Авторы: Максим Савин, CIA, ACCA, к.э.н., начальник отдела операционной эффективности Блока внутреннего аудита ПАО «МТС», член Ассоциации «Институт внутренних аудиторов»1
Сергей Груздев, менеджер проектов отдела операционной эффективности Блока внутреннего аудита ПАО «МТС», член Ассоциации «Институт внутренних аудиторов»
Введение
Одной из текущих тенденций, которая наблюдается в экономике РФ, можно признать закономерное укрупнение экономических субъектов. Такое укрупнение несомненно содержит ряд положительных факторов: например, сокращение затрат и расходов за счет экономии на масштабе, рост добавленной стоимости при вертикальной или горизонтальной интеграции и т.д.
Однако оборотной стороной медали является потенциальное снижение степени управляемости как отдельными активами, так и группой компаний целиком. Снижение уровня централизованной управляемости одновременно может приводить к снижению управляемости рисками отдельных компаний.
Если данная проблематика не выпадает из поля зрения менеджмента, то во избежание негативных последствий для Группы, компании реализуют в профильных подразделениях системы мониторинга рисков. При этом мониторинг различных областей по сути является лишь отдельными проекциями потенциального комплексного влияния риска на компанию, т.е. отсутствует общая объемная картина.
Внутренний аудитор в силу специфики своей деятельности и организационных особенностей функции находится в уникальной позиции в части сочетания глубины и охвата информации, относящейся к различным сторонам функционирования компании. О том, как мы смогли применить накопленную экспертизу и использовать уникальное положение в организационной структуре компании расскажем в этой статье.
Как мы реализовали наш мониторинг ДО
Основной идеей, которой мы руководствовались при постановке задачи, была необходимость сравнения между собой большого количества различных по виду и масштабу деятельности, стадиям жизненного цикла дочерних компаний (далее – ДО). Для решения поставленной задачи, анализируемые объекты – в нашем случае ДО – требовалось разместить в одной системе координат, и обеспечить возможность их сравнения посредством использования одних и тех же показателей, на основании которых можно будет однозначно сказать, какие ДО обладают более высоким риск-фоном (общая подверженность компании различным рискам) исходя из показаний риск-индикаторов по анализируемым перспективам. Принимая во внимание указанные особенности, становится очевидным, что для удовлетворительного решения требуется разработка некоторой системы для мониторинга, которая позволяла бы эффективно обрабатывать большой объем данных.
На данном этапе дизайна системы мониторинга возникают следующие основные вопросы:
-
какие данные необходимо использовать, чтобы они эффективно характеризовали риск-фон компании?
-
каким образом используемые данные трансформируются в отдельные показатели для анализа?
-
какой подход обеспечивает взаимосвязь данных показателей, и как следует выстроить процесс ранжирования?
-
какие организационные вопросы стоит учесть, чтобы процесс был более эффективным в части затрачиваемых ресурсов: в частности, периодичность проводимого анализа, источники информации, дальнейшие шаги, которые следует предпринять после получения картины по всем дочерним компаниям и т.д.?
Для получения наиболее полной картины в части общего риск-фона компаний мы использовали информацию, которая может быть разделена на следующие блоки:
-
финансовый,
-
операционный,
-
система внутренних контролей,
-
внешняя среда.
В качестве основы для финансового блока нами были взяты данные управленческого учета. В частности, были включены такие показатели как выручка, OIBDA и прочие.
Важно отметить, что каждый из риск-факторов логически можно отнести к одному из бизнес-процессов компании, например:
Как видно из примеров выше, колебания одних и тех же показателей могут иметь в своей основе различные первопричины: например, маржа может колебаться как из-за неэффективности процесса продаж, так и из-за неэффективно проведенных закупок.
Именно поэтому, какая бы полная и исчерпывающая модель финансовых показателей ни была составлена, исходя из понимания аудитором основных рисков бизнеса, важным этапом является корректная интерпретация динамики показателей и их обсуждение с менеджментом.
