Автор: Євген Звєрєв, CIA, член НП «Інститут внутрішніх аудиторів» [1]
Стаття опублікована в журналі "Акціонерне товариство: питання корпоративного управління" Квітень 4 (167), 2018
Комплаенс-ризики пронизують діяльність будь-якої компанії. Вони різноманітні, численні й підступні. Особливий статус внутрішнього аудиту дозволяє проводити незалежну об'єктивну оцінку ефективності системи комплаєнс-контролю, збільшуючи тим самим вартість компанії і покращуючи її імідж серед стрейкхолдеров. Але комплаенс-аудит - це не просто контроль дотримання вимог, а професійне здійснення доречного внутрішнього аудиту.
Кризовий стан російських підприємств пов'язано не тільки з зовнішніми факторами макроекономічної нестабільності, але і серйозними недоліками в корпоративному управлінні [2] , Які не дозволяють досягати основної монетарної цілі діяльності бізнесу ¾ створення вартості і справедливого її розподілу для всіх зацікавлених осіб (стейкхолдерів).
Корпоративне управління, взаємозалежне з системою внутрішнього контролю (далі - СВК) і управління ризиками, є найважливішим фактором створення додаткової вартості. У підручнику [3] справедливо зазначено: «Практично будь-яка подія в організації означає, що внутрішній контроль в тій чи іншій сфері не сформований або не функціонує належним чином. Відповідно, винен не тільки той, хто допустив порушення, але так само і той, хто не вжив усіх заходів для того, що б це не сталося. Це може говорити про відсутність або недостатній ефективності превентивного механізму, який повинен протидіяти утворенню несприятливих ситуацій ».
В даній статті обговорюється механізм попередження порушень законодавства, стандартів, правил, прав і обов'язків, який повинен: по-перше, бути в наявності, по-друге, відповідати поточним ризиків, по-третє, виконуватися.
Функція, звана комплаенс (Compliance [4] ) ¾ це система заходів, яка запобігає порушення (як з боку менеджменту, так і лінійного персоналу) норм чинного законодавства, внутрішніх регламентів, основних положень бізнес-етики та ін. В Росії основними суб'єктами впровадження служать учасники фінансового ринку, а також корпорації і підприємства , які орієнтовані на міжнародний ринок. Однак окремі елементи цієї системи необхідні компаніям і з інших галузей, зокрема:
· Провідним діяльність під жорстким адміністративним регулюванням;
· Публічним і іншим товариствам, які розміщують свої цінні папери на біржі
· Дочірнім організаціям і представництвам глобальних корпоративних груп, при наявності ризиків поширення на їх операції транскордонних вимог;
· Крім того, з впровадженням МСФЗ, політики внутрішнього контролю, заснованої на ризик-орієнтованому підході, комплаенс отримує все більш широке поширення.
Історично функція комплаенс виникла в сфері боротьби з корупцією, протидії легалізації доходів, отриманих злочинним шляхом та фінансування тероризму. Відповідність законам, правилам і стандартам у сфері комплаенса зазвичай стосується таких питань, як дотримання належних стандартів поведінки на ринку, управління конфліктами інтересів, справедливе ставлення до клієнтів і т.п., але на наш погляд область комплаенс значно ширше.
Структурні елементи комплаенс-контролю на підприємстві.
У широкому сенсі комплаенс-контроль ¾ це процес управління ризиками, які впливають на здатність підприємства до безперервної діяльності, і що виникли внаслідок порушення вимог нормативно-правових актів або втрати ділової репутації.
Багато вітчизняних керівники вважають комплаенс-контроль не дуже важливим елементом для успішного ведення бізнесу, тому не хочуть витрачати на це ні часу, ні засоби. Проте, його слід впроваджувати незалежно від розміру бізнесу, адже дотримуватися законів і здійснювати антикорупційну діяльності повинні будь-які компанії.
Головний фактор розвитку комплаенс-контролю ¾ державне регулювання. Коли кожну угоду можуть перевірити з точки зору відповідності яким / чиїмось вимогам, це стимулює, адже нікому не хочеться ризикувати репутацією або грошима. «Перспективи» недотримання комплаенс-контролю неприємні: адміністративні штрафи; санкції щодо посадових осіб; призупинення діяльності; анулювання ліцензії; визнання угод недійсними; збиток бізнес-репутації, що веде до втрати інвестиційної привабливості.
