачных технологий или обзора корпоративной информационной системы. Участие внутреннего аудита особенно важно с учетом интеграции ИТ во многие операции, процессы, продукты и услуги, а также высоких затрат на модернизацию ИТ-контролей и технических решений для удовлетворения требований бизнеса, клиентов и нормативных документов.

Алексей Чепайкин, директор по внутреннему контролю и аудиту АО «Концерн Росэнергоатом»,

электроэнергетического дивизиона Госкорпорации «Росатом», убежден, что по-настоящему потребность во внутреннем консультировании возникает в сложных/ нестандартных ситуациях, в которых уровень неопределенности при принятии управленческого решения высок. Именно такие консультационные проекты имеют высокую трудоемкость и стоимость со стороны заказчика. В подразделении внутреннего контроля и аудита АО «Концерн Росэнергоатом» в 2018 году распределение оценок и консультирования составило соответственно 75% и 25%, а примерно 1/3 трудозатрат пришлось на 3 мероприятия по консультированию, которые были связаны со сложными хозяйственными вопросами.

Несмотря на то, что различные подразделения внутреннего аудита фокусируют консультационные активности на широком спектре областей своего бизнеса, отдача от этих усилий, как правило, одинакова, а выгоды взаимны: добавляя ценности бизнесу, они укрепляют культуру и навыки различных подразделений и внутреннего аудита, а также репутацию внутреннего аудита.

«Бизнес ценит нашу готовность помочь справиться с рисками без навешивания ярлыков и выдачи аудиторских заключений по работе, которую мы совместно делаем», - говорит один из CAE. Руководители аудита отмечают, что большинство выгод сложно посчитать (например, повышение доверия к внутреннему аудиту), но подчеркивают, что они необычайно ценны:

• Улучшение бизнес-процессов и управления.Руководители внутреннего аудита описывают наивысшие достижения консультационной работы как каскадное улучшение процессов управления, риск-менеджмента и контролей, начавшееся с выполнения специального задания. Такая консультационная работа: 1) снижает вероятность и масштаб проблем управления, риск-менеджмента и контролей в этой части бизнеса, 2) мотивирует участников процесса рассматривать вопросы управления, рисков и контролей на более ранних этапах изменений процессов, технологий и персонала, 3) упрощает проактивное привлечение внутреннего аудита для получения помощи или рекомендаций, основанных на их знаниях в области управления, рисков и контроля.

По мнению Алексея Чепайкина («Концерн Росэнергоатом»), важным вкладом в улучшение бизнес-процесса и управления может стать такая


ПРАКТИКА

16

компетенция внутреннего аудита как «помыслить о немыслимом»: взгляд и оценка с неожиданного ракурса, возможность применить опыт из оценок в других сферах являются ценным для менеджмента.

• Повышение доверия к внутреннему аудиту.Практически каждый CAE отмечает репутационные улучшения (например, большее доверие) как наибольшую выгоду, приносимую консультационными проектами, помимо улучшения риск-менеджмента и совершенствования бизнес-процессов. «Консультационная работа помогает нашим аудиторам лучше понимать бизнес, что совершенствует их деловые качества», - говорит один из CAE. – «Это помогает им, с одной стороны, лучше выполнять работу по предоставлению гарантий, с другой стороны, находить общий язык с менеджментом. Все вместе это позволяет рассматривать внутренний аудит как кадровый резерв организации».По мнению Анны Лернер, главного аудитора ПАО «Ростелеком», доверие является хорошим фундаментом для продуктивной совместной работы и достижения выдающегося результата. Выстраивание доверительного взаимодействия между внутренним аудитом и бизнес-подразделением в ходе консультационного проекта – это целое искусство, которое развивает soft skills сотрудников внутреннего аудита и позволяет им прирастать в своих компетенциях.

• Улучшение понимания бизнесом процессов управления, риск-менеджмента и внутренних контролей. Сотрудничая с внутренними аудиторами на консультационной основе, работники получают возможность узнать больше об этих понятиях в более комфортной обстановке. «Больше открытости в таком общении», - говорит один из CAE. «Бизнес узнает больше об управлении, риск-менеджменте и контролях в доброжелательной манере, а не читает об этом в аудиторском отчете».

• Более эффективная и результативная работа по предоставлению гарантий. Консультационные проекты внутреннего аудита, которые выявляют и решают проблемы в области управления, рисков и/или контролей, помогают снизить продолжительность работы по предоставлению гарантий в этих областях. Один из CAE оценивает, что консультационный проект, относящийся к системным изменениям, сокращает время проведения последующего аудита на треть. CAE также отмечают, что сотрудники, которые узнали

больше о внутреннем аудите во время консультационных проектов, более эффективно сотрудничают во время проектов по предоставлению гарантий, что повышает их результативность. Анна Лернер (ПАО «Ростелеком»), полагает, что развитие консультационной функции позволило значительно улучшить качество предварительных аудитов и глубину понимания бизнес-процессов, что положительно отразилось на сроках проведения проверок по предоставлению гарантий и скорости согласования результатов. Когда бизнес-подразделения и внутренние аудиторы разговаривают на одном языке, процесс предоставления гарантий идет продуктивнее.

• Взаимные выгоды в области привлечения персонала. Некоторые подразделения внутреннего аудита назначают аудиторов на консультационные проекты, исходя из их интереса к той или иной области бизнеса. Такой подход помогает начинающим аудиторам развиться в других бизнес-функциях к тому времени, когда они решат перейти на операционные роли. Подобные перемещения помогают внутреннему аудиту распространять дополнительные знания и понимание аудита в разных подразделениях организации. Консультационная работа также может принести функции внутреннего аудита бонусы в области привлечения и удержания персонала. Некоторые CAE используют слова «развлечение, удовольствие» для описания того, как их сотрудники воспринимают консультационную работу, которая, согласно комментарию одного из руководителей, «приносит абсолютную пользу для нашей культуры. Помогает мне как набрать, так и удерживать персонал. Помогает развивать сотрудников и обеспечивает талантливый кадровый резерв для организации».

Выгоды от консультационной работы внутреннего аудита

• Улучшение бизнес-процессов управления.• Повышение доверия к внутреннему аудиту• Улучшение понимания бизнесом процессов управления, риск-менеджмента и внутренних контролей• Более эффективная и результативная работа по предоставлению гарантий• Взаимные выгоды в области привлечения персонала


ПРАКТИКА

17

Алексей Чепайкин («Концерн Росэнергоатом») отмечает, что участие в консультационных проектах увеличивает вовлеченность работников внутреннего аудита: если консультированиезатрагивает важные и сложные проблемы организации, то внутренние аудиторы обоснованно ощущают причастность к бизнес-успехам и признание коллег.Елена Кошмелева, начальник управления внутреннего аудита ООО «Газпром трансгаз Томск», проекта «Внутренний аудит» ООО «Газпром Персонал», считает бизнес-консультирование одной из важнейших функций внутреннего аудита, позволяющей внутренним аудиторам продемонстрировать свою позицию в организации не как «полицейских» и «пожарных», а как «учителей», «конструкторов» и «архитекторов» бизнес-моделей в различных проблемных ситуациях, в полной мере дать руководству видение ситуаций и вопросов с различных точек зрения. Консультационные проекты дают возможность раскрыться творческому потенциалу сотрудников службы внутреннего аудита, более системно подходить к решению поставленных руководством задач, расширять свой кругозор и профессиональные компетенции. Выполнение консультационной работы позволяет расширить границы вселенной внутреннего аудита, посмотреть со стороны на процессы, происходящие в организации. По мнению эксперта, внутренний аудит должен держать руку на пульсе, чтобы максимально отвечать запросам заказчиков внутреннего аудита (высшего руководства), а достичь этого как нельзя лучше позволяет мониторинг текущих вопросов и оказание консультационной поддержки руководству при принятии управленческих решений. Елена Кошмелева оценивает соотношение работы внутреннего аудита по предоставлению гарантий и выполнение консультационной работы как 60% и 40% и считает прогнозное направление развития внутреннего аудита наиболее перспективным в соотношении с аудитом событий прошлых периодов.

Артем Горлов, управляющий директор по операционным аудитам ПАО АФК «Система», отмечает, что использование внутренних аудиторов в проектах консультационного характера экономически выгоднее, чем привлечение сторонних консультантов. Этот аргумент часто оказывает существенное влияние на желание топ-менеджмента привлечь аудиторов к консультационным проектам. В свою очередь,

участие аудиторов в таких проектах повышает также и окупаемость функции внутреннего аудита, главное, чтобы это не нанесло ущерба выполнению плана по предоставлению гарантий.

Поддержание объективности и беспристрастности: критически важное и контролируемое

«Я все время повторяю нашей команде: я бы предпочел дискуссию о том, что мы приблизились к линии, чем о том, что мы от нее убежали».

Поддерживать объективность и беспристрастность функции внутреннего аудита в отношении консалтинговых услуг крайне важно, но CAE, чьи функции посвящают 20% или более своих ресурсов консультативной работе, говорят, что это нетрудно сделать, если эта потребность четко доведена до всех заинтересованных сторон и команды управления аудитом, а также соблюдаются некоторые правила.

Потребность в коммуникациях и обучении, касающихся независимости, тем выше, когда аудиторы и менеджеры (особенно те, которые только начинают карьеру), деловые партнеры и/или члены аудиторского комитета имеют относительно небольшой опыт в сочетании предоставления гарантий и консультировании. Опрошенные CAE отмечают, что для обеспечения объективности и беспристрастности внутреннего аудита при консультировании полезны следующие подходы:

• Информируйте аудиторский комитет. Большинство CAE включают, как минимум, краткое описание консультационных активностей в годовой план аудита. А большинство аудиторских комитетов хотят видеть разбивку работы на предоставление гарантий и консультирование. Некоторые комитеты по аудиту, в особенности из отраслей с сильным госрегулированием или состоящие из более традиционно мыслящих членов, могут захотеть узнать больше о том, как внутренний аудит будет сохранять объективность в консультационных проектах и последующих проектах по предоставлению гарантий. Отдельные CAE ежегодно проводят так называемые сессии «глубокого погружения» с членами аудиторского комитета, сфокусированные на независимости и других аспектах консультационных услуг.


ПРАКТИКА

18

• Обучайте внутренних аудиторов на тему ключевых рисков, касающихся независимости и поддержания объективности и беспристрастности. CAE подчеркивают важность для каждого члена команды понимания, как функция внутреннегоаудита обеспечивает объективность на консультационном проекте и как могут быть снижены риски. Демонстрация возможных сценариев и примеров из практики, инструкций по идентификации рисков и управлению проектами, а также списка недопустимых действий (тех, что на грани потери объективности и беспристрастности). Другие CAE продвигают мантры типа «не принимай решения», цель которых в том, чтобы мысль об обеспечении независимости не покидала аудиторов и их деловых партнеров во время консалтинговой работы. Руководители аудита также подчеркивают необходимость инструктировать команды, как отвечать на возможные риски потери объективности и беспристрастности. «Моя команда прекрасно понимает, как выглядит пересечение линии», - утверждает один из CAE. - «Они знают, когда прийти ко мне и рассказать, по каким причинам ощущают дискомфорт».

• Оценивайте потенциальные проблемы с независимостью, а именно: определите, подходит ли будущий проект под следующие два определения:(1) Соответствует ли эта работа нашему уровню экспертизы и навыкам?(2) Есть ли потенциальные риски потери независимости?«Мы всегда заранее оцениваем риски независимости, перед проектом мы убеждаемся в отсутствии таких проблем», - говорит один из CAE. Руководители аудита отмечают, что есть подходящее решение в ситуации угроз объективности при выполнении консультационного проекта: не делать эту работу. У другого CAE налажен процесс изучения любого консультационного проекта, требующего более 40 часов, на предмет влияния на независимость.По словам Алексея Чепайкина, в практике внутреннего аудита АО «Концерн Росэнергоатом» не принято отказываться от выполнения консультационного проекта под предлогом сохранения независимости. «Есть несколько способов минимизировать данный риск в ходе последующих оценок: от формирования команды по оценке без лиц, ранее участвующих во внутреннем консультировании, до получения дополнительных независимых мнений при проведении оценки. Есть еще одно правило – надо

быть честным и не бояться сообщать об ошибках, в т.ч. при проведении консультирования. К примеру, ответственность и обязанность за предоставление руководству такой информации возложена на меня в рамках должностных обязанностей», -подчеркивает эксперт.

• Объясняйте бизнес-партнерам, как выглядит на практике поддержание объективности и беспристрастности. Перед консультационным проектом аудиторы должны четко донести до бизнес-партнеров свою потребность в поддержании объективности. «Мы сидим на другом конце стола и рассказываем, что мы будем делать, а что – нет», -заявил один из CAE. «Мы приводим примеры того, как выполняли похожую работу ранее. Мы подчеркиваем, что именно они в конечном итоге должны принять решение. Такие беседы обеспечивают и бизнес-партнерам, и нам самим больше комфорта». Внутренний аудит также должен помнить о своей обязанности по отчетности, если команда сталкивается с потенциальным мошенничеством или значительными проблемами.

• Будьте готовы к тому, что бизнес-партнеры будут хотеть слишком многого. САЕ выступают за готовность прекратить работу, когда руководство требует или ожидает слишком многого от внутреннего аудита во время консультационного проекта. «Были случаи, когда руководители подразделений спрашивали, можем ли мы сделать проект политики Х? Мой ответ: мы рады помочь, мы можем предоставить примеры, что должно быть в такой политике, но мы не будем ее писать за вас и мы не будем под ней подписываться, поскольку этим мы пересечем линию независимости».Анна Лернер (ПАО «Ростелеком») считает, что в консультировании самое сложное – прояснять ожидания участников проекта. Необходимо обеспечивать своевременную и полную коммуникацию внутренним аудиторам и поддерживать в ходе проекта фокус на консультационной задаче проекта. Что касается бизнеса-подразделений, важно договариваться на начальном этапе о границах консультирования и определять четкий формат взаимодействия и конечного результата.

• Признавайте необходимость взаимовыгодной работы. В то время как бизнес берет на себя ответственность за новые политики или процессы, разрабатываемые во время консультационного проекта с участием внутреннего аудита, участие в разработке этих документов часто взаимовыгодно


ПРАКТИКА

19

всем. Например, бизнес-команда может разработать проект нового регламента, консультируясь с внутренним аудитом, а затем направить его этим же аудиторам на рецензию. Аудиторы могут дать рекомендации, как улучшить этот проект.

• Адаптируйтесь при необходимости. В некоторых случаях необходимо обеспечить, чтобы аудиторы, занимавшиеся консультационным проектом по какой-либо теме, не участвовали в ее аудите в течение 12 месяцев. При этом иногда бывает, что консультационная работа выявляет необходимость аудита. В таких случаях, как говорят CAE, для внутреннего аудита важно донести обоснование такого решения бизнес-партнеру и предпринять необходимые дальнейшие шаги.Артем Горлов (ПАО АФК «Система»), дополняет приведенные подходы: «Действенным методом может являться ротация внутренних аудиторов и переход аудиторов в бизнес-функции. Сотрудникам, работающим в функции внутреннего аудита продолжительное время (как правило, более 3 лет), становится все сложнее оставаться объективными. В вопросах сохранения объективности не стоит полагаться только на требование Стандартов («объективность подвергается отрицательному влиянию, если сотрудник был ответственен за область в течение предшествующего года»), объективность может подвергаться отрицательному влиянию, если сотрудник был ответственен за какие-то процессы в бизнесе несколько лет назад и более. Также мы должны понимать, что часто

Лучшие практики поддержания независимости внутреннего аудита

• Информируйте аудиторский комитет• Обучайте внутренних аудиторов на тему ключевых рисков, касающихся независимости и поддержания объективности и беспристрастности• Оценивайте потенциальные проблемы с независимостью• Объясняйте бизнес-партнерам, как выглядит на практике поддержание объективности и беспристрастности• Будьте готовы к тому, что бизнес-партнеры будут хотеть слишком многого• Признавайте необходимость взаимовыгодной работы• Адаптируйтесь при необходимости

функция внутреннего аудита – это один сплоченный коллектив, поэтому передавая вопросы, за которые раньше отвечал один аудитор, другим коллегам, мы не решим проблему с сохранением объективности».

Предоставление консультационных услуг

«Наш генеральный директор четко заявил, что оценивает ценность внутреннего аудита в основном по консультационной работе, которую нам поручают».Независимо от того, сколько консультационной работы выполняет внутренний аудит, большинство руководителей описывают схожий набор лучших практик.

• Установить и укрепить подходы внутреннего аудита к консультированию. Один из CAE описывает консультационную работу внутреннего аудита как «погоню за рисками», другой – как «обучение лучшим практикам» по управлению, рискам и контролям. Еще один отмечает, что консалтинговый подход функции предназначен для «разжигания разговоров о внутреннем контроле» при разработке новых процессов и инструментов. Подчеркивание консультационного подхода, миссии и/или образа мышления позволяет согласовать ожидания бизнес-партнеров с внутренним аудитом, сохраняя при этом направленность консалтинга на конкретные задачи. Новым членам комитета по аудиту зачастую требуется кратко объяснить суть подхода внутреннего аудита к консалтингу. Один из CAE недавно объяснял двум новым членам аудиторского комитета (ни один из них до этого глубоко не вникал в суть аудиторской консультационной работы), что «наша консультативная работа сосредоточена вокруг рисков и контролей, это не та консультативная работа, которую выполняют компании типа McKinsey». По мнению Александра Московкина, директора по внутреннему контролю и аудиту АО «РТИ», не всегда эти подходы различаются: «Выявление в ходе проектов аудитов коренных причин недостатков бизнес-процессов и проработка мероприятий по их устранению может привести в результате к консалтинговым рекомендациям, похожим на предложения компаний «большой четверки». Мне известен случай, когда аудиторы в ходе работы над проектом анализа бизнес-процесса


ПРАКТИКА

20

продаж, анализируя низкие объемы сбыта продукции, предложили в качестве альтернативы изменить схему перевозки, задействовав водный транспорт, что менеджментом в принципе не рассматривалось». Ирина Барыкина, ACCA, CIA, CRMA, начальник отдела финансовых аудитов, блок внутреннего контроля и аудита, ПАО «МТС», так комментирует консультационный проект в области инсайд-комплаенс действующих операций казначейства: «ПАО «МТС» как публичная компания c листингом на NYSE должно соблюдать многочисленные требования регуляторов, которые часто меняются. Естественно, соблюдение данных требований создает дополнительную нагрузку на бизнес-подразделения. Наша задача в ходе консультационных проектов в том числе помочь бизнесу оптимизировать объём контрольных процедур, необходимых для обеспечения соответствия. Конечно же, с учетом требования независимости внутреннего аудита».

• Повышать осведомленность. Подразделения внутреннего аудита, которые только начинают предоставлять консультационные услуги, должны рассказать другим подразделениям об их сути. CAE должны поощрять внутренних аудиторов (а также бывших аудиторов, которые перешли в другие подразделения) неформально продвигать консалтинг среди бизнес-партнеров где только возможно, например, на совещаниях, во время обеда в столовой, во время проведения аудитов. Многие руководители аудита проводят свои маркетинговые мероприятия. «Я посещаю много подразделений по всему миру в течение года», - рассказывает один из CAE. – «И я часто делюсь предложениями и наблюдениями о различных возможностях улучшений на основе того, что я вижу. Это помогает установить доверие». Также это дает CAE повод для обсуждения консультационных услуг внутреннего аудита, когда бизнес-партнеры ищут больше предложений. Но прежде всего, отлично выполненная консультационная работа – лучший способ продвижения таких услуг. «Когда мы делаем хорошую работу, слова распространяются быстро», -отмечает один из CAE.Одной из практик, которую активно внедряет Артем Горлов, управляющий директор по операционным аудитам ПАО АФК «Система», является презентация команды аудиторов с указанием областей, в которых конкретные аудиторы имеют экспертизу. С одной стороны, для аудиторов это служит мотивацией проявлять себя на проектах и развивать свои компетенции, с другой

– менеджмент будет осведомлен об областях, в которых может использовать ресурсы функции внутреннего аудита.

