Всегда ли 1 + 1 = 2?

Каждая компания выполняет построение систем защиты бизнеса в зависимости от специфики, масштаба деятельности, требований собственников, стадии жизненного цикла компании и других факторов, но при этом все чаще собственники компаний приходят к мысли о необходимости разделения функций внутреннего аудита и внутреннего контроля таким образом, чтобы, с одной стороны, обеспечить их независимое друг от друга функционирование, с другой – создать условия для их взаимодействия друг с другом, но избежать дублирования функций. Вместе с тем принятие решения о реализации такого разделения функций может зависеть от разных факторов. 

Особенности кредитных организаций

У кредитных организаций существуют четкие требования к разделению функций внутреннего контроля и внутреннего аудита со стороны Банка России.

Порядок организации внутреннего контроля в кредитных организациях определяется Положением «Об организации внутреннего контроля в кредитных организациях и банковских группах» Банка России № 242-П от 16.12.2003, которое до 2014 года предписывало наличие  службы внутреннего контроля  в кредитных организациях, одной из основных функций которой была проверка и оценка эффективности системы внутреннего контроля. Несмотря на свое название, это подразделение фактически выполняло функции внутреннего аудита.

В июле 2014 года Банк России внес изменения в вышеуказанный нормативный документ таким образом, чтобы в состав системы органов внутреннего контроля кредитной организации входила как  служба внутреннего аудита , так и служба внутреннего контроля. 

При этом в зону ответственности СВА входит в том числе проверка и оценка эффективности системы внутреннего контроля в целом, а СВК фокусирует свою работу на формировании контрольной среды в отношении выявления риска возникновения у кредитной организации убытков из-за несоблюдения законодательства Российской Федерации, внутренних документов кредитной организации, стандартов саморегулируемых организаций, а также в результате применения санкций и (или) иных мер воздействия со стороны надзорных органов. Для обеспечения независимости СВА, в отличие от СВК, должна подчиняться  совету директоров .

Такие серьезные изменения были сделаны на основе рекомендаций Базельского комитета по банковскому надзору, которые предписывали банкам организовывать внутренний контроль с использованием Модели трех линий защиты. В итоге Банк России обозначил более «суровые» требования и определил более детально компоненты системы внутреннего контроля в кредитных организациях. 

В результате принятых изменений в 2014 году в кредитных организациях разделение функций СВК и СВА было закреплено в требованиях Банка России и стало обязательным для исполнения всеми кредитными организациями. Такое разделение действует до настоящего времени, и его соблюдение является необходимостью для кредитных организаций не только потому, что является требованием регулятора, но и потому, что такая система позволяет более эффективно реагировать на вызовы, которые стоят перед ними.

Последствия в случае несоблюдения требований

Оценка экономического положения кредитных организаций осуществляется Банком России в соответствии с Указанием ЦБ РФ № 4336-У «Об оценке экономического положения банков» от 03.04.2017. Нарушение требований в построении системы внутреннего контроля приведет к снижению показателя состояния внутреннего контроля, который, в свою очередь, непосредственно влияет на оценку качества управления банком. 

Низкая оценка качества управления банком приведет к принятию мер со стороны Банка России в отношении данной кредитной организации. Например, может быть выписано предписание об устранении нарушений, сроки исполнения которого будут строго контролироваться. В случае неисполнения предписания Банк России имеет большой диапазон мер воздействия на кредитную организацию, который предусмотрен ст. 74 Федерального закона РФ от 10.07.2002 № 86-ФЗ «О Центральном банке Российской Федерации».

Особенности публичных акционерных обществ 

«Правила игры» в отношении системы внутреннего контроля для публичных акционерных обществ устанавливает Банк России. Так, в «Кодексе корпоративного управления», одобренном Советом директоров Банка России 21.03.2014 (далее – Кодекс), содержится требование о необходимости создания системы управления рисками и внутреннего контроля, оценка надежности и эффективности которой должна проводиться внутренним аудитом. 

Положение ЦБ РФ № 534-П от 24.02.2016 «О допуске ценных бумаг к организованным торгам» содержит ряд требований к организациям – эмитентам ценных бумаг. Одним из таких требований (п. 1.8 Положения) является необходимость иметь подразделение внутреннего аудита, которое оценивает эффективность системы внутреннего контроля. Само требование наличия системы внутреннего контроля содержится в Кодексе, рекомендованном Банком России для применения акционерными обществами, ценные бумаги которых допущены к организованным торгам. В Кодексе содержится требование (п. 5.1 Кодекса) о том, что в «обществе должна быть создана эффективно функционирующая система управления рисками и внутреннего контроля, направленная на обеспечение разумной уверенности в достижении поставленных перед обществом целей». Особое внимание уделяется обеспечению независимости подразделения внутреннего аудита, включая разграничение его функциональной и административной подчиненности. 

