На протяжении многих лет я беседовал с бесчисленным количеством членов советов директоров об их роли и ожиданиях от внутренних аудиторов. Большинство из них положительно отзываются о внутренних аудиторах своих организаций, часто называют их своими «глазами и ушами» и подчеркивают, насколько сильно зависят от отдела внутреннего аудита.
Но есть одно ожидание членов СД, которое вызывает у меня беспокойство: они часто подчеркивают, что надеются, что внутренние аудиторы помогут им избежать неожиданностей.
Я испытываю неловкость, когда слышу такое, особенно в эпоху рисков, которые, кажется, возникают из воздуха и застают всех врасплох. Даже когда проблему можно предвидеть, важно отметить, что, хотя внутренние аудиторы могут проводить аудит чего угодно, они не могут проводить аудит всего.
Просто посмотрите на огромное количество серьезных корпоративных скандалов за последнее десятилетие: бухгалтерский крах Toshiba, дизельгейт Volkswagen, фальшивые счета Wells Fargo, крах Carillion, фиаско с зарплатой генерального директора Nissan.
Сторонники надлежащего управления — инвесторы, регулирующие органы, комплаенс-менеджеры и менеджеры по рискам, а также поставщики независимых гарантий – были сильно обеспокоены этими громкими инцидентами. Более того, неудачи в управлении этих зрелых и высокоразвитых корпораций имели общую и вызывающую тревогу подоплеку: в каждом случае советы директоров были в значительной степени в неведении относительно существенных недостатков в управлении рисками и культуре, которые обесценили акционерную стоимость.
Вслед за этим следует страшный для нашей профессии вопрос: «Где были внутренние аудиторы?» В ответ я часто спрашиваю (вполголоса): «Где был совет директоров?»
Зал заседаний должен быть заполнен высококвалифицированными специалистами, обладающими глубокой деловой хваткой, готовностью бросить вызов менеджменту и здоровой дозой профессионального скептицизма. Зал заседаний не должен быть уставлен растениями в горшках, которые зависят исключительно от внутренних и внешних аудиторов в качестве источника света.
Я много думал над этим вопросом. Когда крупный корпоративный провал застает членов совета директоров врасплох, есть по крайней мере три возможные причины:
Члены СД прячут головы в песок. Работа современного члена правления становится все более сложной и отнимающей много времени в условиях динамичного, управляемого технологиями и быстро меняющегося ландшафта рисков. Эпоха совета директоров, уделявшего основное внимание финансовым вопросам, закончилась. Новая реальность побуждает к изменениям в типичном профиле СД, чтобы сделать внести разнообразие в состав членов, сделать его более молодыми и технически подкованным.
Но разнообразие опыта и молодость сами по себе не могут решить более фундаментальную проблему: советы директоров, которые не в состоянии критически подвергнуть сомнению информацию, предоставляемую им исполнительным руководством, могут никогда не получить полной и точной картины рисков и управления ими. Слишком часто членам СД не хватает надлежащего уровня профессионального скептицизма.
Существенный вклад в этот недостаток вносит то, как многие — если не большинство — руководители попадают в советы директоров. Слишком многих либо лично подбирает председатель/ генеральный директор, либо у них есть какие-то другие ранее существовавшие связи с организацией, генеральным директором или другим членом правления. Слишком долго путь в зал заседаний совета директоров был связан не столько с тем, что вы знаете, сколько с тем, кого вы знаете. Такое удобное расположение позволяет советам директоров чувствовать себя обязанными руководству и, следовательно, с меньшей вероятностью задавать наводящие вопросы.
Исполнительное руководство практикует принцип «не спрашивай, не говори». В отчете IIA за 2020 год рассматривалось, как советы директоров, исполнительное руководство и внутренний аудит оценили 11 ключевых рисков в части зрелости управления рисками. Было установлено, что советы директоров оценивают способность своей организации управлять рисками более оптимистично, чем исполнительное руководство.
