Vasily Kudrin, CIA CFE cCSA PM, an outstanding world-class professional in the field of corporate governance, risk management, business effectiveness and assurance, discusses in a series of articles and notes the modern challenges of practical corporate governance and its key tools.

Corporate (internal) audit reporting and effectiveness

2007.11 – Vasily Kudrin, Solution Leader at Ernst & Young (EY) , commenting on article “Audit will not harm” (“Company Management” magazine, #11, 2007) on the accountability of internal audit to ensure effective corporate governance.

Reporting of Internal Audit specifically to the Audit Committee of the Board of Directors has a certain logic. The point is that Audit Committees, especially in public companies, consist primarily or entirely of independent directors. This system enhances the independence of internal audit not only from executive management but also from individual major shareholders/owners of the company who have greater control over the business than minority shareholders and other stakeholders.

According to the International Internal Auditing Study conducted by Ernst & Young in 2007, the primary expectations from internal audit by the audit committee and management are the assessment and reporting of deficiencies in the internal control system, informing about key company risks, and providing recommendations for improving control processes.

One of the main activities of the internal audit department, according to the authors, is risk-focused planning. Such planning allows internal audit to avoid certain “sophistication”, for example, excessive delving into processes and operations that do not manifest risks critical to the company, or into the problem of separating business and control processes. With this approach, the primary focus is on risks, and the process is viewed as a single chain of actions, both primary and control. Based on audit results, recommendations may include not only strengthening control procedures and mechanisms but also reengineering the business process as a whole.

This method, according to our observations, is most valuable: 36 percent of respondents, mainly heads of internal audit functions, noted that the implementation of recommendations for improving business processes is one of the top three expectations of management from internal audit, and only 17% of participants in our survey stated that it is one of the top three expectations of the audit committee. As a result, the risk-focused approach enables modern internal audit functions to accommodate both the interests of audit committees, which focus on risks and regulatory compliance, and the interests of management, which constantly questions the effectiveness of investments in internal audit.

[…] as a result of such organization of internal audit activities, risks that were previously unidentified are revealed. It should be noted that in the recent past, many of the most typical problems of domestic companies were not covered by internal audit functions. This was because the audit plan was prepared based on the competencies and preferences of the employees within the internal audit unit, rather than on risks. As a result, areas such as acquisitions and sales of business assets, taxes, environmental policy, management of large contracts, management of investment projects, implementation of various systems, and compliance issues (and along with them, entire groups of risks) fell completely outside the focus of internal audit. For instance, M&A initiatives are generally not within the purview of most internal audit functions, even though, firstly, these are the business areas that have primarily driven the value of many Russian companies in recent years, and secondly, such strategic areas are typically subject to risk at a level significantly above the company average. Nevertheless, the role of internal audit here is obvious and is by no means limited only to post-factum checks after a deal is closed or participation in due diligence. The role of internal audit in this case can be most effective if it covers the entire chain from the strategy and planning of such corporate initiatives (projects) to the closing of specific deals and integration/disintegration processes.

During the study, participants in our survey – heads of internal audit functions – noted that over the next two to three years, they expect a certain shift of internal audit resources from traditional areas to those previously unnoticed, especially areas where business and operational risks manifest. In particular, most respondents have already noted the role of internal audit in improving business processes (73%), contract management (58%), and managing large corporate programs, projects, initiatives (57%), while also indicating that there are significant opportunities to increase the effectiveness of internal audit functions in these areas.”

Corporate risk management for chief financial officers (CFOs) and others

2009.11 – Vasily Kudrin, Director of Corporate Audit at X5 Retail Group, spoke at CFO’s conference on corporate risk management – Risk Management for CFOs (finance directors).

«The research (study) by the Institute of Internal Auditors in the area of risk management shows that the main “drivers” behind the establishment of risk management systems in companies are two parties. The first is internal auditors, whose task is to initiate discussion on risk management issues and provide the necessary recommendations to company management. However, the decisive role always remains with senior management — a decision by the board of directors is a mandatory condition when it comes to a holistic approach to risk management.

As a rule, a company’s top executives begin to seriously address risk management issues when the business moves from the category of mid-sized companies into the next weight class — large business. However, in my practice I have encountered situations where a company has already become large, while the management mindset has remained at the same level — senior executives are not ready to qualitatively assess risks and manage them. At X5, this issue has been overcome: having begun the development of a holistic approach to risk management a year and a half ago, the corporate audit department is now transferring more and more risk management functions into the area of responsibility of top management.

