Мысль о том, что воруют там, где есть что украсть, – слабое утешение, когда дело касается бизнеса. В какой-то момент размер ущерба может создать реальную угрозу для дальнейшего развития. По этой причине многие компании внедряют у себя контрольные процедуры и создают подразделения, задачей которых становится контроль над бизнес-процессами. При этом каждая компания идет своим путем, исправляя недочеты по ходу дела.
Предпосылки создания КРУ
Организовать контрольно-ревизионное управление в группе компаний «Автомир» было решено в 2002 году в связи с реорганизацией структуры управления компанией. К этому моменту на нижнем и среднем уровнях управления система принятия решений была отлажена, основные бизнес-процессы регламентированы. Однако порядок распределения полномочий и принятия стратегических решений на верхнем уровне управления до конца не был разработан.
Достаточно подробная регламентация бизнес-процессов, с одной стороны, позволяла быстро выстраивать новые технологии работы. Но с другой стороны, увеличивался риск нарушений – отчасти из-за непонимания регламентов исполнителями, отчасти в силу противоречий в самих регламентах. К тому же контрольно-ревизионный отдел, имевшийся в компании, не пользовался достаточным авторитетом. По заключениям о результатах проверок часто возникали возражения, выводы контролеров не были аргументированы. В итоге руководители не могли принять решения, опираясь на эти материалы. В компании произошло несколько случаев хищений на крупные суммы, целый ряд регламентов (например, по предоставлению скидок) регулярно нарушался. Низкая исполнительская дисциплина привела к тому, что издаваемые в центре распоряжения выполнялись не во всех филиалах. Таким образом, в компании назрела необходимость создания нового контрольного подразделения.
Справка о компании |
Группа компаний «Автомир» основана в 1993 году. В группу входит 16 центров, расположенных в Москве, и 7 региональных торгово-сервисных комплексов. Общая численность сотрудников – свыше 5 тыс. человек. Выручка за 2006 год составила $1073 млн. |
Функции и место КРУ на момент создания
На основе информации о работе контрольно-ревизионных управлений в других компаниях в «Автомире» выделили несколько наиболее популярных ролей этой службы и выбрали подходящий для себя вариант ее встраивания в систему управления.
Карающий меч (устрашение). Во многих компаниях не слишком надеются на конструктивную роль КРУ как подразделения, способного привнести нечто полезное в процессы. Зато видят большую пользу в наказании сотрудников по итогам проверок. Возможно, это наказание не всегда справедливо, но другим будет неповадно.
Мудрый советчик (принимает участие в решениях). Яркий пример – аудит бухгалтерской отчетности. Аудиторы могут давать ответы на сложные вопросы, одновременно осуществляя контроль. На наш взгляд, такая комбинация повышает риск невыявления ошибок, поскольку часть из них может быть обусловлена решениями, принятыми самими проверяющими.
Аналитик . Эта функция подразумевает не только поиск нарушений, но и анализ причин, вызвавших их, факторов риска. К сожалению, во многих компаниях этот компонент игнорируется.
В «Автомире» было решено, что контрольная и аналитическая функции наиболее важны для эффективного управления бизнесом, поэтому они и должны стать основой деятельности КРУ.
Что касается места КРУ в структуре компании, то существует несколько вариантов ее подчинения:
Мы сделали выбор в пользу подчинения КРУ финансовому директору, поскольку в ФЭС уже был накоплен немалый опыт контрольной деятельности (прежде всего в области аудита бухгалтерского и управленческого учета).
|
Рисунок 1 Старая структура КРУ в ГК «Автомир» ( увеличить ) |
Направления деятельности КРУ
Контрольно-ревизионное управление проводило аудит управленческого и бухгалтерского учета, разного рода ревизии, а также аудит бизнес-процессов (рис. 1 на с. 41). На двух последних компонентах остановимся подробнее.
