Какие стандарты существуют?

Вначале необходимо сказать, что российских стандартов по риск-менеджменту, внутреннему контролю и внутреннему аудиту почти нет. Думаю, что это плохо, потому что в истории России было множество интересного. Но вполне можно пользоваться и буржуйскими. Ключевая проблема состоит в их преподносимой многими специалистами интерпретации: для риск-менеджмента – с акцентом на финансовые риски, для постановщиков внутреннего контроля и внутренних аудиторов – с акцентом на отчетность. То есть нужно помнить о том, что каждый стандарт содержит множество компонент и, помня обо всех, можно добиться значительно большей полезности.

Наиболее известными стандартами являются:

  • по управлению рисками: стандарт FERMA (Федерация Европейских Ассоциаций риск-менеджеров), стандарт COSO ERM (COSO – Комитет организаций-спонсоров Комиссии Тредвея, ERM – Enterprise Risk Management, текущая версия от 2017 г), ГОСТ ISO31000;
  • по системам внутреннего контроля – стандарт COSO IC IF (Internal Control – Integrated Framework);
  • по внутреннему аудиту – Международные основы профессиональной практики (МОПП).

Где можно прочитать стандарты?

Первоначально все стандарты были разработаны, естественно, на английском языке. Тем не менее, переводы на русский язык существуют.

FERMA – в свободном доступе когда-то была и русская, и английская версия. Сайт – https://ferma.eu. Сейчас, увы, исчезло, но ниже по ссылке есть последний актуальный.

За время моего наблюдения там было несколько переводов. Особенно понравилось, что в одном переводе фраза

«Хотя идентификация рисков может производиться независимыми консультантами, оценка, производимая внутри компании, при тесном взаимодействии ее служб, с последовательным и скоординированным использованием представленных процессов и инструментов, будет, вероятно, более эффективной»

была заменена на фразу (на сайте FERMA сейчас исправлена, на сайте Русриска висела до 2022 года, потом пропала, но у нас сохранилась)

«Идентификация рисков организации, как правило, осуществляется независимыми консультантами. Однако понимание и анализ рисков «собственно» организацией имеет огромное значение для успешного процесса управления рисками».

В общем, не парились люди совершенно. Конечно, каждый зарабатывает деньги, как умеет, но намеки на материальную поддержку себя любимого могли бы быть и потоньше. 

ГОСТ ISO31000 одинаково легко найти как в гугле, так и в яндексе.  

Стандарты COSO – в свободном доступе есть только «концептуальные основы» на английском и русском языках. Сайт – www.coso.org. На русском в 2015 году вышел официальный перевод, продается Институтом внутренних аудиторов, не читал, стоил 2000 рублей. Из «условно-бесплатного» имеется «официальный» перевод (кстати, вполне читаемый и качественный) COSO ERM и «неофициальный» части COSO IC IF. Расположен в закрытой части сайта Института внутренних аудиторов РФ, сайт – https://iia-ru.ru. Попасть в закрытую часть можно только членам ИВА.

МОПП – частично есть в открытом доступе (но не всё, полезности именно для постановки начинаются с практических указаний), остальное – в закрытой части сайта Института внутренних аудиторов РФ (https://iia-ru.ru). Отмечу, что МОПП, несмотря на объем, достаточно легкое чтиво (во всяком случае, для меня), перевод сделан очень качественно.

Итого: все необходимые стандарты можно получить на великом и могучем за 2500 рублей в качестве членского взноса в Институт внутренних аудиторов. Разумная цена, там еще и бонусы есть в виде нескольких интересных презентаций. Для получения полного набора на русском языке потребуется еще приобретение книжки, цена для членов Института — 1800 рублей.

Немного истории.

Первым в современном виде появился стандарт COSO IC IF в 1992 году. В 2013 году подготовлена новая версия.

Почему-то COSO очень любит всякие кубы. Приведу традиционный COSO-куб, специально нашел самую дурную версию (перевернуто с ног на голову, как бы начинается с мониторинга).

Standard-1Значительно более разумным является следующее представление:

Standard-2

Почему оно является разумным. Первое – контрольная среда важна для всей организации, мониторинг должен охватывать весь процесс внутреннего контроля. Сам же процесс достаточно банален, а именно представляет собой взаимосвязь «риски→контрольные процедуры» с соответствующим информационным обеспечением. Второе – мониторинг должен охватывать все остальные компоненты.

В 2002 появился стандарт FERMA. Мне он больше всего нравится из-за малого объема. Принципиальная схема работы по этому стандарту – на картинке.

