Risk management for business development

Решения в области трансформации управления рисками в эффективный инструмент, способствующий совершенствованию бизнес-процессов.

  • Контакты (методология, решения, проекты, обучение).
Theme: Risk Management for Business Improvement and Development Тема: Управление рисками для совершенствования бизнеса компании
Conference: “Risk Management. Building a System to Control Risks” Конференция: “Риск-менеджмент. Построение системы управления рисками”
Structure: Development of risk management in a tool that helps improve business processes. Структура: Развитие управления рисками в инструмент, способствующий совершенствованию бизнес-процессов.
  • Types of risk management (managers).
  • Mapping of risks to business processes.
  • Perception of risk management.
  • Typical mistakes of risk managers.
  • Upside risks examples.
  • Superpositioning of risk management.
  • Transformation to development model (based on managing risks).
  • Типы риск-менеджмента (риск-менеджера).
  • Сопоставление рисков с процессами.
  • Восприятие риск-менеджмента.
  • Распространённые ошибки риск-менеджеров.
  • Риски успускаемых возможностей
  • Суперпозиционирование риск-менеджмента.
  • Трансформация модели развития (на основе управления рисками).
Link: presentation (RU) Ссылка: презентация

Решения в области трансформации управления рисками в эффективный инструмент, способствующий совершенствованию бизнес-процессов.

  • Контакты (методология, решения, проекты, обучение).

Internal audit of a freight company

Theme: Internal Audit Function Development Strategy Тема: Стратегия развития функции внутреннего аудита
Company: Large Freight Company (rail-road) Компания: Крупная грузовая компания (железнодорожные перевозки)
Date: November 18, 2012 Дата: 18 ноября 2012 года
Structure: Vision, strategy and time plan of development for the internal audit function of large freight company (rail-road logistics operations). Структура: Видение, стратегия и примерный план развития функции внутреннего аудита для крупной грузовой компании (работающей в области железнодорожной логистики).
  • Main goal and key aspects of internal audit activity.
  • General strategical initiatives.
  • Plan of activities to support the initiatives.
  • Vision on tasks and organisation of the company’s internal audit.
  • Основная цель и ключевые аспекты деятельности внутреннего аудита.
  • Главные инициативы стратегии.
  • План мероприятий к главным инициативам.
  • Целевой функционал и организационная структура подразделения внутреннего аудита.

Quick wins over fraud

Theme: Quick Wins in Fraud Risk Management Тема: “Быстрые победы” в управлении рисками мошенничества
Conference: Effective fraud detection and prevention strategies Конференция: Эффективные стратегии выявления и предотвращения мошенничества
Structure: Universal controls and methods to prevent and battle corporate fraud. Структура: Универсальные средства и методы противодействия корпоративному мошенничеству.
  • The nature of fraud, the impact on a company’s risk universe.
  • Typical universal anti-fraud measures.
  • Ways to increase effectiveness of anti-fraud hotlines.
  • Audit vs. Investigations: effective balance.
  • Природа мошенничества, влияние на «вселенную» рисков компании.
  • Типовые универсальные инструменты противодействия мошенничеству.
  • Пути повышения продуктивности «горячих линий».
  • Аудит vs. Расследования: эффективный баланс.
Link: look-up [rus] Ссылка: смотреть [рус]

Look for assistance in working out a solution to prevent corporate fraud? Contacts (methodology, solutions, projects, learning) | Требуется выработать решение по противодействию мошенничеству в компании? Контакты (методология, решения, проекты, обучение).


Internal audit enhancing business

Vasily Kudrin. Modern role of internal audit in supporting and enhancing business. // Василий Кудрин. Современная роль внутреннего аудита в поддержке и совершенствовании бизнеса.
Author: Vasily V. KudrinTheme: Modern role of internal audit in supporting and enhancing business Автор: Василий В. КудринТема: Современная роль внутреннего аудита в поддержке и совершенствовании бизнеса
Conference: “Intra-corporate control and audit: principles, approaches, problems and solutions”, ADK Group Конференция: “Внутрикорпоративный контроль и аудит: принципы, подходы, проблемы и решения”, ADK Group
Date: February 25, 2010 Дата: 25 февраля 2010 года
  • Reviewing approach to governance over risk management practice;
  • Risk management as a business tool: downside risks (losses, dangers) and upside risks (missed opportunities);
  • Systemic approach to risk assessment for purpose of business improvment and enhancement;
  • Assessment of the components and improvement of the risk management model;
  • Balancing better control and process improvement;
  • Current role of internal audit in corporate risk management.
  • Пересмотр подхода к надзору за практиками управления рисками;
  • Риск-менеджмент как бизнес-инструмент: риски “опасности” и риски “упущенные возможности”;
  • Систематизированный подход к оценке рисков для целей совершенствования и развития бизнеса;
  • Оценка компонентов и совершенствование модели управления рисками;
  • Балансирование между “усилением контроля” и “улучшением процесса”;
  • Современная роль внутреннего аудита в вопросах корпоративного управления рисками.
Link: look-up [rus] Ссылка: смотреть [рус]

Look for a transformation of internal audit to promote business growth? | Необходим план трансформации внутреннего аудита, направленный на содействие развитию бизнеса?