Ревизии
Задачей любой ревизии является проверка сохранности материальных ценностей. В «Автомире» проводились как текущие проверки отдельных учетных «сегментов» (например, ревизия касс), так и периодические комплексные проверки, затрагивавшие все аспекты деятельности подразделения, от состояния касс и складов до соблюдения регламентов основных бизнес-процессов.
Довольно скоро пришлось убедиться в том, что процесс ревизии тоже нуждается в регламентации. Четко прописанные процедуры не позволили бы подвергать сомнению результаты проверки и не учитывать мнение сторон при принятии решения. В итоге в процедурах ревизии закрепили следующие элементы:
- права проверяющих;
- стандартные методики проверки;
- порядок подписания акта должностными лицами подразделения (с фиксированием разногласий);
- составление заключения.
После того как заключение составлено, его комментирует руководитель подразделения, объясняя выявленные факты и предлагая меры по устранению нарушений.
Затем оно направляется директору дивизиона, который добавляет свои комментарии и направляет заключение генеральному директору. Тот, в свою очередь, действует по одному из вариантов: назначает совещание; издает приказ с поручениями и сроками исполнения, возможно, и с мерами наказания; дает указание в рабочем порядке. Результаты ставятся на ежемесячный постконтроль.
Аудит бизнес-процессов
Аудит бизнес-процессов предполагает их оценку с точки зрения эффективности заложенных контрольных процедур. Инициатором такого аудита может быть любой из руководителей. По итогам проверки ему и другим заинтересованным лицам представляется подробный отчет, менее детальное заключение может направляться иным лицам, выказавшим интерес к результату проверки.
Выводы по итогам проверок различаются. Так, может фиксироваться нарушение регламентов или принятых в компании норм, к примеру, порядка действий сотрудников при оформлении документов на реализованный автомобиль. Выявляются противоречия, нестыковки и в самих регламентах, делается вывод о том, достигается ли цель бизнес-процессов. Скажем, обнаружены «дубли» отчетной управленческой информации по объемам реализации: в одном регламенте – правила формирования отчетов, в другом – форматы отчетов и повтор инструкций для пользователей. Не исключены выводы о вероятности рисков хищений, других нежелательных событий.
Отметим, что если проверку инициировал руководитель, чьи недочеты, возможно, и вскроются в ходе ее проведения, то к инициатору проверки санкции не применяются. Ни выговор, ни депремирование такому руководителю не грозят. Мы считаем, что более важно выявлять недостатки в процессах, чем наказывать тех, кто выказал заинтересованность в изучении и ликвидации проблем.
Выполнение рекомендаций, сформулированных в заключении, ставится на постконтроль. Хотя на этом этапе санкции и не предусматриваются, само введение последующего контроля позволяет оперативнее устранять недостатки.
Изменение места КРУ в компании
Постепенно управленческие процессы на верхнем уровне были упорядочены, сформированы системы стратегического и годового планирования. Заметно снизилось количество нарушений, выявляемых КРУ. Изучая возможные новые подходы к организации и ведению контрольной деятельности, мы пришли к выводу о том, что КРУ необходимо переподчинить генеральному директору. Это повлекло за собой структурные изменения в подразделении (рис. 2), а также корректировку прежних задач.
Так, функция (и подразделение) аудита бухгалтерской отчетности отошла в компетенцию финансового директора. Прежде существовавшие раздельно направления аудита управленческого учета и бизнес-процессов были объединены в единую службу аудита.
Однако основная роль КРУ в компании не изменилась. Управление по-прежнему исполняет контрольные и аналитические функции, проводит ревизии, а также аудит управленческого учета и бизнес-процессов. Правда, частично изменилась схема организации ревизий. От текущих ревизий отказались, проводятся лишь комплексные проверки. Но процедуры ревизий были сохранены в полном объеме, поскольку зарекомендовали себя как высокоэффективные.
|
Рисунок 2 Новая структура КРУ в ГК «Автомир» ( увеличить ) |
Обновление принципов контроля
В ходе реорганизации контрольных органов отчасти изменились и принципы контроля, и состав заказчиков услуг КРУ. Если раньше инициатором проверок и исследований мог выступить и менеджер среднего уровня, то теперь заказчиком для КРУ является генеральный директор, который и задает актуальные области проверок.