В ході поточної операційної діяльності потрібне здійснення комплаенс-контролю за всіма її напрямками і функціонал кожного структурного підрозділу на будь-якому підприємстві завжди включає цей контроль. Діяльність кожного підрозділу повинна бути спрямована, в т.ч. і на виконання комплаенс-контролю в своїй зоні відповідальності, а всі підрозділи повинні взаємодіяти між собою в цьому напрямку [5] .
Найменування структурного елементу функції комплаєнс
компетенції
Відповідальні за реалізацію елементів функції комплаєнс
Виробнича діяльність
Збір інформації про порушення, зміни і відхилення, виявлення і аналіз їх причин; розкриття інформації про суттєві події; дотримання строків подання внутрішніх управлінських звітів.
Структурні підрозділи (цеху, бригади, відділи) основного, допоміжного, обслуговуючого виробництв і служб.
продажі
Забезпечення дотримання розмежувань між зовнішніми і внутрішніми (власними) операціями; реклама; ціноутворення.
Відділ продажів (маркетингу), планово-економічне підрозділ.
Фінансова та операційна звітність
Забезпечення достовірності інформації про операції в системах обліку; компіляція даних про порушення і ризики в процедурах контролю над фінансовими ризиками і при формуванні звітності; узагальнення відомостей про ризикові події та збитки.
Бухгалтерія, планово-економічне обґрунтування та фінансове підрозділи.
Ділова репутація
Виявлення клієнтів і операцій, схильних до ризику; виявлення невідповідності у внутрішніх процедурах і діях співробітників, яке тягне за собою ризик застосування санкцій і втрати репутації
Наглядова рада (Рада директорів), виконавчі органи.
Правовідносини як всередині, так і поза підприємством.
Узагальнення інформації про внутрішні і зовнішні правових конфліктах; дані про стан внутрішньої і зовнішньої нормативної бази; проекти нормативних документів; правова оцінка порушень, що видається функцією комплаенс і іншими підрозділами, на предмет прийняття подальших юридичних дій і правових наслідків; виконання законодавства про рекламу і антимонопольного законодавства.
Юридична служба
Забезпечення безпеки
Виявлення відомостей про можливі і виявлені зловживання, порушення захисту інформації та активів.
Служба безпеки, ІТ підрозділу, бухгалтерія
Управління персоналом
Поширення кодексів поведінки, закріплення необхідних вимог в контрактах, а також окремі питання навчання і оцінки працівників.
Відділ кадрів
Взаємини з перевіряючими органами
Надання документи за запитами зовнішніх контролюючих органів, узагальнення інформації про порушення, координація зусиль різних підрозділів в спірних ситуаціях
Наглядова рада (Рада директорів), виконавчі органи, Генеральний директор, заступники за напрямками діяльності.
Для комплексного вирішення завдань комплаенс-контролю доцільно створення служби-координатора, але для основної маси вітчизняних підприємств це є недозволеною розкішшю і функції координатора часто віддаються контрольно-ревізійному підрозділу (підрозділу внутрішнього контролю) або Юридичній службі. Однак важливість і обов'язковість виконання завдань комплаенс-контролю вимагає координації зусиль на рівні заступника Генерального директора.
Роль внутрішнього аудиту в здійсненні комплаенс-контролю
Ефективне корпоративне управління покладається на процедури внутрішнього контролю і на обмін інформацією з вищим керівництвом (рада директорів і топ-менеджмент) щодо ефективності такого контролю. Ефективна система внутрішнього контролю забезпечує необхідний ступінь впевненості в тому, що компанія зможе своєчасно реагувати на несприятливі прояви зовнішнього середовища і стимулювати внутрішні ресурси для досягнення цілей кожного бізнес-процесу. Вища виконавче керівництво несе відповідальність за організацію і підтримання функціонування ефективної системи внутрішнього контролю, а так само за здійснення моніторингу її функціонування.
Рада директорів - визначає загальні напрямки організації СВК, аналізує її загальну ефективність і відповідність характеру, масштабам і умов діяльності, а також розглядає результати оцінки її ефективності, виявлення суттєві недоліки і рекомендації по їх усуненню.
Роль внутрішніх аудиторів полягає в спостереженні і в оцінці (незалежної і об'єктивної) роботи СВК, а так само в розробці рекомендації щодо підвищення її надійності та ефективності. Таким чином, внутрішній аудит існує для того, щоб надавати підтримку вищого керівництва в результативному та ефективному виконанні обов'язків з контролю над діяльністю компанії, і саме така підтримка є одним з випадків, коли внутрішній аудит приносить користь.