Аудит внутреннего контроля над подготовкой финансовой отчётности, роль внутреннего аудита

Аудит внутреннего контроля над подготовкой финансовой отчетности

Тема: Аудит внутреннего контроля над подготовкой финансовой отчётности, роль внутреннего аудита. Презентация состоялась 15 сентября 2009 года на встрече российского Института внутренних аудиторов в Москве.

Тезисы: Суть и цель аудита системы внутреннего контроля над подготовкой финансовой отчетности (СВКФО), стандарты и методология. Практические примеры (существенных) недостатков, «слабых сторон» и отчётных документов. Координация между внутренними и внешними аудиторами. Исследование факторов рисков существенных искажений отчетности. Подход к общим ИТ- и другим контролям. Профессиональные компетенции аудиторов СВКФО.

SlideShare: смотреть.

Topic: Internal Control over Financial Reporting Audit (ICOFR), Role of Internal Audit. The report was made at Russian Institute of Internal Auditors meeting in Moscow on September 15th, 2009.

Nature and purpose of ICOFR auditing, standards and methodology. Practical examples of (significant) deficiencies, weaknesses, and reporting statements. Coordination between internal and external auditors. Uncovering risk factors of material misstatements. Approach for general IT and other controls. Professional competencies of ICOFR auditors.

SlideShare: look-up.

Risk management and Audit Committee (Управление рисками и Комитет по аудиту)

Theme: Risk Assessment and Management: Audit Committee’s Overview Тема: Оценка и управление рисками: взгляд со стороны Комитета по аудиту
Conference: Corporate Directors’ Professional Society: Russian Institute of Directors Конференция: Комитет Профессионального сообщества корпоративных директоров: Российский институт директоров
Date: November 11, 2008 Дата: 11 ноября 2008
Board’s Audit Committee’s role in risk assessment and management, understanding key risks, getting assurance on risk management system effectiveness. Роль комитета по аудиту в оценке и управлении рисками, понимание ключевых рисков, получение уверенности относительно эффективности системы риск-менеджмента.
  • Topicality of the task to manage risks correctly.
  • Yin and yang in risk management.
  • Why should a supervisory board’s audit committee take part in managing risks.
  • Leading practices of risk management.
  • Актуальность задачи грамотного управления рисками.
  • Инь и ян в управлении рисками.
  • Зачем комитету по аудиту совета директоров участвовать в управлении рисками?
  • Ведущие практики управления рисками.
Link: presentation (RU) Ссылка: презентация

Формирование службы внутреннего аудита

Газета, стр. 15, 9 июля 2008 – Василий Кудрин, CIA, CFE, CCSA, старший менеджер, руководитель направления услуг в области внутреннего аудита компании “Эрнст энд Янг”.

В настоящее время эффективная служба внутреннего аудита (СВА) приобретает все большее значение для успешного ведения бизнеса. Основные ожидания от СВА со стороны комитета по аудиту и менеджмента включают оценку и отчет о недостатках в системе внутреннего контроля, информирование об основных рисках компании и рекомендации по совершенствованию процессов контроля и бизнес-процессов.

При формировании СВА необходимо, во-первых, уделить внимание должному тону сверху. Необходимо помнить, что внутренний аудит – это не просто инструмент собственника, с помощью которого осуществляется проверка работы менеджмента.

Внутренний аудит – это функция, созданная для предприятия, которая помогает ему достичь поставленные цели. Но при этом она должна быть организационно независимой и объективной, следовательно, быть функционально, по всем основным вопросам подотчетной совету директоров / комитету по аудиту.

Подотчетность внутреннего аудита именно комитету по аудиту в составе совета директоров имеет определенный смысл, поскольку комитеты по аудиту, особенно в публичных компаниях, состоят в основном или полностью из независимых директоров. При такой системе повышается независимость внутреннего аудита не только от менеджмента, но и от отдельных крупных акционеров / владельцев компании, имеющих больший контроль над бизнесом, нежели миноритарии и другие заинтересованные стороны.

Компаниям рекомендуется разработать стратегию внутреннего аудита. Стратегия, как правило, представляет собой краткую презентацию, в которой изложено видение руководителя СВА того, какие цели и задачи будет выполнять СВА, какая политика мотивации и развития персонала необходима в СВА и т. п.

Стратегия представляется и согласуется с советом директоров и высшим руководством компании. На этом же этапе руководителю внутреннего аудита рекомендуется получить и оценить положение о комитете по аудиту на предмет того, как комитет по аудиту осуществляет свои надзорные функции над СВА, а также выработать положение о СВА.

Следующая стадия – определение фронта работ СВА в рамках годового плана. Планирование работы внутреннего аудита следует основывать на общекорпоративной оценке рисков. Если в компании не проводятся процедуры оценки рисков, СВА может взять на себя процесс сбора информации о рисках. Таким образом, СВА, с одной стороны, проводит свою “независимую” оценку рисков, а с другой, показывает руководству на практическом примере, как эти процедуры оценки рисков можно осуществлять. Поняв, какие ключевые риски свойственны бизнесу компании, СВА определяет, в каких процессах, функциональных и бизнес подразделениях, проектах, корпоративных инициативах они проявляются. Так выбираются объекты для аудита и формируется план работы СВА. Необходимо помнить, что при этом рассматривается весь набор бизнес-процессов компании и, следовательно, весь спектр рисков, а не только риски в области учета и отчетности. Налоговые и нормативные, правовые риски в современной российской действительности являются критичными. Так же, как правило, очень существенны риски мошенничества, риски в области управления инвестициями и проектами капитального строительства, риски в закупках и снабжении, риски в продажах и маркетинге, риски в управлении крупными контрактами.

