Чтобы контроль стал эффективным
Внутренние контролеры и аудиторы переходят на риск-ориентированную модель
Актуальные вопросы практики внутреннего контроля, внутреннего аудита и управления рисками были в центре внимания участников VII Национальной практической конференции «Внутренний контроль и аудит в России: эффективный контроль или контроль эффективности?». Мероприятие, организованное Национальным объединением внутренних аудиторов и контролеров (НОВАК), состоялось 26 февраля в пресс-центре МИА «Россия сегодня».
Легче предупредить, чем вылечить
На первой сессии речь шла о смене вектора, а также о трендах во внутреннем аудите и перспективах развития внутреннего контроля в 2019 году. Как заметил член Экспертного совета при Правительстве РФ Юрий Берестнев, хотя данная проблематика обсуждается профессиональным сообществом регулярно, она не утрачивает своей значимости, и обмен мнениями при участии регулятора, экспертов, непосредственно самих внутренних аудиторов и контролеров имеет большое значение для развития отрасли.
Один из наиболее ярких трендов выделил статс-секретарь – заместитель руководителя Федеральной антимонопольной службы России Андрей Цариковский, обратив внимание собравшихся на то, что все чаще государственные органы и бизнес-структуры перенимают опыт друг друга. Так, федеральные органы исполнительной власти вынуждены вести деятельность в более жестких рамках и при весьма ограниченном бюджете, благодаря чему им удается находить эффективные решения. Неудивительно, что в периоды экономического спада бизнес присматривается к готовым решениям.
При этом ФАС, по словам Андрея Цариковского, теперь делает ставку на предупредительный контроль, ведь легче предупредить «болезнь», чем впоследствии лечить ее. Как результат – снижение числа антимонопольных нарушений.
– Понятно, что три тысячи контролеров не могут отследить все нарушения, происходящие в масштабах страны, тем более в зоне их ответственности такие серьезные области, как антимонопольное законодательство, тарифообразование, госзакупки и другие. На помощь приходит позаимствованный у бизнеса риск-ориентированный подход, – комментирует представитель ведомства. – Внутренние аудиторы и контролеры должны, принимая какое‑либо решение, рассматривать различные варианты, к чему оно может привести, и, что немаловажно, оценивать возможные социальные последствия. Я бы посоветовал крупному бизнесу придерживаться такого же подхода.
В то же время, полагает спикер, речь идет не о глобальной смене векторов контроля, а, скорее, о добавлении и сочетании различных векторов, следовательно, профессиональному сообществу стоило бы проводить комплексный анализ своих действий.
Знаковым событием для ФАС, по мнению Андрея Цариковского, стало принятие в декабре 2017 года Национального плана развития конкуренции в России на 2018–2020 годы. Одним из главных механизмов теперь является антимонопольный комплаенс – корпоративная программа (политика) по соблюдению антимонопольного законодательства, направленная на предотвращение совершения антимонопольных правонарушений.
– Планируем внести в законодательство поправку о том, что наличие антимонопольного комплаенса может быть смягчающим обстоятельством при вынесении решения о нарушении антимонопольного законодательства, – уточнил спикер.
Начальник Управления внутреннего контроля и аудита Федерального казначейства Алексей Солодов сообщил, что с этого года, учитывая стремительное развитие информационных технологий, казначейство отказывается от плановых мероприятий по внутреннему контролю и аудиту.
– На данный момент мы знаем о наших объектах контроля и аудита достаточно много и готовы полностью перейти к риск-ориентированной модели. Одним из важных элементов становится рейтингование объектов контроля, наших внутренних и территориальных органов, подведомственных учреждений. Поддержание рейтинга в актуальном состоянии позволит мониторить ситуацию, и, если увидим, что где‑то возникли проблемы, сможем оперативно оказать соответствующее управляющее воздействие, – пояснил он. – По нашему мнению, предварительный контроль играет большую роль и позволяет снизить количество нарушений. Конкретный пример: более двух лет назад предложен механизм для сокращения числа нарушений при софинансировании различных региональных проектов из федерального бюджета, когда Федерация должна давать 90 % средств и 10 % сам субъект. Нередко субъекты игнорировали свои обязательства, было много нарушений. Тогда мы и выработали механизм, позволивший свести к нулю нарушения по недофинансированию со стороны субъекта: платежи проходят через казначейство, и если субъект не выделил 10 % финансирования, то субсидий со стороны государства он не получит.