Это весьма красноречиво. Когда СД считает, что управление рисками находится на более высоком уровне, чем это видит менеджмент со своей стороны, это может свидетельствовать о том, что менеджмент не вполне откровенен с советом.
Это понятно, если не простительно. Руководители, у которых ограничено их время выступления на заседаниях советов директоров, которые собираются всего 2 или 4 раза в год, должны сообщать на этих встречах большой объем информации. Поэтому неудивительно, что некоторые риски могут быть переданы не столь тщательно, как следовало бы. Но, честно говоря, я считаю более вероятным, что исполнительное руководство использует это ограничение, чтобы показать себя наилучшим образом и преуменьшить негативные моменты.
Руководитель службы внутреннего аудита не высказывается открыт. Как единственный голос независимого предоставления гарантий в управлении рисками, внутренний аудит обязан высказываться, когда советы директоров не получают полной, своевременной и точной картины.
Конечно, это легче сказать, чем сделать. Часто внутренний аудит не в состоянии оценить информацию, поступающую в СД. Действительно, различные исследования показывают, что руководители СВА редко обсуждают с СД или менеджментом полноту и своевременность информации, предоставляемой совету директоров. Внутренний аудит должен работать лучше.
Это упражнение демонстрирует две вещи: вопрос, который мы должны задавать, заключается не в том «Где был совет директоров?». Он должен звучать так: «Кто виноват в искаженном взгляде СД на управление рисками?» Ответ очевиден: совет директоров, исполнительное руководство и служба внутреннего аудита несут определенную ответственность.
Решение должно быть столь же ясным: подотчетность и прозрачность действий организации по управлению рисками жизненно важны для надлежащего понимания и согласования действий совета директоров, исполнительного руководства и внутреннего аудита. Все меньшее является угрозой хорошему управлению.
Автор: Ричард Чемберс, CIA, QIAL, CGAP, CCSA, CRMA
Оригинал статьи: https://www.richardchambers.com/are-internal-auditors-to-blame-when-boards-are-in-the-dark/
Перевод: Елена Фролова-Иванова, Ассоциация «Институт внутренних аудиторов»
Но есть одно ожидание членов СД, которое вызывает у меня беспокойство: они часто подчеркивают, что надеются, что внутренние аудиторы помогут им избежать неожиданностей.
Я испытываю неловкость, когда слышу такое, особенно в эпоху рисков, которые, кажется, возникают из воздуха и застают всех врасплох. Даже когда проблему можно предвидеть, важно отметить, что, хотя внутренние аудиторы могут проводить аудит чего угодно, они не могут проводить аудит всего.
Просто посмотрите на огромное количество серьезных корпоративных скандалов за последнее десятилетие: бухгалтерский крах Toshiba, дизельгейт Volkswagen, фальшивые счета Wells Fargo, крах Carillion, фиаско с зарплатой генерального директора Nissan.
Сторонники надлежащего управления — инвесторы, регулирующие органы, комплаенс-менеджеры и менеджеры по рискам, а также поставщики независимых гарантий – были сильно обеспокоены этими громкими инцидентами. Более того, неудачи в управлении этих зрелых и высокоразвитых корпораций имели общую и вызывающую тревогу подоплеку: в каждом случае советы директоров были в значительной степени в неведении относительно существенных недостатков в управлении рисками и культуре, которые обесценили акционерную стоимость.
Вслед за этим следует страшный для нашей профессии вопрос: «Где были внутренние аудиторы?» В ответ я часто спрашиваю (вполголоса): «Где был совет директоров?»
Зал заседаний должен быть заполнен высококвалифицированными специалистами, обладающими глубокой деловой хваткой, готовностью бросить вызов менеджменту и здоровой дозой профессионального скептицизма. Зал заседаний не должен быть уставлен растениями в горшках, которые зависят исключительно от внутренних и внешних аудиторов в качестве источника света.