Только потом детально прорабатываются вопросы ресурсообеспечения – кадрового (штатные сотрудники или аутсорсинг), материально-технического, финансового, а также определяется, какое методологическое и (впоследствии) программное обеспечение необходимо.

Audit Committee’s Top 10 Priorities (10 приоритетов работы комитета по аудиту)

Theme: Audit Committee’s Top 10 Priorities Тема: 10 приоритетов работы комитета по аудиту
Conference: Corporate Directors’ Professional Society: Russian Institute of Directors Конференция: Комитет Профессионального сообщества корпоративных директоров: Российский институт директоров
Date: June 19, 2008 Дата: 19 июня 2008 года
Board’s Audit Committee’s main priorities, new roles and challenges. Основные приоритеты работы комитета по аудиту, новые роли и вызовы.
  • Communication.
  • Effective Internal Audit.
  • Key Business Risks.
  • Ensuring Effective Risk Management.
  • Internal Control Framework Assessment.
  • Organisational Ethics / Fraud Prevention.
  • Financial Reporting Accuracy.
  • Ensuring Tax Risks Are Measured.
  • Ensuring Compliance with Laws & Corporate Governance Rules.
  • Conflict of Interest and Inside Information.
  • Общение.
  • Эффективный внутренний аудит.
  • Ключевые риски бизнеса.
  • Уверенность в системе риск-менеджмента.
  • Оценка системы внутреннего контроля.
  • Корпоративная этика / предотвращение мошенничества.
  • Правильность подготовки финансовой отчётности.
  • Уверенность в эффективности управления налоговыми рисками.
  • Соблюдение норм законодательства и корпоративного управления.
  • Конфликт интересов и инсайдерская информация.
Presentation (EN): look-up. Презентация (RU): смотреть.

Совершенствование корпоративного управления

Theme: Corporate Governance Enhancement: risk management, internal control and audit, effectiveness, reporting, technologies Тема: Совершенствование корпоративного управления: управление рисками, внутренний контроль и аудит, эффективность, отчетность, технологии
Company: Large rail-road logistics operator. Компания: Крупный оператор железнодорожной логистики.
Dates, duration: June 16, 2008 Даты, продолжительность: 16 июня 2008 года
Program: General plans of enhancement of corporate governance procedures and associated systems and processes: to comply with regulating requirements and value for business. Программа: Основные направления совершенствования процедур корпоративного управления и связанных систем и процессов, соблюдение регулятивных требований и польза для бизнеса.
  • Activities of board of directors and its committees, communication and transperancy.
  • Risk management and internal control.
  • Improving of internal audit function.
  • Operational effectiveness, budgeting, reporting, information technologies.
  • Деятельность совета директоров и его комитетов, коммуникации и раскрытие информации.
  • Управление рисками и внутренний контроль.
  • Совершенствование функции внутреннего аудита.
  • Операционная эффективность, бюджетирование, отчетность, информационные технологии.

Модель компетенций внутреннего аудита

Theme:  Effective Internal Audit Competency Framework Тема: Эффективная модель компетенций внутреннего аудита
Master Class: Large Oil Company Мастер-класс: Крупная нефтяная компания
Date: April 29, 2008 Дата: 29 апреля 2008 года
Approach of development of effective internal audit competency framework integrated with current company’s human resourse management procedures. Подходы к построению эффективной модели компетенций внутреннего аудита с учетом принятых в компании процедур управления кадрами.
  • Components of Internal Audit people model.
  • Competency development approach.
  • Assessement tools.
  • Competency development program.
  • Integration with human resourse procedures.
  • Internal audit competency model.
  • Компоненты кадровой модели внутреннего аудита.
  • Подход к развитию компетенций.
  • Инструменты оценки.
  • Подготовка программы улучшения и развития компетенций.
  • Интеграция с процедурами управления кадрами.
  • Модель компетенций внутренний аудиторов.

Корпоративное управление рисками: современный подход

Theme: Modern approach to Enterprise Risk Management. COSO Framework Тема: Корпоративное управление рисками: современный подход. Модель COSO
Seminar: Internal Audit Leadership Seminar (Institute of Internal Auditors), Almaty, Kazakhstan Семинар: Семинар для руководителей и менеджеров внутреннего аудита (Институт внутренних аудиторов), Алматы, Казахстан
Dates, duration: November 9, 2007, 4 hours Даты, продолжительность: 9 ноября 2007, 4 часа
Program: Role of enterprise risk management, COSO and other modern concepts concepts, practical application. Программа: Роль корпоративного управления рисками, COSO и другие современные концепции, практическое применение.
  • Role of enterprise risk management in corporate governance system.
  • Modern concepts of enterprise risk management.
  • Relations to internal control and internal auditing.
  • Introduction into COSO ERM. Analysis of the model’s components.
  • Role and objectives of internal auditing.
  • Роль корпоративного управления рисками в системе корпоративного управления.
  • Современные концепции корпоративного управления рисками.
  • Взаимосвязь с внутренним контролем и внутренним аудитом.
  • Введение в COSO ERM. Анализ компонентов модели.
  • Роль и цели внутреннего аудита.
Link: presentation (RU). Ссылка: презентация.