У 2013 році глобальний Інститут внутрішніх аудиторів (The IIA) представив модель «Трьох ліній захисту», яка є доступним і ефективним механізмом, який координує процеси управління ризиками та внутрішнього контролю за рахунок чіткого визначення та розмежування відповідних функцій і обов'язків.
На малюнку представлена спрощена схема [6] моделі.
Міжнародна практика визначає, що перша лінія захисту - це функціональні підрозділи, друга - контролюючі служби, які здійснюють контроль в тих чи інших функціональних областях і можуть бути пов'язані з функціональними підрозділами взаємодією або підпорядкованістю, а внутрішній аудит виступає третьою лінією захисту (оборони).
Особливий статус внутрішнього аудиту в компанії, заснований на:
· Цілях, повноваження і відповідальність (Професійний стандарт 1000, The IIA);
· Незалежності та об'єктивності (Професійний стандарт 1100, The IIA);
· Професіоналізм і професійному ставленні до роботи (Професійний стандарт 1200, The IIA);
· Можливості обміну інформацією, координації діяльності з іншими внутрішніми [7] і зовнішніми сторонами і використання результатів їх роботи (Професійний стандарт 2050, The IIA),
дозволяє йому проводити незалежну об'єктивну оцінку ефективності системи внутрішнього контролю, перевіряючи, як працюють всі його види.
Внутрішній аудит забезпечує впевненість в ефективності корпоративного керівництва, управління ризиками та комплаєнс, в тому числі, що способи, якими перша і друга лінії оборони управляють ризиками, досягають цілей корпоративного управління.
Ця гарантія охоплює широке коло завдань, включаючи дотримання законів, положень, політик, процедур і контрактів. Але це не повинно бути дотриманням просто заради дотримання. Внутрішній аудит повинен враховувати стратегічну бізнес-мета і заходи контролю, які допомагають «пом'якшити» ризик при русі до неї, в т.ч. при здійсненні заходів, пов'язаних з комплаенс.
Комплаенс-аудит ¾ це НЕ просто контроль дотримання вимог.
Незважаючи на явну важливість комплаенс-аудиту, багато менеджерів і раніше вважають, що ці аудити не істотні, оскільки часто виглядають наступним чином:
- Мета: Перевірити відповідність вимогу "A".
- Критерій: Клієнт повинен робити «A».
- Ситуація: Клієнт робить «A».
- Рекомендація: робити «A».
Внутрішнього аудиту необхідно забезпечити, щоб комплаенс-аудити надавали суттєві гарантії вищого керівництва щодо дотримання вимог і збільшували вартість компанії. За зауваженням ¾ «ви повинні виконувати вимогу« A »» ¾ повинен існувати досить серйозний нормативний / юридичний ризик.
Внутрішні аудитори можуть підвищити цінність комплаенс-аудиту, професійно виконавши доречний аудит. Виконання доречного аудиту означає вивчення в першу чергу того, чому необхідно дотримуватися вимог. Як правило, це стосується правових, нормативних, операційних або етичних причин.
Перетворення комплаенс-аудитів в діяльність по збільшенню вартості компанії починається з формулювання мети аудиту. Це визначає, що саме внутрішній аудит намагається зробити і як він керує діяльністю, критеріями, планом роботи та кінцевими результатами.
Якщо метою є просто перевірити відповідність критерію «А», тоді робиться висновок: «Ви не робите« А »», далі рекомендація: «Робити« А »».
Однак якщо метою є: «Перевірити необхідність, наявність і адекватність відповідності критерію« А », то внутрішній аудит буде краще орієнтований на вирішення питань корпоративного управління, управління ризиками та комплаєнс.
У цьому типі аудиту (збільшення вартості компанії) одним з перших кроків необхідно визначити, чи існують колишні комплаенс-ризики.
Можливо, вони вже усунені шляхом:
- зміни процесів (наприклад, компанія більше не займається цим продуктом або компанія більше не використовує цей виробничий процес);
- передачі їх комусь іншому (наприклад, субпідряднику);
- реорганізації бізнес-процесів, зміни місцезнаходження або переоснащення (можливо, усунули, передали або зменшили ризик).
