Но последние изменения в разных фирмах показывают, что сотрудники департаментов ревизии и внутреннего аудита сталкиваются со сложностями и недопонимаем. Новый мастер-класс от Kompra.kz раскрыл ключевые тренды и изменения в работе аудиторов и ревизоров. Читайте в статье, как внутренний аудит может приходить к взаимопониманию с начальством и работать на предотвращение инцидентов.
Kompra продолжает серию обучающих мероприятий для специалистов в сфере корпоративной и экономической безопасности. Неделю назад прошел мастер-класс "Построение службы внутреннего контроля" для аудиторских и ревизионных департаментов крупных компаний. На этой площадке аудиторы, ревизоры и представители других контролирующих служб разобрали, что ждет сферу внутреннего аудита в ближайшем будущем и как решать ключевые проблемы отрасли.
Количество внутренних рисков, с которыми сталкивается любая компания, с каждым днем растет, но их предотвращению уделяют слишком мало внимания. Зачастую руководители не работают над профилактикой, разбираясь уже с последствиями опасности, а это могут быть хищения на миллионы или кража особо ценной корпоративной информации. Поэтому поддержка работы ревизоров и аудиторов напрямую влияет на то, что преступления будут предупреждены и остановлены до появления ущерба.
На мастер-классе выступал Медеу Тузелбаев, ревизор Корпоративного Фонда "Международный технопарк IT-стартапов "Astana Hub". Он является специалистом по внутреннему аудиту и контролю с 26 летним опытом работы в Экономической полиции МВД РК и Государственном Следственном Комитете РК, в компаниях квазигосударственного сектора и др. В своем выступлении спикер выделил несколько ключевых актуальных для аудиторов и ревизоров проблем, предложив свои решения.
"Прежде работа аудитора заключалась в созерцательности": быть объективным и видеть шире других, чтобы прочувствовать имеющие проблемы. Но требования настоящего времени заставляют нас переходить от "сочувственного" к "сострадательному аудиту", направленному на предотвращение преступлений и защиту работников от соблазна их совершить. Главное условие перехода – изменение текущих методов работы и действии аудитора," – основной его посыл на мастер-классе.
Далее мы разберем полезные советы для специалистов по внутреннему контролю, озвученные во время мастер-класса.
KPI (Key Performance Indicator – Ключевые показатели деятельности). Директора многих компаний привыкли оценивать эффективность как количественный результат. Сейчас старые количественные метрики пересматриваются повсеместно, ведь появилось много важных специальностей, чья работа измеряется не количеством выполненных задач, а конечным качественным результатом. Однако эти метрики продолжают применять к службе внутреннего контроля. Например, руководители требуют аудиторов "раскрыть 2 преступления в месяц" или "провести 5 плановых проверок". По словам спикера мастер-класса, именно работа по таким показателям делает работу службы неэффективной.
Если служба внутреннего контроля работает хорошо, в компании практически не происходит инцидентов или финансовых потерь – ревизоры и рисковики способны предотвратить их еще до наступления ущерба. Но руководители предприятий склонны списывать такой результат на удачные обстоятельства, а не на упорную работу своей службы внутреннего контроля. Поэтому специалисты должны сразу показывать начальству, по каким качественным KPI они работают. Такими могут быть:
- SWOT-анализ
- реализация Программы гарантий и повышения качества
- карта областей аудита
- база данных сценариев нарушений
- консультация объекта проверки
- объявления о проводимой проверке, пост ревизионный мониторинг
- фокус-группы
- взаимодействие с внешним аудитом
- последняя линия защиты перед внешним контролем
Все это – инструменты аудиторов и ревизоров, благодаря которым в компаниях можно остановить возможные риски. Сегодня у внутреннего контроля есть две основные цели – защита сотрудников компании и защита ее финансов и ценностей (имущества, информации, продукции). Чтобы работники не совершали преступлений, а деньги не были потеряны, аудиторы и ревизоры должны построить систему, где сложно или невозможно идти против законов и уставов благонадежности.
Трансформация служб. Многие функции по сбору информации и анализу однотипных данных уже перешли в цифровой формат. Как утверждает эксперт, в ближайшее время деятельность отделов, отвечающих за безопасность, будет или автоматизирована, или объединена в одном лице, или вовсе отдана на аутсорс.