Для компании в целом был сформулирован и внедрен следующий принцип организации внутреннего контроля:
Таким образом, ответственность за текущий контроль над процессами была возложена на функциональный менеджмент, а приоритетом для КРУ стала оценка контроля в наиболее значимых областях, определяемых высшим руководством.
Определенные установки были даны и КРУ, в частности, на соблюдение принципа экономичности контроля, то есть его необходимости и достаточности. Контроль должен быть направлен на обеспечение разумной уверенности в том, что цели организации будут достигнуты. Тотальный контроль вовсе не обязателен, ведь можно потратить колоссальные ресурсы и не получить должного результата. Гораздо важнее четко выделить объекты для контроля и добиться его эффективности.
Принцип разумности контроля во многом сказался и на характере деятельности КРУ, в которой стали преобладать процедуры выборочной диагностики, основанные на предварительном анализе рисков.
Как проходили преобразования
Деятельность КРУ претерпевала изменения по двум направлениям, в частности:
-
проведение комплексных проверок подразделений;
-
внедрение риск-ориентированного подхода к аудиту, то есть проверки областей с наибольшим уровнем риска.
Комплексные проверки, напомним, затрагивают различные аспекты деятельности подразделений компании, новации в них были обусловлены некоторым снижением результативности контроля.
Прежде всего, был проведен анализ областей, которые обычно подвергались контролю в ходе комплексной проверки, – инвентаризация складов и касс, дебиторской и кредиторской задолженностей, незавершенного производства; проверка реализации, принципов ценообразования, оформления первичной документации, а также процедур, применяемых при этом (сплошные, выборочные тестирования). По итогам составили перечень «нерезультативных» областей контроля. В них на протяжении длительного периода не выявлялись какие-либо нарушения или негативные события. Так, не приносили результатов проверки соблюдения правил оформления первичной документации при реализации автомобилей. Их исключили из перечня обязательных для комплексных проверок подразделений и перенесли в область выборочных целевых проверок.
Одновременно наметили новые сферы и процедуры комплексных проверок – реализация товара со скидками, сотрудникам компании, на особых условиях. Произошли изменения и в планировании аудитов. В частности, путем сравнительного анализа данных управленческой отчетности выявлялись больные места подразделения, на которые и делался акцент при проверке.
Для повышения эффективности деятельности КРУ требовался инструмент, позволяющий определять приоритетные сферы контроля и направлять ресурсы именно в них. Таким инструментом стал риск-ориентированный подход к планированию и осуществлению аудиторских исследований. Вкратце о его внедрении.
Прежде всего, мы составили карту бизнес-процессов компании, выделив подпроцессы (к примеру, в «Продажах» выделили подпроцессы «Розница» (со скидкой, на особых условиях сотрудникам), «Стандартные», «Корпоративные», «На комиссию»). Затем разработали методику проведения риск-анализа для бизнес-процессов компании. Итоговый уровень риска для каждого процесса базируется на суммарной оценке. Она выставляется по ряду критериев: среднемесячная величина активов, наличие регламентов, результаты предыдущих аудитов и время с момента их проведения 2 . Бизнес-процессы компании ранжированы по степени риска, присвоенной каждому из них. По результатам анализа готовится карта риска, используемая для планирования работы КРУ. В первую очередь аудит проводится в областях, где наиболее высоки уровень риска и значимость возможного ущерба. Оценка риска, в том числе и в ходе проверки, стала обязательной процедурой. Это позволяет не распылять силы аудиторов и, помимо прочего, поддерживать карты риска в актуальном состоянии.
Пути совершенствования контроля
В ходе работы по преобразованию деятельности КРУ немало внимания пришлось уделить снижению «тяжеловесности» контроля и повышению его результативности.