Основы документирования и тестирования во внутреннем аудите (мастер-класс)

Theme: Essentials of Documenting and Testing in Internal Auditing (Internal Audit Engagement Methodology: part 3) Тема: Основы документирования и тестирования во внутреннем аудите (Методология проекта внутреннего аудита: часть 3)
Project: CAE and Leadership Strategical Competence Проект: Развитие стратегических компетенций руководства внутреннего аудита
Dates, duration: September 21, 2007, 7 hours Даты, продолжительность: 21 сентября 2007, 7 часов
Program: Working documents, documenting and testing in internal auditing. Программа: Рабочие бумаги, документирование и тестирование в рамках внутреннего аудита.
  • What is a working paper? Types of working papers.
  • Reliability of evidence. Some rules of preparation of working papers.
  • Documenting of processes, risks and controls.
  • Testing procedures.
  • Что такое рабочая бумага? Типы рабочих бумаг.
  • Достоверность доказательств. Некоторые правила составления рабочих бумаг.
  • Документирование процессов, рисков и контролей.
  • Тестирование.

Contract risk management (Управление контрактными рисками)

Theme: Contract Risk Management, Role of Internal Audit Тема: Управление контрактными рисками, роль внутреннего аудита
Conference: Institute of Internal Auditors (Russia) – meeting Конференция: Встреча российского Института внутренних аудиторов
Structure: Contract life cycle, factors of contract riks occurrence, contract risk management, the role of internal audit function. Структура: Жизненный цикл контракта, факторы появления контрактных рисков, управление контрактными рисками, роль функции внутреннего аудита.
  • Significance of contract risk management.
  • Contract life cycle and contract risk identification.
  • Approach to contract risk management.
  • The role of internal audit.
  • Contract risk management: challenges and benefits.
  • Значимость управления контрактными рисками.
  • Жизненный цикл контракта и идентификация контрактных рисков.
  • Подход к управлению контрактными рисками.
  • Роль внутреннего аудита.
  • Управление контрактными рисками: проблемы и преимущества.
Link: look-up [rus] Ссылка: смотреть [рус]

Требуется оценить риски или выработать решение по управлению специфическими рисками?

  • Контакты (методология, решения, проекты, обучение).

Понятие внутреннего контроля и управление рисками (мастер-класс)

Theme: Internal Control and Risk Management Concept (Internal Audit Engagement Methodology: part 2) Тема: Понятие внутреннего контроля и управление рисками (Методология проекта внутреннего аудита: часть 1)
Project: CAE and Leadership Strategical Competence Проект: Развитие стратегических компетенций руководства внутреннего аудита
Dates, duration: July 5, 2007, 8 hours Даты, продолжительность: 5 июля 2007, 8 часов
Program: Effective practical approach to internal control and risk management implementation. Программа: Практика построения эффективной системы внутреннего контроля и управления рисками.
  • Definitions of internal control and risk management.
  • Conceptual frameworks for internal control and risk management integrated systems. COSO models and others.
  • Three-line defence model.
  • Practical approach to internal control system improvement.
  • Requirements of corporate governance regulation.
  • Определения внутреннего контроля и управления рисками.
  • Концептуальные модели интегрированных систем внутреннего контроля и риск менеджмента. Модели COSO и другие.
  • Модель “трёх линий защиты”.
  • Практичный подход к построению системы внутреннего контроля.
  • Требования регуляторов корпоративного управления.

Понятие внутреннего аудита (мастер-класс)

Theme: Internal Audit Concept (Internal Audit Engagement Methodology: part 1) Тема: Понятие внутреннего аудита (Методология проекта внутреннего аудита: часть 1)
Project: CAE and Leadership Strategical Competence Проект: Развитие стратегических компетенций руководства внутреннего аудита
Dates, duration: July 3-4, 2007, 12 hours Даты, продолжительность: 3-4 июля 2007, 12 часов
Program: Internal audit role: practical implication, standards of internal audit profession. Программа: Роль внутреннего аудита: практическое понимание, стандарты профессии “Внутренний аудит”.
  • Modern role and definition of internal auditing.
  • Independence and objectivity concepts. Assurance and consulting services of internal audit. Essence of systemic and disciplined approach.
  • Internal audit role in management of risk. Connection to internal control and risk management, conceptual frameworks.
  • Internal control and risk management  development program design.
  • The Standards of the Institute of Internal Auditors.
  • Современная роль и определение внутреннего аудита.
  • Концепция независимости и объективности. “Гарантии” и консультационные услуги внутреннего аудита. Cуть систематизированного и последовательного подхода.
  • Роль внутреннего аудита в управлении рисками. Взаимосвязь внутреннего аудита с внутренним контролем и управлением рисками. Концептуальные модели.
  • Стандарты международного Института внутренних аудиторов.