The study also shows that quite often the process of building a risk management system starts very actively, but the initiators’ enthusiasm is only sufficient to develop a risk management methodology, which is then put on the shelf. Therefore, it is important to understand that, behind the process, one must not lose sight of the fact that everything is decided by people — if efforts are not made to increase the level of competencies, the project is doomed.

We started with risk assessment, placing emphasis on questionnaires in the format of personal interview surveys. The point is that surveys can also be conducted in another form, by distributing numerous questionnaires; however, in that case only 30% of employees will complete them. This method works only for a mass audience, whereas if it is necessary to conduct an effective study within a relatively small group — these may be top managers or line managers — it is necessary to communicate with people in person.

The company uses a “top-down” approach, so the surveys began specifically with small groups of senior and middle managers. However, this work was preceded by serious preparation. First, we used a standard risk map for the retail business in order to determine who in the company is the owner of a particular risk. This was necessary to compile targeted questions for the interviewees, and then, for various types of risks, to obtain their most accurate definitions, formulated in the language of the company’s management. The fact is that general wording is insufficient here: fraud risk, currency risk, or credit risk must be defined in the form in which the threat manifests itself for a specific company. At the first stage of risk assessment, 60 senior and middle managers were surveyed — heads of directorates and their direct subordinates.

Then these managers were divided into 10 working groups, within which collective discussion of risks took place. Since the overall list of threats consisted of 80 items, each group had to collegially assess 8 risks. For each risk, an expert was selected who conducted a deeper assessment of the threat for which he or she was the owner. The group faced three tasks: to divide risks into inherent and residual, to assess the probability and severity of consequences for each of the risks under consideration, and then to identify the factors that trigger the realization of the risk. It is important to note that the discussion was preceded by open voting — group members had the opportunity to see who had assigned which ratings to specific risks. The purpose of the subsequent discussion was to arrive at a collegial assessment for each risk. The risks inherent to the company were proposed for group consideration first, while residual risks, as less significant, were discussed later. Interestingly, in approximately half of the cases the groups came to the conclusion that the probability and severity of residual risks in the company were in no way lower than those of inherent risks. Thus, it was acknowledged that the existing mechanisms for countering threats are insufficiently effective and require improvement.

The work of the groups was documented, and the result of these discussions was a refined risk map, which was submitted to the audit committee — a body whose representatives are members of the company’s supervisory board. The most important outcome of the work was a kind of awakening among top managers: they realized that it is necessary to work on minimizing risks, many of which turned out to be more serious than previously thought. Top managers were recommended to cascade the risk assessment process to the level of their subordinates.

This year, we plan to conduct discussion and assessment of risks at the level of department and division heads, as well as to adjust the company’s risk map taking into account its entry into new business areas. Next year, the discussion related to risk management will already take place at the level of rank-and-file employees.

The conclusion that can already be drawn is that risk management skills are additional competencies of existing managers. Risk management must be organically integrated into the overall company management system. To this end, it is necessary to provide training for managers at various levels. The focus should be on changing people’s mindset — otherwise even the most advanced risk management methodology will be ineffective. Therefore, the process of building a risk management system is a learning process.

For effective risk management, a holistic approach is important. Situations are often encountered where work on risk management is carried out within individual departments, but all efforts remain local. In order to achieve an effect on a company-wide scale, it is necessary to make risk management a shared task for all employees, and this undoubtedly requires efforts on the part of senior management». (Source: CFO Russia)

Internal Audit: Reshaping the Image

Vasily Kudrin on development of the professional service “Internal Audit”, that is becoming an effective tool of modern corporate governance, and has gained great interest in recent years both in international and (now) in Russian business. Article “Internal Audit: Reshaping the Image” was published in October 2004.

Что такое внутренний аудит?