• Тщательно изучайте новые консультационные проекты. Внутренние аудиторы должны предварительно изучить консультационный проект для того, чтобы: (1) понимать предпосылки проекта, его цели, а также ожидаемые результаты; (2) понять, соответствует ли он уровню экспертизы аудиторов или же следует привлечь сторонних экспертов; (3) оценить потенциальные проблемы объективности и пути снижения рисков; (4) понимать контекст работы, чтобы повысить ее эффективность. Это включает понимание того, кто заказывает консультационную поддержку, какие бизнес-партнеры будут принимать участие, какие будут последствия (и рекомендации, которые может дать внутренний аудит), а также продолжительность проекта. Получив представление об этом, «у вас больше шансов сделать гораздо более эффективную работу», -говорит один CAE. «Вы же не хотите сначала не показать промежуточных результатов, а затем услышать от заказчиков, что это не то, что просили».По опыту Анны Лернер (ПАО «Ростелеком»), очень важно, заявляя экспертизу в том или ином проекте, постоянно совершенствовать свои знания и уметь признавать недостатки опыта, в случае реализации такого риска в ходе консультационного проекта. Кроме того, необходимо совершенствовать свои навыки «думать за рамками», особенно в отсутствие процедур и стандартов.

• Сформулируйте, сообщайте и распространяйте идеи надлежащим образом. CAE, как правило, разделяют консалтинговые услуги и отчеты по их результатам и традиционные аудиторские отчеты. Формальные аудиторские отчеты включают наблюдения, рекомендации, а также план по их выполнению менеджментом с указанием дат. Аудиторские отчеты также обычно распространяют широкому кругу. Отчеты по результатам консультационных проектов зачастую называются промежуточными отчетами или меморандумами, содержат гораздо меньше информации: по 3-5 предложений о том, что было запрошено, что было обнаружено аудиторской группой, а также выводы или рекомендации. Такие отчеты распространяются ограничено. В зависимости от значительности выводов высший менеджмент и комитет по аудиту может как включатся, так и нет в число получателей отчета.


ПРАКТИКА

21

Для согласования ожиданий CAE считают полезным показать бизнес-партнерам пример отчета перед началом работы. Внутренний аудит также должен быть готов выполнить свои обязанности по информированию заинтересованных сторон в случае, если команда обнаружит потенциальное мошенничество или существенные проблемы.

• Отслеживайте выполнение рекомендаций, оценивайте и улучшайте. Поскольку консультационные отчеты не содержат планов корректирующих действий менеджмента, от бизнес-партнеров формально не требуется выполнять рекомендации. Тем не менее, CAE отмечают пользу проведения контроля выполнения рекомендаций (follow-up). «Мы делаем follow-up», - говорит CAE. –«Мы не отчитываемся по его результатам, но запрашиваем, сделаны ли пункты X, Y и Z». Руководители аудита также считают необходимым подсчитывать и мониторить количество завершенных консультационных проектов. Некоторые из них также ведут статистику консультационных проектов по запросу бизнеса как средство оценки того, насколько эффективно функция повышает осведомленность о своих консультационных услугах, и показатель эффективности консультационной работы. Стабильно увеличивающееся количество запросов на консалтинг свидетельствует об эффективности такой работы. «В течение последних нескольких лет мы вели статистику поступающих запросов на консалтинг», - рассказывает один из CAE. – «Каждый год их количество возрастает. Также мы слышим от удовлетворённых директоров не только то, что они довольны, но и то, что они делятся этим со своими коллегами. Это хорошо». Консультационная работа также должна подлежать оценке и проверкам качества, которые могут обеспечить извлечение уроков и возможности для постоянного совершенствования. Елена Кошмелева (ООО «Газпром трансгаз Томск») согласна с необходимостью для внутреннего аудита мониторинга выполнения рекомендаций, оценки результатов их исполнения и разработки дальнейших улучшений: такая работа оказывает несомненную помощь при планировании как текущем, так и перспективном.

Алексей Чепайкин (АО «Концерн Росэнергоатом») поделился тремя основными правилами, сформированными практикой внутреннего консультирования:

1. Консультирование должно приводить к снижению уровня неопределенности у менеджмента при принятии решения.2. По результатам консультирования должно быть сформировано однозначно трактуемое мнение.3. Консультация должна быть выполнена в нужный срок.

Объективность не помеха

Консалтинг дает много выгод, но требует ума, гибкости, а также аккуратного подхода к тонкой линии объективности. Как подчеркивают ведущие CAE, сохранение баланса требует внимания, но его несложно достичь, придерживаясь лучших практик. Возможно, самая большая ошибка руководителей внутреннего аудита заключается в том, что они не пытаются найти баланс, необходимый для предоставления консультационных услуг. «Не будьте непреклонными», - советует один CAE. – «Так вы потеряет отличную возможность принести больше пользы вашим клиентам».

По мнению Дмитрия Бочарова, вице-президента по внутреннему контролю и аудиту «Сегежа Групп», консультирование – это ключевая возможность для внутреннего аудита по созданию ценности и выстраиванию эффективных коммуникаций с бизнесом: «Если мы в рамках проектов консультирования помогаем менеджменту в решении актуальных задач и выполнении KPI компании, нас рассматривают как помощников, а не надзорный орган. После нескольких удачных проектов консультирования рекомендации внутреннего аудита воспринимаются конструктивнее, так как у менеджмента меняется отношение к функции. Вопрос баланса между предоставлением гарантий и консультированием для каждой компании нужно определять индивидуально. Это зависит как от ожиданий «заказчиков» (акционеров, членов комитета по аудиту, руководителя компании), так и наличия необходимых компетенций у аудиторов. В этом году в «Сегежа групп» консультационные проекты занимают 75% времени, потому что есть соответствующий запрос и положительный отклик. В следующем году ситуация может измениться. Динамика происходящих процессов и изменений такова, что бизнесу и внутреннему аудиту вместе с ним нужно быть гибкими и готовыми оперативно меняться». ∞


ПРАКТИКА

22

Идея написать статью об искусственном интеллекте появилась после Национальной конференции Института внутренних аудиторов «Внутренний аудит в России: новые решения в новом мире», которая состоялась в марте этого года. В рамках мероприятия тема современных технологий постоянно возникала в вопросах из зала и неформальном общении с коллегами. Если обобщить итоги обсуждений, профессиональное сообщество раскололось на два лагеря: тех, кто видит в технологиях угрозу внутреннему аудиту, поскольку «машина» может нас заменить; и тех, кто считает их возможностью, которую нам следует использовать. Дискуссия и плюрализм мнений – это увлекательно, но желательно приводить факты и примеры из практики. Поэтому ниже предлагаю свою точку зрения по обозначенной теме на основе кейсов, которые были проработаны в «Сегежа Групп» за последние несколько месяцев. Можно сказать, что конференция ИВА фактически стала катализатором этого направления работы нашей команды. Это лишний раз подчеркивает важность таких мероприятий и обмена опытом с коллегами по профессии.

Машинное обучение машин

Одной из первых задач, которую внутренний аудит «Сегежа Групп» предложил решить с применением инструментов искусственного интеллекта, была борьба с простоями бумагоделательной машины (далее – БДМ) на целлюлозно-бумажном комбинате.

Хотя БДМ представляет из себя сложный автоматизированный механизм размером с футбольное поле, технология производства проста. С одной стороны в БДМ поступает целлюлоза, с другой – выходит бумажное полотно, которое наматывается в рулоны по 20 тонн каждый. Впоследствии из бумаги производят индустриальную и потребительскую упаковку. Например, бумажные пакеты, которые вы можете найти в IKEA, Ашане и других торговых центрах.Каждый обрыв бумажного полотна приводит к остановке БДМ и необходимости ее переналадки. Простои, в свою очередь, – это недовыпуск высокомаржинальной продукции и, соответственно, упущенная выгода для компании. Хотя количество простоев не превышало установленных норм, менеджмент комбината видел в этой задаче возможность повышения операционной эффективности.

После изучения этого кейса внутренний аудит пришел к выводу, что ключевая причина возникновения обрывов – это сложность БДМ и множество параметров работы ее элементов. И проблема не в действиях ответственных сотрудников, а в ограничениях возможностей человека. На текущем этапе эволюции мы не в состоянии в режиме реального времени анализировать показания множества датчиков и, устанавливая корреляцию между потоками данных, предсказывать новый обрыв. Но это может делать математическая модель, разработанная на основе машинного обучения.


ПРАКТИКА

Дмитрий Бочаров, вице-президент по внутреннему контролю и аудиту «Сегежа Групп», к.э.н.

ИСКУССТВЕННЫЙ ИНТЕЛЛЕКТ

ВНУТРЕННЕГО АУДИТА

23

Машинное обучение (Machine learning) – набор методов создания искусственного интеллекта, который основывается на принципах выявления закономерностей, извлекаемых из больших массивов данных. Позволяет выявлять типовые шаблоны, прогнозировать результат деятельности, автоматизировать работу сотрудников и принятие решений.

Отдельно следует отметить, что на начальном этапе этого знания о технологии машинного обучения было достаточно для разработки рекомендации внутренним аудитом.

В результате был инициирован пилотный проект: специально созданной под эту задачу математической модели «скормили» массив исторических данных с 410 датчиков БДМ о параметрах работы машины и ранее произошедших обрывах. Анализ этой информации позволил модели определить закономерности в работе БДМ в момент обрывов. Сейчас модель в режиме реального времени анализирует показания с датчиков машины и предупреждает оператора о риске обрыва. Первый

месяц реализации пилотного проекта показал, что модель способна предсказать 68% обрывов. По понятным причинам, не могу раскрыть стоимость пилотного проекта и полученный результат. Но результат такой, что затраты на пилотный проект окупились за один месяц.

Интеллект против потерь

Еще один пример использования искусственного интеллекта мы подсмотрели у одной из российских компаний металлургической отрасли. Разработанная ими математическая модель определяла минимально необходимое количество ферросплавов, стоимость которых значительна, для производства стали в соответствии с требованиями ГОСТа.

Искусственный интеллект (Artificial Intelligence) –общий термин для компьютерных систем, способных воспринимать окружающую среду, думать, учиться и действовать в зависимости от оценки окружения и заданных целей.


ПРАКТИКА

Схематичное изображение БДМ

24

Аналогичный принцип был заложен в проект по снижению уровня брака при производстве бумаги на комбинате «Сегежа Групп». Был разработан «цифровой двойник» БДМ, на базе которого осуществлялся анализ корреляций показателей работы машины, параметров сырья, уровня брака и пр. Вариативность влияния данных друг на друга настолько значительна, что для поиска зависимостей было необходимо математическое моделирование сценариев. В итоге, разработанная модель научилась формировать рекомендации для оператора по изменению параметров производственного процесса таким образом, чтобы при соблюдении требований по технологии и качеству готовой продукции уровень брака снижался.

По моему мнению, аналогичные модели на базе искусственного интеллекта можно использовать для решения целого комплекса бизнес-задач. Снижение расхода сырья и дорогостоящих компонентов, повышение качества готовой продукции и снижение брака, построение оптимизационных моделей использования оборудования для снижения себестоимости.

Везде, где есть массивы взаимозависимых данных, искусственный интеллект может показать результат, который человек, в силу естественных ограничений, самостоятельно рассчитать не может.

Ловим в нейросети

Еще одна задача, к которой мы недавно приступили, связана с учетом древесины. Это проблема не столько «Сегежа Групп», сколько лесной отрасли в целом. Несмотря на огромные запасы леса, древесина – это ликвидный товар, на который имеется постоянный спрос как на «белом», так и «сером» рынках.

Проблемой является отсутствие доказательства факта измерения объема и качества древесины. Упрощенный процесс выглядит следующим образом: приезжает автомобиль с древесиной, ответственный сотрудник проводит замеры, оформляет акт сдачи-приемки, после чего древесину сгружают в общий штабель на складе. Была ли фактически древесина, сколько и какого качества –подтвердить нельзя, есть только акт. Поскольку стоимость древесины в одном автомобиле больше месячной зарплаты водителя и приемщика вместе взятых, условия для злоупотреблений налицо.

Уверен, с аналогичными рисками вы сталкивались в своей практике. Эта проблема является актуальной для любого сырья, материалов или готовой продукции. Особенно если количество исчисляется миллионами тонн или кубометров. Сложно вести достоверный учет и проводить инвентаризацию. Есть риск, что сотрудники не делают ни того, ни другого.

Ключевая причина проблемы – это человеческий фактор. Вне зависимости от средств измерений, учетных систем и внедренных контролей, приемка древесины ведется сотрудниками. Причем это происходит по всей цепочке движения древесины –от делянки, где ее заготавливают, до склада на комбинате. Поэтому исключить риск сговора нельзя. Это касается как количества древесины (объем в кубических метрах), так и таких параметров как диаметр и сортность бревен. Важно отметить, что цена за разный сорт одной и той же породы дерева может отличаться на порядок.

Предложение внутреннего аудита «Сегежа Групп», которое сейчас находится в разработке, –использовать при приемке древесины мобильное приложение с математической моделью на основе нейросети, которое позволяет:

• замерить объем древесины, количество и диаметр каждого бревна (построение 3D-модели по нескольким фотографиям);• оценить сорт каждого бревна (нейросеть с самообучением);• связать результаты замеров древесины с номером автомобиля, на который или с которого велась разгрузка (распознавание номеров по фото);• проводить инвентаризации древесины на складах (построение 3D-модели по нескольким фотографиям).

Искусственная нейронная сеть (Artificial Neural Networks) — математическая модель, построенная по принципу организации и функционирования биологических нейронных сетей, то есть сетей нервных клеток живого организма. Представляет систему соединённых и взаимодействующих между собой простых процессоров. Нейронные сети не программируются, а обучаются, что является их главным преимуществом перед традиционными алгоритмами.


ПРАКТИКА

25

Немаловажно, что это приложение будет сохранять результаты и фотографии каждого замера древесины на сервере как аудиторский след. Таким образом, без пересмотра бизнес-процесса и замены сотрудников мы внедрим надежный инструмент контроля, который устраняет ключевую причину проблемы.

Можно сказать, что для «Сегежа Групп» это будет первый ИИ-контроль, то есть внутренний контроль, в основе которого лежит технология искусственного интеллекта.

На первом этапе планируем создать телеграмм-бот и раздать сотрудникам мобильные телефоны. Ответственные за приемку будут загружать фото древесины, а в ответ получать информацию о ее количестве и объеме. После подтверждения точности разработанной модели, примем решение о разработке и окончательном функционале мобильного приложения.

В частности, в приложение могут быть встроены автоматические контрольные процедуры. Например, нейросеть сможет сопоставить фотографии древесины с места загрузки и с места разгрузки лесовоза – сравнить объем, количество и диаметр

бревен, долю разных сортов. И проинформировать о выявленных расхождениях, то есть зажечь «красный флажок». Таким образом, внутренний аудит «Сегежа Групп» планирует разработать Архитектуру СВК – то есть систему внутреннего контроля процесса учета и движения древесины по всей производственной цепочке, ядром которой будут ИИ-контроли.

Недалекое будущее

По моему мнению, внутренний аудит вполне может стать драйвером технологических изменений в своих компаниях, особенно если в них нет digital-лидера (Chief Digital Officer).

Именно представители внутреннего аудита обладают методологической базой, навыками и опытом, которые необходимы для разработки ИИ-контролей и Архитектуры СВК бизнес-процессов. Более того, такую работу можно отнести к внутреннему консультированию.

Противоположная точка зрения, безусловно, имеет право на свое место под солнцем. Поэтому надеюсь на живой отклик и новые публикации по этой интересной тематике в следующих номерах журнала «Внутренний аудитор».

В любом случае, динамику развития и скорость проникновения технологий во все аспекты деятельности человека сложно игнорировать. Чат-боты, дроны, беспилотники, распознавание лиц, трехмерная печать, децентрализованные информационные системы и многое другое. Это уже не просто названия, а реальные технологии, которые работают.

Внутренний аудит должен либо интенсивнее плыть против этого бурного течения, либо сесть в одну лодку с технологиями и начинать грести. Просто наблюдать за этим соревнованием со стороны не получится. Поскольку после его завершения мы можем остаться сидеть на пустых трибунах в гордом одиночестве. ∞

Тренинг Дмитрия Бочарова в Учебном центре Института внутренних аудиторов «Внутренний аудит со скоростью риска: проверки по срочным запросам менеджмента и внутренний консалтинг» состоится 31 октября 2019 года. Подробнее: https://www.iva-edu.ru/kopiya-programma-otchet-2


ПРАКТИКА

https://www.iva-edu.ru/kopiya-programma-otchet-2

26

COSO ERM


Успейте приобрести COSO «Управление рисками организации. Интеграция со стратегией и эффективностью деятельности» (COSO ERM)!

Издание COSO «Управление рисками организации. Интеграция со стратегией и эффективностью деятельности» можно приобрести в книжном интернет-магазине Totbook.

Подробнее об издании: на сайте ИВА

Спешите! Количество экземпляров ограничено!

https://totbook.ru/catalog/345/1136970/

https://www.iia-ru.ru/inner_auditor/news/kontseptsiya-coso-upravlenie-riskami-organizatsii-integratsiya-so-strategiey-i-effektivnostyu-deyate/


ПРАКТИКА

Программа гарантий и повышения

качества внутреннего аудита

Мария Кедрова, директор управления внутреннего аудита, «Ренессанс Страхование»

Современные условия быстро меняющейся экономической и конкурентной среды диктуют каждой службе внутреннего аудита (далее – СВА) необходимость непрерывно повышать свой профессиональный уровень, эффективность и результативность, а также качество предоставляемого сервиса. Только так, постоянно совершенствуя свою деятельность и будучи в курсе текущих тенденций и передовых практик (как по внутреннему аудиту, контролю и рискам, так и в отраслевых вопросах, финансах и технологиях), можно увеличить ценность СВА внутри организации и уровень доверия внутренних клиентов.

28

Для достижения этих целей, а также для соответствия ожиданиям акционеров и совета директоров, руководитель СВА составляет Программу гарантий и повышения качества (далее -ПГиПК), которая охватывает все аспекты осуществления и управления деятельностью внутреннего аудита согласно Международному профессиональному стандарту внутреннего аудита (далее – МПСВА) №1300.Перечень Стандартов и Руководств, которые можно использовать при подготовке ПГиПК, а также примерная структура документа приведены далее.

Применимые Стандарты и Руководства

1. Международные профессиональные стандарты внутреннего аудита1300 - Программа обеспечения и повышения качества внутреннего аудита1310 - Требования программы обеспечения и повышения качества1311 - Внутренние оценки1312 - Внешние оценки1320 - Отчетность по программе обеспечения и повышения качества1321 - Использование фразы «соответствует Международным профессиональным стандартам внутреннего аудита»1322 - Раскрытие информации о несоответствии

2. Практические руководстваПрактическое руководство «Quality Assurance and Improvement Program» (март 2012г.)

3. Прочие полезные материалы• Quality Assessment Manual (учебник Международного института внутренних аудиторов)• Модель зрелости ВА «The Internal Audit Ambition Model» (IIA-Нидерланды)• Концепция компетенций внутреннего аудитора ИВА (2013г.)• Профессиональный стандарт «Внутренний аудитор», утв. Приказом Министерства труда и социальной защиты РФ №398н от 24.06.2015г.


ПРАКТИКА

29

Примерная структура разделов Программы гарантий и повышения качества

1. Цели документа2. Общие положения3. Применимые стандарты4. Внутренние оценки:

4.1. Текущий непрерывный мониторинг4.2. Периодические самооценки

5. Внешние оценки6. Отчетность по Программе гарантий и повышения качества

На периодической основе (как правило, один раз в год) руководитель СВА проводит оценку ПГиПК и при необходимости обновляет ее.

ПГиПК включает внутренние оценки (периодические самооценки и текущий непрерывный мониторинг), проводимые непосредственно руководителем СВА, а также внешние оценки, проводимые квалифицированным независимым оценщиком. В документе необходимо определить перечни критериев и процедур оценки, периодичность их выполнения, а также целевые значения.

Внутренние оценки

1.Текущий мониторинг деятельности внутреннего аудита

Согласно МПСВА №1311, текущий мониторинг является неотъемлемой частью ежедневного анализа и оценки деятельности внутреннего аудита и осуществляется непрерывно в отношении всех аудиторских процессов, что позволяет оперативно выявить зоны развития СВА, не дожидаясь проведения комплексной самооценки.

Текущий непрерывный мониторинг, как правило, включает следующие процедуры:• отслеживание выполнения ключевых показателей эффективности: соблюдение бюджета времени и запланированных сроков аудита – поэтапно и в целом по аудиту;процент согласованных рекомендаций;

уровень удовлетворенности внутренних клиентов по завершенным аудитам[1].

• контрольные точки на каждом этапе аудита со стороны руководителя СВА/ руководителя рабочей группы (например, контроль результатов оценки рисков и контрольных процедур по итогам планирования, обсуждение объема и репрезентативности выборки, итоги проведения аудиторских процедур, предварительный отчет);

• ревью комплектности и качества аудиторского досье (т.е. рабочих бумаг и аудиторских доказательств) на предмет их достаточности и полноты для подтверждения выводов и результатов аудита;

• оперативное отслеживание эффективности распределения рабочего времени СВА на базе Time-sheet (учет рабочего времени каждого внутреннего аудитора в разрезе проводимых плановых и внеплановых аудитов, follow-up, обучения, прочих задач).