Combination: internal audit and fraud prevention (Комбинация: внутренний аудит и противодействие мошенничеству)

Master class: Internal Audit Function, Fraud Prevention and Investigation  Мастер-класс: Функция внутреннего аудита, предотвращение и расследование мошенничества
Project: Internal Control System Improvement (Coal Mining Enterprise) Проект: Совершенствование системы внутреннего контроля (предприятие угольной промышленности)
Date: January 18, 2007 Дата: 18 января 2007 года
Establishment of effective internal audit function as well as fraud prevention and investigation practice. Формирование эффективной службы внутреннего аудита и практики предотвращения и расследования мошенничества.
  • Combination of internal audit and anti-fraud practice.
  • Four lines of defense in anti-fraud.
  • Evolution of internal auditing.
  • Solution to develop integrated practice.
  • Комбинация работы функции внутреннего аудита и практики противодействия мошенничеству.
  • Четыре линии защиты в противодействии мошенничеству.
  • Развитие функции внутреннего аудита.
  • Решение и подход по построению комбинированной практики.
Link: presentation Ссылка: презентация (EN)

Внутренний аудит: перестройка имиджа

О развитии профессиональной услуги “Внутренний аудит”, которая приобрела огромный интерес в последние годы как в международном, так и (теперь) в российском бизнесе – в статье Василия Кудрина, CIA, “Внутренний аудит: перестройка имиджа”. Статья (с небольшими изменениями) впервые была опубликована в корпоративном журнале “ЮКОС-Ревю” № 4 (октябрь 2004 г.).

Что такое внутренний аудит?

Это «… деятельность по предоставлению независимых и объективных гарантий и консультаций, направленных на создание добавленной стоимости и совершенствование хозяйственной деятельности компании» (из Стандартов профессиональной практики внутреннего аудита). Гарантии и консультации – два продукта аудита. В одних аудиторских проектах (assurance) внутренние аудиторы дают разумные гарантии – ответ на вопрос, работает ли система внутреннего контроля, требует ли она улучшений. В других проектах (consulting) внутренние аудиторы могут работать как фасилитаторы, содействующие менеджерам в процессе принятия управленческих решений … при этом вовсе не участвуя в самом процессе принятия решений роли не участвуют.

Внутренний аудит развивается и эволюционирует. В настоящее время выделяется 4 роли внутреннего аудита в компаниях: (1) оценка соблюдения процедур, (2) оценка составляющих внутреннего контроля, (3) содействие менеджменту в совершенствовании и ре-инжиниринге бизнес-процессов (performance improvement), (4) в реализации принятой стратегии бизнеса.

«Внутренний аудит помогает компании достичь поставленные цели, используя систематизированный и последовательный подход к оценке и повышению эффективности управления рисками, контроля и системы корпоративного управления». Так понимается внутренний аудит в лучшей международной практике. Именно с таким пониманием сегодня работают уже многие внутренние аудиторы, практикующие в России.

Внутренний аудит – это искусство, наука и техника одновременно. Современный внутренний аудит – это не просто проверка соблюдения регламентов. Это скорее похоже на творческий изыскательский проект, где каждый пласт информации требует нового осмысления, объяснения, дополнительного анализа. Потребности современного бизнеса усложняются и изменяются. Сам бизнес это и есть перемены, движение вперед, а внутренний аудит – услуга, которая всецело этому содействует. Перемены неизбежны! Мы всегда живем в период перемен – и очень часто почему-то этому удивляемся! Вместо того, чтобы пассивно наблюдать, как они на нас влияют, нам необходимо уметь их предвидеть, предпринимать инициативу и помогать Компании извлекать преимущества из данных перемен.

Управление рисками и внутренний аудит.

Лучшая практика внутреннего аудита ориентирована на поиск эффективных методов управления рисками. Под бизнес-риском мы понимаем вероятность того, что событие или действие при своем наступлении повлияют на способность достижения целей либо приведут к убыткам, ущербу для Компании. По сути это то, что препятствует нашей качественной работе, удовлетворенности клиентов и мотивации сотрудников, – то, что препятствует достижению наших бизнес-целей. Значит, соответствующее построение риск-менеджмента – это главная предпосылка корректного, должного функционирования функции «Внутренний аудит» в Компании. Именно коренные изменения в управлении рисками (risk management), революция в некотором смысле, сделают возможным полноценное использование внутреннего аудита в компаниях.

Однако в России внутренний аудит исторически, по инерции воспринимается как контрольно-ревизионная работа. Именно поэтому сегодня внутренний аудит сталкивается с трудностями. Даже в тех компаниях, где функция «Внутренний аудит» развивается по международных примерам, один из существенных рисков аудиторского проекта – это предвзятое восприятие  работы внутренних аудиторов.

В чем перемены?

Первые задачи, связанные с построением службы внутреннего аудита во многих крупных компаниях, уже решены. Какие-то компании, чьи акции котируются в Нью-Йоркской фондовой бирже, к этому подтолкнули требования акта Сарабенса-Оксли (SOA, Sarbanes-Oxley Act); кто-то сам пришел к необходимости комплексной перестройки. Разработаны политики в области внутреннего аудита, приняты положения о внутреннем аудите, главное – выстроены организационные связи: в лучших практиках, а для кого-то по требованиям законодательства, внутренний аудит должен быть функционально подотчетен аудиторскому комитету совета директоров. Так обеспечивается независимость службы внутреннего аудита, а также формируется возможность постоянного контакта и конструктивном взаимодействия как с менеджментом, так и с советом директоров.

Проект внутреннего аудита можно рассмотреть как проект, задание (engagement), включающее 4 фазы:

  1. Определение предметной области и объема аудита (engagement scope);
  2. Планирование (engagement plan), в основном связанное с составлением программы проекта и планирование ресурсов;
  3. Выполнение (execute), или «полевые работы» (field work);
  4. Завершение (conclude), результатом которого является отчет (report). Отчет по результатам аудиторского проекта включает также план действий (action plan), разработанный менеджментом по результатам согласованных рекомендаций.

Определение предметной области.