Standard-3

Также можно отметить, что стандарт FERMA не содержит акцента на отчетность организации в виде ключевой компоненты (например, природы риска). Причина достаточно банальна: европейские риск-менеджеры (а FERMA – именно их организация) выросли не из аудиторов отчетности, а из страховщиков и финансистов. Происхождением, как мне кажется, объясняется и классификация:

Банкиры и страховщики выделяют в отдельную категорию финансовые риски и опасности. Почему – думаю, понятно. Все же остальные (и внутренние аудиторы, и COSO) росли из отчетности, поэтому и в стандартах внутреннего аудита, и в стандартах COSO в обязательном порядке встречаются цели в области достоверности отчетности и соответствия законодательству (compliance).

Что произошло дальше (версия – просто мое мнение). Творческий коллектив COSO, проанализировав новый стандарт, подумал примерно следующее: а что это у всех уже про стратегию есть, а мы ещё сопли жуём. И примерно за полтора года нарисовали очередной кубик, написав стандарт COSO ERM (2004 год):

Стандарты 2

Чтобы было понятно, откуда что растет – дополнительная картинка:

Стандарты 3

На мой взгляд, всё очевидно. Можно еще посравнивать компоненты по вертикальной оси из COSO-куба и последовательность действий, описанной в FERMA.

Через пять лет Международная организация стандартизации (ISO) выпустила свой стандарт по управлению рисками. Документы ISO разрабатываются с точки зрения дела (а не продаж консультационных услуг), поэтому, в моем понимании, ISO31000:2009 — оптимальный стандарт с точки зрения соотношения объем/полезность, хотя и требует перевода с русского на русский. Кстати, ISO внедрила принцип управления рисками и в наиболее известный в России стандарт ISO9000, что вызвало определенную панику в ряды постановщиков систем менеджмента качества. 

Стандарты внутреннего аудита прошли значительную эволюцию за 50 лет. Начиналось все с бухгалтерии и compliance. Текущая версия – это оценка рисков и эффективности контроля в части:

  • достоверности и целостности информации о финансово-хозяйственной деятельности;
  • эффективности и результативности деятельности;
  • сохранности активов;
  • соответствия требованиям законов, нормативных актов и договорных обязательств.

Как видите, три компонента совпадают с COSO IC IF (где возникли первыми, сказать не могу, не историк), а сохранность активов, судя по всему, идет еще с 1957 года (или с 1947?). Зачем выделять отдельно – не знаю: не думаю, что деятельность можно признать эффективной и результативной при наличии воровства или потери активов из-за неправильного хранения.

Upd (2020). Текущие версии COSO ERM датированы 2020 годом. Есть в виде перевода книжки на русский язык от Института внутренних аудиторов. Не читал, различия гуглятся в интернетах. Текущая версия от ISO – ISO31000:2018, есть в свободном доступе. 

Краткие комментарии к стандартам.

Прочитать желательно все. Относительно простые стандарты с точки зрения читабельности – это FERMA, ISO31000 и МОПП. FERMA просто небольшой по объему, для МОПП можно ограничиться именно стандартами (МПСВА), практические указания – это просто рекомендации (хотя и строгие). Читабельность объясняется просто: FERMA и ISO писали стандарты для риск-менеджеров, Институт внутренних аудиторов – для внутренних аудиторов. И тем, и другим очень желательно говорить на одном языке, в том числе обеспечить однообразность подходов. Соответственно, совсем уж многосложных конструкций и неопределенностей лучше было избежать, что и сделано.

COSO – это труды фундаментальные, многотомные, за COSO ERM версии 2004 года благодарности выражены аж 30 партнерам PwC. На мой взгляд, если бы участвующих партнеров было бы поменьше, то и документ получился бы получше – возникла, как это бывает, «синергия наоборот». Особенность стандартов COSO: из «концептуальных основ» непонятно вообще ничего, понятное начинается в самом последнем документе (на примере COSO ERM – «Применение»). Нужно понимать, что авторы – это аудиторы и консультанты. Им незачем делать понятный стандарт: зачем терять выручку. Поэтому необходимо, чтобы у читателя «рука потянулась к телефону» Партнера Большой Консультационной Компании. На мой взгляд, получилось. Также обратите внимание на то, что, в отличие от этого сайта, отсутствует «сквозной» подход: нет логики «вот мы берем набор рисков, вот мы их оцениваем, вот ими управляем, вот можно провести аудит». Набор примеров, безусловно, неплохой. Но если попытаться применить их к одному бизнесу – скорее всего, мало что получится. Кстати, в целом лично у меня отношение к документам COSO абсолютно ровное. Полезные вещи есть, но говорить об этих стандартах с придыханием, как некоторые женщины в присутствии иностранцев, право, не стоит.