2. Периодические самооценки

Периодические самооценки обычно осуществляются на ежегодной основе (в современных условиях –целесообразно проводить чаще) и представляют собой комплексный и всесторонний анализ деятельности СВА.

Периодические самооценки могут включать следующие элементы:

• оценка соответствия деятельности СВА обязательным для применения элементам МОПП, внутренним документам СВА, требованиям законодательства;

• анализ актуальности внутренних документов и процедур СВА, включая Положение о внутреннем аудите;

• определение общей эффективности и результативности деятельности СВА на основе выполнения КПЭ по итогам года;

• анализ актуальности применяемых КПЭ;• ежегодный опрос удовлетворенности

результатами аудитов основных заказчиков аудита (например, членов совета директоров или представителей комитета по аудиту), а также СЕО и высшего руководства компании;

……............................[1] Два последних показателя были детально рассмотрены в

статье «Оценка качества выполнения аудиторского задания» («Внутренний аудитор» №1 (5), март 2019).


ПРАКТИКА

30

• актуализация модели компетенций СВА с последующей оценкой компетенций внутренних аудиторов для составления планов командного и индивидуального развития;• получение обратной связи от сотрудников СВА (воркшопы/ рабочие встречи) по вопросам повышения эффективности и результативности деятельности;• бенчмаркинг с передовыми практиками в области внутреннего аудита других компаний (как финансового, так и нефинансового секторов).

По итогам периодических самооценок руководитель СВА определяет области для развития и составляет План действий по совершенствованию деятельности СВА. План действий в течение года может оперативно дополняться в зависимости от моментов, выявленных по итогам текущего непрерывного мониторинга.

Внешние оценки

Цель внешней оценки – получение независимого мнения о соответствии деятельности СВА обязательным элементам Международных основ профессиональной практики внутреннего аудита (далее – МОПП).

Согласно МПСВА №1312, внешние оценки проводятся не реже одного раза в 5 лет независимым и квалифицированным внешним оценщиком или группой оценщиков, которые не являются сотрудниками организации.

Внешняя оценка охватывает все направления деятельности СВА. По стандартной процедуре внешний оценщик дает оценку соответствия СВА обязательным для применения элементам МОПП. Однако, объем оценки может быть расширен по усмотрению руководителя СВА, к примеру, проведением независимого анализа на соответствие СВА лучшим практикам или определением общего уровня зрелости СВА.

Выбор внешнего независимого оценщика осуществляется на основании критериев, определенных руководителем СВА (предварительно данные критерии целесообразно согласовать с советом директоров/ комитетом по аудиту).

Перечень таких критериев может включать:• отсутствие фактического и потенциального конфликта интересов;

• опыт работы с организациями аналогичного масштаба и сложности, в соответствующих секторах, отраслях (проекты по внешней оценке СВА, а также проекты в области оценки системы внутреннего контроля и управления рисками);• профессиональный практический опыт рабочей группы;• наличие профессиональных сертификатов у участников рабочей группы и пр.

Отчетность по Программе гарантий и повышения качества

Руководитель СВА должен информировать совет директоров/ комитет по аудиту и высшее руководство организации о результатах выполнения ПГиПК (по итогам как внутренних оценок, так и внешней оценки), к примеру, в составе годового отчета СВА.

Информационное сообщение должно содержать (как минимум):• оценку соответствия обязательным элементам МОПП (как внутреннюю, так и внешнюю оценку);• основные выводы по результатам как внутренней, так и внешней оценки;• план действий по совершенствованию деятельности СВА;• статус реализации предыдущих рекомендаций.

В случае выявления несоответствия МПСВА и Кодексу этики, которое влияет на общие объем и содержание или деятельность СВА, руководитель СВА должен сообщить о факте несоответствия и его последствиях высшему руководству компании и Комитету по аудиту /Совету директоров.

Успешное выполнение Программы гарантий и повышения качества (по итогам как внутренних, так и внешних оценок) позволяет руководителю СВА заявлять о том, что «деятельность внутреннего аудита осуществляется в соответствии с МПСВА».

Такое заявление является дополнительной гарантией для акционеров, совета директоров и высшего руководства, что деятельность внутреннего аудита соответствует Международным стандартам и лучшим практикам внутреннего аудита, что также способствует росту значимости функции внутреннего аудита внутри организации.∞


ПРАКТИКА


ПРАКТИКА

Вызовы внутреннего аудита в государственном

секторе

Ара Чалабян*, CIA, CRMA, FCCA, CRISCПрезидент IIA-Армения, главный аудитор Центрального банка Республики Армении. В 2017-2018 гг. являлся независимым членом Комитета по внутреннему аудиту в министерствах финансов, труда и социальных вопросов.

По просьбе журнала «Внутренний аудитор» наш постоянный автор Ара Чалабян перевел на русский язык свою статью о вызовах внутреннего аудита в государственном секторе Республики Армении, поскольку эти вызовы встречаются во многих постсоветских и восточноевропейских странах.

*Статья Ары Чалабяна Elevating team Performance, опубликованная в апрельском номере 2018 года журнала Internal Auditor, была отмечена премией Outstanding Contributor 2019. Русская версия статьи «Повышение эффективности команды» была публикована в журнале «Внутренний аудитор» (№3, 2018). Институт внутренних аудиторов поздравляет Ару Чалабяна с заслуженной наградой!

32

Внутренний аудит в государственном секторе

Внутренний аудит является деятельностью по предоставлению независимых гарантий и консультаций, направленной на повышение эффективности организации. Внутренний аудит изначально появился в частных организациях и особенно широкое распространение имеет в финансовой сфере, позднее был внедрен также в государственном секторе. Правильно функционирующая система внутреннего аудита может сыграть важную роль в повышении эффективности управления в государственном секторе, качестве предоставляемых услуг населению и улучшению подотчетности.Попытки внедрить внутренний аудит в государственном секторе Армении были предприняты еще в начале 2000-х годов на экспериментальной основе (в Центральном банке функция внутреннего аудита была внедрена в 1996 году). Повсеместное внедрение внутреннего аудита в государственном секторе началось в 2013 году, с принятием Закона «О внутреннем аудите». К концу 2018 года число внутренних аудиторов, работающих в государственном секторе, составляло 290. Для сравнения – количество членов Института (ассоциации) внутренних аудиторов Армении

составило 180 (не все члены работают внутренними аудиторами).

В 2018 году подразделения внутреннего аудита функционировали в 56-ти государственных и 46-ти местных органах самоуправления. В 136-ти администрациях сельских общин внутренний аудит был делегирован частным организациям. Это довольно серьезные цифры, учитывая низкий уровень осведомленности, знаний и опыта. Необходимо отметить, что в частном секторе – в коммерческих банках и страховых организациях –внутренний аудит был внедрен в 2005 году по требованию Центрального банка РА (в то время количество коммерческих банков составляло 21, а страховых организаций – 6). В нефинансовом секторе первой организацией, которая внедрила внутренний аудит, стала компания сотовой связи «Арментел» (торговая марка Билайн), последовав политике своей головной компании. Согласно исследованию CBOK Международного Института внутренних аудиторов (IIA), в мире в среднем один из 4-х аудиторов работает в государственном секторе, тогда как в Армении число внутренних аудиторов в государственном секторе вдвое превышает число аудиторов, работающих в частном секторе (Рисунок 1). По сути, функции внутреннего аудита в государственном и частном секторах Армении развились отдельно друг от друга.


ПРАКТИКА

Источник: The Global Internal Audit Common Body of Knowledge, Годовой отчет системы внутреннего аудита государственного сектора РА за 2018 год, данные IIA-Армения

33

Структура государственного сектора

Ответственное за внедрение внутреннего аудита в государственном секторе – Министерство финансов, которое является уполномоченным органом Правительства и осуществляет разработку и внедрение законодательства и методологии внутреннего аудита на основе международных стандартов и успешной практики, а также обеспечивает отчетность в системе.

Государственный сектор включает в себя организации, агентства, которые контролируются и финансируются государством и обслуживают государственные программы. К таким относятся:

• Органы государственного управления (например, министерства, отдельные службы, органы территориального управления) и органы местного самоуправления (например, мэрии).

• Государственные или территориальные учреждения и некоммерческие организации.

• Организации с более чем пятидесятипроцентным участием государства или общин.

Статус внутреннего аудита в органах государственного управления

Функция внутреннего аудита находится в подчинении руководителя организации, специальной комиссии или совета (за исключением тех случаев, когда за внутренний аудит ответствен руководитель аппарата/ генеральный секретарь). На рисунке 2 показано, что в государственном секторе внутренний аудит в основном функционирует в подчинении одного человека, будь то руководитель организации или руководитель аппарата (комиссии и советы несмотря на то, что являются коллегиальным органом по принятию решений, возглавляются руководителем учреждения). Статус службы внутреннего аудита в организационной структуре и прозрачность отчетности имеют существенное воздействие на степень независимости и объективности внутреннего аудита [1].

Комитет по внутреннему аудиту призван повышать степень независимости и должен состоять как минимум из 3-х членов, имеющих 3-летний (и более) опыт работы в сфере внутреннего аудита [2].……............................[1] Supplemental Guidance: Public Sector Definition, IIA-Global[2] Приказ министра финансов РА, 23 февраля 2012 года


ПРАКТИКА

Источник: Годовой отчет системы внутреннего аудита государственного сектора Республики Армении за 2018 год и Закон Республики Армении «О внутреннем аудите»

34

В органах государственного управления, где при руководителе действует коллегия, функция комитета может перейти к коллегии, что приводит к тому, что профессиональные требования не действуют, а конфликт интересов очевиден. На самом деле, коллегия, которая в основном состоит из руководителя учреждения и его заместителей, является не органом принимающий коллегиальные решения, а консультативным органом, и поэтому не может заменить совет или комитет по внутреннему аудиту.

На рисунке 3 показана подотчетность внутреннего аудита в корпоративном (частном) и государственном секторах.

Успешный опыт корпоративного управления свидетельствует о том, что высшим органом управления организации является коллегиальный совет, который осуществляет надзор [1] за……............................[1] Oversight

исполнительным руководством, причём исполнительный директор не может быть одновременно председателем совета директоров (что было внедрено в банковскую систему РА). Комитет по аудиту является одним из специализированных подкомитетов совета,который помогает совету выполнять свои надзорные функции в отношении исполнительного руководства. Комитет по аудиту подотчетен совету и является связующим звеном между внешним и внутренним аудитом и советом. Из рисунка также видно, что внутренний аудит имеет двойную отчетность: административную – исполнительному руководству и функциональную – комитету по аудиту. Это уникальная модель, которая не встречается в других функциях. Функциональная отчетность означает утверждение годового плана внутреннего аудита и обсуждение аудиторских отчетов. Она также предполагает назначение руководителя и утверждение бюджета внутреннего аудита, то есть максимальное обеспечение независимости внутреннего аудита.


ПРАКТИКА

Источник: Международные стандарты внутреннего аудита, Закон Республики Армении «О внутреннем аудите»

35

Цель функциональной отчетности –обеспечение независимости

внутреннего аудита.

Среда государственного управления отличается: здесь нет советов по надзору, и руководитель учреждения несет всю ответственность за принятие решений. В этом случае функция внутреннего аудита оказывается в сложной ситуации: речи о функциональной ответственности не идет, и, в лучшем случае, она может служить второй линией защиты, то есть звеном идентификации рисков, которое подотчетно исполнительному руководству (по законам РА высшим государственным служащим является руководитель аппарата/ генеральный секретарь, но на самом деле лицом, принимающим решения, является руководитель учреждения). Международный опыт показывает, что в развитых странах для решения этой проблемы создаются независимые или полунезависимые комитеты по внутреннему аудиту (в отличие от частного сектора, где комитет по аудиту координирует и внутренний, и внешний аудит, в государственном секторе нет координации внешнего аудита, поэтому комитет называется «по внутреннему аудиту»). В дополнение к этому, принятие решений по назначению/ отстранению руководителя внутреннего аудита обеспечивает более высокий уровень независимости и защиты.

1. Неосознанная цель внутреннего аудита

Главный вопрос – что ожидает Правительство от внутреннего аудита. Наблюдая сегодня то, какая важность придается внутреннему аудиту, к сожалению, в ряде случаев можно констатировать, что он не всегда служит своей цели и становится

просто самоцелью.

Аудит или надзор?

Целью внутреннего аудита является содействие реализации целей организации путем предоставления рекомендаций по повышению эффективности деятельности. Он помогает учреждению достичь своих целей, систематически оценивая процессы управления, управления

рисками и контроля. Следует отметить, что вбольшинстве постсоветских стран функция внутреннего аудита не всегда соответствует современным принципам. В СССР не было внутреннего аудита, были и остаются (на постсоветском пространстве) инспекционные/ надзорные учреждения, целью которых в основном является выявление злоупотреблений. Сейчас в Армении действует Аудиторская палата, Финансо-бюджетная контрольная инспекция, Государственная контрольная служба, чьи функции в какой-то мере пересекаются друг с другом, а также с внутренним аудитом. Тем не менее, внутренний аудит, преследуя свою уникальную цель, должен иметь более взаимодействующий характер, чем упомянутые выше учреждения.

Стандарты или правила?

Другая проблема, которая является результатом советского наследия – это смешение стандартов, основанных на правилах и принципах. Аудит – это функция, основанная на принципах, и исходит из целей организации, а надзор – это функция соответствия, которая ищет несоответствия. Имея законодательство, основанное на международных стандартах, одновременно были приняты правительственные решения и указы министра финансов, которые в дополнение и в противоположность принципам определяют правила.

ЧТО ДЕЛАТЬ? Прояснить цель.

Организовывая дискуссии на самом высоком уровне, в том числе с привлечением экспертов в этой области, уточняя и отделяя роль внутреннего аудита от других надзорных функций, необходимо подчеркнуть его важность посредством конкретных действий.Нужно пересмотреть подходы, основанные на правилах, и перейти к подходам, основанным на принципах.

2. Формирование комитета по внутреннему аудиту

Роль комитета по внутреннему аудиту является ключевой, она призвана обеспечивать независимость и надзор внутреннего аудита. С одной стороны, роль комитета по внутреннему


ПРАКТИКА

36

аудиту крайне недооценена, а с другой стороны, в стране недостаточно квалифицированных специалистов с соответствующим опытом.

Роль комитета по внутреннему аудиту

Комитет по внутреннему аудиту имеет решающее значение для независимости и обеспечения объективной отчетности внутреннего аудита. Принимая во внимание тот факт, что руководство большинством органов государственного и местного самоуправления осуществляется единолично, роль этого комитета в государственном секторе чрезвычайно важна. В условиях отсутствия совета он должен исполнять надзорные функции совета, и Правительство здесь может сыграть важную роль. В этом контексте важно пересмотреть принципы формирования комитета, обеспечивая его независимость и профессиональные возможности[1].

Нехватка опытных кадров

Ключом к эффективной работе комитета по аудиту является привлечение независимых членов с необходимой квалификацией и опытом, что является серьезной проблемой, учитывая низкое развитие этого института в стране. Международный опыт основывается на полностью независимых или полунезависимых комитетах по внутреннему аудиту.

ЧТО ДЕЛАТЬ? Привлекать независимых экспертов.

Правительство может сформировать экспертную группу, которая будет участвовать в нескольких Комитетах по внутреннему аудиту в качестве независимых членов, обеспечивая наличие профессиональных мнений.С этой целью можно сотрудничать с аудиторскими ассоциациями и компаниями, а также с отдельными экспертами, которые имеют соответствующий опыт работы в составе советов/ комитетов по аудиту.Важно обеспечить обратную связь и подотчетность. Каждый год необходимо организовывать встречи с членами комитета по внутреннему аудиту и обсуждать достигнутый прогресс и существующие проблемы.……............................[1] Согласно Закону Республики Армении «О внутреннем аудите»,руководитель учреждения руководит комитетом по внутреннему аудиту.

3. Недостаточный уровень компетенций

Проблемы неэффективного управления в государственном секторе не могли не оказать негативное влияние на внедрение системы внутреннего аудита. Несмотря на то, что внутренний аудит предназначен для повышения эффективности, неполноценно внедренный внутренний аудит не может помочь достичь этой цели.

Оплата труда и квалифицированные кадры

Низкий уровень оплаты труда существенно ограничивает привлечение квалифицированных кадров, и Правительство РА предпринимает шаги в этом направлении. В случае с внутренними аудиторами проблема усугубляется еще и тем, что нет достаточного количества специалистов. Труд действующих специалистов оплачивается намного выше по сравнению с представителями других профессий. В результате в службах внутреннего аудита государственного сектора сосредоточились кадры, которые не имеют предыдущего опыта аудитора (а предыдущий опыт в надзорных органах скорее мешает, чем помогает), в большинстве случаев не владеют английским языком, который является основным языком профессии, профессиональной литературы, программ повышения квалификаций и международных сертификаций (CIA, CISA, ACCA[1]).

Знания и навыки

Из вышесказанного следует, что внутренние аудиторы, работающие в государственном секторе, изначально имеют ограниченные возможности для формирования знаний и навыков, необходимых сегодня для проведения качественного внутреннего аудита (международные стандарты финансовой отчетности[2], методы внутреннего контроля и управления рисками COSO [3], информационные риски COBIT [4], концепции информационной безопасности ISO27001, киберугрозы и многое другое). Неслучайно, в 2018 году из всех

……............................[1] Certified Internal Auditor, Certified Information Systems Auditor, Association of Chartered Certified Accountants[2] IFRS, IPSAS[3] Committee of Sponsoring Organizations - Internal Control Framework, Enterprise Risk Management[4] Control Objectives for IT


ПРАКТИКА

37

проведенных аудитов 54%составили аудиты по соответствию, в том числе закупок, а аудиты ИТ вообще не проводились (Рисунок 4) [1] .

ЧТО ДЕЛАТЬ? Установить приоритеты.

Понятно, что Правительство сейчас не может обеспечить уровень оплаты труда как в частном секторе, но это должно быть пересмотрено. Одновременно можно рассмотреть другие методы поощрения, например, возможность профессиональной переподготовки, продвижение, поощрение публикаций и преподавания.Совместно с высшими учебными заведениями Правительство может ввести программу магистратуры по внутреннему аудиту для обучения соответствующих кадров.Правительство должно пересмотреть Закон о внутреннем аудите, следует отказаться от большого количества подразделений внутреннего аудита и делегированных услуг в администрациях сельских общин (которые, на самом деле, не имеют отношения к внутреннему аудиту).Вместо этого необходимо выбрать до 5……............................[1] Причиной является также требование Министерства финансов об обязательных аудитах закупок, который не соответствует принятым принципам аудита на основе рисков.

приоритетных государственных руководящих органов (желательно включить Министерствотерриториального управления) и, держа под

пристальным вниманием в течение нескольких лет, создать потенциал, который впоследствии будет задействован в других органах.

Заключение

Внутренний аудит государственного сектора призван содействовать улучшению качества управления государственными организациями и повышению доверия к системе в целом. Опыт Армении и полученные результаты показывают, что внедрение международного опыта методом простых механических действий, созданием законодательства и новых рабочих мест –недостаточны. Нужно стремиться к серьезным, системным изменениям в самом понимании. Вызовы, перечисленные в этой статье, будут успешно преодолены, если Правительство будет держать в центре внимания развитие системы, учитывать необходимость поэтапного внедрения, привлечения качественных кадров в комитеты и подразделения внутреннего аудита и важность сотрудничества с известными организациями и специалистами в данной области. ∞


ПРАКТИКА

Источник: Годовой отчет системы внутреннего аудита государственного сектора Республики Армении за 2018 год


ПРАКТИКА

Внутренний аудит исполнения страховой компанией

ФЗ от 07.08.2001 № 115-ФЗ «О противодействии легализации

(отмыванию) доходов, полученных преступным путем, и

финансированию терроризма».

Часть 1

Ника Шамба, внутренний аудитор АО СК «Ингвар»

Одна из важных и интересных тем для внутреннего аудита в страховой компании, которую я всегда вношу в годовой план проведения внутреннего аудита, – процедуры по проверке исполнения Федерального закона от 07.08.2001 № 115-ФЗ «О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма» отделом ПОД/ФТ, сотрудниками, ответственных за работу с клиентами, а также руководителем страховой компании.