Несмотря на кажущуюся очевидность и простоту выбора финансовых критериев, набор показателей должен определяться исходя из двух факторов:
-
специфика бизнеса и операционной деятельности компании;
-
трудоемкость получения информации в необходимом виде, т.е. соотнесение потенциальной выгоды обладания такой информацией и будущих выводов, которые можно сделать на ее основе, и затрат времени в части получения и обработки данных.
Факторы, которые можно отнести к операционному блоку, позволяют оценить деятельность компании с учетом качества ее основных операций – к таким факторам, для телекома, например, можно отнести количество активных абонентов (1-3 месяца), ARPU2 и прочие. Существенные колебания факторов могут быть как следствием нормальной операционной деятельности (например, проведенных промо-кампаний), так и отражением определенных проблем (ошибки учета, некорректно проведенные расходы и пр.). Использование такого рода показателей релевантно, если бизнес-единицы относятся к одной отрасли (например, телеком), поэтому мы используем их для анализа региональных филиалов, деятельность которых сопоставима. Операционный блок факторов непосредственно в ДО может быть представлен углубленным анализом расходов одного типа по поставщикам: например, на предмет целесообразности закупки, достаточности цепочки согласования и пр.
Факторы, относящиеся к системе внутреннего контроля, могут быть представлены интеграцией в систему мониторинга результатов деятельности комплаенс-подразделений, наличием случаев обращения на горячую линию, случаев недобросовестных действий, выявленных сотрудниками экономической и общей безопасности, наличием рисков в области антикоррупционного законодательства и т.д. Все указанные индикаторы в той или иной степени будут указывать на наличие потенциальных пробелов в системе внутреннего контроля.
К рискам внешней среды относятся полученные иски, риски банкротства, существенные судебные тяжбы, исполнительные производства, задолженности по налогам и прочее. Источником для такого рода информации обычно является СПАРК/ ИНТЕРФАКС или аналогичные ресурсы, обращаясь к которым можно составить первоначальный портрет компании. Риски внешней среды позволяют учесть риски, которые могли остаться неохваченными другими блоками мониторинга.
После того, как определились с факторами анализа, и все данные в наличии, возникает вопрос: как с помощью полученных данных можно сделать вывод о возникновении или изменении рисков отдельной компании, чтобы получалась цельная картина? Специально для этого мы использовали простую систему оценки, ключевыми понятиями в которой являются «триггер» и «интегральный показатель». Триггер – это красный флаг, применимый для каждого конкретного фактора риска: например, увеличение оборачиваемости материалов более чем на 10% месяц к месяцу, наличие обращений на горячую линию и т.д. Определение порогового значения является предметом профессионального суждения аудитора, которое должно отражать специфику деятельности компании, уровень деловой активности, риск-аппетит компании и пр. По сути, триггеры позволяют переводить получаемые данные на язык рисков.
Однако после получения информации относительно того, какие триггеры сработали, возникает необходимость построения общей картины. Ситуация напоминает составление пазла из маленьких фрагментов. На помощь приходит интегральный показатель, который может быть определен как показатель, агрегирующий значения всей совокупности рисков для каждой компании в анализируемом промежутке времени.
Основные преимущества интегрального показателя связаны с возможностью сравнения риск-фона отдельной компании между периодами и сравнения разных компаний в одном периоде.
Интегральный показатель (ИП), который мы используем в нашей деятельности, может быть представлен следующей формулой:
Где ИП1 – интегральный показатель по компании за текущий период,
ИП0 – интегральный показатель за предыдущий период,
А – срабатывание/ несрабатывание триггера по каждому риск-фактору (1 – если сработал, 0 – если не сработал),
B – доля срабатываний данного риск-фактора среди всех риск-факторов по всем компаниям за период,
C – количество случаев конкретного типа (обращения на горячую линию, выявленные комплаенс-риски и пр.) по компании за период,
D – количество всех случаев конкретного типа по всем компаниям за период.
Наличие двух слагаемых в формуле (∑A*B) и (∑C/D) обусловлено природой используемых показателей.
Все 4 блока нашей системы мониторинга (финансовый, операционный, СВК и внешняя среда), исходя из формулы выше, мы делим на 2 части:
количественную ((∑A*B)): сюда мы относим, например, финансовую часть,
качественную (∑С/D), к которой мы относим, например, СВК.