Заместитель директора Департамента контрольно-надзорной и разрешительной деятельности Министерства экономического развития РФ Константин Никитин также упомянул о важности риск-ориентированного подхода, уточнив, что 70 % плановых проверок на 2019 год составлены с риск-ориентированным подходом, при этом семь видов контроля совсем отменили плановые проверки.
– Мы будем активно развивать эту практику. Наша задача – повысить эффективность контроля за счет сокращения ресурсов. Отмечу, что риск-ориентированный подход будет затрагивать все госорганы в целом, а не только проверки, – подчеркнул представитель ведомства.
Министр правительства Москвы, начальник Главного контрольного управления города Москвы Евгений Данчиков считает, что необходимо предоставить ревизорам цифровые инструменты, чтобы они могли пользоваться большими данными, получать максимальный объем информации об объектах контроля посредством межведомственного взаимодействия в электронном виде и из независимых источников. Все это позволит существенно снизить нагрузку на проверяемые учреждения.
Начальник инспекции экспертно-аналитической и контрольной деятельности Счетной палаты Российской Федерации Юрий Назаров затронул проблематику внутреннего финансового контроля в федеральных органах исполнительной власти.
– Ежегодно Счетная палата проводит проверки исполнения закона о бюджете в ФОИВах, проверяя в том числе осуществление ими внутреннего финансового контроля и аудита. Многие ФОИВы уверяют, что у них все хорошо: внутренний контроль надежен, отчетность достоверна, но на практике выявляем огромное количество нарушений, связанных как с закупками, так с достоверностью бюджетной отчетности. Складывается впечатление, что федеральные органы исполнительной власти не до конца поняли, что от них требуется, для чего был разработан внутренний контроль и аудит и какова польза от него, – заметил Юрий Назаров.
Менеджменту нужны помощники и консультанты
На второй сессии говорили об особенностях перехода от контроля к оценке эффективности деятельности. Руководители подразделений внутреннего контроля и внутреннего аудита крупнейших компаний поделились опытом встраивания деятельности контрольных органов в работу организации и своего взаимодействия с надзорными структурами. Эксперты подробно обсудили достоинства и недостатки механизмов определения эффективности работы внутреннего контроля и внутреннего аудита, а также совершенствования организации их взаимоотношений с риск-менеджментом.
Особо подчеркивалось, что внутренние контролеры и внутренние аудиторы должны активно использовать риск-ориентированные подходы к своей работе. Они должны из специалистов надзорных органов превратиться в консультантов и помощников менеджмента, вместе с ним добиваться совершенствования работы компаний.
В частности, было отмечено, что при формировании и осуществлении внутреннего контроля фокус внимания должен быть на целях организации и способах их достижения. Деятельность организации не может быть эффективной без формирования и осуществления руководством постоянного и непрерывного контроля. Таким образом, эффективность деятельности организации напрямую зависит от эффективности контроля в ней.
Мифы и реальность риск-менеджера
На заключительной сессии «Цель. Риски. Стратегия. Риск-ориентированные решения» (ее модерировал основатель портала www.risk-academy.ru и руководитель направления международного сотрудничества АНО ДПО «ИСАР» Алексей Сидоренко) в центре внимания профессионального сообщества были мифы, с которыми приходится сталкиваться при внедрении управления рисками. Приглашенные эксперты прокомментировали каждый из этих мифов, опираясь на свой практический опыт, исследования и международных экспертов в области управления рисками.
Первый миф был посвящен тому, что в России управление рисками нередко рассматривается как некая система. Алексей Сидоренко заметил, что сегодня часто используются такие понятия, как «система управления рисками» (СУР), «комплексная система управления рисками» (КСУР), «автоматизированная система управления рисками» (АСУР), но по факту никакой СУР не существует.
– Само понятие «система управления рисками» и то, что подразумевается под этим словосочетанием, напрямую противоречит идеологии риск-менеджмента, годами складывавшейся в мире, – подчеркнул модератор.
Управляющий директор Департамента управления рисками Фонда развития Дальнего Востока Леонид Балановский предложил обратиться к международному стандарту ISO:31000, который является официальным стандартом по управлению рисками в России. В обеих редакциях документа (и 2009, и 2018 года) написано, что управление рисками – неотъемлемая часть деятельности организации и она должна быть интегрирована в общую систему управления организацией.