39

Нормативная правовая база

1. Федеральный закон от 07.08.2001 № 115-ФЗ «О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма»;

2. Кодекс РФ об административных правонарушениях (КоАП РФ);

3. Постановление Правительства РФ от 19.03.2014 № 209 «Об утверждении Положения о представлении информации в Федеральную службу по финансовому мониторингу организациями, осуществляющими операции с денежными средствами или иным имуществом, и индивидуальными предпринимателями и направлении Федеральной службой по финансовому мониторингу запросов в организации, осуществляющие операции с денежными средствами или иным имуществом, и индивидуальным предпринимателям»;

4. Постановление Правительства РФ от 06.08.2015 № 804 «Об утверждении Правил определения перечня организаций и физических лиц, в отношении которых имеются сведения об их причастности к экстремистской деятельности или терроризму, и доведения этого перечня до сведения организаций, осуществляющих операции с денежными средствами или иным имуществом, и индивидуальных предпринимателей»;

5. Положение Банка России от 12.12.2014 № 444-П «Об идентификации некредитными финансовыми организациями клиентов, представителей клиента, выгодоприобретателей, бенефициарных владельцев в целях противодействия легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма»;

6. Положение Банка России от 15.12.2014 № 445-П «О требованиях к правилам внутреннего контроля некредитных финансовых организаций в целях противодействия легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма»;

7. Положение Банка России от 30.03.2018 № 639-П «О порядке, сроках и объеме доведения до сведения кредитных организаций и некредитных финансовых организаций информации о случаях отказа от проведения операции, отказа от заключения договора банковского счета (вклада) и (или) расторжения договора банковского счета (вклада) с

клиентом, об устранении оснований принятия решения об отказе от проведения операции, об устранении оснований принятия решения об отказе от заключения договора банковского счета (вклада), об отсутствии оснований для расторжения договора банковского счета (вклада) с клиентом»;

8. Указание Банка России от 05.12.2014 № 3470-У «О квалификационных требованиях к специальным должностным лицам, ответственным за реализацию правил внутреннего контроля в целях противодействия легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма в некредитных финансовых организациях»;

9. Указание Банка России от 05.12.2014 № 3471-У «О требованиях к подготовке и обучению кадров в некредитных финансовых организациях»;

10. Указание Банка России от 15.12.2014 № 3484-У «О порядке представления некредитными финансовыми организациями в уполномоченный орган сведений, предусмотренных Федеральным законом «О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма»;

11. Указание Банка России от 17.10.2018 № 4937-У «О порядке представления некредитными финансовыми организациями в уполномоченный орган сведений и информации в соответствии со статьями 7, 7.5 Федерального закона "О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма»;

12. Указание Банка России от 22.02.2019 № 5075-У «О требованиях к правилам внутреннего контроля кредитных организаций и некредитных финансовых организаций в целях противодействия финансированию распространения оружия массового уничтожения»;

13. Информационные письма Центрального банка РФ (важное: от 28.01.2014 № 14-Т «Об Информационном письме по вопросам идентификации организациями, осуществляющими операции с денежными средствами или иным имуществом, бенефициарных владельцев»);

14. Методические рекомендации по работе с отдельными категориями клиентов (утв. Банком России 27.12.2018 № 33-МР);


ПРАКТИКА

40

15. Приказ Минфина РФ от 13.11.2007 № 108н «Об утверждении Перечня государств и территорий, предоставляющих льготный налоговый режим налогообложения и (или) не предусматривающих раскрытия и предоставления информации при проведении финансовых операций (офшорные зоны)»;

16. Приказ Росфинмониторинга от 10.11.2011 № 361 «Об определении перечня государств (территорий), которые не выполняют рекомендации Группы разработки финансовых мер борьбы с отмыванием денег (ФАТФ)».

17. Неисполнение требований законодательства о противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма – ст.15.27 КоАП РФ.

Коллегам, недавно работающим в страховой сфере, советую тщательно изучить нормативно-правовую базу, практику по данному вопросу и периодически проходить обучение (внутреннее и внешнее). Выбор организации по внешнему обучению – обширный. Мой опыт показывает, что лучше посещать очные семинары с участием представителей Банка России. Для получения новой информации эффективно также напрямую задавать вопросы надзорному органу через личный кабинет или канцелярию Банка России. Если получение ответа затягивается, пишите повторно. В итоге ответ будет. Для страховых компаний надзорным органом является Банк России. Обращаться непосредственно в Росфинмониторинг тоже можно, но есть вероятность, что ваш вопрос будет перенаправлен в Банк России, и получение ответа может затянуться. Росфинмониторинг может ответить на ваш вопрос с оговоркой, что это их позиция, которая, возможно, будет отличаться от позиции Банка России.Кстати, о самих вопросах. Не бойтесь задавать вопросы при наличии малейших сомнений. Например, в законе прописано, что анкету (досье) клиента оператор закона обязан вести на клиента, идентифицировав самого клиента, его представителей и (или) выгодоприобретателей и бенефициарных владельцев. Вопросов не должно возникать, так как все ясно и понятно. Однако регулятор высказывает свое мнение в частном ответе и указывает, что в случае, когда страховое возмещение по договору страхования выплачивается третьему лицу (выгодоприобретателю), а не лицу, заключившему такой договор (клиенту), то при выплате страхового возмещения такое лицо будет являться клиентом

страховой организации. Иными словами, перед совершением выплаты страховая компания должна завести анкету (досье) на выгодоприобретателя, провести все необходимые процедуры по идентификации[1] аналогично проверке клиента.

При планировании внутреннего аудита по проверке исполнения Федерального закона от 07.08.2001 № 115-ФЗ в страховых компаниях, рекомендую включать следующие темы:

1. анализ соответствия Правил внутреннего контроля (далее – ПВК) по ПОД/ФТ/ФРОМУ[2] действующему законодательству;2. проверка исполнения ПВК по ПОД/ФТ/ФРОМУ работниками компании;3. проверка подготовки и отправки отчетности в уполномоченный орган[3], внутренних отчетов специального должностного лица руководству компании.Рассмотрим их подробнее.

1.Анализ соответствия Правил внутреннего контроля (ПВК) по ПОД/ФТ/ФРОМУ действующему законодательству.В соответствии с п.2 ст.7 Закона №115-ФЗ, правила внутреннего контроля в целях ПОД/ФТ/ФРОМУ разрабатываются некредитными финансовыми организациями (далее – НФО) с учетом требований, установленных ЦБ РФ по согласованию с уполномоченным органом. Для НФО такие требования установлены Банком России в Положении от 15.12.2014 №445-П. В соответствии с п. 1.4. Положения №445-П правил внутреннего контроля в целях ПОД/ФТ, разрабатываются НФО в соответствии с Законом №115-ФЗ, Положением

……............................[1] совокупность мероприятий по установлению определенных Федеральным законом ПВК сведений о клиентах, их представителях, выгодоприобретателях, бенефициарных владельцах и подтверждению достоверности этих сведений с использованием оригиналов документов и (или) надлежащим образом заверенных копий и (или) государственных и иных информационных систем.[2] 23.04.18г. законом 90-ФЗ внесены изменения в 115-ФЗ: слова «и финансированию терроризма» заменены словами «финансированию терроризма и финансированию распространения оружия массового уничтожения», сокращенно ПОД/ФТ/ФРОМУ.[3] федеральный орган исполнительной власти, принимающий меры по противодействию легализации (отмыванию) доходов, полученных преступным путем, финансированию терроризма и финансированию распространения оружия массового уничтожения в соответствии Федеральным законом.


ПРАКТИКА

41

№445-П и иными нормативными актами Банка России с учетом особенностей вида и масштаба ее деятельности, организационной структуры, характера продуктов (услуг), предоставляемых НФО клиентам, а также уровня риска легализации (отмывания) доходов, полученных преступным путем, и финансирования терроризма.

Проводя внутренний аудит ПВК по ПОД/ФТ/ФРОМУ, следует особое внимание обратить на следующие вопросы:

• Все ли моменты учтены в ПВК, согласно Положению №445-П. Упущение хотя бы одного нюанса может трактоваться как нарушение требований и ненадлежащая организация внутреннего контроля при разработке Правил.• ПВК по ПОД/ФТ/ФРОМУ должны содержать как минимум программы, указанные в п.1.7. гл. 1 Положения №445-П.

• Отсутствие номинальности. ПВК должны описывать конкретные процедуры, проводимые в компании с соблюдением требования законодательства; чем подробнее описаны процедуры, тем меньше риск нарушения их фактического исполнения работниками. Если в ПВК содержится информация с общими фразами без конкретики, например, «Сотрудники проводят идентификацию до заключения договора страхования, путем заполнения необходимых Приложений…» или «Сотрудники проводят идентификацию, согласно 115-ФЗ», то такое сжатое и краткое изложение является признаком номинальности. Если в ПВК подробно расписаны процедуры проведения программы, то это признак отсутствия номинальности. Например: «В компании организована процедура проведения идентификации в четыре этапа: 1. сотрудник организации, ответственный за работу с клиентом, проводит первичную идентификацию (сбор информации о клиенте и (или) выгодоприобретателе, заполнение листа идентификации - Приложения №1), частичное заполнение служебной записки (внутреннего сообщения) о присвоении (изменении) уровня (степени) риска - Приложение №2; 2. специальным должностным лицом проводится анализ и проверка полученной информации от сотрудника организации, ответственного за работу с клиентом -проверка информации в Приложении №1, готовятся рекомендации руководителю компании по присвоению степени (уровня) риска с заполнением

строки 10 Приложения №2; а также проведение идентификации бенефициарного владельца клиента - Приложение №3; 3. Руководитель компании выносит резолюцию, фиксируя личной подписью итоговое решение по присвоению степени (уровня) риска в Приложении №2. 4. Специальное должностное лицо подготавливает и отправляет в уполномоченный орган формализованного электронного сообщения в соответствии с Программами 1-5 ПВК по ПОД/ФТ/ФРОМУ (при необходимости)».

• Актуальность ПВК. Внесенные изменения в законодательные акты либо утверждение новых требует внимательного изучения. Если изменения касаются вашего вида деятельности, то в определенный срок требуется внести изменения в ПВК. Данный вопрос напрямую связан с обучением работников компании, которые должны проходить обязательную подготовку по ПОД/ФТ/ФРОМУ. Работники должны проходить обучение при изменении законодательства, при утверждении новых редакций ПВК, при иных обстоятельствах, прописанных в ваших ПВК (программа подготовки и обучения кадров НФО в сфере ПОД/ФТ). Получение знаний работниками, которые обязаны проходить обязательную подготовку, нужно проверять (тесты, задачи). Проверяйте наличие тестовых заданий, журналов по фиксации прохождения обучения; сверяйте графики отпусков работников компании с датами прохождения обучения и тестирования (номинальность работы отдела ПОД/ФТ). Чтобы была ясность, владеют ли работники актуальной информацией по теме, проводите собственное интервью и (или) тестирование.Исходя из собственного опыта, скажу, что около 40% работников компании скептически относятся к теме ПОД/ФТ/ФРОМУ. Я часто слышу, что ПОД/ФТ/ФРОМУ отнимает много времени и не дает в полную силу заниматься основным видом деятельности – страхованием. Такое отношение работников компании может негативно сказаться на исполнении законодательства. Этот фактор необходимо учитывать внутреннему аудитору.

В следующей статье мы рассмотрим вторую тему, которую я рекомендую включать в годовой план проведения внутреннего аудита в страховой компании – проверка исполнения работниками компании Федерального закона от 07.08.2001 № 115-ФЗ «О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма». ∞


ПРАКТИКА

42

Лица профессии



Алексей ГридневДолжность: Руководитель направления по мониторингу регуляторного риска Компания: ООО «Экспобанк»Волонтерская позиция: координатор Регионального центраИнститута внутренних аудиторов в Новосибирске

Я пришел во внутренний аудит из кредитного анализа, до этого работал финансовым директором в одной из компаний Новосибирска. Сейчас могу сказать, что, придя во внутренний аудит, я имел достаточно узкое представление об этой профессии, сводя ее к ревизионной составляющей. Но оказалось, что задачи внутреннего аудита намного шире, интересней и, главное, созидательней. В противном случае эта профессия не привлекла бы такое количество интеллектуальных, эрудированных, творческих людей.

Думаю, узкое представление о функциях внутреннего аудита еще достаточно распространено среди людей других профессий. Потенциал внутреннего аудита все еще раскрыт не полностью, что является своего рода вызовом, амбициозной и творческой задачей для людей, пришедших в эту профессию.

На мой взгляд, текущая экономическая ситуация создает хорошие возможности для того, чтобы внутренний аудит проявил себя наилучшим образом. Основным фактором конкурентоспособности организации в условиях низкого экономического роста становится эффективность ее бизнес-процессов. И здесь внутренний аудитор, являясь экспертом в этой области, может оказать менеджменту и акционерам необходимую поддержку.

Для внутреннего аудитора важно мыслить системно, быть проницательным, информированным, уметь точно формулировать свои выводы и идеи, находить веские аргументы, иметь навыки ведения переговоров. Перечень, разумеется, далеко не полный, но, с моей точки зрения, необходимый для того, чтобы деятельность внутреннего аудита имела высокую полезность.

Организуя встречи Регионального центра ИВА в Новосибирске, принимаем во внимание результаты анкетирования при выборе тем докладов, расширяем географию участников, их отраслевую представленность, приглашаем выступать специалистов из других областей (например, из IT-сферы). Стараемся постоянно привносить что-то новое в формат встреч, поддерживая интерес участников. Надеюсь, у нас это получается.

В работе мне помогает, в первую очередь, общение с «коллегами по цеху». Без обмена опытом с коллегами невозможно адекватно оценивать собственную эффективность, а работа превращается в рутину и, зачастую, в «изобретение велосипеда». Безусловно, важно и самообразование. Однако ценность любой идеи, о которой ты услышал или прочитал, многократно возрастает, если обсудить ее с кем-то из своего профессионального круга.

Мне интересна сфера искусства, стараюсь находить время, чтобы открывать для себя что-то новое. Всегда был меломаном, в студенчестве основную часть свободных денег тратил на компакт-диски. Несмотря на многочисленные переезды, до сих пор храню их как какую-то реликвию, хоть и слушать их уже не на чем. 3 года назад на концерте Пола Маккартни я был поражен тем, как переполненный стадион, значительную часть которого составляла очень молодая публика, хором пел песни, которые больше 50 лет назад пели ровесники моих родителей. Искусство вдохновляет, позволяет нам оценить масштаб человеческих возможностей и стремиться к более полному использованию своего потенциала.

43



«Растущая специализация во внутреннем аудите – давно наметившийся тренд»

Внутренний аудитор № 3 (7), 2019 44

Интервью с Денисом Овсянниковым, директором по внутреннему аудиту Tele2

ИНТЕРВЬЮ

45

- Денис, пожалуйста, расскажите, как Вы пришли во внутренний аудит? - Во внутренний аудит я пришел из финансов, как и многие в нашей профессии. Я работал в компании, которая управляла фондами прямых инвестиций, где кроме разработки и оценки финансовых моделей и проверки/ перекладки отчетности, заметной частью моей работы были due-diligence предприятий перед сделкой по их приобретению. Пожалуй, это была наиболее напряженная часть работы, но и, без сомнения, очень интересная. В каком-то смысле внутренний аудит – это непрерывный due-diligence одной компании. По первому образованию (бакалавриат) я математик, а магистратуру заканчивал уже по специальности «прикладная экономика», и в целом, это достаточно удобное сочетание для той отрасли, в которой я работаю.

- Чем Вам нравится внутренний аудит? Чем он Вам близок?- Разнообразием и отсутствием рутины. Если работать в достаточно большой компании или компании, которая быстро меняется, объект исследования будет постоянно новый. Для тех, кому это необходимо, внутренний аудит – хороший выбор профессии. Но потребность постоянно обновлять свои знания – это конечно не всё, нужна еще и скрупулёзность и даже в хорошем смысле дотошность. В распространенном понимании внутренний аудит – это тщательная профессиональная проверка и взвешенные суждения, и к этому, на самом деле, необходимо стремиться.

- Вы работаете в телекоммуникационной компании. Поделитесь, пожалуйста, как ее профиль влияет на работу внутреннего аудита?- У телекоммуникаций, как у отрасли, много уникальных особенностей. Мало где основные фонды меняются практически полностью за четыре-пять лет и не просто обновляются, а происходит смена технологий. В металлургии, например, построили доменную печь, и она работает 20-30 лет, а у нас приезжаешь в регион через два года, а там уже полностью перестроена сеть. В отрасли высокая конкуренция, которая заставляет компании быстро меняться, что накладывает отпечаток на работу внутреннего аудитора: надо много и быстро учиться. Если говорить не про отрасль в целом, а именно про Tele2, то первое, что мне бросилось в глаза, когда я пришел в компанию – это скорость принятия решений и восприимчивость к новому. Для внутреннего аудитора это очень комфортная среда, зачастую предлагаемые нами изменения начинают воплощаться еще до того, как дописан отчет.

- Кстати об обучении. Для внутреннего аудитора важно профессиональное развитие. Поделитесь своим опытом в этом направлении.- У нас в компании есть достаточно развитая система внутреннего обучения, которая предлагает курсы по широкому кругу тем – от управления проектами до визуализации данных. Обычно в течение года каждый сотрудник внутреннего аудита успевает пройти 1-2 таких курса: это может быть как очный тренинг, так и дистанционный курс. Обучение по аудиторской тематике мы, как правило, приобретаем у внешних провайдеров, в том числе и у Института внутренних аудиторов. Также стараемся поддерживать внутреннее обучение: когда член команды, прошедший обучение или освоивший новый навык/ предметную область, делает доклад (иногда серию докладов) для остальных.


ИНТЕРВЬЮ

46

- У вашей компании большая географическая разветвленность – от Калининграда до Камчатки. Как она сказывается на работе внутреннего аудита? Есть ли у вас сотрудники на местах, или «в поля» выезжают из московского офиса? - У нас нет практики региональных аудиторских подразделений; думаю, она оправдана для компаний с заметными различиями между региональными филиалами. В нашей компании очень высока унификация по всем параметрам – от организационной структуры до информационных систем – и для того, чтобы проверять Калининград, нужен тот же набор знаний и навыков, что и для проверки Владивостока. И, конечно, непосредственное общение в проектной команде в среднем более эффективно, чем переписка и даже видеоконференцсвязь. Такая структура подразумевает определенный объем командировок, но это нормально, регулярные командировки –неотъемлемая часть работы внутреннего аудитора.

- Вернемся к телекоммуникационной отрасли. Насколько для нее важны ИТ-аудиты? Если ли у вас отдельные специалисты по ИТ-аудитам? - ИТ-аудит, на мой взгляд, сейчас важен для почти любой отрасли, учитывая существующий уровень и темп автоматизации. Телеком не исключение, и поскольку ИТ-аудит требует специальных навыков, мы выделили его в отдельное направление, а судя по востребованности и загрузке, мы будем и дальше развивать это направление. В нашей компании ИТ-проверки, как правило, являются частью сквозных проверок бизнес-процессов, в этом и был первоначальный замысел, когда мы формировали данное направление. ИТ-аудитор входит в проектную команду и выполняет тестирование ИТ-контролей, а также задачи, связанные со сложной выгрузкой и обработкой данных. Но, безусловно, есть достаточно крупные бизнес-процессы, целиком пронизанные ИТ-спецификой (например, разработка ПО), и такие проекты логично вести ИТ-аудиторам.

- Сейчас растет важность информационной безопасности. Пожалуйста, расскажите о своих подходах в этом направлении. - Аудит ИБ – это то направление, которое мы активно развиваем. До определенной степени тестирование контролей ИБ могут выполнять ИТ-аудиторы, но специфика этой деятельности достаточно высока, и для качественной оценки

необходимы глубокие предметные знания, а значит – и выделенные сотрудники. В той или иной форме аудит ИБ давно существует во многих компаниях внутри подразделений ИТ, ИБ, инженерных служб, но только выведение его в структурно-независимое аудиторское подразделение может гарантировать, что критичные проблемы не будут проигнорированы. А растущее влияние угроз ИБ за последние несколько лет стало заметно даже людям далеким от этой проблематики. Бреши в информационной безопасности могут ставить под угрозу работу целых отраслей и даже политических систем государств. В 2018 году, с появлением закона о безопасности критической информационной инфраструктуры, для телекоммуникационных компаний гарантирование устойчивости процессов ИБ стало не только необходимостью, но и обязанностью.

- А есть ли у вас другие отдельные направления аудита, о которых Вы хотели бы рассказать?- Есть и другие предметные области, которые формируют у нас отдельные направления аудита. В частности, обеспечение непрерывности деятельности для телекоммуникационной компании – это важная составляющая бизнеса, поскольку наши клиенты ожидают, что связь работает 24 часа в сутки, 7 дней в неделю, в том числе в условиях, когда другие отрасли приостанавливают предоставление услуг. Все это накладывает дополнительные требования на системы электропитания, каналы передачи данных, системы мониторинга и эксплуатации, режим работы персонала. Все должно быть надежно зарезервировано и защищено. Соблюдение этих норм – отдельный объект аудита. На текущий момент у нас не выделены специалисты, занимающиеся исключительно аудитами непрерывности деятельности, но очевидно, что рано или поздно мы к этому придем. Вообще, растущая специализация во внутреннем аудите – давно наметившийся тренд.