    • Проект открывается (инициируется) – как на основе годового плана (annual plan / program) внутреннего аудита, утверждаемого советом директоров, так и по согласованию с топ-менеджментом компании.
    • Осуществляется сбор и анализ информации из различных источников, в том числе путем проведения интервью, составления опросников (questionnaires), организации выездов на объекты, «в поля» (preliminary surveys).

Важный шаг в аудиторском проекте – это встречи с клиентом. Аудиторы исходят из того, что встреча с клиентом должна быть тщательно подготовлена и проведена в конструктивной атмосфере. Ключевой фактор здесь – это всесторонняя подготовка встречи и профессионализм аудитора (due diligence).

Аудитор должен быть уверен, что работа, которую он делает, приносит пользу Компании и ее акционерам. Он должен понимать и уметь объяснять клиенту, в чем польза внутреннего аудита, почему и как им добавляется стоимость (“add value” approach).

На этом же этапе совместно с клиентом рассматривается схема бизнес-процесса, определяются и оцениваются на SMART бизнес-цели, обсуждается с клиентом список бизнес-рисков, оценивается их «вероятность» и «значимость», то есть составляется карта, или профиль / матрица, бизнес-рисков (risk profile / matrix).

Принцип SMART (SMART, Specific, Measurable, Agreed to, Realistic, Time-bound) – специфично, измеримо, согласованно, реалистично, своевременно. Критерий или стандарт, в соответствии с которым измеряются бизнес-цели и управленческие планы действий.

  • Далее организуется встреча с куратором проекта со стороны клиента, где аудиторами добывается новая информация, и собирается информация, которая ранее не могла быть получена по различным причинам. На основе обсуждений, встреч, анализа информации формируется “техническое задание” (engagementproposal), необходимое для определения предметной области, или фронта и объема работ (engagementscope).

Планирование. В рамках «Планирования» аудиторы готовят программу внутреннего аудита и формируют команду аудиторов в соответствии с их компетенциями – знаниями, навыками и опытом. Далее организуется встреча аудиторов и менеджеров, на которую аудиторы приходит не только с концепцией аудиторского проекта, но и с программой проекта – графиком работ и конкретной аудиторской командой. По результатам такой встречи появляется письмо о взаимодействии, т.е. письма-обязательства (аналог engagement letter), которое является стандартом аудиторской практики. Данное письмо – есть договоренность между аудиторами и менеджерами о том, кто и что делает для того, чтобы на выходе получить результат в виде отчета внутренних аудиторов, включая разработанный менеджментом необходимый план действий.

Выполнение. После вступительной встречи стартует фаза «Выполнение». Некоторые аудиторские проекты теперь все больше охватывают всю Компанию, ведь бизнес в Компании все больше интегрируется, а с ним и система внутреннего контроля, и система управления рисками. При этом внутри стадии «Выполнение», как правило, организуются «полевые работы», выезды, особенно там, где необходимо понять, как система контролей выстроена на уровне бизнес-подразделений (business units).

«Выполнение» делится на 2 этапа – 2 части оценки системы внутреннего контроля: оценка дизайна контроля (control design evaluation) и тестирование контролей (testing). Цель оценки дизайна контроля – понять, насколько менеджмент при построении системы внутреннего контроля учел все необходимые критерии и цели контроля (control objectives, control criteria).

В мире существует несколько общепринятых принципов при построении системы внутреннего контроля. Наибольшую известность имеет модель, разработанная Комитетом спонсорских организаций – COSO (в которую входят такие организации, как AICPA, IIA, IMA, FEIAAA. Именно на эту модель дана прямая ссылка в 404-й статье акта Сарбанеса-Оксли. По модели COSO Internal Control – Integrated Framework система внутреннего контроля состоит из 5 взаимосвязанных компонентов, каждый из которых имеет отношение ко всем категориям бизнес-целей (стратегическим, операционным, целям отчетности и соответствия требованиям законодательства):

  • Контрольная среда – Control Environment;
  • Система выявления и оценки рисков – Risk Assessment;
  • Контрольные процедуры – Control Activities;
  • Информационная среда и система коммуникаций – Information and Communicatoin;
  • Мониторинг СВК – Monitoring.

В октября 2004 года издана новая разработка COSO – модель COSO ERM – Integrated Framework (ERM – enterprise risk model), которая объединила в себе как компоненты системы внутреннего контроля, так и компоненты системы управления рисками.

В настоящее время во многих крупных компаниях уже идет работа по формированию единого подхода к системе внутреннего контроля (internal control system) и оценке ее функционирования менеджментом (management assessment of controls). Внутренний аудит со своей риск-ориентированной методологией (risk – based approach) играет при этом важную роль в формировании эффективной системы внутреннего контроля, включая процесс управления рисками. В некоторых компаниях внутренний аудит даже берет на себя роль инициатора (trigger) этого процесса, без дальнейшего участия в формировании самой системы внутреннего контроля, т.к. это могло бы повлечь за собой нежелательное воздействие на независимость внутреннего аудита в компании.

Завершение. Завершается проект формированием отчета, который направляется ответственным менеджерам для обсуждения и согласования. По результатам согласования рекомендаций менеджмент составляет план действий (action plan), который становится неотъемлемой частью окончательного отчета (final report) аудитора.

Развитие внутреннего аудита.

Внутренний аудит развивается в 3-х взаимосвязанных составляющих: технология, люди и управление знаниями.