Реорганизация затронула систему информирования о результатах проверок. В «Автомире» она организована следующим образом:
-
итоги проверки отражаются в заключении, которое предоставляется всем ответственным и заинтересованным лицам;
-
в заключении сотрудники КРУ дают рекомендации менеджменту по устранению выявленных проблем и повышению эффективности системы контроля;
-
действует система постконтроля – сопровождение процесса исправления выявленных нарушений, когда с определенной периодичностью отслеживается исполнение рекомендаций аудиторов.
Подобный подход себя в целом оправдал. Но были некоторые сложности при разборе итогов проверок. Так, большой объем информации предоставлялся одновременно менеджерам различного уровня, возникали сомнения в четкой адресации рекомендаций. Чтобы упростить процедуры разбора, было введено ранжирование результатов проверок. При этом мы придерживались принципа соответствия уровня обнаруженных в ходе проверки проблем уровню принятия решений. Например, информация о недостаче в $100 несущественна для топ-менеджмента, об этом сообщается только руководителю аудируемого подразделения.
Для целей ранжирования результатов проверки все выявляемые негативные события делятся на количественные и качественные.
Первые напрямую касаются материальных областей контроля. Они подлежат однозначной оценке в денежном выражении, поскольку влекут за собой потери прибыли либо несут в себе (по оценке аудиторов) риск подобных потерь. Качественные события однозначно не выражаются в денежном эквиваленте. Они повышают риски возникновения нарушений контрольных процедур, искажения информации. К ним относятся неэффективность учетных процедур; наличие незакрытых зон риска; нарушения регламентов документооборота и контрольных процедур; пробелы, противоречия в нормативах; факты, по которым КРУ и подразделения не пришли к соглашению и т.п.
Все выявленные факты в зависимости от весомости, значимости и последствий распределяются по четырем уровням существенности: от третьего (наименьшая существенность) до нулевого (наивысшая).
Количественные факты ранжируются в зависимости от материальности (денежного эквивалента) обнаруженной проблемы. Так, к нулевому уровню существенности относятся факты, денежная оценка которых начинается с $3 тыс., для фактов третьего уровня суммы не превышают $100.
С ранжированием качественных фактов дело обстоит сложнее. Однозначный механизм присвоения уровня существенности удалось внедрить только для фактов нарушений регламентов (зависимость от процента выявленных нарушений). При оценке уровня существенности остальных качественных фактов сотрудники КРУ опираются на собственное профессиональное суждение.
В заключениях по итогам проверки все выявленные факты отражаются в соответствии с присвоенным им уровнем существенности. Информация доводится до тех менеджеров, которые уполномочены принимать решения в области выявленных проблем. С ними же сотрудники КРУ взаимодействуют на этапе постконтроля. В случае если сотрудники КРУ сочтут, что ситуация с выполнением их рекомендаций неудовлетворительна, проблема выносится на следующий (более высокий) уровень управления.
Мотивация сотрудников
В «Автомире» разработана и действует система мотивации сотрудников по результатам некоторых проверок. Основная идея, которую преследовали при ее внедрении, – отказ от необходимости проведения каких-либо разбирательств по результатам проверок вышестоящим менеджментом, принятие однозначного решения на уровне взаимодействия «КРУ – проверяемый». Соответственно, в систему информирования по результатам проверок попадает как выявленный факт, так и решение по нему.
Механизм мотивации довольно прост: типовое (наиболее частое) нарушение, выявленное в стандартной области контроля, ведет к наложению штрафных санкций установленного размера. Немаловажно, чтобы трактовка выявляемых фактов была однозначной, иначе создается почва для конфликтных ситуаций, что может отразиться на репутации контролеров. Так, сотрудника нельзя наказать за «некачественное проведение сверок с контрагентами». Альтернатива формулировки – «отсутствие документа, подтверждающего сверку с контрагентом X на 1-е число месяца, следующего за отчетным».