- Вам в работе приходится сталкиваться с «большими данными». С помощью каких инструментов вы с ними работаете? - Это часть объективной действительности: данных у бизнеса стало очень много, а будет еще больше. Эта тенденция отражена и в новой редакции COSO ERM. Я воспринимаю «большие данные» в первую очередь как возможность. Возможность делать


ИНТЕРВЬЮ

47

более точные оценки, давать более адресные рекомендации, предоставлять более надежные гарантии. В телекоммуникационных компаниях традиционно хорошо умеют работать с большими данными. В Tele2 давно построена и развивается инфраструктура Big data, есть специализированные системы сбора и хранения данных, подразделения, которые работают над тем, чтобы данные были полные и верифицированные. Но для того, чтобы этим воспользоваться, необходимы определенные навыки и знания. Мы развиваем внутреннюю экспертизу работы с большими данными и формируем своего рода «внутренний сервис», когда часть сотрудников аудита посвящает больше времени изучению имеющихся ресурсов больших данных и делится экспертизой с остальными.

- Используете ли вы аутсорсинг во внутреннем аудите?- Мы достаточно широко пользуемся аутсорсингом: привлекаем как внешнюю экспертизу, так и специалистов из смежных функций внутри компании. Для некоторых проектов необходимы специальные знания и технические средства. Например, при проверке процессов межоператорского взаимодействия мы проводили кампании международных тестовых звонков, для чего необходима инфраструктура, подключения к операторским сетям по всему миру. Этой инфраструктурой, а также знанием рынка, технологий и схем, которые применяются для обхода контролей, обладает достаточно ограниченное число компаний в мире. Поэтому подобные компетенции мы привлекаем извне, пытаясь при этом перенять максимум. Аутсорсинг внутри компании также обычное для нас дело. В проверках внутреннего аудита регулярно участвуют специалисты технической функции, ревизоры, эксперты службы гарантирования доходов. Во-первых, эти профессионалы обладают специфическими экспертными знаниями, которые помогают делать более детальные выводы, выявлять причины тех или иных отклонений. Во-вторых, такой подход позволяет внутреннему аудиту быть более гибким в распределении ресурсов между проектами.

- Как Вы относитесь к консалтинговой функции внутреннего аудита? - Отношусь положительно, междисциплинарность внутреннего аудита, одновременная погруженность в детали процессов компании и организационная независимость – почти идеальное сочетание,

которым необходимо пользоваться не только для оценки контрольной среды, но и для поиска новых источников дохода, новых резервов повышения эффективности. В нашем случае есть непосредственный спрос на консалтинг со стороны руководства компании, есть результативные проекты и дальнейшие планы развития данного направления.

- Вопрос, уже ставший традиционным в наших интервью: как Вы подходите к составлению аудиторского отчета? - Можно сказать, что в этом вопросе мы до сих пор находимся в творческом поиске . Результаты наших проверок мы коммуницируем на очень разных уровнях – от ответственных специалистов до членов комитета по аудиту совета директоров. И сам отчет представляет из себя многоуровневую пирамиду от детальных фактов и наблюдений до высокоуровневых выводов и рекомендаций. Фактически, аудиторский отчет – это даже не один, а несколько связанных документов, и мы сейчас работаем над тем, чтобы упростить их структуру, не потеряв в полноте информации и прозрачности причинно-следственных связей.

- А что, по Вашему мнению, помогает выстраивать хорошие, конструктивные отношения с высшим руководством компании? - Универсальный способ, как это ни банально прозвучит – давать качественный и востребованный продукт. Это первое и основное. В разных компаниях на разных этапах развития ожидания от внутреннего аудита могут заметно отличаться. В моем случае, кроме оценки контрольной среды различных бизнес-процессов, которая была и остается важной частью работы внутреннего аудита, есть растущий спрос на внутренний консалтинг.

- Как выстраивать доверительное, открытое и конструктивное общение с аудируемыми?- В этом вопросе, на мой взгляд, самое важное – это общий позитивный настрой, последовательность и отсутствие жесткой установки «накопать» что-то любой ценой, даже когда для этого нет объективных предпосылок.

- И вопрос напоследок: какой Вы руководитель?- Думаю, иногда мои сотрудники страдают от моей любви к деталям . Но в целом, стараюсь давать коллегам больше творческой свободы и, как правило, такой подход себя оправдывает.∞


ИНТЕРВЬЮ

48

Путь к конструктивному

диалогу: внутренний аудитор и

субъект проверки

Ольга Ярская, главный специалист управления внутреннего контроля и анализа рисков [email protected]

МНЕНИЕ


По моим наблюдениям, в последнее время внутренние аудиторы всё чаще выступают коучами. В отличие от классического внутреннего аудитора, при проведении операционных проверок коуч не дает готовых решений и жестких рекомендаций. Но это не значит, что в своей работе мы полностью отказались от проведения аудитов согласно Международным стандартам. Мы, скорее, дополняем их новыми способами выполнения задач, совместно с клиентом (субъектом проверки) ищем оптимальные и эффективные решения, которые будут полезны для компании в целом.

В постоянно меняющихся условиях бизнесу нужны новые идеи, чтобы не только не отстать от времени, но и преуспеть. Внутренние аудиторы могут выступать двигателем прогресса, они часто хотят добиться успеха в том деле, которым занимаются, и готовы день и ночь решать возникающие проблемы и предотвращать их. Но зачастую не все работники компании имеют такой высокий уровень мотивации. Многие не готовы к каким-либо изменениям и встречают их с неодобрением. Чтобы начать изменения, человек должен быть недоволен своим текущим положением, своим материальным достатком, своими возможностями и самим собой, он должен хотеть большего, чтобы начать прилагать необходимые усилия для достижения этого большего. Но многие сотрудники не видят или не хотят видеть необходимости перемен, не понимают, в чем их польза.

Задача учителя — открывать новую перспективу размышлениям ученика

Конфуций

49

Итак, если клиент заинтересован в улучшении работы своего направления, то тандем специалистов* и внутренних аудиторов достигает больших успехов. Однако моя многолетняя аудиторская практика показывает, что люди в компании по разным причинам настороженно или негативно относятся к предлагаемым мероприятиям, их поведение бывает излишне агрессивным и эмоциональным.Что делать, если субъект проверки не готов к спокойной деловой коммуникации, не воспринимает новаторства и идет на конфликт? Как снизить накал страстей и настроить сотрудников на конструктивный диалог, соблюдая при этом правила деловой этики?

Во-первых, объяснить, какую пользу принесет ваша деятельность, рассказать недовольному сотруднику или группе лиц о том, что собираетесь предпринять что-то хорошее и что предстоящее мероприятиедолжно дать положительные результаты. Важно говорить искренне и убедительно. Если не будет убедительности, все распознают фальшь, поскольку аудитор сам не верит в то, что говорит. К такой речи перед сотрудниками стоит подготовиться заранее, тщательно выбирая слова и продумывая структуру выступления, так как экспромт может вас подвести и дать обратный результат**.

Во-вторых, следует отключить эмоции и отказаться от мысли о том, что негатив клиентов направлен на вас лично. Это означает, что следует сконцентрироваться на поведении, а не на отношениях, поскольку зачастую аудиторская группа может путать эти два понятия: поведение связано с действиями, а отношение – с определенными мыслями и чувствами. Чтобы исключить субъективность, не нужно строить предположения на толковании отношения человека к чему-либо. Опирайтесь только на убедительные аудиторские доказательства.

В-третьих, разобраться, почему люди так себя ведут. Важно учитывать уровень ответственности человека, предел его полномочий. В зависимости от того, с кем мы имеем дело (рядовой исполнитель или руководитель), нужно выбирать стратегию

……............................*Речь идет не только о сотрудниках компании, но и о специалистах извне, привлекаемых для консультаций.**Этот прием не всегда применим к служебным расследованиям. В каждой компании свой подход к данным мероприятиям, поэтому они не рассматриваются в настоящей статье.

действий. Хотя бывают случаи, когда руководители не готовы принимать решения или рядовые сотрудники, напротив, берут на себя чуть больше ответственности.Итак, разбираемся в мотивах и ищем способы решения проблемы:

1) Не готовы принимать новое. Если внимательно проанализировать поступки, выяснится, что люди склонны двигаться по инерции и автоматизировать свои действия. Поэтому у некоторых новшества вызывают стойкое отторжение, люди отказываются слушать логические доводы, воспринимают все очень субъективно, как личное оскорбление. Для них переход к новой схеме работы равен предательству идеалов*. Любимые выражения представителей этой группы: «Мы так всегда работали», «Так исторически сложилось», «Что вы знаете о нашей работе». Способы решения: «перешагнуть» негибкого сотрудника, обратившись к его руководителю. А если перед нами управленец, то привлекаем третьих лиц, возможно, эскалируя проблему наверх, иногда создавая жесткие условия, вынуждающие меняться.В компаниях с разветвленной сетью хорошо может сработать демонстрация использования предлагаемой практики в других филиалах. Важно не только рассказать об успехе, но и прислать материалы, либо распечатать их и показать. Лучше всего использовать официальные документы, которые уже применяются в компании, так как устные пояснения и проекты документов не действуют на таких людей.

2) Давят обстоятельства. Люди не могут изменить схему работы в силу того, что сложившаяся практика давно применяется в компании и глубоко укоренилась в корпоративной культуре.Способы решения: Если работаем с рядовым исполнителем, то пробуем обойти острые углы, сославшись на авторитеты, поставить под сомнение старую практику. Если перед нами руководитель, то склоняем его к реформам, опять же со ссылкой на чужой успешный опыт.Задача внутреннего аудитора/аудиторской группы – подвергнуть сомнению сложившуюся практику. Для этого нужно, например, проанализировать

……............................*Эта группа опасна тем, что легко поддается давлению. Их слепую преданность старой системе могут использовать в своих целях лица, которым выгодно поддержание архаичной системы.

О борьбе с ними написано в пункте 4.


МНЕНИЕ

50

бизнес-процесс, подсчитать экономический эффект и др., затем показать результат лицу, принимающему решение по этому направлению. Тогда руководитель сможет поддержать ваши начинания. Но все опять же зависит от корпоративной культуры компании, мотивации людей и статуса подразделения внутреннего аудита в компании.

3) Не хватает знаний. Сначала может показаться, что причина поведения этих людей – обыкновенная лень. Они словно не хотят лишний раз напрягаться и поэтому раздражаются. Но, если копнуть глубже, выясняется, что дело вовсе не в лени. Люди злятся, потому что не понимают, почему то или иное новшество будет полезным для компании, почему нужно отказаться от старого пути. Способы решения: Предлагаем провести обучение, групповое или индивидуальное. При этом важно приводить примеры других компаний, где новшество уже успешно применяется. Внутренние аудиторы могут порекомендовать тематику обучения, в которой у человека/ коллектива есть пробелы в знаниях. Зачастую работники не знают своих возможностей в обучении и развитии, поэтому негативно относятся к новому и неизвестному. После прохождения обучения такие люди будут поддерживать аудиторов в новшествах. Редко, но такое бывает.

4) Имеют личную выгоду. Старая схема по каким-либо причинам выгодна сотруднику или группе лиц. Способы решения: Сначала даём понять, что знаем о личном интересе и причинах нежелания меняться. Затем смотрим на реакцию: если человек пугается и начинает соглашаться на новшества, тогда успешно воплощаем их в жизнь. Если он продолжает упорствовать, то приступаем к активным действиям…В случае открытого конфликта при наличии убедительных доказательств обращаемся в кадровую службу и передаем информацию подразделению безопасности. Это необходимо, поскольку внутренние аудиторы хоть и могут выявить признаки злоупотреблений, но не обладают всеми знаниями в этой области.

Выше представлена самая общая классификация мотивов реакционного поведения. Чаще всего они встречаются в смешанном виде: первый со вторым, третий с четвертым и т.д. Чистые типы встречаются редко. Следовательно, нужно очень хорошо в них разобраться. И уже после этого выбирать

тактику. Главное, не пускать всё на самотек и не закрывать глаза на недовольных, так как это может привести к усугублению проблемы. Опыт автора показывает, что кропотливый анализ мотивов поведения сотрудников и дальнейший поиск решений проблемы приносит свои плоды.

Важно анализировать информацию во время диалогов и не пропускать потенциальныхреакционеров на этапе подготовки к проведению интервью, поскольку оно поможет задать правильный тон общения и прийти к конструктивному диалогу даже в самых тяжелых случаях. Также помните, что внутренний аудитор сам никогда не должен показывать негативные эмоции, переходить на личности. Какой бы стиль поведения не выбрал ваш собеседник, никогда не теряйте самообладание, так как ваша способность управлять собственными чувствами окажет огромное влияние на эмоциональное состояние собеседника и на дальнейший диалог.

Итак, в современной бизнес-среде внутренний аудитор – это коуч, который не только проводит проверки, но и консультирует проверяемых, настраивает их на совместную работу. Эта новая роль обязывает нас быть ещё и психологами: анализировать поведение людей, определять мотивы их поступков, выходить из конфликтных ситуаций. В этой статье представлены шаги, которые помогают автору справиться с негативным отношением проверяемых и достичь желаемого результата. Искреннее надеюсь, что описанный алгоритм будет полезен и вам. ∞

Комментарий Дениса Малыхина, CIA,руководителя Программы сертификации Института внутренних аудиторов:

Вопросам организации эффективных коммуникаций между внутренними аудиторами и другими работниками компании и стейкхолдерами уделяется большое внимание в Международных основах профессиональной практики внутреннего аудита.

Прежде всего, необходимо обратить внимание на«Основные принципы профессиональной практики внутреннего аудита», в которых видна взаимосвязь между качественной работой, проактивным настроем внутреннего аудитора и повышением эффективности организации в целом (принципы 6, 7, 9 и 10). Тот внутренний аудитор, который


МНЕНИЕ

51

качественно выполняет работу и постоянно совершенствуется, проявляет при этом проницательность, рассматривает вопросы в перспективе и нацелен на будущее, тот и выстраивает эффективные отношения с заинтересованными сторонами и способствует развитию организации.

Более подробно эти аспекты организации деятельности внутреннего аудита представлены в МПСВА (прежде всего, отметим Стандарты 1120, 1210, 1230, 2410, 2420, 2440, 2450, 2500) и руководствах по применению к указанным Стандартам. Вот некоторые из отмеченных положений:

1120 — Индивидуальная объективность. Внутренние аудиторы должны быть беспристрастны и непредвзяты в своей работе и избегать конфликта интересов любого рода.

2410 — Критерии информирования. Сообщения о результатах должны содержать информацию о целях, содержании и результатах выполнения задания.

2410.А1 — Окончательный вариант отчетности о результатах задания должен содержать соответствующие выводы, а также соответствующие рекомендации и/или планы корректирующих мероприятий. Если это необходимо, к отчету прилагается мнение внутреннего аудитора. Мнение должно учитывать ожидания высшего исполнительного руководства, Совета и других заинтересованных сторон и опираться на достаточную, надежную, относящуюся к делу, полезную информацию.

2410.А2 — Внутренним аудиторам рекомендуется включать положительные оценки деятельности объекта аудита в сообщение по результатам задания.

2420 — Качество сообщений. Сообщения должны быть точными, объективными, ясными, краткими, конструктивными, полными и своевременными.

Интерпретация:Точными являются сообщения, которые не содержат ошибок и искажений и правдиво описывают соответствующие факты. Объективными являются достоверные и беспристрастные сообщения, которые появляются в результате справедливой и сбалансированной

оценки всех относящихся к делу фактов и обстоятельств. Ясными являются сообщения, которые легко воспринимаемы и логичны, не используют ненужные технические термины и обеспечивают пользователей всей существенной и относящейся к делу информацией. Краткими являются сообщения, которые относятся к рассматриваемому вопросу и не содержат ненужных отступлений, избыточной детализации и многословности. Конструктивными являются сообщения, которые помогают клиенту и организации и предлагают необходимые улучшения, если необходимо. Полными являются сообщения, которые для целевой аудитории содержат всю важную, существенную и относящуюся к делу информацию и наблюдения, необходимые для обоснования выводов и рекомендаций. Своевременными являются сообщения, которые сделаны в необходимые сроки в зависимости от важности вопроса, чтобы дать возможность менеджменту принять соответствующие меры по исправлению ситуации.

Следует также упомянуть в этой связи недавно переведенное Институтом внутренних аудиторов на русский язык Дополнительное руководство «Аудиторские отчеты: информирование о результатах заданий по предоставлению гарантий» (PG: Audit Reports. Communicating Assurance Engagement Results).

Своевременное и качественное информирование о результатах внутреннего аудита может повысить эффективность корпоративного управления и управления рисками, предоставить возможности для усовершенствования процессов, а также способствовать положительным изменениям. В Руководстве особое внимание уделяется информированию о результатах внутреннего аудита посредством письменных отчетов, а также презентациям по результатам внутреннего аудита. Членам Института внутренних аудиторов перевод Дополнительного руководства доступен на сайте в разделе «Личный кабинет» (Путь: Личный кабинет → Материалы и информация → Основы профессиональной практики → Практические руководства (Practice Guides)).

Но одно дело – указание в Стандартах на эти моменты. Совсем другое – практическое применение. Выражаем благодарность Ольге Ярской, творчески и конструктивно изложившей по этой непростой теме несколько практических советов нашим коллегам.


МНЕНИЕ

52

Вступив в рыночные соревнования за рост прибыли и сокращение затрат, многие компании выстраивают внутри различные системы: систему менеджмента качества, систему внутреннего контроля, систему управления рисками, систему корпоративного управления и проч. Успех в таких соревнованиях часто обусловлен либо уникальностью продукта или услуги, либо качеством предложения. Каждая компания стремится предвосхитить ожидания потребителя и завоевать его доверие, а значит – увеличить прибыль. Так что такое «качество», и правильно ли мы понимаем его значение для компании?

Как правило, говоря о качестве, менеджеры чаще рассматривают его в производственной системе, хотя оно применимо к любой другой сфере деятельности, включая розничную торговлю и сферу услуг. Кто сделал качество образом жизни, тот завоевал сердца потребителей. Так что же такое «качество»? ГОСТ Р ИСО 9000-2015 «Системы менеджмента качества. Основные положения и словарь» характеризует качество следующим образом: «Качество продукции и услуг организации определяется способностью удовлетворять потребителей и преднамеренным или непреднамеренным влиянием на соответствующие заинтересованные стороны».

Таким образом, качество продукции и услуг включает в себя не только выполнение функций в соответствии с назначением и их характеристиками, но также воспринимаемую ценность и выгоду для самого потребителя.

Очевидно, когда мы говорим о качественном товаре или качественно оказанной услуге, мы чаще имеем в виду и осязаемые критерии «качества», то есть технические характеристики, а также такие факторы, как доброжелательность и компетентность сотрудников компании, чистота помещения, широкий ассортимент товара/ услуг, адресные предложения, выгодные акции и многое другое. Понятие «качество» – комплексное, оно включает в себя слаженную работу всей команды в целом, начиная от генерального директора и заканчивая рядовым сотрудником. По статистике, недовольный потребитель расскажет о своем опыте как минимум дюжине знакомых людей, в то время как довольный посоветует вас максимум пятерым. Поэтому ошибка сотрудника на любом этапе процесса может существенно повлиять на ухудшение как финансовых, так и нефинансовых показателей компании. Нужно быть готовым к тому, что исправление некачественной работы принесет вам дополнительные затраты.


МНЕНИЕ

Качество. Мнение внутреннего аудитора

Юлия Крылова, внутренний аудитор, сеть розничной торговли

«Качество – это не евангелизм, не рационализаторское предложение и не лозунг. Качество – это образ жизни»

А. В. Фейгенбаум

53

Качественная работа, выполненная с первого раза, несомненно, должна являться основным стержнем любой системы и быть встроенной в корпоративную культуру компании. На сегодняшний день представлено большое число вспомогательных инструментов и хорошо себя зарекомендовавших систем, позволяющих компаниям повышать качество во всем: например, система управления рисками, система предупреждения ошибок и/ или брака, системы, позволяющие сокращать потери и улучшать процессы.Следует отметить ряд направлений, которые заслуживают особого внимания при выстраивании собственной системы качества:

1. Лидерство высшего руководства и поддержка новых проектов/ инициатив

Многие согласятся, что без поддержки и лидерства высшего руководства, любой проект обречен на провал или итоговую низкую рентабельность. Запуск любой новой инициативы несет в себе риск противодействия ее внедрению со стороны сотрудников компании. Работники неохотно меняют сложившиеся годами модели поведения, даже если они являются неэффективными с точки зрения бизнеса.