Технология. Сегодня о развитии внутреннего аудита можно говорить, если осваивается специализированное аудиторское программное обеспечение (ПО), в дальнейшем интегрированное с единым ПО в области управления рисками, а также прочими программными продуктами, имеющими общекорпоративный масштаб.

Людиосновной капитал любой службы внутреннего аудита. Их знания, навыки, опыт, профессионализм и креативность. Эффективная аудиторская команда включает специалистов в разных областях. Отдельный внутренний аудитор не обязан быть специалистом во всех направлениях. Но в совокупности команда должна обладать набором знаний и навыков, достаточным для реализации эффективного аудиторского проекта. Если во внутреннем аудите нет таких людей, то есть 2 выхода.

Первый – нанять человека извне, но, как правило, не из самой компании, т.к. по Стандартам в целях объективности и независимости аудитор не может оценивать контроли в тех процессах, где он был исполнителем, собственником в недавнем прошлом.

Другие решение – аутсорсинг внутреннего аудита – услуга, которую в России предлагают сегодня некоторые консультационные компании. Аутсорсинг, кроме того, может быть общим решением по компании.

Настоящий аудитор обладает 3 видами знаний:

  • профессиональное знание аудиторских принципов, подходов и процедур;
  • хорошее знание принципов управления, в том числе корпоративного управления;
  • специальное знание в одной из областей, например финансы, право, ИТ, учет, логистика, закупки, производство и др.

Часто можно услышать, что аудиторы – дженералисты (от «general» – «общий», «общего характера»), ведь в своих проектах аудиторам приходится осваивать самые разные области деятельности. В дальнейшем из аудиторов получаются хорошие руководители высшего звена.

Одно из требований, предъявляемое к практикующим внутренним аудиторам, – это постоянное развитие, обучение. Во-первых, оно достигается само собой: аудиторы постоянно переключаются с одного проекта на другой – с одной области знаний на другую. Во-вторых, для внутренних аудиторов должны проводиться тренинги 2-х планов: на «аудиторскую» тематику и тренинги на развитие гибких навыков (soft skills) – коммуникационные, презентационные, управление проектами. В-третьих, аудиторы проходят профессиональное обучение и сдают экзамены на степень CIA (Certified Internal Auditor), поддерживаемую Институтом внутренних аудиторов (IIA, Institute of Internal Auditors).

Система управления знаниями (knowledge management). Управление знаниями – основа роста внутреннего аудита. Эта задача представляется особенно важной, т.к. внутреннему аудиту свойственна текучка, а знания должны оставаться именно там, где «проживает» внутренний аудит.

Итак, внутренний аудит развивается – в России и во всем мире. Но каждый продукт ценен благодаря его оценке своим потребителям. Клиенты – это прежде всего менеджеры Компании – люди, принимающие решения. Надо понимать, что высокоэффективный внутренний аудит – это уже не просто миф в российской деловой практике, а выраженная потребность. Сегодня нашим внутренним аудиторам остается сделать важный шаг – на деле подтвердить свою роль и подкрепить имидж. Наградой за это будут более эффективные аудиторские проекты и возросшая оценка услуги «внутренний аудит» со стороны акционеров и топ-менеджеров.

Риск-ориентированный аудит

Институт внутренних аудиторов (Великобритания и Ирландия), август 2003
Профессиональная позиция. Источник: www.iia.org.uk. Перевод: Василий Кудрин.

Введение


Фокус работы внутреннего аудита за последние годы значительно изменился. Произошло смещение от системно-ориентированного аудита к процессно-ориентированному аудиту, и акцент в настоящее время делается на риск-ориентированный внутренний аудит.

Риск-ориентированный аудит – широко используемый, но часто не понимаемый термин. Данный документ имеет целью довести определенную точку зрения (позицию) относительно риск-ориентированного внутреннего аудита и предложить Вашему вниманию высококачественный подход его достижения.

Описание ситуации


Сегодня под внутренним аудитом понимается следующее.

«Внутренний аудит есть деятельность по предоставлению независимых и объективных гарантий и консультаций, направленных на создание добавленной стоимости и совершенствование хозяйственной деятельности компании. Внутренний аудит помогает компании достичь поставленные цели, используя систематизированный и последовательный подход к оценке и повышению эффективности управления рисками, контроля и системы корпоративного управления.»

Риск-ориентированный внутренний аудит – подход, способствующий достижению указанных требований. Стандарты профессиональной практики внутреннего аудита и связанные с ними Практические советы уделяют особое значение внедрению риск-ориентированного подхода во внутреннем аудите.

Данный подход также соответствует общеизвестному руководству Тернбулла (Turnbull) «Внутренний контроль: Руководство для директоров по корпоративному кодексу», которое требует от руководства применения «риск-ориентированного подхода в создании надежной системы внутреннего аудита и мониторинга ее эффективности» и внедрение риск-менеджмента и системы внутреннего контроля в корпоративную культуру.

Внутренним аудиторам следует внедрять риск-ориентированный подход в соответствии с тем, что уже применяется в компании. Имеется много подходов, которые могут быть применимы внутренним аудитом в зависимости от степени надежности процессов риск-менеджмента, используемых в компании, на которые внутренний аудит может полагаться. Это позволяет аудиторам избегать дублирования процессов, уже исполняемых менеджментом, и исследовать эти процессы и результаты.