И хоть сейчас все боятся сокращений, важно понимать, что в этой системе все еще нужны люди. Именно аудиторы и ревизоры детально анализируют всю информацию и могут понять, какими методами будет действовать потенциальный мошенник и зачем. Более того, только опытные специалисты в сфере экономической и корпоративной безопасности могут решить, как поступить с источником потенциального риска – уволить сразу, дождаться момента, когда кто-то проявит себя, или обойтись профилактической беседой. Однако для этого необходимо понимать, как именно работает хорошая служба внутреннего контроля.
По мнению спикера, преступления появляются чаще всего не в "Треугольнике мошенничества" (возможности – оправдание – давление), а в "Пятиугольнике мошенничества" (возможности – оправдание – давление – власть – бесконтрольность). Последний фактор – бесконтрольность – как раз появляется, когда служба внутреннего контроля отсутствует или не поддерживается руководством. Поэтому эффективный контроль потенциальных рисков в компании, их предвидение и предотвращение – основная работа аудиторов и ревизоров. Для достижения этих целей спикер выделил четыре составляющих эффективности, которые можно адаптировать под особенности каждой компании:
- Плановые проверки вопросов финансово-хозяйственной деятельности
- Тематические проверки систем и процедур
- Взаимодействие с владельцами рисков бизнес-процессов
- Программа гарантии и повышения качества
Используя это, специалисты внутреннего контроля повысят вероятность того, что ущерба не будет. В этом и заключается их бесценная эффективность – ведь не терять финансы намного лучше для компании, чем возмещать их в долгих судебных процессах с низкой вероятностью возврата денег.
Расширение сферы работы. Сегодня внутренний аудит фокусируется в основном на "Открытой зоне" аудита. Это те количественные показатели, которые видит и оценивает Совет директоров. Мы уже поняли, что результаты вроде количества проверок или раскрытых инцидентов не являются целями внутреннего аудита. Современная служба внутреннего контроля работает над профилактикой преступлений, чтобы потерь и необходимости их возмещать не было. Даже перехода в скрытую зону качественными показателями, с перечисленными в первом пункте, не будет достаточно, чтобы найти все потенциальные риски. Поэтому американские психологи Джозеф Лифт и Харрингтон Инхам создали "Окно Джо-Хари". Эта таблица помогает понять взаимосвязь, как взаимосвязаны особенности работы службы внутреннего контроля и их восприятие окружающими.
В каждой компании имеются четыре зоны ответственности: Открытая, Спрятанная, Слепая и Неизвестная. Как утверждает Медеу Тузелбаев, для аудиторов и ревизоров эти зоны выглядят так:
- "Открытая зона" – количественные показатели, которые видит Совет директоров
- "Скрытая зона" – качественные показатели, их тоже показывают начальству, но куда сложнее объяснить, что они являются результатом работы, а не стечения обстоятельств
- "Слепое пятно" – особое видение Совета директоров
- "Зона Х" – указания Совета директоров о действиях в нестандартной ситуации
Последние две зоны индивидуальны для каждой компании. Более того, даже самый опытный аудитор не всегда может предугадать, что думает руководство или какой внезапный инцидент способен произойти. Поэтому чтобы эффективно работать во всех четырех областях, ревизоры и аудиторы должны сразу представить начальству свою программу гарантии и повышения качества, разработанную для конкретной компании. Составление планов решения всех возможных проблем или антикризисных стратегий, учет предыдущих случаев преступлений и их источников, своевременная реакция на источники потенциальных рисков (небезопасная система хранения данных, неблагонадежный сотрудник, неправильные переводы финансов и т. д.).
"Самое бесполезное чувство – это чувство сожаления, которое наступает после реализации критического риска," – говорит наш эксперт о нерешенных задачах служб внутреннего контроля. Ведь куда выгоднее работать над предотвращением потери, чем пытаться ее возместить. Поэтому служба внутреннего контроля остается очень важной частью любой компании, и повлиять на это пока не может даже автоматизация.
Материалы мастер-класса и информацию о других обучающих мероприятиях от Kompra можно найти в Telegram-канале "СБ. События, тренды, инструменты". Подписывайтесь и будьте в курсе последних новостей по корпоративной и экономической безопасности.
Мнение редакции может не совпадать с мнением автора