Может показаться, что приведенная выше формула является крайне комплексной, и ее сложно использовать на практике. Однако за указанными обозначениями стоят вполне очевидные шаги. Опишем детальный алгоритм расчета используемого интегрального показателя:
1. Считаем количество сработавших количественных триггеров по показателю (например, выручка) по всем компаниям за анализируемый период (сумма единиц и нулей, применительно к каждому риск-фактору – по всем ДО, то есть количество срабатываний «А» из формулы выше по риск-фактору).
2. Складываем количество срабатываний триггеров по каждому показателю по всем компаниям (выручка, оборачиваемость запасов и пр.) – по количественной части.
3. Рассчитываем вес каждого показателя по числу срабатываний («B» в формуле выше – разделив количество из п.1 на количество из п.2).
4. Для расчета первого слагаемого ИП взвешиваем все срабатывания триггера по бизнес-единице с учетом веса каждого показателя (∑A*B в формуле выше, по каждому типу триггеров – например, выручка, персонал и пр.).
5. Рассчитываем долю случаев (например, обращения по горячей линии) по каждой БЕ среди общего объема случаев срабатывания (∑С/D в формуле выше, по каждому типу нарушений).
6. Сумму из шагов [4] и [5] умножаем на значение ИП за предыдущий период (1 для стартового периода), извлекаем квадратный корень и получаем значение ИП за текущий период (для сглаживания выбросов и обеспечения сопоставимости ДО, вошедших в Группу в разные периоды).
Чем больше значение ИП, тем выше общий риск-фон компании.
Таким образом, на данном этапе разработки инструмента формируется глубокое понимание его структуры и наполнения, в частности, какую информацию использовать, о чем она сигнализирует, как построить общую картину и т.д. При этом остается вопрос в части организации данного процесса: что может быть источником информации, как часто следует проводить анализ, как и с помощью чего будут представлены результаты, какие дальнейшие шаги следует предпринять и т.д. Ниже приведены возможные варианты ответов на поставленные вопросы, исходя из сложившейся у нас практики.
Чем большее количество информации планируется интегрировать в анализ, тем эффективнее должен быть процесс ее получения, что включает в себя прежде всего скорость получения информации и ее качество.
Очевидно, что в первую очередь необходимо оценить, имеется ли в компании информация, которая может быть использована без дополнительных трудозатрат на ее обработку.
В качестве такой информации могут выступать отчеты других подразделений, например, отвечающие за подготовку финансовой отчетности, операционных показателей, данные по которым формируются централизованно.
Также в качестве важного вопроса необходимо рассмотреть способ получения информации. Так, большая степень централизации является более эффективной, поскольку позволяет исключить большое количество итераций. Например, выгрузка управленческой отчетности на уровне материнской компании позволяет не формировать n-е количество запросов в отдельные компании и обеспечивает единый формат отчета с минимальными последующими затратами времени на обработку отчета.
Как отмечалось ранее, необходимо осознанно подходить к набору анализируемой информации, т.е. расширение анализируемых перспектив и отдельных показателей не всегда может приносить дополнительную полезность анализу. При этом аналогичным образом не следует прибегать к искусственному сжатию объемов информации. Результаты анализа могут быть представлены с помощью различных BI-инструментов, к примеру, Tableau.
Для удобства при проведении дальнейшего анализа и наглядности мы формируем график типа «дерево». Преимущества такого представления заключаются в возможности соединения в одном графике уровня критичности риск-фона (отвечает цвет ячейки), ранжирование риск-фона (размер ячеек).
Так как получаемая модель является индикативной, то после получения общей картины по группе компаний возникает вопрос интерпретации результатов. Важным вопросом для рассмотрения является определение объема анализа в части количества компаний, подлежащих детальному анализу, и глубины анализа. Беря во внимание структуру Группы МТС, объем анализа установлен на уровне топ-30% компаний по значению ИП.
