Внутренний аудит как инструмент в борьбе с мошенничеством — опыт Мрии
Главный вопрос, который задала руководитель департамента внутреннего аудита «Мрия Агрохолдинг» Ирина Хавренко во время конференции «Риски и противодействие мошенничеству»: «Зачем нужен внутренний аудит крупным компаниям, и как он поможет управлять рисками в агробизнесе?». Latifundist.com не оставил вопрос без ответа и выделил основные тезисы об аудите и опыте внедрения его в аграрные компании.
Что такое внутренний аудит?
Ранее понятие внутреннего аудита в большей степени относилось к сфере контроля бухгалтерского учета и подготовки финансовой отчетности. Но уже с начала 2000-х гг. аудит задействовали практически во всех процессах компании для повышения эффективности системы внутреннего контроля, выявления потенциальных рисков и помощи в управлении данными рисками.
«По сути, внутренний аудит — это инструмент обратной связи для собственника и менеджмента. Он помогает объективно оценить ситуацию, выявить дополнительные риски и дает рекомендации по повышению эффективности процесса», — рассказала Ирина Хавренко.
Как выстроить систему аудита под систему противодействию мошенничеству?
Чтобы внутренний аудит эффективно помогал в борьбе с нечистоплотными дельцами, система должна включать и другие не менее значимые составляющие, а именно управление рисками холдинга, внутренний контроль и систему регламентации бизнес-процессов.
«Без перечисленных элементов система аудита не будет эффективной. Почему? Например, система управления рисками холдинга позволяет не распылять силы, а концентрироваться на наиболее затратных, рисковыхзонах, бить прямо в точку. И если аудиторы концентрируются на таких слабых зонах, это уже двойной эффект», — отметила Ирина Хавренко.
Второй элемент, с которого рекомендуется начинать выстраивать систему, — это блок регламентации бизнес-процессов. При наличии действующих регламентов аудит не «зарывается» в массе проявлений неэффективности, вызванной отсутствием каких-либо «правил», а идет глубже и оценивает более серьезные вещи, возможные риски и схемы мошенничества.
«Когда я пришла работать в компанию «Мрия», здесь было достаточное количество технических решений, установленных датчиков, но систему внутреннего контроля нельзя было назватьэффективной. Причина проста: есть датчики, есть диспетчерский центр, который их контролирует, и есть отдельно учетная система 1С, в которой работаютсовершенно другие люди и могут вносить совершенно другие данные. Когда эти системы не связаны между собой технически, это требует больше ресурсов, людей, которые будут сверять сначала одну систему, потом бумажные данные, потом то, что вносится в 1С», — рассказала эксперт.
По мнению Ирины Хавренко, один из главных вопросов, который должен подниматься для построения эффективной системы внутреннего контроля, — это автоматизация контроля и снижение влияния человеческого фактора.
«Например, с целью снижения рисков коррупционных действий, тендеры на закупку мы проводим на электронной площадке, торги проходят открыто с минимальным участием закупщиков», — говорит Ирина Хавренко.
Модель трех линий обороны
1 линия — это функциональное подразделение.
2 линия — это сверхконтроль, который проводят контролирующие службы.
3 линия — внутренний аудит.
При построении системы внутреннего контроля для качественного распределения ответственности может использоваться модель трех линий обороны. Международная практика предполагает, что первая линия обороны — это функциональные подразделения, вторая — контролирующие службы, осуществляющие контроль в тех или иных областях, а внутренний аудит должен выступать третьей линией обороны, проводя независимую объективную оценку эффективности системы внутреннего контроля, проверяя, как работают все виды контроля в компании. Таким образом, построение эффективной системы управления риском мошенничества может происходить только через взаимодействие различных подразделений на различных уровнях системы.
Как выглядит схема работы внутреннего аудита в вопросе «обороны» компании:
- Идентификация рисков в компании.
- Внутренний аудит готовит план аудитов с учетом этих рисков, концентрируясь на наиболее слабых зонах.
- Аудиторы тестируют контрольные процедуры, оценивают, есть ли они, и насколько они эффективны. По каждой процедуре оценивается риск мошенничества, насколько возможно обойти этот контроль.
- При тестировании контрольных процедур и оценке риска мошенничества аудитор обращает внимание на так называемые «индикаторы мошенничества».
- Аудитор дает рекомендации, как повысить эффективность процесса, и в том числе как снизить риск мошенничества.
«Индикаторы мошенничества — это своего рода признаки, которые указывают на потенциальное мошенничество. Что может быть индикаторами? И на что стоит обращать внимание? Например, стоимость собственности и образ жизни сотрудника не соответствуют доходам, или присутствует непонятное расхождение в физических характеристиках объектов, или есть постоянная тенденция к «авральному» характеру осуществления ремонтов или закупок. Если индикаторы близки к доказательствам, необходимо проводить расследование с привлечением Службы безопасности. Есть также индикаторы, которые указывают на недостаточность контрольных процедур. Нужно проводить оценку контроля и внедрять такие процедуры», — добавила Ирина Хавренко.
Принципы системы «противодействия мошенничеству»
Ключевой принцип: за противодействие мошенничеству в компании не может отвечать один определенный департамент. Это целый комплекс мероприятий, который требует участия как минимум всех руководителей компании. Система будет работать только при взаимодействии всех контролирующих служб компании и других структурных подразделений.
Должно работать такое правило: чем больше формализуешь внутренние правила, чем больше их транслируешь, тем больше они создают ощущение у сотрудников компании, что в ней есть нетерпимость к мошенничеству.
Общая программа противодействия мошенничеству — это целый комплекс мероприятий, который должен включать несколько блоков:
- Разработка регламентов и политики, транслирующих нетерпимость к мошенничеству, и методы реагирования на каждый инцидент.
- Разработка и внедрение различных видов контроля в процессах, которые позволяют снижать риск мошенничества.
- Система выявления и фиксации всех фактов мошенничества. Например, система учета нарушений в виде электронного документооборота, где все выявленные в компании нарушения вносятся в один реестр, что позволяет увидеть всю цепочку по конкретному инциденту от факта выявления до применения мер.
- Система реагирования на инцидент.
- Программа коммуникаций.
Очень важна работа с сотрудниками, ведь достаточно часто в компаниях не уделяют большого значения внутренним коммуникациям. Необходимо доносить «правила игры» до сотрудников, чтобы они понимали, какое отношение в компании к мошенничеству, и какую персональную ответственность каждый несет.
Катерина Сокольникова, Latifundist.com