Проблемы, связанные с реализацией чего-то нового, зачастую могут быть вызваны следующими причинами:• отсутствие поддержки и равнодушие со стороны непосредственного руководителя;• отсутствие полной информации о причинах внедрения проекта/ инициативы и понимания ожиданий руководства;• личные страхи сотрудников в связи с появлением потенциальных угроз и негативных последствий для себя;• страх перемен, новой деятельности и вероятности увеличения объема работ;• преобладание точки зрения «мы так давно работаем», «в компании так изначально принято»;• существование «двойных» стандартов.

Именно поддержка руководителя и наличие исчерпывающей информации о потенциальном будущем с учетом внедрения нового проекта/ инициативы повышают чувство уверенности сотрудников в том, что компания выбрала верный вектор развития.

2. Процессный подход в управлении компанией

Любую деятельность компании можно представить в виде процесса, который имеет входящие и выходящие потоки, будь то информация, финансы или материально осязаемые результаты. Ответственным же за его эффективную реализацию является руководитель или владелец бизнес-процесса.

Не существует в компании ни одного полностью автономного процесса. Все процессы, так или иначе, связанны между собой. От работы предыдущего процесса и качества его результата зависит последующая работа остальных.

Благодаря такому подходу становится возможным рассматривать компанию как «единый механизм». В связи с этим сбой одного процесса, особенно основного, может принести значительный ущерб компании в целом.

Важно понимать на этапе процессного взаимодействия подразделений, что работа каждого направлена на достижение одной и той же цели –удовлетворить ожидания потребителя и получить прибыль.

3. Оценка текущего состояния компании, ее процессов и ресурсов

Информация о текущем состоянии процессов компании, ее возможностей и ресурсов позволяет руководству принимать верные управленческие решения и получать ожидаемые результаты. Одним из инструментов такой оценки и внедрения улучшений без существенных затрат является внутренний аудит.

Запуск проектов внутреннего аудита включает в себя глубокое погружение в деятельность процессов компании, выявление потенциальных рисков и возможностей. Внутренний аудит помогает компании в выстраивании и поддержании системы внутреннего контроля, оценивая ее эффективность и надежность.

Также следует отметить, что при правильном использовании внутренний аудит позволяет всесторонне взглянуть на деятельность компании и дать действительно практические рекомендации руководству.


МНЕНИЕ

54

4. Стандартизация работы

В отечественной корпоративной культуре наблюдаются ситуации, когда большинство сотрудников пугают слова «стандарт», «регламент», «положение», «инструкция». При упоминании этих слов менеджеры говорят о бюрократии и о том, что им нужно работать, а не «писать бумажки».

Такая реакция очевидна и, скорее всего, связана с тем, что сотрудники могут не вполне понимать их значение. Стандарт – это описание наилучшего (наиболее быстрого, качественного, эффективного, безопасного) способа выполнить операцию. Даже при смене исполнителя выполнение операции позволит получать ожидаемо качественный результат с прежней эффективностью.

Говоря о стандартизации, нелишним будет вспомнить идеолога японской системы управления качеством Хитоси Кумэ, который выделил три причины появления ошибок и отклонений в процессах компании:• Не установлены стандарты.• Не соблюдаются стандарты.• Неподходящие стандарты.

Основными же характеристиками стандартов являются:• отражение наилучшего, наилегчайшего и самого безопасного способа выполнения работы;• содержание достаточного количества контрольных процедур и разграничение зон ответственности лиц. Каждый понимает, что он делает и за что несет ответственность;• предоставление возможности измерить производительность работы;• обеспечение средствами, позволяющими предотвратить повторение ошибок и отклонений результатов процесса.

Можно сделать вывод, что стандарт закладывает основы для дальнейшей оптимизации работы. Там, где нет стандартов, не может быть улучшений, так как отправной точкой любого усовершенствования является четкое представление о текущем моменте.

5. Постоянное (непрерывное) улучшение жизненных процессов компании

Изменчивость внешней среды подталкивает компании к поискам более эффективных и

экономичных способов выполнения операций, перевода ручных операций на автоматические с целью снижения вероятности ошибок и быстрого обмена информацией, упрощения задач, сокращения потерь.

Важнейший фактор успеха «высокий стандарт качества» на сегодняшний день превратился в некий стандарт, следование которому уже не позволяет компании заявлять о нем, как о конкурентном преимуществе среди других. Однако зарубежные конкуренты не только сделали качество образом жизни, они совершенствуют процессы и внедряют такие потенциалы успеха как: более простые условия поставок, оптимизация процессов закупок, ярко выраженная ориентация на потребности потребителя, а не на технические возможности. Примеры из практики позволяют сделать вывод, что ориентация на постоянное улучшение позволяет компании успешно противостоять конкурентам в долгосрочной перспективе.

Хотя философия постоянного улучшения не нова, однако не все понимают ее необходимость и принципы работы. О важности постоянного улучшения жизненных процессов компании говорят и международные стандарты серии ISO, и международные профессиональные практики, западные и японские концепции улучшений, включая японскую философию Кайдзен, изложенную Масааки Имаи.

Кайдзен в бизнесе — это постоянное стремление к совершенствованию всех процессов компании. В центре концепции стоит человек со своими способностями и знаниями, который является главным капиталом компании. В процессе улучшения участвуют все: и генеральный директор, и рядовой сотрудник.

Так, любой сотрудник, выполняя одну и ту же операцию каждый день, знает, как можно выполнить эту операцию быстрее, эффективнее и качественнее. Крайне важно, чтобы понимание необходимости улучшений и своего вклада в достижении целей компании было у каждого сотрудника.

Центральная идея концепции Кайдзен – без улучшений в компании не должно проходить ни дня.


МНЕНИЕ

55

Как правило, российские компании привыкли к быстрым улучшениям за счет вложения значительных ресурсов, например, в покупку и внедрение нового оборудования, программного обеспечения. Нелегко принять то, что можно ежедневно, без всякого контроля, каждым сотрудником выполнять свою работу качественно и эффективно, тем самым последовательно улучшая показатели компании в целом. Также следует отметить, что качество обеспечивается не массовым контролем над работой сотрудников, а выстраиванием всей деятельности компании таким образом, чтобы она постоянно совершенствовалась и не допускала (предотвращала) появление отклонений от установленных требований и ожиданий.Перечисленные выше направления являются лишь малым списком практических решений, позволяющим компаниям получать конкурентные преимущества на рынке, способствовать росту лояльности сотрудников и улучшению качества жизненных процессов, а значит выводить качество на совершенно новый уровень и делать его образом жизни. ∞

Использованные источники:

1. ГОСТ Р ИСО 9000-2015 Системы менеджмента качества. Основные положения и словарь (с поправками, август 2018).2. ГОСТ Р ИСО 9001-2015 Системы менеджмента качества. Требования (переиздание, май 2018).3. Кайдзен: Ключ к успеху японских компаний/ Масааки Имаи; Пер. с англ. – 2-е изд.-М.: Альпина Бизнес Букс, 2005 – 274с.4. Международные основы профессиональной практики внутреннего аудита. Обязательные для применения руководства (обновленная редакция 2016г.).5. Спираль качества / В.В. Ефимов, В.М. Князев.-Ульяновск: УлГТУ, 2002. – 232с.6. Статья «Кайдзен и Total Quality Management японский метод управления» / https://worksection.com/blog/kaizen.html 7. Quality is Free. The Art of Making Quality Certain / Philip B. Crosby.- Signet, 1980 – 288p.


МНЕНИЕ

Японский стиль менеджмента Западный стиль менеджмента

Ориентация на … Процесс Результат

Развитие Постепенное, проявляющееся со временем, иногда плюс инновации

Скачкообразное, только за счет инноваций

Ресурсы Бережливое расходование ресурсов

Нерациональное расходование ресурсов – пока есть прибыль, нет смысла оптимизировать затраты

Отношения в коллективе Взаимопомощь, поддержка, обмен знаниями

Индивидуализм, конкуренция между личностями и подразделениями

Руководство Лидер, наделенный авторитетом и опытом

Начальник, наделенный властью

Благоприятная среда для применения

Медленный рост экономики при нехватке ресурсов

Экономический бум, ресурсы в избытке

Перспектива Долгосрочная Краткосрочная

При этом существуют отличия японского и традиционного западного походов к улучшениям:

56

Риск является необходимым следствием ведения любого бизнеса, и каждая компания имеет свой риск-аппетит, то есть, уровень риска, который компания готова принять на себя для достижения своих целей.


ТЕОРИЯ

Личный профессиональный риск

в банках и НФО: как не допустить «дискриминацию»

Снежана Газиян, CIA, AIRC, практикующий эксперт в области внутреннего контроля (комплаенс)

57

С учетом возможных потерь от реализации риска компания определяет приемлемые затраты на внутренний контроль и иные меры управления рисками, то есть, ищет баланс между ценой контроля и ценой покрываемого риска.

Одним из факторов в общей оценке потерь от рисков является оценка вероятности и размера санкций со стороны регулирующих органов. Такие санкции могут распространяться как на организацию в целом, так и на отдельных должностных лиц. У таких должностных лиц возникает личный профессиональный риск, который они также должны оценивать и предпринимать адекватные защитные меры.

И к организации, и к должностному лицу могут быть применены меры воздействия от предупреждения до штрафа и ограничения деятельности. При этом степень материальности штрафа или ограничительной/ запретительной меры для физического лица и для юридического лица далеко не всегда прямо пропорциональна закрепленной в нормативных актах шкале.

Теоретически, эта диспропорция должна учитываться компанией в своей палитре рисков как один из факторов, в отношении которого необходимо иметь компенсационные меры.

Но так ли это на практике? Могут ли действительно все сотрудники, подвергающиеся личному профессиональному риску, рассчитывать на адекватную защиту и компенсацию потерь со стороны компании, или это доступно только узкому кругу? Все ли сотрудники в компаниях финансового сектора действительно имеют возможность управлять факторами рисков в полной мере, или есть факторы вне их контроля? Действительно ли можно говорить о возникновении угрозы дискриминации отдельных категорий сотрудников по факторам профессионального риска; и, если – да, то в чем она состоит, как влияет на рынок в целом, и как с этим можно бороться?

В этой статье на примере страховой компании и банка мне бы хотелось рассмотреть источники профессионального риска должностных лиц, на которых распространяются специальные (повышенные) требования в отношении квалификации (профессиональной пригодности) и деловой репутации, указать на наименее защищенные категории и попробовать предложить возможные пути решения проблемы.

Должностные лица – кто они?

Международные стандарты, равно как и российская нормативная база, устанавливают для ряда сотрудников особые требования к квалификации (профессионализму) и деловой репутации. Это обусловлено существенностью выполняемых ими функций в рамках корпоративного управления и внутреннего контроля финансовых организаций. Так, например, директивы 2009/138/EC Solvency II и EU 2015/35 устанавливают, что страховые и перестраховочные организации должны обеспечивать, чтобы все лица, фактически управляющие организацией или выполняющие другие ключевые функции, всегда соответствовали требованиям достаточности их уровня профессиональной квалификации, знаний и опыта для осуществления рационального управления; и требованиям в отношении честности, добросовестности и хорошей деловой репутации. Оценка соответствия должна проводиться на основании определенных нормативными актами локальных регуляторов критериев и правил. Аналогичный подход для банков исповедуется Basel.

Соответствующие правила в российской нормативной базе установлены в законе о банках и банковской деятельности/ законе об организации страхового дела* и нормативных актах Банка России**.……............................* Федеральный закон «О банках и банковской деятельности» от 02.12.90 №395-1 / Закон РФ «Об организации страхового дела в Российской Федерации» от 27.11.1992 № 4015-1

** В частности, Указании от 25.12.2017 № 4662-У «О квалификационных требованиях к руководителю службы управления рисками, службы внутреннего контроля и службы внутреннего аудита кредитной организации, лицу, ответственному за организацию системы управления рисками, и контролеру негосударственного пенсионного фонда, ревизору страховой организации, о порядке уведомления Банка России о назначении на должность (об освобождении от должности) указанных лиц (за исключением контролера негосударственного пенсионного фонда), специальных должностных лиц, ответственных за реализацию правил внутреннего контроля в целях противодействия легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма кредитной организации, негосударственного пенсионного фонда, страховой организации, управляющей компании инвестиционных фондов, паевых инвестиционных фондов и негосударственных пенсионных фондов, … (продолжение на следующей странице)


ТЕОРИЯ

58

Специальные требования распространяются на руководителя единоличного или коллегиального исполнительного органа, его заместителей, руководителей филиалов, членов совета директоров и наблюдательного совета, главного бухгалтера и его заместителей, внутреннего аудитора/ руководителя службы внутреннего аудита, ревизора/ руководителя ревизионной комиссии, специальное должностное лицо, ответственное за реализацию правил внутреннего контроля в целях противодействия легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма, актуария, руководителя службы управления рисками, руководителя службы внутреннего контроля.

Центральный банк в рамках своих полномочий осуществляет оценку соответствия должностных лиц (включая временно исполняющих обязанности) на основании как документов и сведений, предоставленных самими компаниями и банками в установленном порядке при согласовании назначений, так и иных документов и сведений, полученных ЦБ в общем при осуществлении им надзорных функций.

Для некредитных финансовых организаций и банков несоблюдение требований будет являться прямым нарушением нормативных требований и потенциально вести к рискам на уровне от существенного (высокие штрафы и иные прямые и косвенные финансовые потери плюс репутационные риски) до катастрофического (ограничение или прекращение деятельности, отзыв лицензии). ……............................…микрофинансовой компании, сотрудника службы внутреннего контроля управляющей компании инвестиционных фондов, паевых инвестиционных фондов и негосударственных пенсионных фондов, а также о порядке оценки Банком России соответствия указанных лиц (за исключением контролера негосударственного пенсионного фонда) квалификационным требованиям и требованиям к деловой репутации», Указании от 09.08.2004 г. № 1486-У «О квалификационных требованиях к специальным должностным лицам, ответственным за соблюдение правил внутреннего контроля в целях противодействия легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма и программ его осуществления в кредитных организациях» и аналогичном для некредитных финансовых организаций Указании № 3470-У от 05.12.2014г.

Квалификационные требования

Первая группа требований к должностным лицам –это требования к образованию и опыту работы. Так, во всех случаях требуется высшее образование и для определенных случаев уточняется, какое именно.Как ни странно, уже это вызывает определенные дискуссии.

Так, есть мнение*, что требование о наличии высшего образования в целом или специального (юридического или экономического) высшего образования является излишним, чуть ли не дискриминирующим. Не могу с этим согласиться.

Нормативные требования, в частности, в отношении внутренних контролеров, внутренних аудиторов, специальных должностных лиц, оговаривают, что отсутствие именно юридического или экономического высшего образования может быть заменено эквивалентом связки иного высшего образования и профильного опыта работы в течение определенного срока и соответствующего повышения квалификации или профессиональной переподготовки.

Да, само высшее образование как таковое является в этой конструкции константой. Но, на мой взгляд, это выражение требования к общей грамотности человека и к умению постоянно повышать свою квалификацию. С этим, конечно, можно поспорить с той точки зрения и «качества диплома», и того неоспоримого факта, что способность к постоянному росту и развитию дипломом как таковым не определяется.

Да, мне доводилось общаться с практикующими контролерами и аудиторами, например банков, которые имеют дипломы, скажем так, несколько сомнительного происхождения, или ВУЗа, у которого впоследствии была отозвана лицензия. При этом сами специалисты – крепкие практики с богатым опытом и большим стажем.

……............................* Здесь и далее помимо личного общения и обсуждений с коллегами сошлюсь на публикацию «Дискриминация банковских служащих» в майском выпуске «Банковского Обозрения».


ТЕОРИЯ

59

Нужна ли в данном случае некая амнистия дипломов по аналогии с амнистией источников происхождения из «лихих девяностых», например, собственности или капитала? Возможно. Следует ли предъявлять претензии регулятору, не принимающему в качестве соответствующего подтверждающего документа сомнительные дипломы? Категорически нет. Как быть с иностранными дипломами об образовании, которые иной раз не так-то легко вписать в наши реалии –совершенно отдельная тема, которую вынесу за скобки.

Во всех этих спорах меня смущает тот факт, что, осознавая некоторую «неблагонадежность» своих документов об образовании, значительная часть тех, с кем пришлось пообщаться, не предпринимает никаких практических усилий к тому же пресловутому повышению квалификации или переподготовке. Хотя возможностей сейчас –огромное множество, и даже международные сертификации уже давно доступны на русском языке.

А если оторваться от формальных регуляторных требований и взглянуть с точки зрения самой компании или банка: готовы ли эти чистые практики к постоянному изменению среды, или начинают все больше «зависать» в прошлом? Допустимо ли на практике принять риск отставания контролера от среды и полагаться только на его профессиональный жизненный опыт и интуицию? На мой взгляд, для компании или банка, нацеленного на развитие, а не стагнацию – нет. И, требование о высшем образовании и/или повышении квалификации – это не дискриминация, а мотиватор.

Аналогичным образом сложно принять аргумент о том, что специалисту по управлению рисками нужно скорее «уметь считать», чем иметь «гуманитарное» юридическое или экономическое образование. Во-первых, как было отмечено выше, именно эти два вида образования совершенно не являются блокирующими в формулировках квалификационных требований. Во-вторых, экономическое образование предполагает знание и статистических методов, и математических моделей. В третьих, например, в отношении актуариев есть ряд специальных требований, определенных

соответствующими нормативами*. Наконец, в оценке многих рисков превалирует не строгая математика, но вполне «гуманитарное» умение собрать и проанализировать экспертные мнения, и (иногда хочется сказать – увы) теория вероятностей в ее философском аспекте.

Требования к опыту работы, кстати, особых споров и претензий в отношении дискриминации не вызывают, хотя, например, для сотрудника подразделения по противодействию легализации в случае отсутствия у него профильного образования обязателен опыт работы в соответствующем направлении от года, и это иногда вызывает трудности с кадровыми резервами для сравнительно небольших компаний из перечня некредитных финансовых организаций. Но, очевидно, с учетом специфики функции это представляется логичным всему рынку.

В заключение этого раздела хочу отметить еще два нюанса.

Компании и банки, относящиеся к международным группам, принимают во внимание также требования, происходящие из иностранного законодательства и обычаев самой группы, и они, подчас, оказываются куда более жесткими. Так, одним из требований по назначению на позиции в периметре внутреннего контроля может быть опыт работы не просто в профессиональной сфере, но именно в группе.

Требованиям к опыту работы для должностных лиц из перечня не (полностью) соответствуют сотрудники, например, «большой четверки», если они имеют только такой опыт работы. Дискриминация? Вряд ли. Да, коллеги имеют большой опыт из разных источников, отлично знают глубины теории. Но это опыт все-таки по большей части наблюдений за практикой, чем практики как таковой. ……............................* В частности, Закон РФ «Об организации страхового дела в Российской Федерации» от 27.11.1992 № 4015-1, Федеральный закон от 02.11.2013 № 293-ФЗ «Об актуарной деятельности в Российской Федерации», Указание Банка России от 06.11.2014 № 3435-У «О дополнительных требованиях к квалификации ответственных актуариев, порядке проведения аттестации ответственных актуариев»


ТЕОРИЯ

60

Требования к деловой репутации

Вторая обширная группа требований к должностным лицам – это требования к деловой репутации. Безусловно, деловая репутация, честность и добросовестность должностных лиц –это один из факторов деловой репутации самой компании или банка, и это как внешнее регуляторное, так и самостоятельно принимаемое на себя обязательство в рамках этического ведения бизнеса и системы комплаенс.

Для оценки соответствия должностных лиц таким требованиям существуют критерии, также формализованные в нормативном регулировании, о котором говорилось выше.