При постановке риск-менеджмента рекомендую использовать FERMA и ISO31000, если в FERMA что-то не прописано. Внутренний контроль – тема особая, традиционно COSO IC IF можно использовать только для формирования не особо полезных документов. Проблема COSO IC IF — в его интерпретации, которая состоит либо в философии про контрольную среду, либо про отчетность, в соответствующем разделе откомментировано. А внутренний аудит – есть поддерживаемые стандарты, кодекс этики подписал (так как член ИВА), поэтому ничего другого, кроме МОПП, не остается.

Почему я не упоминаю SOX?

О законе Сарбаниса-Оксли я слышал. Кстати, Сарбанис – грек, поэтому именно так, а не Сэрбейнс. Так вот, мое мнение – в теперь уже big4 работают гениальнейшие продажники.

Вспомним, как появился SOX. Он появился по результатам абсолютно фиктивной отчетности кучи компаний. По поводу того, почему это произошло, наши мнения с коллегой-экспертом не сходятся. Я считаю, что это абсолютный непрофессионализм и жажда наживы: понятное дело, что кто-то другой из big5 вполне мог бы взяться за отчетность вкупе с консультационными контрактами за те же деньги. Да и уничтожение рабочих бумаг аудитора говорит о многом.

Коллега отмечает, что есть как минимум несколько системных недостатков по управлению аудитом и приводит несколько аргументов в пользу того, что подтверждение отчетности могло проходить без больших сделок с совестью:

  • малое время на осуществление аудита. Биржа требует «давай-давай», тема с ускорением закрытия периода – интересная тема для консультирования. Штука, как мне кажется, наивреднейшая, потому что фактически способствует недостоверности отчетности и не оставляет времени на обычные контрольные процедуры по проверке документов («внизу» все документы должны быть проведены за 1-2 дня);
  • квалификация сотрудников. Всё проверяют интерны, каждый закреплен за участком. Потоки большие, бизнес с накачиванием финансового результата нужно отлавливать скорее форензикам, а не просто аудиторам. С учетом времени, отведенного на аудит, вполне вероятно подтверждение отчетности и без злого умысла. А старший товарищ, который и должен был подтверждать СВК, делал это через формальные compliance-тесты, коих есть у всех аудиторов в избытке. Результат контроля качества – рабочие бумаги заполнены, и хорошо, в нестандартные операции никто мог особо и не вдаваться: СВК на уровне, выборка случайная;
  • требования партнеров. Да, безусловно, ошибки и несоответствия были. Достаточно ли это было для того, чтобы признать отчетность липовой и поссориться с клиентом? Каждый в отдельности недостаток, с учетом незначительной выборки – возможно, и нет. А на совокупность и не смотрели.

Как бы то ни было, результат просто потрясающ. Вместо «перетрахивания», как говорил Президент Республики Беларусь А.Г. Лукашенко про свой парламент, всего аудиторского сообщества возникают дополнительные требования не к аудиторам, которые покрывали мошенничество, а к самим компаниям (в том числе и тем, которые жили честно). И эти требования формулируют, как ни странно, сами аудиторы. Понятное дело, что требования сформулированы таким образом, что опять нужны аудиторы (ну, то есть называются консультанты, но территориально находятся в соседнем отделе аудиторской компании). Дальше всё очевидно.

Итог: помимо формального аудита отчетности каждая публичная компания должна была заказать постановку внутреннего контроля по SOX (ну, или нанять персонал, что тоже недёшево). Стоимость внешнего аудита при этом выросла, так как нормочасы увеличились на оценку СВК над подготовкой отчетности. При этом, насколько мне известно, даже если система внутреннего контроля над подготовкой отчетности оттестирована внутренним аудитом вдоль и поперек, принципиального снижения стоимости услуг внешнего аудита не наблюдается.

Кстати, теперь Big4 не оказывает одной и той же организации услуги по аудиту и консалтингу. То есть по факту и стоимость консультационных услуг для бизнеса выросла (принцип «оптом дешевле» отменен).

В общем, ключевой результат аудиторского скандала по вине аудиторов – рост выручки аудиторов. «Здорово, правда?» (©сестры Зайцевы, Comedy Club). Поэтому слово SOX я стараюсь не употреблять.

Если вы нашли ошибку, пожалуйста, выделите фрагмент текста и нажмите Ctrl+Enter.