Это «… деятельность по предоставлению независимых и объективных гарантий и консультаций, направленных на создание добавленной стоимости и совершенствование хозяйственной деятельности компании» (из Стандартов профессиональной практики внутреннего аудита). Гарантии и консультации – два продукта аудита. В одних аудиторских проектах (assurance) внутренние аудиторы дают разумные гарантии – ответ на вопрос, работает ли система внутреннего контроля, требует ли она улучшений. В других проектах (consulting) внутренние аудиторы могут работать как фасилитаторы, содействующие менеджерам в процессе принятия управленческих решений … при этом вовсе не участвуя в самом процессе принятия решений роли не участвуют.

Внутренний аудит развивается и эволюционирует. В настоящее время выделяется 4 роли внутреннего аудита в компаниях: (1) оценка соблюдения процедур, (2) оценка составляющих внутреннего контроля, (3) содействие менеджменту в совершенствовании и ре-инжиниринге бизнес-процессов (performance improvement), (4) в реализации принятой стратегии бизнеса.

«Внутренний аудит помогает компании достичь поставленные цели, используя систематизированный и последовательный подход к оценке и повышению эффективности управления рисками, контроля и системы корпоративного управления». Так понимается внутренний аудит в лучшей международной практике. Именно с таким пониманием сегодня работают уже многие внутренние аудиторы, практикующие в России.

Внутренний аудит – это искусство, наука и техника одновременно. Современный внутренний аудит – это не просто проверка соблюдения регламентов. Это скорее похоже на творческий изыскательский проект, где каждый пласт информации требует нового осмысления, объяснения, дополнительного анализа. Потребности современного бизнеса усложняются и изменяются. Сам бизнес это и есть перемены, движение вперед, а внутренний аудит – услуга, которая всецело этому содействует. Перемены неизбежны! Мы всегда живем в период перемен – и очень часто почему-то этому удивляемся! Вместо того, чтобы пассивно наблюдать, как они на нас влияют, нам необходимо уметь их предвидеть, предпринимать инициативу и помогать Компании извлекать преимущества из данных перемен.

Управление рисками и внутренний аудит.

Лучшая практика внутреннего аудита ориентирована на поиск эффективных методов управления рисками. Под бизнес-риском мы понимаем вероятность того, что событие или действие при своем наступлении повлияют на способность достижения целей либо приведут к убыткам, ущербу для Компании. По сути это то, что препятствует нашей качественной работе, удовлетворенности клиентов и мотивации сотрудников, – то, что препятствует достижению наших бизнес-целей. Значит, соответствующее построение риск-менеджмента – это главная предпосылка корректного, должного функционирования функции «Внутренний аудит» в Компании. Именно коренные изменения в управлении рисками (risk management), революция в некотором смысле, сделают возможным полноценное использование внутреннего аудита в компаниях.

Однако в России внутренний аудит исторически, по инерции воспринимается как контрольно-ревизионная работа. Именно поэтому сегодня внутренний аудит сталкивается с трудностями. Даже в тех компаниях, где функция «Внутренний аудит» развивается по международных примерам, один из существенных рисков аудиторского проекта – это предвзятое восприятие  работы внутренних аудиторов.

В чем перемены?

Первые задачи, связанные с построением службы внутреннего аудита во многих крупных компаниях, уже решены. Какие-то компании, чьи акции котируются в Нью-Йоркской фондовой бирже, к этому подтолкнули требования акта Сарабенса-Оксли (SOA, Sarbanes-Oxley Act); кто-то сам пришел к необходимости комплексной перестройки. Разработаны политики в области внутреннего аудита, приняты положения о внутреннем аудите, главное – выстроены организационные связи: в лучших практиках, а для кого-то по требованиям законодательства, внутренний аудит должен быть функционально подотчетен аудиторскому комитету совета директоров. Так обеспечивается независимость службы внутреннего аудита, а также формируется возможность постоянного контакта и конструктивном взаимодействия как с менеджментом, так и с советом директоров.

Проект внутреннего аудита можно рассмотреть как проект, задание (engagement), включающее 4 фазы:

  1. Определение предметной области и объема аудита (engagement scope);
  2. Планирование (engagement plan), в основном связанное с составлением программы проекта и планирование ресурсов;
  3. Выполнение (execute), или «полевые работы» (field work);
  4. Завершение (conclude), результатом которого является отчет (report). Отчет по результатам аудиторского проекта включает также план действий (action plan), разработанный менеджментом по результатам согласованных рекомендаций.

Определение предметной области.