В частности, не соответствующим требованиям к деловой репутации будет считаться внутренний аудитор (руководитель службы внутреннего аудита), руководитель службы управления рисками, ревизор (руководитель ревизионной комиссии), руководитель службы внутреннего контроля или специальное должностное лицо, ответственное за реализацию правил внутреннего контроля в целях противодействия легализации (отмыванию) доходов, полученных преступным путем, если это лицо осуществляло соответствующие функции в финансовой организации хотя бы один день в течение 12 месяцев, предшествовавших дню

(i) принятия Банком России решения об осуществлении мер по предупреждению банкротства финансовой организации,

(ii) назначения в соответствии с решением Банка России временной администрации по управлению финансовой организацией с приостановлением полномочий исполнительных органов, при условии, что такое решение было принято Банком России в течение 10 лет, предшествовавших дню его назначения (избрания) на должность или дню получения Банком России документов для государственной регистрации кредитной организации;

(iii) отзыва (аннулирования) за нарушение законодательства Российской Федерации у финансовой организации лицензии на осуществление операций, соответствующих виду деятельности финансовой организации, либо дню исключения финансовой организации из соответствующего реестра за нарушение законодательства Российской Федерации, или

(iv) в период осуществления организацией действий, относящихся в соответствии сзаконодательством Российской Федерации к неправомерному использованию инсайдерской информации и манипулированию рынком, в случае неоднократного в течение одного года применения к такой организации мер за осуществление указанных действий,

если на день, предшествующий дню назначения (избрания) кандидата на должность не истек десятилетний срок со дня последнего применения указанных мер или десятилетний срок со дня отзыва (аннулирования) лицензии на осуществление операций, соответствующих виду деятельности финансовой организации, либо дня исключения финансовой организации из соответствующего реестра;

Или

если в течение пяти лет, предшествовавших дню назначения (избрания) лица на должность или дню подачи в надзорный орган заявления о согласовании кандидатуры, к финансовой организации, в которой лицо осуществляло функции руководителя службы управления рисками, внутреннего аудитора (руководителя службы внутреннего аудита), контролера (руководителя службы внутреннего контроля), специального должностного лица, ответственного за реализацию правил внутреннего контроля в финансовой организации в целях противодействия легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма, предъявлялись требования о замене указанного лица.

При этом собственно процесс устроен таким образом, что сначала соответствие лица требованиям (квалификационным и к деловой репутации) проверяет компания на основании предоставленных сотрудником или кандидатом документов, а также пользуясь иными доступными ей источниками проверки сведений о сотруднике.

Затем компания (банк) в срок не позднее трех рабочих дней со дня принятия решения о назначении должностного лица финансовой организации, должна направлять в уполномоченное подразделение Банка России уведомление о назначении должностного лица по установленной форме с приложением необходимых документов и


ТЕОРИЯ

61

сведений, в том числе, документа, подтверждающего решение финансовой организации о назначении должностного лица.

Далее, получив документы, уполномоченное подразделение Банка России осуществляет со своей стороны оценку соответствия должностных лиц финансовых организаций (включая лиц, временно исполняющих обязанности должностных лиц финансовой организации) требованиям к деловой репутации и квалификационным требованиям. Проверка должна быть проведена в течение тридцати дней, и осуществляется на основании как документов, полученных от банка/ некредитной финансовой организации, так и документов и сведений, полученных Банком России в ходе осуществления им надзорных функций.

Итак, возникают ли здесь профессиональные риски? Увы, да – соглашусь с мнением коллег.

Во-первых, ответ регулятора делается не в отношении намерения компании – это не предварительное согласование, а уведомление о состоявшемся факте приема человека на работу (или внутреннего перемещения) на соответствующую должность, в отношении которого, тем не менее, может быть дан отрицательный ответ, и предъявлено требование о замене. То есть, компании нужно иметь либо готовый кадровый резерв, либо специальные ресурсы на проверку. Не обязательно внутренние, конечно, – это может быть аутсорсинг или закупка услуги – но так или иначе это может вылиться в существенные операционные расходы.

Во-вторых, основаниями для признания лица не соответствующим требованиям к репутации являются факты, связанные, например, с отзывом лицензии. Который, в свою очередь, часто связан с нарушениями, например, в области противодействия легализации. Но, как мы помним из формулировки, под ударом оказывается не только лицо, при котором проблемы накапливались, но и новый человек, которому далеко не всегда может хватить года на исправление ситуации.

Да, в нормативных текстах делается оговорка о том, что должностное лицо может (попытаться) представить в Банк России доказательства непричастности к принятию решения или совершению действий (бездействию), которые привели к возникновению оснований для применения к компании или банку мер в виде

отзыва лицензии, внешнего управления и т.п. И тогда оно будет считаться соответствующим деловой репутации.

Также есть возможность обжаловать в установленном порядке* признание его не соответствующим квалификационным требованиям и (или) требованиям к деловой репутации, обратившись в комиссию Банка России по рассмотрению жалоб. Максимальный установленный срок для ответа – 45 дней, и по результатам рассмотрения комиссия принимает решение об удовлетворении или об отказе в удовлетворении указанной жалобы, о чем направляет лицу мотивированное сообщение в письменной форме.

Но с практической точки зрения – какие доказательства может представить такое лицо? Выше, как вы, наверное, заметили, круг должностных лиц был сужен до аудиторов и контролеров. Но реальные управленческие решения принимают не эти люди. Допустим, единоличный исполнительный орган и/или совет директоров предпринимают действия, несущие повышенный риск нарушений все в той же сфере противодействия легализации, и, допустим, специальное должностное лицо добросовестно информирует исполнительное руководство об этих рисках, а аудитор в рамках своей компетенции делает то же самое, доводя до сведения акционеров. Но практика не меняется и приводит к катастрофе. При этом очень часто информирование уходит в песок, так как нет культуры и/или желания документировать принятие риска. В такой системе координат сотруднику, чаще всего в иерархии –менеджеру среднего звена, практически невозможно доказать пресловутую непричастность.

Да, хорошо, если у контролеров есть право вето в рамках коллегиальных решений, опора на общую корпоративную культуру и тон сверху и возможность в крайнем случае «эскалировать» ситуацию на уровень выше их прямого (локального) руководства, то есть предпринять какие-то (про)активные и однозначно документально зафиксированные шаги. И понятно желание регулятора привести рынок к лучшим практикам. ……............................* Указание Банка России от 26.12.2017 № 4666-У «О порядке обжалования признания лица не соответствующим квалификационным требованиям и (или) требованиям к деловой репутации»


ТЕОРИЯ

62

Однако непонятна фактическая несоразмерность в данный момент наказания реальной виновности и причастности, как минимум части из должностных лиц, для которых единственной возможностью управлять риском может оказаться умение вовремя уволиться с «расстрельной» должности, дабы избежать попадания в «черные списки» и той самой последующей дискриминации. Но в такой парадигме, на мой взгляд, сужается и поле маневра для самого регулятора, который вынужден насаждать сверху, а не координировать процесс движения рынка по пути самоочищения, саморегулирования и осознанного эволюционного внедрения лучших практик в корпоративном управлении и внутреннем контроле.

Кстати, хочу отметить, что если вернуться к текстам международных стандартов, то в них подчеркивается применение жестких требований к соответствию (и воздействие за несоблюдение) деловой репутации и профессионализма в отношении лиц, которые фактически управляют или отвечают за ключевые функции. То есть сбалансировать степень профессионального риска всех должностных лиц можно и через обязательность придания им полномочий, в том числе через централизованное влияние регулятора на этот процесс.

Управление внешним риском дискриминации

Итак, для должностных лиц существует личный профессиональный риск – риск дисквалификации и последующего фактического запрета на профессию (должность). С учетом того, что риск реализуется через действие регулятора, условно назову его внешним. Уровень такого риска не всегда соразмерен возможностям сотрудника по исключению факторов его возникновения: будь то степень фактического влияния на управленческие решения или как таковые меры регулирования, не соответствующие риск-ориентированному подходу.

На мой взгляд, хорошей практикой в корпоративной культуре является готовность компании или банка защищать своих сотрудников от такого рода факторов профессионального риска не только на уровне топ-менеджмента с золотыми парашютами, но и на уровне среднего звена посредством, например, страхования профессиональных рисков (ответственности) должностных лиц.

Конфликт интересов как внутренний риск дискриминации

Конфликт интересов традиционно понимается как состояние, ведущее к нарушению регуляторных требований и правил этического ведения бизнеса, то есть, относится к периметру комплаенс-рисков компании или банка; и гораздо реже рассматривается как источник личного профессионального риска для должностных лиц. И снова оставлю за скобками роли единоличного/ коллегиального органа, главного бухгалтера и совета директоров/ наблюдательного совета и сосредоточусь на контролерах, в отношении которых, на мой взгляд, есть две основные ситуации конфликта интересов, результатом которых может быть личный профессиональный риск.Первое – это практики прямого взаимодействия контролеров с клиентами или контрагентами, которые балансируют на грани прямого консультирования о том, как обойти контрольные процедуры и/или иным образом приводят к возможности влияния на независимость профессионального суждения.Второе – желание совместить в одном лице контролера и бизнес-консультанта, при котором роль контролера расширяется от позиции лица, заранее предупреждающего о последствии нарушений, до лица, обязанного придумать обходной маневр (то есть, по сути, придумать управленческое решение, а затем осуществлять в отношении него контрольные процедуры).В обоих случаях результатом может стать уже самая настоящая причастность к принятию решения или совершению действий (бездействию), которые привели к возникновению оснований для применения к компании или банку мер в виде отзыва лицензии, внешнего управления и т.п.; что в свою очередь приведет к совершенно обоснованной, а не дискриминационной личной дисквалификации.

Управление внутренним риском дискриминацииВ отличие от внешнего риска, в случае внутреннего риска дискриминации единственной реальной защитой является максимальное исключение такого рода конфликта интересов. И если в случае внешних факторов, даже действуя добросовестно, сотрудник может оказаться между молотом и наковальней, то в части внутренних –именно добросовестное поведение (в том числе, да, непринятие таких условий работы) становится лучшей страховкой. ∞


ТЕОРИЯ


ТЕОРИЯ

Особенности законодательных

требований к внутреннему аудиту

для кредитных организаций

России, Украины, Беларуси и Казахстана

Сухроб Курбонов, директор департамента внутреннего аудита ЗАО "Альфа-Банк" (Беларусь)

64

За последние 5-10 лет внутренний аудит как функция становится важной и неотъемлемой частью системы внутреннего контроля и корпоративного управления как в России, так и в других странах постсоветского пространства, в частности, на Украине, Беларуси и в Казахстане. Это связано в основном со следующими факторами:

• с введением норм об обязательности создания подразделений внутреннего аудита в кредитных организациях (банках), страховых организациях и т.д.; • с повышением уровня конкуренции и потерь от реализации рисков и, как следствие, с усилением внимания менеджмента к компонентам управления рисками, выстраиванию оптимальной контрольной среды/ системы, а также оптимизации процессов корпоративного управления;• с усилением осознания у менеджмента/ бенефициаров, что правильно выстроенная и многоуровневая система внутреннего контроля (компонентом которого является внутренний аудит) минимизирует вероятность потерь, становится источником закрепления получаемого результата, а в средне- и долгосрочной перспективе может стать дополнительным фактором роста;• с необходимостью выйти на зарубежные рынки капитала, с необходимостью проведения операций по слиянию и поглощению, в ходе которых, в том числе, анализируется/ запрашивается информация о состоянии системы/ компонентах системы внутреннего контроля, корпоративного управления.

Кроме этого, возросло внимание к внутреннему аудиту со стороны бенефициарных владельцев/ акционеров как к источнику, который может предоставить им неангажированные/ объективные данные о ситуации в том или ином направлении бизнеса или о деятельности компании в целом.

В данной статье перечислены основные законодательные документы, регулирующие деятельность внутреннего аудита в кредитных организациях как функции, с раскрытием и сравнением определенных норм для понимания, какие нормы/ требования установлены к внутреннему аудиту кредитных организаций в России, Украине, Беларуси и Казахстане.

Чем может быть полезна данная тема:• в настоящее время ряд российских и казахских банков имеют дочерние структуры в ряде перечисленных стран. Как следствие, агрегированная информация позволила бы видеть более целостную картину заинтересованным лицам;• понять особенности регулирования/ требования к функции внутреннего аудита в той или иной стране (по определенным компонентам регулирования);• позволит уточнить уровень законодательного внимания к функции внутреннего аудита в банках России, Украины, Беларуси и Казахстана;• позволит ознакомиться с перечнем основных документов, регулирующих деятельность внутренних аудиторов в кредитных организациях данных стран.


ТЕОРИЯ

65

Для удобства восприятия и систематизации материал изложен в виде сравнительной таблицы. В ней указаны основные законодательные документы (список)* и проанализированные критерии (анализ проведен по 29 критериям), в конце указываются некоторые выводы и дается информация по некоторым отличительным особенностям:


ТЕОРИЯ

* Россия: Положение ЦБ РФ № 242-П от 16.12.2003 (в ред. от 24.04.2014) (1А); Письмо Банка России от 15.09.2016 N ИН-015-52/66 (1B). Беларусь: Инструкция (Постановление Правления Национального банка Республики Беларусь 30.11.2012 №625 (2А); Постановление Правления НБ РБ 29 от 29.10.2012 №550 2 (B). Украина: Положение об организации внутреннего аудита в банках Украины (Постановление НБУ от 24.10.2017 – неофициальный перевод) (3А). Казахстан: Внутренний аудит в системе финансового контроля в государственных органах Казахстана 4 (а); Постановление Правления Национального Банка Республики Казахстан от 26 февраля 2014 года № 29 Об утверждении Правил формирования системы управления рисками и внутреннего контроля для банков второго уровня (4B).

Норма/Требование Россия Беларусь Украина Казахстан

1.Требование о наличии подразделения внутреннего аудита в банке

Да (1а, Глава

4)

Да

(2 а., Глава 4. п.24)

Да

(3 а., Раздел 2. п.5)

Да

(4 а., Приложение

№2. п.15.1)

2. Требование о наличии утвержденного Положения о подразделении внутреннего аудита (с описанием целей, задач, ответственности и т.д.)

Да (1а, Глава 4,

п 4.2, 4.3)

Да

(2 а., Глава 4. п.25)

Да

(3 а., Раздел 2. п.7)

Да


№2. п.15.1)

3. Наличие требования (прямого или косвенного) о создании Аудиторского комитета


п. 5.3; 1б,

раздел 8, пункт

8.1)

Да

(2 а., Глава 2. п.5,

п.7)

Да

(3 а., Раздел 1. п.3,

Раздел 7, п. 32)

Нет о АК, при этом

есть информация о

СД (4а., Приложение

№2 п. 15.1, 15.2)

4. Наличие требования/ рекомендации о количестве членов Аудиторского комитета, в т.ч. об обязательном количестве независимых директоров в составе

Да

(1б,

Приложение

№2, раздел 3).

В анализированных

документах нет

такой нормы.

В анализированном

документе нет такой

нормы.



нормы.


ТЕОРИЯ


5. Наличие требования о вхождении руководителя внутреннего аудита в состав комитета по аудиту

Нет Да

(2 а., Глава 4. п.24)

Нет Нет

6. Уровень утверждения Положения либо иного документа (какой орган утверждает)

Да,

СД (НС), если в

уставе не

указано иное

(1а, п. 4.3)

Да

(2 а., Глава 2. п.6)

Да

(3 а., Раздел 2. п.7)

Да,

СД (4а

Приложение№2 п

15.1, 15.2)

7. Требования к руководителю функции

Да

(1а. п. 4.9

отсылка на

3223-У, 4662-У)

Косвенно

(2 а., Глава 4. п.26)

Да

(3 а., Раздел 2. п.8)

Да,

есть норма об

установлении

требования в т.ч.

банком (4 а.,

Приложение №2

п.15.2, 15.3)

8. Требования к сотрудникам (опыту, квалификации, наличию профессиональных сертификатов)

Есть норма о

проф.

переподготовке

(1а, п. 4.9)

Косвенно

(2 а., Глава 4. п.26)

Есть норма о проф.

компетентности

сотрудников (3 а.,

Раздел 2. п.12)

Есть норма об

установлении

требования в т.ч.

банком (4 а.,

Приложение №2

п.15.2, 15.3)

9. Требования о необходимости по осуществлению внешней независимой оценки внутреннего аудита со стороны третьих сторон (внешняя оценка/НС и т.д.)

Да

(1а, п. 4.7.1)



такой нормы

Да

(3 а., Раздел 7. п.32)

Да


№2. п.15.12)

10. Требование о неучастии сотрудников в проверке деятельности/ функций, за которые они несли ответственность (могут не ранее 12 месяцев)

Да

(1а, п. 4.8.2),




Да

(3 а., Раздел 2. п.12)

Да (4 а., Приложение

№2. п.15.2)


ТЕОРИЯ


11. Порядок назначения руководителя функции по внутреннему аудиту и уровень его утверждения

Да

(1а. п. 4.9 отсылка

на 3223-У)

В

анализированных



Да

(3 а., Раздел 2. п.7,

11 + отсылка на иной

док. НБУ)



нормы

12. Наличие прямой нормы о количестве/ рекомендуемом количестве сотрудников внутреннего аудита к общей численности банка/ кредитной организации (прямая норма с указанием %, к примеру, к общей численности)

В




В






нормы



нормы

13. Наличие требования о составлении годового плана внутреннего аудита

Да

(1а, п.4.7.2, в т.ч.

отсылка на иные

нормы)


п.27)

Да

(3 а., Раздел 2. п.13)

Да


№2. п.15.4)

14. Требование о более гибком планировании (flexible audit plan)

В




В




Да

(3 а., Раздел 2. п.13)

Нет

15. Наличие требования об уровне подчиненности/ подотчетности/ подконтрольности внутреннего аудита

Да (1а, п.4.2,

4.7.1),

Да, (2а, Глава 4,

п.24, 25)

Да

(3 а., Раздел 2. п.5,6)

Да


№2. п.15.3)

16. Необходимость осуществления оценки эффективности систем внутреннего контроля (в проверенном процессе, либо в целом)

Да (1а, п. 4.1) Да (2а, Глава 4,

п.27)

Да

(3 а., Раздел 3. п.16)

Да


№2. п.15.1, 15.3,

15.9)


ТЕОРИЯ


17. Необходимость осуществления оценки эффективности системы управления рисками (в проверенном процессе, либо в целом)

Да (1а, п. 4.1) Да (2а, Глава 4,

п.27)

Да

(3 а., Раздел 3. п.16)

Да


№2. п. 15.1, 15.3,

15.6)

18. Необходимость осуществления оценки эффективности системы управления банком/ корпоративного управления (в проверенном процессе, либо в целом)

Нет, прямой нормы

нет, есть косвенные

нормы/

фрагментарные

(1а, 4.1,

Приложение №3, п.

1; 2а Приложение

№2, п.2.1)


п.27)

Да

(3 а., Раздел 3. п.16)

Да


№2. п. 15.1, 15.3)

19. Необходимость осуществления оценки надежности системы бухгалтерского учета и информации и составленных на их основе финансовой и регуляторной отчетности

Да (1а, п. 4.1) Да (2а, Глава 4,

п.27)

Да

(3 а., Раздел 3. п.16)

Да


№2. п.15.7)

20. Требования о составлении Плана проверок по принципу «риск-ориентированный подход»


документах данная

норма не указана


п.27),

Да

(3 а., Раздел 2. п.7)

Да


№2. п.15.2, 15.4)

21. Требования о цикличности проведения проверок и охвата всех процессов, вопросов

Да

(1а, п. 4.10.1, 5.3)


п.26), при этом

не указан

период.

Нет, при этом норма

о стратегическом/

долгосрочном

планировании есть

(3 а., Глава 2. п.13)

Нет, т.е. отсутствует

норма, в которой

было бы четко и

однозначно указано

данное требование

22. Основные способы (методы)/ направления осуществления проверок службой внутреннего аудита

Да (1а, Приложение

№3, п.1)


п.24, 27)

Да

(3 а., Раздел 3. п.16;

Раздел 5, п.21)

Да


№2. п.15.6)


ТЕОРИЯ


23. Требование о предоставлении обязательной отчетности о деятельности внутреннего аудита заинтересованным лицам (наблюдательный совет, правление и т.д.);

Да

(1а, п. 4.2)

Да (2а, Глава 4, п.27) Да

(3 а., Раздел 5. п.27)

Да


№2. п.15.10, 15.12)

24. Требование о необходимости осуществления мониторинга рекомендаций/ мероприятий

Да

(1а, п. 4.11)

Да (2а, Глава 4, п.27) Да

(3 а., Раздел 5. п.26)

Да


№2. п.15.11)

25. Возможность передачи функции внутреннего аудита на аутсорсинг (в случае, если кредитная организация не входит в банковскую группу)

Нет

(1а, п. 4.6.2)

Да

(2а, Глава 4, п.25)







26. Норма о возможности привлечения внутренних сотрудников иных подразделений банка для участия в проведении аудита

В

анализированн

ых документах

нет такой

нормы




Нет, при этом в

отчете о

деятельности ВА

есть сведения о

привлеченных лицах

(3а, Раздел 7, п34,

подпункт 3)

Да


№2. п.15.3)

27. Упоминания терминов «Гарантия» и/ или «Консультация» (для максимизации связей с МОПП)

Нет Да

(2а, Глава 4, п.25)

Да

(3 а., Раздел 2. п.7)

Да


№2. п.15.1)

28. Требования или рекомендации о необходимости автоматизации/ полуавтоматизациидеятельности внутреннего аудита

Нет В анализированных



Нет, при этом в

отчете о

деятельности ВА

есть критерий (3а,

Раздел 7, п34,

подпункт 3)

Нет

70

Опираясь на результаты анализа, можно сделать несколько выводов и указать некоторые отличительные особенности:

• Законодательные требования к внутреннему аудиту/ функции внутреннего аудита для кредитных организаций (банков) России, Украины, Беларуси и Казахстана концептуально близки по сущности, а также имеют существенную смысловую схожесть/ идентичность с Международными основами профессиональной практики внутреннего аудита (в определенных требованиях имеются прямые ссылки, указывающие, что требования разработаны на основании МОПП (как в случае с Положением НБУ), или использованы менее прямые формулировки, как в случае с требованиями НБ РК (некоторые отличия и особенности будут раскрыты ниже).