– На это можно посмотреть с двух сторон – практической и теоретической. С практической выходит, что, когда процесс управления рисками рассматривается как некая система, происходит следующее: руководству, генеральному директору и акционерам мало интересна точка зрения риск-менеджера; владельцы рисков воспринимают его как субъект, создающим им дополнительную работу, бизнес-решения принимаются зачастую без учета результатов работы системы управления рисками. В скором времени, не видя ценности в управлении рисками, вся организация начинает «ретушировать риски», придерживаясь обтекаемых формулировок в отчетах по рискам, воспринимать риск-менеджмент как необходимое зло или комплаенс, требуемый для акционера. С теоретической точки зрения риск – не сущность, не какой‑то объект, которым можно управлять так, как управляем департаментом или автомобилем. Система же подразумевает целостность, единство элементов, входящих в нее, поэтому и возникло заблуждение про систему управления рисками как нечто обособленное, – комментирует спикер. – Важно сместить фокус с управления рисками на принятие управленческих решений с учетом рисков, то есть делать акцент не на риске, а на решении и эффекте неопределенности на это решение. Это подразумевает кардинально иной подход, в отличие от того, что на данный момент делают большинство организаций в России, внедряя СУР.
Поскольку российские риск-менеджеры привыкли думать об управлении рисками как о некой обособленной системе, то возник второй миф, что управление рисками – это ежегодный, ежеквартальный или ежемесячный процесс. В таком случае, считает риск-менеджер аэропорта «Внуково» Ольга Костина, управление рисками может превратиться в процесс ради процесса, не имеющий никакой ценности:
– Данные должны обрабатываться своевременно, а значит, необходимо проводить анализ рисков не с какой‑то искусственно заданной периодичностью, а непосредственно в момент подготовки решения для принятия. Например, в ISO 9001 в последней редакции 2015 года было введено понятие риск-ориентированного мышления: если у вас нет цели перейти на другую сторону дороги, вы не будете анализировать ни движение, ни наличие подземных переходов. То есть в век стремительных изменений и большого потока информации нет смысла садиться и обсуждать что‑то, если нет цели
перейти на другую сторону и, тем более, бессмысленно обсуждать риски, если дорогу перешли в прошлом квартале. Нужно думать не о периодичности анализа рисков, а о встраивании этого процесса в ключевые решения организации, тогда будет гораздо легче вести диалог с подразделениями, которые хотят знать, как неопределенность влияет на то или иное решение.
Риск-менеджер компании Volga Group Галина Шаклеина предположила, что ежемесячные встречи с риск-менеджерами, вероятно, придумали люди, которые не хотят видеть риск-менеджеров часто. А ведь риск-менеджер должен постоянно держать руку на пульсе и вовлекаться не только в процессы принятия серьезных решений, но и быть в курсе, что происходит внутри и вне организации, следить за новостями, первым информировать руководство о возможных рисках.
Третий миф о том, что руководители и так думают об управлении рисками, когда принимают бизнес- решения, прокомментировал Алексей Сидоренко:
– Управление рисками – не самостоятельная система, а инструмент принятия решений; думать о рисках и делать отчеты о них нужно не раз в квартал, а в момент подготовки к принятию решения, когда, допустим, готовится бюджет на год или оцифровывается инвестпроект. Безусловно, руководители могут принимать взвешенные решения, но часто этого не происходит – инструмент риск-менеджмента – это та шпаргалка, тот защитный механизм, который включается в процессе принятия решения, чтобы избежать ментальных ловушек и других искажений, влияющих на принятие решений.
Четвертый миф относительно того, что карта, матрица или реестр рисков позволяют приоритезировать ресурсы и принимать решения, развеял риск-менеджер компании КИВИ Илья Александров. Он подчеркнул: хотя такие инструменты, как карта и матрица рисков, давно используются во многих компаниях, они не просто устарели, но и содержат в себе методологические ошибки. Это существенно искажает информацию, которую риск-менеджер доносит до руководителей или совета директоров, подталкивая тем самым руководителей принимать ошибочные или неоптимальные решения. Обычно риск-менеджеры тратят большое количество времени на формирование отчетов, составление карты рисков, но реальная ценность от этих инструментов на практике минимальна.
Пятый миф о том, что уровень риска можно измерить, умножив или сложив вероятность и ущерб, попыталась развеять Галина Шаклеина, заметив, что карта рисков не отвечает на главный вопрос руководителя – насколько достижима его цель? Риск-менеджер может показать, к какой зоне – красной или зеленой относятся возможные риски, но никогда на основании этой карты не сможет сказать, придет ли компания к желаемому результату. При этом вероятность риска – понятие относительное. К примеру, валютный риск – колебания курса неизбежны, но к реализации какого риска и в каком масштабе это приведет, сказать сложно. Еще один минус карт рисков заключается в невозможности перемножать или складывать порядковые числа, а также в том, что карта рисков представляет каждый риск как единственный сценарий, одну точку на карте, на самом же деле риски – это диапазоны возможных сценариев. Kарта рисков также не учитывает корреляции, какие‑то риски могут влиять друг на друга, появляться вместе или раздельно; карта не может показать периодичность повторения рисков, насколько они управляемы и что с ними делать.