По подлежащим дальнейшему анализу компаниям проводится более глубокий анализ, направленный не только на понимание бизнес-контекста, который привел к срабатыванию тех или иных триггеров, но и на оценку общего состояния ДО за отчетный период. В частности, анализ может включать дополнительные источники информации или проведение интервью с менеджментом. Если после дополнительных процедур мы понимаем, что полученная информация не объясняет выявленную тенденцию или сложившийся тренд является необъективным, то такие обстоятельства попадают в наш внутренний отчет, который готовится по итогам каждой итерации мониторинга. На основе финального отчета принимается решение о необходимости проведения дополнительного аудита или включения его в годовой план.
Периодичность проведения анализа зависит от множества факторов, например: уровень деловой активности, трудоемкость проведения отдельной итерации, степень неопределенности, свойственная деятельности компании, средний период времени, в течение которого могут произойти существенные изменения, приводящие к возникновению или росту рисков. В нашей практике принято решение о целесообразности проведения анализа ежеквартально.
Основные преимущества нашего подхода
Могут возникнуть вопросы об основных отличиях описываемого подхода и его преимуществах.
Основным важным отличием является регулируемость охвата. С одной стороны, инструмент может включать любое количество анализируемых перспектив (помимо финансовой, операционной и т.д.) в зависимости от особенностей деятельности компании и запроса совета директоров или менеджмента: например, руководство может уделять особое внимание вопросам устойчивого развития, информационной безопасности и т.д. С другой стороны, в рамках каждой из анализируемых перспектив аудитор может использовать различное количество показателей с необходимым уровнем детализации – начиная с уровня отдельной операции, заканчивая максимально агрегированными показателями финансовой или управленческой отчетности. Причем использование различного уровня агрегации информации с легкостью уживаются друг с другом и их влияние учитывается в интегральном показателе без дополнительных корректировок.
Также стоит отметить, что такой аналитический подход позволяет фокусироваться на тех вопросах, которые потенциально содержат основные риски.
Допустим, в группу компаний входит 50 компаний. Подразделение внутреннего аудита по определенным причинам может проводить аудит не более 5 компаний. Несложно посчитать, что без использования аналитических индикаторов ВА сможет предоставить гарантии по периметру группы за 10 лет без учета повторных аудитов. При этом, если после ряда лет аудитору становится понятной деятельность части компаний, включая содержащиеся риски, то есть вероятность, что он будет чаще возвращаться именно к этим компаниям, игнорируя незатронутую часть. При любом сценарии уровень покрытия будет достаточно низким.
Реализованный нами подход имеет схожие черты с анализом на основе ключевых индикаторов риска (КИР), однако есть ряд существенных отличий:
-
концентрация на будущем, а не на свершившихся фактах, т.е. использование предиктивного подхода. Это достигается путем оценки на основе исторических данных кумулятивной/ накопленной подверженности компании тем или иным рискам в будущем;
-
получение понимания рисков не отдельных процессов, а составление общей картины риск-фона компании;
-
более широкий спектр выявляемых по своей природе рисков, что объясняется концентрацией не на отдельных операциях, отвечающих критериям ряда красных флагов, а на причинно-следственном анализе наблюдаемых тенденций с учетом имеющейся информации.
Заключение
Сегодня существует ряд различных подходов, позволяющих аудитору выявлять отдельные риски компаний. Для реализации этих подходов может применяться большое количество инструментов, которые, в частности, помогают в вопросах автоматизации, обработки данных, презентации результатов и т.д. Однако по мере усложнения деятельности компании и роста уровня неопределенности аудитор должен применять комплексный подход к выявлению и оценке рисков компаний с одновременным повышением эффективности процесса. Достижению такой цели может служить применение аналитического подхода, который позволял бы получать представление об уровне подверженности компании рискам в целом.
1. Ассоциация «Институт внутренних аудиторов» (Ассоциация «ИВА»), зарегистрированная в 2000 г., является профессиональным объединением внутренних аудиторов, внутренних контролеров и работников других контрольных подразделений российских компаний и организаций. Подробности на сайте www.iia-ru.ru
2. ARPU (англ. Average revenue per user, средняя выручка на одного пользователя) — показатель, используемый телекоммуникационными компаниями (в том числе интернет-провайдерами, ИТ-компаниями и другими компаниями, предоставляющими онлайн-сервисы) и означающий средний доход (обычно за месяц) в расчете на одного абонента. Является одним из показателей, характеризующих успешность бизнеса компании.