• Проведенный анализ показывает, что определенные компоненты/ требования к функции внутреннего аудита более полным образом раскрыты в одной стране, другие компоненты/ требования – в другой, например: Национальным банком Украины формализован и детализирован отчет о работе подразделения внутреннего аудита для НБУ (с четкими критериями/ вопросами); НБ Республики Беларусь более подробно описывает области/ вопросы, которые должны быть охвачены внутренними аудиторами в ходе их деятельности; Банк России детально описал деятельность аудиторского комитета. Возможно, детализация и акцент на определенных компонентах связаны с определенными особенностями, к примеру, уровнем зрелости функций внутреннего аудита в кредитных учреждениях, желанием регуляторного органа делать акцент на одном компоненте, с целью дальнейшего совершенствования данного компонента и т.д.

• В целом (как указывалось выше), установленные требования концептуально близки по сущности, как следствие: их внедрение (при прочих равных условиях) во всех странах может быть осуществлено в идентичные сроки с идентичным количеством ресурсов/ трудозатрат, при этом важным моментом,

связанным с внедрением и применением, является уровень профессионализма команды/ лица, осуществляющих их внедрение в практическую плоскость. Существуют и некоторые особенности: к примеру, Банк России указывает, что внутренний аудит должен охватывать все процессы с периодичностью 1 раз в 3 года (т.е. принцип цикличности и всеобъемлющего охвата), в то время как Национальный банк Казахстана не формулирует такую норму напрямую. Другой пример: в нормах, установленных Национальным банком Республики Казахстан, имеется целый раздел, который посвящен аудиту системы управления комплаенс-рисками. В нем подробно описано, что должно проверяться, какие компоненты должны быть подвергнуты оценке, указано, что на ежегодной основе должны проверяться вопросы ПОД/ФТ и т.д. В то время как в иных изученных нормативных документах такого уровня детализации и такой периодичности к данному компоненту не установлено. Как следствие, объем ресурсов для выполнения требований по этому разделу в указанных странах будет разным.

• В изученных законодательных нормах не отражены данные о необходимости, либо отсутствии необходимости в установлении ключевых показателей эффективности (КПЭ) для внутреннего аудита (к примеру, в части вознаграждений внутренних аудиторов в требованиях НБ РК и НБУ указано, что вознаграждение работников внутреннего аудита не должно быть связано с финансовыми показателями банка/ структурного подразделения). Отсутствие нормы по КПЭ концептуально не усложняет и не упрощает деятельность внутренних аудиторов, однако указание в нормативных документах целесообразности их введения/ невведения позволило бы находиться всем сторонам (внутренний аудит, менеджмент, акционер, регулятор) в единой системе координат.

• Интересным моментом является то, что, по сути, кроме как НБ РБ никто из регуляторов не допускает передачу функции внутреннего аудита банка на аутсорсинг. Такой подход может быть связан со


ТЕОРИЯ


29. Норма о необходимости установления ключевых показателей эффективности (KPI) для внутренних аудиторов

Нет В анализированных

документах нет такой

нормы

Нет Нет

71

следующими факторами:аутсорсинговые компании не всегда могут обладать тем багажом навыков и знаний, которые нужны для выполнения функции внутреннего аудита в банке (хотя МОПП указывает иное); аутсорсинговые компании могут быть менее выгодными как по стоимости (дешевле нанять внутренних аудиторов в штат банка), так и по качеству работ; банки не могут контролировать/ митигировать риски, связанные с деятельностью аутсорсинговых компаний (ухудшение их финансового состояния, отток кадров, изменение стоимости услуг для банка, качество осуществляемой работы и т.д.), которые впоследствии могут привести к несистемности в осуществлении внешнего аутсорсинга функции внутреннего аудита и/или его подорожанию;также важным моментом (с учетом GDPR-требований) является вопрос передачи, хранения/ конфиденциальности и использования данных аутсорсерами. Сложившаяся практика показывает, что в настоящее время менее рискованно и более эффективно иметь собственное подразделение внутреннего аудита в банке. Такой принцип в целом соответствует интересам всех сторон (менеджмент, акционер, регулятор).

• Важным аспектом также является вопрос, связанный с автоматизацией/ полуавтоматизацией функции внутреннего аудита. В требованиях/ рекомендациях регуляторов этот компонент не указывается (единственное упоминание об автоматизации есть в отчете о работе подразделения внутреннего аудита, который предоставляется в Национальный банк Украины (скорее всего, этот момент является одним из критериев оценки). При этом нужно понимать, что введение самой нормы и/или указания критерия для оценки не обозначает параллельное повышение эффективности функции внутреннего аудита, при этом в сторону автоматизации/ полуавтоматизации внутреннего аудита необходимо как минимум задумываться. Сейчас на рынке представлены несколько решений от разных компаний, и каждое решение имеет свои преимущества и недостатки (у одних решений высокая стоимость, другие – это пакетное решение, изменение и внедрение которого также обойдется в приличную сумму, при этом нет гарантии повышения эффективности и ценности внутреннего аудита после автоматизации), поэтому

нужно очень грамотно подходить к этому процессу, применяя проектный подход с анализом экономической целесообразности и практической пользы/ ценности. ∞

Комментарий Дениса Малыхина, CIA,руководителя Программы сертификации Института внутренних аудиторов, члена Совета Института внутренних аудиторов:

Подборка регулятивных документов из банковских сфер Беларуси и Казахстана, предоставленная автором статьи, удачно дополнила библиотеку Института (раздел «База знаний» https://www.iia-ru.ru/inner_auditor/legislation/ ). Благодорим Сухроба Курбонова за помощь! Тем не менее, мнение автора по поводу особенностей регулятивных требований к организации управления рисками и функции внутреннего аудита может не совпадать с официальной позицией Института.

Необходимо обратить внимание, что вопросы организации внутреннего аудита в тех российских банках, которые являются публичными акционерными обществами, также регулируются российским Кодексом корпоративного управления (Письмо ЦБ РФ от 10.04.2014 N 06-52/2463 "О Кодексе корпоративного управления"), который был одобрен Правительством РФ 13.02.2014 и Советом директоров ЦБ РФ 21.03.2014. Рекомендации по организации внутреннего аудита, ранее выработанные профессиональным сообществом с учетом передовой международной практики, приобрели характер законодательных требований в связи с внесением изменений в Федеральный закон № 208-ФЗ от 26.12.1995 (в ред. от 19.07.2018).

Вопросы развития научно-методологических подходов к организации внутреннего аудита в финансовых организациях являются ключевой темой для работы Экспертного совета по регулированию, методологии внутреннего аудита, внутреннего контроля и управления рисками в Банке России и финансовых организациях, созданного в Банке России (http://www.cbr.ru/today/audit/ ) и Консультативного совета по аудиторской деятельности центральных (национальных) банков http://www.cbr.ru/today/audit/konsul-tativnyy-sovet-po-auditorskoy-deyatel-nosti-central-nykh-nacional-nykh-bankov/


ТЕОРИЯ

https://www.iia-ru.ru/inner_auditor/legislation/

http://www.cbr.ru/today/audit/

http://www.cbr.ru/today/audit/konsul-tativnyy-sovet-po-auditorskoy-deyatel-nosti-central-nykh-nacional-nykh-bankov/

72

CIA


Отчетность по CPE-часам за 2019 год

Международный Институт внутренних аудиторов (IIA) информирует о том, что открыта

возможность внесения данных отчетности по непрерывному профессиональному

образованию (CPE) за 2019 год.

Все сертифицированные специалисты должны сообщить о своих CPE-часах за 2019 год до

31 декабря текущего года. Ознакомиться с требованиями CPE, стоимостью и деталями

отчетности, можно на сайте IIA, на странице CPE Reporting:

https://global.theiia.org/certification/certified/Pages/CPE-Requirements.aspx

IIA напоминает, что 2 CPE-часа должны относиться к этике.

Управление отчетностью осуществляется через систему CCMS (Certification Candidate

Management System). Когда сообщаете о своих CPE-часах, не забудьте проверить, что ваш

основной адрес электронной почты в CCMS действителен.

Подробнее о подаче данных отчетности по СРЕ-часам читайте в следующей статье.

https://global.theiia.org/certification/certified/Pages/CPE-Requirements.aspx

73

Ускорение динамики экономических процессов ведет к возникновению новых задач в управлении организацией, этические нормы и требования о соответствии им повышают ответственность всех заинтересованных сторон. Поэтому сертифицированные специалисты в области корпоративного управления, внутреннего аудита и управления рисками должны постоянно повышать свою квалификацию.

Для формализации требований о поддержании и повышении квалификации сертифицирующим органом разработана политика, соответствие требованиям которой является обязательным условием для всех сертифицированных специалистов.


Артем Сокольский, к.э.н., CIA, CRMA, MICA

CIA

Политика в отношении поддержания и

повышения квалификации: CPE-часы и отчетность

74

Требования Международного Института внутренних аудиторов (IIA) в отношении часов поддержания и повышения квалификации (СРЕ-часы)

Требования к поддержанию и повышению квалификации, порядок формирования и предоставления отчетности по повышению квалификации сформулированы в Политике в отношении поддержания и повышения квалификации (далее – «Политика») и применяются к обладателям следующих профессиональных сертификатов:

• Дипломированный внутренний аудитор (CIA);• Дипломированный специалист по оценке риск-менеджмента (CRMA);• Квалификация руководителей службы внутреннего аудита (QIAL);• Дипломированный специалист по самооценке контроля (CCSA);• Дипломированный аудитор правительственных организаций (CGAP);• Дипломированный аудитор финансовых организаций (CFSA).

Для обладателей сертификатов Дипломированного профессионального аудитора по вопросам охраны окружающей среды (CPEA) и Дипломированного аудитора по ОТ, ТБ и ООС (CPSA) требования о поддержании и повышении квалификации, получении часов поддержания профессионального развития (CPD – Continuing Professional Development) представлены в отдельном директивном документе, размещенном на сайте IIA.

Согласно п.3.1.1 Политики объем времени, затраченного на участие в программах повышения квалификации, определяется по фактической продолжительности программы, при этом один период продолжительностью 50 минут равен одному часу CPE. Если продолжительность программы составляет менее 50 минут, участники могут получить и указать в ежегодном отчете по повышению квалификации объем времени, затраченного на повышение квалификации, с шагом 10 или 25 минут.

В зависимости от имеющегося сертификата(-ов), а также от статуса самого специалиста (практикующий, непрактикующий или находящийся на пенсии) определяется количество СРЕ-часов, которое требуется получить для подтверждения статуса по имеющейся квалификации(-ям).


CIA

https://iia-ru.ru/certification_and_teaching/1806038_CPE-Policy_rus_OK_rev DM.pdf

75

Более подробная информация отражена в таблице ниже:

При определении необходимого количества требуемых СРЕ-часов важно обратить внимание на следующие аспекты:

1. Вышедшие на пенсию специалисты (или неработающие) освобождаются от требований по представлению отчетности, пока они остаются на пенсии. Дипломированный специалист обязан самостоятельно уведомить IIA о выходе на пенсию путем подачи уведомления об изменении статуса через Систему управления сертификацией кандидата (CCMS, далее – «Система»).

2. Для специалистов, имеющих несколько дипломов (сертификатов)/ квалификаций, полученные CPE-часы для CCSA, CGAP, CFSA, CRMA и QIAL могут быть зачтены в счет требуемых часов для CIA и наоборот.

3. С 2018 года IIA ввел дополнительное требование к повышению и поддержанию квалификации: в течение календарного года каждый сертифицированный специалист должен пройти обучение по вопросам этики и получить за это минимум 2 СРЕ-часа.


CIA

Статус Описание

Используется ли полученная

квалификация или ее атрибуты

Количество СРЕ-часов для специалиста с

CIA

Количество СРЕ-часов для

специалиста с другими

сертификатами

Практикующий

Активно занимается проведением внутреннего аудита или деятельностью, связанной с аудитом

Да 40 20

Непрактикующий

Не занимается активно проведением внутреннего аудита или деятельностью, связанной с аудитом

Да 20 10

На пенсии (или

неработающий)

Трудовой стаж

прекращен по

достижению

пенсионного

возраста

Нет Не применимо Не применимо

Источник: Политика в отношении поддержания и повышения квалификации: Требования к программам сертификации и повышения квалификации (февраль 2019 г.)

76

Политикой предусмотрены особые случаи, когда сертифицированный специалист может получить частичное или полное освобождение от требований по предоставлению отчетности. Подобными случаями могут являться исполнение воинской обязанности или личные особо затруднительные обстоятельства. Решение о предоставлении освобождения принимается Советом по профессиональным сертификациям (РСВ, далее –«Совет»). Для получения освобождения сертифицированному специалисту необходимо до наступления срока предоставления отчетности зарегистрировать соответствующий инцидент в Системе и предоставить подтверждающие документы.

Способы получения СРЕ-часов: от участия в конференциях до волонтерской деятельности в интересах развития профессии внутреннего аудитора

Один из наиболее распространенных и ожидаемых со стороны Совета способов получения СРЕ-часов –это прохождение образовательных программ. Перечень требований к ним перечислены в Политике.Помимо участия в образовательных программах СРЕ-часы можно получить следующим образом: сдача экзаменов для получения других сертификатов/ дипломов, подготовка или перевод публикаций, устные презентации по вопросам внутреннего аудита и смежных областей, добровольное и безвозмездное участие в качестве эксперта в предметной области (технического эксперта), участие в проведении внешних оценок качества функции внутреннего аудита.

В разделах 3.2.1–3.2.6 Политики отражена подробная информация о максимальном количестве СРЕ-часов, которые могут быть получены в процессе участия в обозначенных выше видах деятельности, признаваемых в целях выполнения требований по повышению квалификации.

Отчетность по СРЕ-часам: порядок предоставления, сроки и оплата

Ежегодно сертифицированные специалисты (как практикующие, так и непрактикующие) по указанному в Системе адресу своей электронной почты получают уведомление с напоминанием об обязанности по представлению отчета о набранном количестве CPE-часов. Для каждой имеющейся сертификации специалисту предлагается заполнить отдельную форму в Системе. Как правило, письмо отправляется с адреса электронной почты: [email protected], тема письма: «CPE Reminder». В письме находится инструкция по заполнению формы через Систему.

В этой форме сертифицированный специалист подтверждает соответствие требованиям о необходимом количестве СРЕ-часов, полученных за отчетный календарный год, требованиям Стандартов, а также Кодекса этики. Заполнение формы занимает не более 10 минут, в форме не нужно указывать детальную информацию о мероприятиях, на основании которых было получено 40 СРЕ-часов. Срок предоставления формы – 31 декабря каждого календарного года.

В случае успешного выполнения требований, установленных IIA, сертифицированный специалист получит соответствующее уведомление, как правило, с адреса электронной почты: [email protected], тема письма: «Recertification Form Approved - IIA Russia». После получения данного письма можно увидеть свой статус в Системе как «Сертифицированный» (Certified), срок действия установленного статуса – 31 декабря следующего календарного года.

Успешно сданный экзамен и получение сертификации дает право на начисление СРЕ-часов, количество которых позволяет не подавать форму (по СРЕ-часам) по данной сертификации в течение года, когда она была получена, а также в течение следующего календарного года. Однако, если напоминание по СРЕ-часам будет получено ранее указанного срока по данной сертификации, необходимо через Систему сформировать новый


CIA

77

инцидент и направить его для рассмотрения. Подача инцидентов с вопросами, касающимися сертификации, осуществляется на бесплатной основе.

Действующими правилами IIA предусмотрен сбор за подачу сертифицированными специалистами форм, подтверждающих выполнение требований Политики. Актуальная информация о размере сборов отражена на сайте IIA.

Важно отметить, что подача формы за очередной календарный год не предполагает отправки сертифицированным специалистом документов, подтверждающих факт получения СРЕ-часов. Согласно п. 5 Политики данные документы должны храниться указанным лицом на протяжении трех лет и быть предоставлены по требованию уполномоченных представителей IIA в рамках проведения аудита документов по поддержанию и повышению квалификации. В запросе на предоставление информации о поддержании и повышении квалификации, а также подтверждающих документов указывается срок, в течение которого сертифицированный специалист должен направить указанную информацию. Инструкция по предоставлению информации направляется в соответствующем запросе.

Если по результатам аудита сертифицированным специалистом не была предоставлена информация в установленные в запросе сроки, статус указанного специалиста в Системе будет изменен на «неактивный» (с льготным периодом), соответствующее уведомление будет направлено по адресу электронной почты. С указанного момента сертифицированному специалисту будет предоставлена возможность в течение шести месяцев выполнить мероприятия по получению недостающего до установленных требованиями количества часов и предоставить подтверждающие документы в IIA.

Непредоставление информации или выявление несоответствий в количестве требуемых СРЕ-часов в течение двух последовательно идущих календарных лет влечет изменение статуса лица на «неактивный». Восстановление статуса на «активный» подразумевает прохождение специальной процедуры, требования к которой установлены IIA, а также оплату сборов. Более подробная информация отражена на сайте IIA.

IIA предусматривает альтернативную возможность подтверждения статуса: лица, которые не получили достаточного количества CPE-часов за отчетный период, могут для восполнения недостатка использовать СРЕ-часы за следующий календарный год. Однако CPE-часы, использованные для восстановления статуса, не могут быть использованы для выполнения требования по отчетности за текущий год (см. п. 4.3 Политики).

Также в Политике указано, что при выявлении фактов фальсификации указанных документов или неэтичного поведения уполномоченными представителями IIA будет сформирован соответствующий отчет в Комитет по вопросам профессиональной ответственности и этики для проведения дальнейшего расследования (см. п. 5.1 Политики). Факт выявления фальсификации может повлечь отзыв имеющихся у лица сертификатов, а также оказать существенное негативное влияние на репутацию.

Таким образом, после завершения процесса сертификации начинается действие требований по поддержанию и повышению квалификации сертифицированного специалиста. Ответственность за данный процесс полностью возлагается на самого сертифицированного специалиста, а нарушение требований, установленных IIA, влечет изменение статуса и прекращение права использовать атрибуты сертифицированного специалиста. Пристальное внимание Международного Института внутренних аудиторов и Совета к вопросам, связанным с квалификацией сертифицированных специалистов, позволяют обеспечивать качество оказываемых ими услуг, формировать культуру доверия и постоянно повышать важность профессии внутреннего аудитора. ∞

……............................

Список использованной литературы:1. Международные основы профессиональной практики внутреннего аудита (МОПП ВА) // IIA – 2017.2. Политика в отношении поддержания и повышения квалификации: Требования к программам сертификации и повышения квалификации // Совет по профессиональным сертификациям IIA – февраль 2019 г.3. Малыхин Д. Обновления в программе сертификации Института внутренних аудиторов // Внутренний аудитор. 2019. - № 2 (6). 4 с.


CIA

Ассоциация «Институт внутренних аудиторов» (Ассоциация «ИВА»), зарегистрированная в 2000 году, является профессиональным объединением 4000 внутренних аудиторов, внутренних контролеров и работников других контрольных подразделений российских компаний и организаций.

Институт внутренних аудиторовИВА www.iia-ru.ruFACEBOOK www.facebook.com/iiarus/

Тренинги ИВА www.iva-edu.ruНациональная конференция ИВА www.iva-conf.ruНациональная Премия ИВА www.iva-ag.ru

http://www.iia-ru.ru/

http://www.facebook.com/iiarus/

http://www.iva-edu.ru/

http://www.iva-conf.ru/

http://www.iva-ag.ru/

Documents

Внутренний аудитор · 2019. 9. 20. · 6 НОВОСТИ Внутренний аудитор № 3 (7), 2019 5g и 4-я промышленная революция