В ходе всего выступления аудитория конференции активно принимала участие в интерактивном голосовании и задавала вопросы. Один из наиболее частых вопросов на этом этапе – «Что же использовать, если не карты рисков?» Спикеры перечислили следующие инструменты: деревья решений и скоринги для простейших решений, анализ чувствительности, стресс-тестирование или сценарный анализ для более сложных и материальных решений и имитационное моделирование для наиболее существенных решений.
Шестой миф – количественные методы оценки неприменимы, потому что в нефинансовых компаниях недостаточно данных, пояснила член правления российского отделения PRMIA Ольга Котина. По ее мнению, оценивать риски количественно важно для того, чтобы взвешенно принимать решения, когда нужно сравнить какие‑то альтернативные варианты и выбрать из них один с учетом риска; или когда нужно сравнить потенциальную выгоду против потенциальных потерь; или когда требуется спрогнозировать влияние неопределенности на результат, допустим, инвестиционного проекта. Тогда возникает логичный вопрос – сколько и каких данных нужно, чтобы принять такого рода решение.
– Взять, к примеру, кредитный риск, когда необходимо выбрать покупателя, которому можно предложить отсрочку и понять ее размер. Можно придерживаться простой бинарной модели: зная, что плохой заемщик – это тот, кто уже находится в процедуре банкротства или близок к ней, можно провести скоринг, имея небольшой набор данных. Даже такое простое одношаговое упражнение в разы повышает качество принимаемых решений. Другой пример – рассмотрение на инвестиционном комитете нового инвестпроекта. Казалось бы, уже посчитана финансовая модель, мы видим NPV, и можно делать какие‑то выводы, но у компании может не быть большого опыта реализации таких проектов. Не имея десяти тысяч данных и базы для построения сложных моделей, мы знаем, что данная команда реализовала четыре проекта с опозданием до восьми месяцев. Только исходя из этого, можно сделать вывод, с каким результатом и в какой срок может быть реализован следующий проект. Даже если недостаточно данных внутри компании, потому что она этим никогда не занималась, всегда можно обратиться к отраслевым экспертам, провести соответствующий опрос или посмотреть опыт других организаций, – считает спикер. В этой связи аудитории была рекомендована книга Дугласа Хаббарда «Как измерить все, что угодно. Оценка стоимости нематериального в бизнесе», написанная еще в 2007 году.
Седьмой миф о том, что работа с рисками не требует особых компетенций, отличных от внутреннего контроля или внутреннего аудита, комментировал начальник отдела управления образовательными проектами «Газпром корпоративный институт», к.э.н., доцент Дмитрий Лапин. Он отметил, что в больших компаниях – Сбербанке, «Газпроме», РЖД, где трудятся больше миллиона человек, на риск-менеджерах лежит особая ответственность, тем более когда акционеры требуют постоянного повышения эффективности деятельности организации. Однако крупные корпорации не могут позволить себе содержать 50 или 100 риск-менеджеров, поэтому команда риск-менеджеров зачастую немногочисленна и должна содержать в себе весь набор необходимых компетенций.
– Для внедрения управления рисками в процессы принятия решений необходимы как минимум компетенции по теории вероятностей, теории принятия решений, психологии восприятия рисков, отраслевой опыт и хорошее знание стандартов по управления рисками. Сегодня существуют различные образовательные программы для повышения компетенций в этой области, – уточнил Дмитрий Лапин.
Еще один миф о том, что должен быть единый подход к управлению для разных типов рисков, развеял директор департамента по управлению рисками и внутреннему контролю ПАО «Вымпелком» Николай Лузан, подчеркнув, что различные виды рисков требуют разных подходов и пытаться подогнать процесс управления рисками под единый алгоритм невозможно. А описание различных подходов должно делаться не в едином общекорпоративном документе, а в существующих регламентах, описывающих бизнес-
процессы.
По результатам сессии было проведено финальное голосование. Наиболее интересным участникам конференции показался миф о том, что руководители и так думают об управлении рисками, когда принимают бизнес-решения. Мифы относительно того, что управление рисками рассматривается как система, так же как в финансовых институтах; карта, матрица и реестр рисков позволяют приоритезировать ресурсы и принимать решения; должен быть единый подход к управлению рисками для разных типов рисков – заняли 2, 3 и 4-е места соответственно.
Елена Восканян Фото: НП «НОВАК»