Таким образом, несмотря на то, что вышеуказанные нормативные акты не содержат прямого указания на невозможность совмещения в одном подразделении функций внутреннего контроля и внутреннего аудита, они содержат нормы, в соответствии с которыми подразделение внутреннего аудита не может выполнять задачи по построению системы внутреннего контроля. В противном случае встанет вопрос об объективности независимой оценки эффективности такой системы с его стороны. 

Если изучить внутренние документы публичных акционерных обществ в отношении структуры системы внутреннего контроля, которые находятся в открытом доступе в Интернете, то можно выделить два основных подхода к соотношению функции внутреннего аудита и внутреннего контроля:

1. централизованный подход: подразделение внутреннего аудита функционирует отдельно от соответствующего подразделения внутреннего контроля, которое отвечает за внедрение, поддержание и развитие системы внутреннего контроля в компании;

2. децентрализованный подход: отсутствие отдельного подразделения внутреннего контроля, так как соответствующие функции возложены на руководителей операционных подразделений, контроль эффективности системы внутреннего контроля остается за отдельно выделенным подразделением внутреннего аудита.

Централизованный подход в большей степени отвечает требованиям Банка России. В соответствии с «Информационным письмом о рекомендациях по организации управления рисками, внутреннего контроля, внутреннего аудита, работы комитета совета директоров (наблюдательного совета) по аудиту в публичных акционерных обществах», выпущенным Банком России 01.10.2020 № ИН-06-28/143, к числу участников системы управления рисками и внутреннего контроля отнесены: 

• работники и руководители бизнес-подразделений – владельцев рисков;

• работники и руководители структурных подразделений, осуществляющие поддержку работников и руководителей бизнес-подразделений – владельцев рисков. Например, подразделения по управлению рисками и внутреннему контролю, а также работники, осуществляющие внутренний аудит. 

Последствия в случае несоблюдения требований

Банк России определяет как требования к системе внутреннего контроля публичных акционерных обществ, так и последствия нарушений этих требований. Так, например, несоблюдение требований по корпоративному управлению является основанием для исключения облигаций российских эмитентов из котировальных списков. 

Особенности компаний с государственным участием

В большинстве случаев организационно-правовая форма компаний с государственным участием – публичные акционерные общества, поэтому им имеет смысл строить систему внутреннего контроля соответствующим образом, как было указано выше.

Последствия в случае несоблюдения требований

В соответствии с Методическими рекомендациями по организации проверочной деятельности Ревизионных комиссий акционерных обществ с участием Российской Федерации, утвержденными приказом Росимущества от 26.08.2013 № 254, в число вопросов, которые подлежат проверке, включаются и такие вопросы, как: 

• организовано ли отдельное самостоятельное подразделение внутреннего аудита; 

• является ли подразделение внутреннего аудита организационно независимым. 

Таким образом, подразумевается, что подразделение внутреннего аудита должно быть в компании, но его участие в поддержке бизнес-подразделений не подразумевается, чтобы не нарушить принцип независимости. 

Особенности иностранных компаний

Требования к разделению функций в иностранных компаниях существуют в случае наличия таковых со стороны материнской компании.

Иностранные компании, которые осуществляли свою деятельность в России через создание отдельных юридических лиц на ее территории, ожидали от своих филиалов соблюдения требований к внутреннему контролю, установленных материнской компанией. Эти требования, как правило, базировались на  Модели COSO ERM , которая включает в себя несколько основных понятий: 

• внутренний контроль представляет собой процесс; 

• внутренний контроль зависит от людей; 

• внутренний контроль может обеспечить руководству лишь достаточную уверенность; 

• внутренний контроль направлен на достижение целей в одной или нескольких отдельных, но пересекающихся категориях.

Внутренний контроль представляет собой процесс, осуществляемый советом директоров, менеджментом и остальным персоналом компании, а внутренний аудит – деятельность по обеспечению уверенности и консультационную деятельность, целью которой является оценка и повышение действенности процессов корпоративного управления организацией, управления рисками, а также процессов внутреннего контроля. Создание  двух подразделений  всегда реализовывалось, если иностранное юридическое лицо было кредитной организацией. В других случаях решение о таком разделении напрямую зависело от внутригрупповых требований, которые являются обязательными для исполнения филиалами иностранной компании вне зависимости от страны присутствия. 

Последствия в случае несоблюдения требований

В данном случае такие последствия больше связаны с нарушением установленного порядка построения системы внутреннего контроля в группе компаний, что может быть выявлено либо в рамках внутреннего аудита, проводимого сотрудниками материнской компании, либо в рамках внешнего аудита. При выявлении нарушения будет сделан вывод для высшего руководства о том, что установленные внутри компании  правила не соблюдаются . 

Изменение роли внутреннего контроля

Итак, с учетом  отсутствия жестких законодательно установленных требований  о наличии двух подразделений, компании нефинансового сектора ранее далеко не всегда стремились создавать два независимых подразделения. Чаще встречались случаи, когда внутренний контроль как вторая линия защиты был в рамках ответственности структурных подразделений, то есть не был централизован, а внутренний аудит как третья линия защиты бизнеса реализовывался соответствующим структурным подразделением. 