Я много думал над этим вопросом. Когда крупный корпоративный провал застает членов совета директоров врасплох, есть по крайней мере три возможные причины:
Члены СД прячут головы в песок. Работа современного члена правления становится все более сложной и отнимающей много времени в условиях динамичного, управляемого технологиями и быстро меняющегося ландшафта рисков. Эпоха совета директоров, уделявшего основное внимание финансовым вопросам, закончилась. Новая реальность побуждает к изменениям в типичном профиле СД, чтобы сделать внести разнообразие в состав членов, сделать его более молодыми и технически подкованным.
Но разнообразие опыта и молодость сами по себе не могут решить более фундаментальную проблему: советы директоров, которые не в состоянии критически подвергнуть сомнению информацию, предоставляемую им исполнительным руководством, могут никогда не получить полной и точной картины рисков и управления ими. Слишком часто членам СД не хватает надлежащего уровня профессионального скептицизма.
Существенный вклад в этот недостаток вносит то, как многие — если не большинство — руководители попадают в советы директоров. Слишком многих либо лично подбирает председатель/ генеральный директор, либо у них есть какие-то другие ранее существовавшие связи с организацией, генеральным директором или другим членом правления. Слишком долго путь в зал заседаний совета директоров был связан не столько с тем, что вы знаете, сколько с тем, кого вы знаете. Такое удобное расположение позволяет советам директоров чувствовать себя обязанными руководству и, следовательно, с меньшей вероятностью задавать наводящие вопросы.
Исполнительное руководство практикует принцип «не спрашивай, не говори». В отчете IIA за 2020 год рассматривалось, как советы директоров, исполнительное руководство и внутренний аудит оценили 11 ключевых рисков в части зрелости управления рисками. Было установлено, что советы директоров оценивают способность своей организации управлять рисками более оптимистично, чем исполнительное руководство.
Это весьма красноречиво. Когда СД считает, что управление рисками находится на более высоком уровне, чем это видит менеджмент со своей стороны, это может свидетельствовать о том, что менеджмент не вполне откровенен с советом.
Это понятно, если не простительно. Руководители, у которых ограничено их время выступления на заседаниях советов директоров, которые собираются всего 2 или 4 раза в год, должны сообщать на этих встречах большой объем информации. Поэтому неудивительно, что некоторые риски могут быть переданы не столь тщательно, как следовало бы. Но, честно говоря, я считаю более вероятным, что исполнительное руководство использует это ограничение, чтобы показать себя наилучшим образом и преуменьшить негативные моменты.
Руководитель службы внутреннего аудита не высказывается открыт. Как единственный голос независимого предоставления гарантий в управлении рисками, внутренний аудит обязан высказываться, когда советы директоров не получают полной, своевременной и точной картины.
Конечно, это легче сказать, чем сделать. Часто внутренний аудит не в состоянии оценить информацию, поступающую в СД. Действительно, различные исследования показывают, что руководители СВА редко обсуждают с СД или менеджментом полноту и своевременность информации, предоставляемой совету директоров. Внутренний аудит должен работать лучше.
Это упражнение демонстрирует две вещи: вопрос, который мы должны задавать, заключается не в том «Где был совет директоров?». Он должен звучать так: «Кто виноват в искаженном взгляде СД на управление рисками?» Ответ очевиден: совет директоров, исполнительное руководство и служба внутреннего аудита несут определенную ответственность.
Решение должно быть столь же ясным: подотчетность и прозрачность действий организации по управлению рисками жизненно важны для надлежащего понимания и согласования действий совета директоров, исполнительного руководства и внутреннего аудита. Все меньшее является угрозой хорошему управлению.
Автор: Ричард Чемберс, CIA, QIAL, CGAP, CCSA, CRMA
Оригинал статьи: https://www.richardchambers.com/are-internal-auditors-to-blame-when-boards-are-in-the-dark/
Перевод: Елена Фролова-Иванова, Ассоциация «Институт внутренних аудиторов»