    • Проект открывается (инициируется) – как на основе годового плана (annual plan / program) внутреннего аудита, утверждаемого советом директоров, так и по согласованию с топ-менеджментом компании.
    • Осуществляется сбор и анализ информации из различных источников, в том числе путем проведения интервью, составления опросников (questionnaires), организации выездов на объекты, «в поля» (preliminary surveys).

Важный шаг в аудиторском проекте – это встречи с клиентом. Аудиторы исходят из того, что встреча с клиентом должна быть тщательно подготовлена и проведена в конструктивной атмосфере. Ключевой фактор здесь – это всесторонняя подготовка встречи и профессионализм аудитора (due diligence).

Аудитор должен быть уверен, что работа, которую он делает, приносит пользу Компании и ее акционерам. Он должен понимать и уметь объяснять клиенту, в чем польза внутреннего аудита, почему и как им добавляется стоимость (“add value” approach).

На этом же этапе совместно с клиентом рассматривается схема бизнес-процесса, определяются и оцениваются на SMART бизнес-цели, обсуждается с клиентом список бизнес-рисков, оценивается их «вероятность» и «значимость», то есть составляется карта, или профиль / матрица, бизнес-рисков (risk profile / matrix).

Принцип SMART (SMART, Specific, Measurable, Agreed to, Realistic, Time-bound) – специфично, измеримо, согласованно, реалистично, своевременно. Критерий или стандарт, в соответствии с которым измеряются бизнес-цели и управленческие планы действий.

  • Далее организуется встреча с куратором проекта со стороны клиента, где аудиторами добывается новая информация, и собирается информация, которая ранее не могла быть получена по различным причинам. На основе обсуждений, встреч, анализа информации формируется “техническое задание” (engagementproposal), необходимое для определения предметной области, или фронта и объема работ (engagementscope).

Планирование. В рамках «Планирования» аудиторы готовят программу внутреннего аудита и формируют команду аудиторов в соответствии с их компетенциями – знаниями, навыками и опытом. Далее организуется встреча аудиторов и менеджеров, на которую аудиторы приходит не только с концепцией аудиторского проекта, но и с программой проекта – графиком работ и конкретной аудиторской командой. По результатам такой встречи появляется письмо о взаимодействии, т.е. письма-обязательства (аналог engagement letter), которое является стандартом аудиторской практики. Данное письмо – есть договоренность между аудиторами и менеджерами о том, кто и что делает для того, чтобы на выходе получить результат в виде отчета внутренних аудиторов, включая разработанный менеджментом необходимый план действий.

Выполнение. После вступительной встречи стартует фаза «Выполнение». Некоторые аудиторские проекты теперь все больше охватывают всю Компанию, ведь бизнес в Компании все больше интегрируется, а с ним и система внутреннего контроля, и система управления рисками. При этом внутри стадии «Выполнение», как правило, организуются «полевые работы», выезды, особенно там, где необходимо понять, как система контролей выстроена на уровне бизнес-подразделений (business units).

«Выполнение» делится на 2 этапа – 2 части оценки системы внутреннего контроля: оценка дизайна контроля (control design evaluation) и тестирование контролей (testing). Цель оценки дизайна контроля – понять, насколько менеджмент при построении системы внутреннего контроля учел все необходимые критерии и цели контроля (control objectives, control criteria).

В мире существует несколько общепринятых принципов при построении системы внутреннего контроля. Наибольшую известность имеет модель, разработанная Комитетом спонсорских организаций – COSO (в которую входят такие организации, как AICPA, IIA, IMA, FEIAAA. Именно на эту модель дана прямая ссылка в 404-й статье акта Сарбанеса-Оксли. По модели COSO Internal Control – Integrated Framework система внутреннего контроля состоит из 5 взаимосвязанных компонентов, каждый из которых имеет отношение ко всем категориям бизнес-целей (стратегическим, операционным, целям отчетности и соответствия требованиям законодательства):

  • Контрольная среда – Control Environment;
  • Система выявления и оценки рисков – Risk Assessment;
  • Контрольные процедуры – Control Activities;
  • Информационная среда и система коммуникаций – Information and Communicatoin;
  • Мониторинг СВК – Monitoring.

В октября 2004 года издана новая разработка COSO – модель COSO ERM – Integrated Framework (ERM – enterprise risk model), которая объединила в себе как компоненты системы внутреннего контроля, так и компоненты системы управления рисками.