Нередко такой подход без разделения функций приводил к тому, что внутренний аудит проводил проверку, давал рекомендации в отношении недостатков внутреннего контроля, но так как подразделения не имели достаточных компетенций для устранения этих недостатков, а внутренний аудит не вмешивался в процесс, чтобы сохранить независимость, то недостатки не устранялись или могли устраняться формально. 

В некоторых случаях компании считали целесообразным создавать  два независимых друг от друга подразделения . Интересно отметить, что обычно создание отдельного подразделения внутреннего контроля происходило уже после того, как в компании долгое время функционировало подразделение внутреннего аудита, и производилось поэтапно. На первом этапе в дополнение к существующему подразделению внутреннего аудита создавалась должность руководителя по внутреннему контролю в единственном лице. На втором этапе создавалось полноценное подразделение внутреннего контроля. 

В последние несколько лет практика выделения функции внутреннего контроля в периметр ответственности отдельного подразделения стала встречаться все чаще и в  крупных российских компаниях . В обязанности такого подразделения входят:

• разработка и согласование стратегии развития внутреннего контроля во взаимодействии с руководством подразделений бизнеса, подразделениями внутреннего аудита и экономической безопасности; 

• мониторинг развития системы внутреннего контроля и реализация проектов по оптимизации процессов в части контрольной среды и другие. 

По сути, подразделение внутреннего контроля стало полноценным игроком команды защиты бизнеса, и необходимость иметь такого отдельного игрока все чаще понимает топ-менеджмент компаний.

Причины изменения в понимании роли внутреннего контроля 

Пандемия COVID-19, сложная геополитическая ситуация и, как следствие, многократное усложнение среды, в которой функционирует бизнес, не только привели к появлению новых вызовов, но и заставили топ-менеджмент предпринимать усилия для того, чтобы оперативно и эффективно на них реагировать. Теперь высшее руководство и собственники компаний стали чаще проявлять инициативу для создания подразделений защиты бизнеса, погружаться в их работу, оценку их эффективности. В противном случае они могли получить существенные непредвиденные потери, которые могли бы поставить под вопрос сам факт существования их бизнеса. 

В этих условиях все чаще роль построения внутреннего контроля, включая создание контрольной среды, стало поручаться отдельно созданным для этого подразделениям. Подразделениям, которые, с одной стороны, были бы «на одной волне» с подразделениями бизнеса и понимали бы их текущие проблемы, а с другой – имели бы компетенции в создании системы внутреннего контроля. Они были бы независимы, так как не принимали бы участия в операционной деятельности, но одновременно могли бы совместно с операционными подразделениями строить систему внутреннего контроля в компании. 

Актуальность создания единой контрольной среды, интегрированной в бизнес-процессы компании, в условиях быстрых, существенных и не всегда предсказуемых изменений стала новой реальностью. В таких условиях можно распределить ответственность между двумя подразделениями защиты бизнеса в сфере консультирования и предоставления гарантий следующим образом:

В соответствии с  Международными стандартами внутреннего аудита  консультирование, безусловно, входит в деятельность внутреннего аудита. Вместе с тем в Стандартах указано, что «характер и объем консультационных услуг подлежат согласованию с соответствующими заинтересованными сторонами». В общем случае обозначить потребности в консультировании со стороны внутреннего аудита может совет директоров. Представляется оптимальным такое разделение зон ответственности, которое предполагает консультирование в отношении эффективности бизнес-процессов со стороны внутреннего аудита и консультирование в отношении построения системы внутреннего контроля со стороны подразделения внутреннего контроля. Аналогичное распределение ответственности можно предложить и для проведения обучения сотрудников. 

Предоставление гарантий в большей степени является прерогативой внутреннего аудита. Вместе с тем не будет лишним включить подразделение внутреннего контроля в процесс перманентного выборочного тестирования эффективности контроля 1-го уровня, который выполняют операционные подразделения компании, чтобы более оперативно реагировать в случае необходимости на выявленные аномалии. 

К преимуществам предложенного выше разделения функций относится возможность объективной оценки эффективности системы внутреннего контроля через разделение функций внутреннего контроля и внутреннего аудита, повышение качества планирования и эффективности деятельности подразделения внутреннего аудита благодаря синергии с подразделением внутреннего контроля. 

До недавнего времени создание контрольной среды во многих компаниях не было централизовано, частично этим занимались подразделения экономической безопасности, частично – юридические или другие подразделения. 

Создание отдельного структурного подразделения, которое будет формировать контрольную среду в компании и взаимодействовать с подразделением внутреннего аудита при отсутствии дублирования функций, в большей степени отвечает сегодняшним реалиям ведения бизнеса в условиях все более частого появления «черных лебедей».