В ГК «Автомир» вышеописанная система мотивации применяется, к примеру, при нарушении кассовой дисциплины, а также по итогам инвентаризаций. Для каждой из этих областей в рамках внедрения системы мотивации были определены следующие компоненты:
-
типы нарушений, при выявлении которых вводится централизованная система штрафных санкций (чаще – недостача активов);
-
круг должностных лиц, на которых накладываются штрафные санкции;
-
размер штрафных санкций. Так, по итогам инвентаризаций в качестве штрафных санкций установлен процент от выявленной недостачи.
В настоящее время КРУ «Автомира» выполняет следующие основные функции:
-
оценка систем внутреннего контроля и разработка предложений по минимизации рисков;
-
анализ влияния внутреннего законодательства, контрольных и учетных процедур на бизнес-процессы компании и обнаружение незакрытых зон риска;
-
контроль сохранности и эффективности использования активов;
-
контроль соблюдения внутренних политик и процедур компании.
Что касается приоритетов, то к ним на сегодня относится дальнейшее развитие риск-ориентированного подхода к проведению аудиторских исследований и построение эффективной системы управления рисками.
Модернизация контроля: от реагирования к предотвращению
Денис Камышев , старший менеджер PricewaterhouseCoopers; Елена Егорова , старший менеджер отдела по повышению эффективности бизнеса PricewaterhouseCoopers
Если в рамках старого контрольного подразделения компании стали решаться новые задачи, выполняться функции, которые во всем мире относятся к внутреннему аудиту, то лучше данное подразделение назвать более подходящим образом – службой внутреннего аудита.
Российские компании все чаще сталкиваются с необходимостью повышения эффективности систем внутреннего контроля (СВК). Их основными ресурсами при этом по-прежнему остаются либо традиционные контрольно-ревизионные службы, функционирующие на протяжении долгих лет, либо подразделения внутреннего аудита, реже – вновь созданные, чаще – преобразованные из бывших КРУ. Однако новые задачи требуют дальнейшей модернизации и контрольно-ревизионной функции компании, и соответствующих служб.
Дань традициям
Главной проблемой традиционного подхода к организации КРУ является его реактивность. Сама идеология КРУ подразумевает ответные действия на уже произошедшие события, а не разработку превентивных мероприятий. По сути, проверяется адекватность отражения совершенных операций и выявляются факты совершенных нарушений (уже реализовавшиеся риски).
Кроме того, основные риски, с которыми работает типичная контрольно-ревизионная служба, – это мошенничества, несоблюдение внутренней нормативной документации и неисполнение решений менеджмента компании. Современные же требования к системе внутреннего контроля предполагают работу со всем множеством рисков, с которыми сталкивается компания в своей деятельности.
Наконец, внутренним спонсором деятельности КРУ является топ-менеджмент компании, иногда единолично генеральный директор. Соответственно, не исключается возможный конфликт интересов при анализе действий самого топ-менеджмента. Акционерам же часто требуется полностью независимый от менеджмента механизм подтверждения эффективности систем управления рисками и внутреннего контроля в компании.
Своеобразие трансформации КРУ
Трансформация КРУ, представленная в статье, является обоснованной и своевременной реакцией на вызовы, описанные выше. Необычность представленного в статье подхода заключается в том, что основы современной функции внутреннего аудита были заложены в рамках самого КРУ. Нового подразделения, действующего параллельно КРУ, компания не создавала. Вероятно, такой путь может быть разумным компромиссом, если выбирать между стоимостью повышения эффективности СВК и традиционными задачами, решаемыми в рамках КРУ.
В данном случае вполне обоснованным является переподчинение КРУ генеральному директору, что позволяет снизить риск возникновения конфликта интересов. При этом функцию финансового контроллинга как инструмент решения операционных задач финансового директора целесообразно оставить в его подчинении. Таким образом, итоговый вид организационной структуры КРУ в целом отвечает общепринятой практике.