Відсутній ризик ¾ відсутня вимога відповідності, а збільшення вартості компанії відбувається за рахунок усунення витрат по виконанню вже не потрібного відповідності.
При хорошому розумінні поточного рівня ризиків і їх джерел, наступним кроком є розгляд вимог до адекватності і ефективність контрольних процедур. Це вимагає розуміння причин і джерел ризику і технології контролю. «Чи потрібна контроль? Чи розглядає він першопричину? Чи є кращі способи «пом'якшення» ризику? »Відповідаючи на ці питання, внутрішній аудит може виявити непотрібні, неефективні або зайві контролі, що може знизити вартість комплаенс при одночасному зниженні ризиків. Подальшим кроком буде здійснення традиційних аудиторських дій (тобто просто контроль дотримання вимоги).
Якщо внутрішній аудитор виявив невідповідність, недостатньо рекомендувати ¾ «робити« A »». Рекомендації повинні усувати першопричину, в тому числі визначати, чому відповідність не виконується. Чи було керівництво поінформоване про цю вимогу? Менеджмент здатний виконувати вимогу? Чи є компенсуючі засоби управління ризиком невідповідності, які повинні бути реалізовані?
Внутрішні аудитори повинні співвідносити виявлена невідповідність з цілями компанії і не просто вимагати «робити« А »», а обгрунтувати це і дати рекомендацію, яка допоможе менеджменту. Крім того, сама процедура аудиту повинна бути виконана ефективно, з максимальним використанням методів аналізу даних. Виконання комплаенс-аудиту належним чином і ефективно (а не просто ¾ «зробили ви« А »?») Призведе до значного підвищення значимості цього типу аудиту, а так само знизить упередженість до нього.
Як було сказано вище, ризики, пов'язані з невідповідністю якихось вимогам, впливають на всю діяльність компанії.
Вище керівництво може збільшити вартість компанії і поліпшити її імідж серед стрейкхолдеров, використовуючи внутрішній аудит для управління комплаєнс-ризиками і посилення комплаенс-контролю, а для цього необхідно:
1. впровадити функцію комплаєнс в компанії;
2. визначити координатором вирішення завдань комплаенс-контролю керівника рівня заступника генерального директора;
3. доручити внутрішнього аудиту здійснення незалежної оцінки ефективності комплаенс-контролю;
4. вимагати від нього виконання комплаенс-аудиту належним чином і ефективно.
[1] Некомерційне партнерство «Інститут внутрішніх аудиторів» (НП «ІВА»), зареєстроване в 2000 р, є професійною асоціацією, що об'єднує понад 4000 внутрішніх аудиторів, внутрішніх контролерів і працівників інших контрольних підрозділів російських компаній і організацій.
[2] Корпоративне управління (Governance) - сукупність процесів і організаційних структур, створювана Радою директорів для інформування, управління і моніторингу діяльності організації з метою досягнення поставлених цілей.
[3] С.М. Резніченко, М.Ф. Сафонова, О.І. Швірева. Сучасні системи внутрішнього контролю: навчальний посібник. // Вища освіта. 2016.
[4] комплаенс ( англ. compliance - згода, відповідність; походить від дієслова to comply - виконувати) - буквально означає (див. Оксфордському словнику англійської мови ) Дію відповідно до запиту або зазначенням; покора.
[5] Колесникова Е.Н. Комплаенс-контроль - новий рівень забезпечення економічної безпеки підприємства. // Економіка і фінанси організації та держави. №4 (6) \ 2012.
[6] «Внутрішній Аудит як інструмент в боротьбі з шахрайством - досвід Мрії». // Сайт Latifundist.com
[7] Внутрішній Аудит - не єдина служба, яка зацікавлена в забезпеченні контролю. Як правило, в компанії існують і інші відповідні підрозділи. Хоча участь цих підрозділів у внутрішньому контролі буде здійснюватися швидше з технічного боку, внутрішній Аудит доповнює, аналізує, оцінює дієвість їх заходів по контролю в сфері їх відповідальності.
Відкрити статтю в форматі PDF
«Чи потрібна контроль?
Чи розглядає він першопричину?
Чи є кращі способи «пом'якшення» ризику?
Чи було керівництво поінформоване про цю вимогу?
Менеджмент здатний виконувати вимогу?
Чи є компенсуючі засоби управління ризиком невідповідності, які повинні бути реалізовані?
А не просто ¾ «зробили ви« А »?