Возможно, можно сказать, что внутренние аудиторы, итак, всегда концентрировали свои усилия на наиболее рисковых областях компании. Однако, такой подход исторически нацелен на оценку рисков, сделанную собственно внутренним аудитом. Ключевое отличие риск-ориентированного внутреннего аудита в том, что фокус должен быть нацелен на то, чтобы понять и проанализировать оценку рисков, сделанную самим руководством, и чтобы сосредоточить все усилия аудиторов вокруг этого процесса.

Что же такое риск-ориентированный внутренний аудит?

Цель риск-ориентированного внутреннего аудита состоит в том, чтобы дать независимые гарантии совету директоров в том, что:

  • Процессы риск-менеджмента, которые внедрены руководством в компании, а именно все процессы риск-менеджмента на уровне всей компании, отдельных подразделений, бизнес-единиц, бизнес-процессов и т.п., – работают должным образом.
  • Данные процессы риск-менеджмента надежно спланированы.
  • Менеджмент адекватно и эффективно реагирует на принятые к управлению риски в плане их уменьшения до уровня, приемлемого для совета директоров.
  • Также внедрена система контроля, достаточно надежно смягчающая риски, которые приняты к управлению.

Риск-ориентированный внутренний аудит начинается с бизнес-целей и, далее, фокусируется на тех рисках, которые выделяются самим руководством и которые могут препятствовать достижению целей.

Роль внутреннего аудита состоит в том, чтобы определить области, которые охвачены процессами риск-менеджмента, исполняемыми самим руководством в целях сокращения рисков до уровня, приемлемого для совета директоров (риск-«аппетита»).

В то время, как основной вклад внутреннего аудита в том, чтобы дать менеджменту гарантии качества работы с рисками, осуществляемой посредством процессов корпоративного управления и внутреннего контроля, он также может консультировать менеджмент по вопросам реагирования на риски, состоящим в решениях по ограничению, передаче или допущению рисков.

Риск-ориентированный подход во внутреннем аудите приведен схематично ниже:

rbia2

Практика риск-ориентированного подхода во внутреннем аудите


Общая информация:

  • Объем риск-ориентированного аудита, включает стратегические риски и бизнес-риски.
  • Ключевая начальная точка – определение, установлены ли компанией соответствующие бизнес-цели и, далее, определение, есть ли у бизнеса адекватный процесс выявления (идентификации), оценки и управления рисками, который воздействует на достижение этих целей.
  • В устоявшейся среде риск-менеджмента внутренний аудит может быть сосредоточен на:

– аудите инфраструктуры риск-менеджмента, например: ресурсах, документации, методах, отчетности;

аудите всей системы внутреннего контроля всей организации и отдельных подразделений;

проведении отдельных аудиторских заданий, которые преимущественно посвящены специфическим рискам. Там, где набор рисков контролируется посредством обычной системы или процесса, может быть правильнее проводить совмещенный аудит этой системы или процесса.

  • В менее устоявшейся среде риск-менеджмента, там, где отдельные аудиторские задания преимущественно сфокусированы на законченных системах, процессах или бизнес-единицах, внутренний аудит включает обзор бизнес-целей и процессов риск-менеджмента в рамках каждой данной аудируемой единицы.
  • Там, где процессы риск-менеджмента адекватны и внедрены, внутренний аудит, где это возможно, полагается на представление (видение) самой компании о рисках для того, чтобы определить объем необходимой аудиторской работы.
  • Там, где на процессы риск-менеджмента нельзя положиться, внутренний аудит берет на себя оценку рисков (действуя вместе с руководством), чтобы определить точный необходимый объем работ и только после этого сфокусироваться на том, а как же руководство удостоверяется в том, что процессы риск-менеджмента работают должным образом.
  • Конечный результат каждого аудиторского задания состоит в том, чтобы подтвердить, что риски управляются на приемлемом уровне (как определено риск-«аппетитом») или в том, чтобы содействовать необходимым улучшениям или договориться о них.

Диапазон риск-менеджмента


Очень важно понимать, что не все организации находятся на одной и той же стадии внедрения риск-менеджмента. Нижеприведенная диаграмма показывает стадии завершенности управления рисками и подход внутреннего аудита, который может быть применен на каждой стадии.

rbia3

Каждая компания должна сама определить, как внедрять риск-менеджмент. Это поможет определить ее риск-«аппетит» и стадию развития риск-менеджмента. Например, не все компании будут стремиться быть полностью приспособленными к рискам, так как требуется сопоставлять затраты с предполагаемыми потенциальными выгодами. Диапазон риск-менеджмента – это прерогатива совета директоров и высшего руководства.

В дополнение к завершенности риск-менеджмента внутри компании масштаб (объем) области, к которой внутреннему аудиту нужно предпринять собственную оценку рисков, зависит от степени и скорости стратегических и организационных преобразований.

При аудите какого-либо проекта также должны быть охвачены процедуры риск-менеджмента, как покрывающие проекты в общем, так и касающиеся конкретно данного проекта.

Выводы


Риск-ориентированный аудит не препятствует использованию системно-ориентированных или процессно-ориентированных аудиторских процедур в случае необходимости. Однако, это все же подход, который сосредоточен на вопросах, имеющих отношение к компании, и на предоставлении гарантий в рамках системы риск-менеджмента, внедренного в компании. Риск-ориентированный аудит позволяет внутреннему аудиту быть непосредственно связанным со структурой риск-менеджмента, таким образом создавая синергетический эффект.