Задачи, которые предстоит решить
Очевидно, что на пути дальнейшего совершенствования контрольной деятельности потребуется решить и другие задачи.
Полагаем, что сегодня КРУ компании является в большой степени носителем идеологии внутреннего аудита, нежели традиционной схемы контрольно-ревизионной деятельности. Задачей будущего является нахождение баланса между контрольной и аналитической функциями. В то время как КРУ традиционно наделялось контрольными функциями (например, полномочия по взысканиям за неисполнение распоряжений), новая компетенция внутреннего аудита подразумевает роль скорее внутреннего консультанта владельцев бизнес-процессов. Эти функции неминуемо вступят в противоречие.
Чтобы эффективно содействовать поиску недостатков и совершенствованию СВК, владельцы бизнес-процессов должны доверять представителям КРУ. Но вряд ли возможно доверие между теми, кто провинился, и теми, кто их за это вправе наказать. В итоге действенность консультационной деятельности КРУ снизится. Именно по этой причине компании очень часто разграничивают функции аналитические, присущие внутреннему аудиту, и функции контрольные, присущие КРУ.
Важным направлением дальнейшего совершенствования является планирование аудитов.
Риск-ориентированный подход к годовому планированию, используемый внутренним аудитом, может столкнуться с классическими задачами, стоящими перед КРУ, – работа по внеплановому запросу топ-менеджмента (например, «отработка» поступившего сигнала). В силу более высокой приоритетности внеплановых проверок план аудитов не выполняется, а деятельность становится в большей степени контрольной.
Можно порекомендовать определить временной баланс между задачами и стараться его придерживаться. В целом при составлении риск-ориентированного плана аудитов необходимо определить зоны возникновения рисков, выявить основные условия их появления (риск-факторы), экспертно определить вероятность и последствия каждого выявленного негативного события (примерно такой подход, видимо, используется в компании). Основываясь на нашей практике, для более четкого планирования мы рекомендуем учитывать и фактор материальности бизнес-процесса как такового, а не только связанные с ним риски. Это позволит избежать многочисленных формальных проверок в некритичных для менеджмента областях. Соответственно, после ранжирования всех выявленных рисков и нанесения на карту бизнес-процессов с учетом их материальности и сформируется риск-ориентированный план проведения аудитов критических бизнес-процессов.
При анализе предлагаемого компанией подхода возникает ощущение, что задача проведения внутренних расследований и ревизий стала менее приоритетной. КРУ приняты на вооружение методы внутреннего аудита в современном понимании этого слова (проактивный подход). Но если в рамках функции внутреннего аудита это совершенно оправданно, то в процессе такой эволюции КРУ важно не потерять собственно реактивную функцию, его контрольно-аналитическую составляющую, полезную для компании.
Недостатки, свойственные большинству
Ирина Иешкина , руководитель службы внутреннего аудита ОАО «Вимм-Билль-Данн Продукты Питания»
Одна из важнейших задач при реорганизации подразделения аудита в компании – создание положительного имиджа службы. Необходимо, чтобы сотрудники компании понимали, для чего нужен внутренний аудит, и принимали его не как нечто инородное и ненужное, а как функцию, направленную на улучшение результата деятельности и компании в целом, и всех сотрудников.
Само название – контрольно-ревизионное управление – в рассматриваемой компании исторически ассоциируется с карательной функцией, что может вызывать негативную реакцию сотрудников. То же касается штрафных санкций. Практика показывает, что «оттенки» очень важны. Чтобы изменить восприятие сотрудников, придется проделать масштабную пропагандистскую работу – это могут быть и объявления со стороны высшего руководства, информационные письма, участие в конференциях отделов. В начале аудита рекомендуется проводить встречу-знакомство с ключевыми сотрудниками аудируемых подразделений, объяснять цели и задачи аудита, каким образом строится работа, что является результатом, то есть пытаться создать атмосферу прозрачности и доброжелательного отношения. Немаловажно доносить до сотрудников, что внутренний аудит не только «все видит», но и может дать рекомендации по совершенствованию деятельности либо устранению недостатков. На практике многие компании часто не реформируют прежние контрольные подразделения, а создают новые, дистанцируют их от старых, постепенно «убивая» последних.