В настоящее время во многих крупных компаниях уже идет работа по формированию единого подхода к системе внутреннего контроля (internal control system) и оценке ее функционирования менеджментом (management assessment of controls). Внутренний аудит со своей риск-ориентированной методологией (risk – based approach) играет при этом важную роль в формировании эффективной системы внутреннего контроля, включая процесс управления рисками. В некоторых компаниях внутренний аудит даже берет на себя роль инициатора (trigger) этого процесса, без дальнейшего участия в формировании самой системы внутреннего контроля, т.к. это могло бы повлечь за собой нежелательное воздействие на независимость внутреннего аудита в компании.

Завершение. Завершается проект формированием отчета, который направляется ответственным менеджерам для обсуждения и согласования. По результатам согласования рекомендаций менеджмент составляет план действий (action plan), который становится неотъемлемой частью окончательного отчета (final report) аудитора.

Развитие внутреннего аудита.

Внутренний аудит развивается в 3-х взаимосвязанных составляющих: технология, люди и управление знаниями.

Технология. Сегодня о развитии внутреннего аудита можно говорить, если осваивается специализированное аудиторское программное обеспечение (ПО), в дальнейшем интегрированное с единым ПО в области управления рисками, а также прочими программными продуктами, имеющими общекорпоративный масштаб.

Людиосновной капитал любой службы внутреннего аудита. Их знания, навыки, опыт, профессионализм и креативность. Эффективная аудиторская команда включает специалистов в разных областях. Отдельный внутренний аудитор не обязан быть специалистом во всех направлениях. Но в совокупности команда должна обладать набором знаний и навыков, достаточным для реализации эффективного аудиторского проекта. Если во внутреннем аудите нет таких людей, то есть 2 выхода.

Первый – нанять человека извне, но, как правило, не из самой компании, т.к. по Стандартам в целях объективности и независимости аудитор не может оценивать контроли в тех процессах, где он был исполнителем, собственником в недавнем прошлом.

Другие решение – аутсорсинг внутреннего аудита – услуга, которую в России предлагают сегодня некоторые консультационные компании. Аутсорсинг, кроме того, может быть общим решением по компании.

Настоящий аудитор обладает 3 видами знаний:

  • профессиональное знание аудиторских принципов, подходов и процедур;
  • хорошее знание принципов управления, в том числе корпоративного управления;
  • специальное знание в одной из областей, например финансы, право, ИТ, учет, логистика, закупки, производство и др.

Часто можно услышать, что аудиторы – дженералисты (от «general» – «общий», «общего характера»), ведь в своих проектах аудиторам приходится осваивать самые разные области деятельности. В дальнейшем из аудиторов получаются хорошие руководители высшего звена.

Одно из требований, предъявляемое к практикующим внутренним аудиторам, – это постоянное развитие, обучение. Во-первых, оно достигается само собой: аудиторы постоянно переключаются с одного проекта на другой – с одной области знаний на другую. Во-вторых, для внутренних аудиторов должны проводиться тренинги 2-х планов: на «аудиторскую» тематику и тренинги на развитие гибких навыков (soft skills) – коммуникационные, презентационные, управление проектами. В-третьих, аудиторы проходят профессиональное обучение и сдают экзамены на степень CIA (Certified Internal Auditor), поддерживаемую Институтом внутренних аудиторов (IIA, Institute of Internal Auditors).

Система управления знаниями (knowledge management). Управление знаниями – основа роста внутреннего аудита. Эта задача представляется особенно важной, т.к. внутреннему аудиту свойственна текучка, а знания должны оставаться именно там, где «проживает» внутренний аудит.

Итак, внутренний аудит развивается – в России и во всем мире. Но каждый продукт ценен благодаря его оценке своим потребителям. Клиенты – это прежде всего менеджеры Компании – люди, принимающие решения. Надо понимать, что высокоэффективный внутренний аудит – это уже не просто миф в российской деловой практике, а выраженная потребность. Сегодня нашим внутренним аудиторам остается сделать важный шаг – на деле подтвердить свою роль и подкрепить имидж. Наградой за это будут более эффективные аудиторские проекты и возросшая оценка услуги «внутренний аудит» со стороны акционеров и топ-менеджеров (10/2004).