Вернемся к деятельности реорганизованного контрольно-ревизионного управления.
В ходе аудита в компании периодически выявляются нарушения регламентов. Однако низкая исполнительская дисциплина не всегда есть следствие нежелания сотрудников придерживаться установленных правил. Сами регламенты, как указывают авторы, могут противоречить друг другу, содержать дублирующую информацию. Исполнитель, таким образом, может не понимать, каким документом руководствоваться. Косвенное подтверждение этому можно найти и в том, что к «качественным негативным факторам» риска компания относит «неоптимальность бизнес-процессов». В подобной ситуации следует проанализировать существующие регламенты, выявить возможные «нестыковки», противоречия. Затем представить рекомендации разработчикам регламентов по устранению недостатков, унификации внутренних нормативных актов. После этого можно проводить аудит на соответствие и контролировать выполнение регламентов.
Компания совершенно правильно пошла по пути ранжирования результатов проверок, оценки степени их влияния на деятельность компании. Но здесь следует принять во внимание два момента. Во-первых, по вероятности возникновения и влиянию оцениваются и ранжируются риски, а не бизнес-процессы. Во-вторых, не всегда наличие «незакрытых зон риска» является недостатком, требует вмешательства и принятия мер. Существуют риски, которые компания сознательно принимает, определяя допустимый для себя уровень остаточных рисков, так называемый риск-аппетит. Такая же ситуация с недостатками: нужно всегда оценивать затраты и положительный эффект от исправления недочетов, подходить к этому с точки зрения экономической целесообразности.
Еще один положительный момент – проведение последующих аудитов (постконтроль), что обеспечивает непрерывность процесса. Однако описанные подходы, на мой взгляд, не вполне корректны. Только выявив факт неисполнения рекомендаций, сотрудники КРУ «выходят на более высокий уровень». Следовало бы представлять руководству и всем заинтересованным лицам отчет по итогам первичного аудита с указанием выявленных недочетов, с рекомендациями аудиторов и комментариями менеджмента аудируемого подразделения, полученными во время финального обсуждения. После повторного аудита также составляется отчет о выполнении рекомендаций, который представляется тем же лицам. Но решение о выполнении рекомендаций аудиторов может принимать только менеджмент, он же берет на себя ответственность за выполнение рекомендаций.
Основной недостаток компании, на мой взгляд, – слабая система внутреннего контроля и желание на неустойчивом фундаменте построить систему риск-менеджмента.
В своем развитии компания обычно проходит несколько стадий. Сначала менеджмент разрабатывает и внедряет систему внутреннего контроля в отношении рисков искажения финансовой отчетности, операционной неэффективности и др. Затем внутренний аудит оценивает систему внутреннего контроля, тестирует, дает рекомендации по устранению обнаруженных недостатков. Далее компания может выходить на более высокий уровень, создавать систему риск-менеджмента. Но при этом внутренний аудит не должен выступать в качестве рабочих рук. Построение систем внутреннего контроля и риск-менеджмента не является функцией внутренних аудиторов. Их основная задача - оценить эффективность данных систем. Это, однако, не значит, что внутренние аудиторы должны полностью дистанцироваться от процесса разработки СВК и РМ, они могут и должны оказывать необходимую методологическую поддержку, что опять-таки позитивно отразится на их имидже.
_______________________________________
1 В настоящее время авторы статьи работают в другой компании.
2 Подробнее об этом см.статью «Постановка системы риск-менеджмента в компании» («Финансовый директор», 2007, № 5, с. 34 или на сайте www.fd.ru/fd ). – Примеч. редакции.
