Lines of defence |
Дневник |
US Bancorp tasked internal auditors with evaluating the design and strength of the company’s enterprise risk management approach.
By Sabine Vollmer
December 1, 2015
Assessing an enterprise risk management (ERM) programme can prove challenging, Mark Sparano, CPA, CGMA, chief audit executive at US Bancorp, has learned. But he also has developed ways to deal with the challenges.
US Bancorp, the Minnesota-based parent company of the fifth-largest commercial bank in the United States, formalised and updated an ERM framework in 2012 and has implemented and refined it ever since. This ERM framework serves as a guideline to perform ERM internal audits, and US Bancorp’s approach shows how companies can keep risk management relevant as risks emerge over the years.
ERM audits assess how well a business’s enterprise risk management works and include what the board of directors and senior management are doing. “Auditing has evolved well beyond control testing alone,” Sparano said. “Today, the third line of defence must be equipped and prepared to critically evaluate and report on the company’s ERM approach, which includes the role of the board and executive management.”
US Bancorp, which employs about 67,000 people — including at least 250 internal auditors — and has business lines in the Americas and Europe, developed its customised ERM audit framework by consulting established risk-management principles and key regulatory guidance.
Large financial institutions have dealt with increased regulations since the 2008 financial crisis sparked a global economic tailspin with lasting effects. Increased scrutiny — brought about by the US Dodd-Frank Wall Street Reform and Consumer Protection Act and the US Foreign Account Tax Compliance Act, as well as reforms developed by the European Commission and the Basel Committee on Banking Supervision in the past seven years — has caused many banks to bolster enterprise risk management.
The US Office of the Comptroller of the Currency and the Federal Reserve Board as well as the Basel committee were among the regulatory contributors to US Bancorp’s ERM audit framework. Key risk-management principles came from the Institute of Internal Auditors, the Committee of Sponsoring Organizations of the Treadway Commission, and public accounting firms.
Communicating frequently and across functions has been critical in developing, implementing, and refining the ERM audit framework at US Bancorp, but the internal audit team also had to learn other lessons to ensure collaboration across functions would be successful, according to Sparano. Among them:
Talk to external and internal stakeholders, including senior management, board members, regulators, and independent public accountants, and tell them what you’re trying to do before you start auditing your company’s ERM efforts. Explaining internal audit’s role in enterprise risk management can clear up misconceptions and misunderstandings among key stakeholders and establish why an ERM audit is good for the business.
At US Bancorp, internal audit visualised the team’s role with a picture of a soccer pitch that shows players in red uniforms attacking from one half. In the picture, each player has a ball representing a risk, such as reputational risk, credit risk, and interest rates. The offence faces three lines of white-shirted defensive players on the other half of the pitch. The bank’s business managers are tackling the risks in the first line of defence. The chief executive, the board’s risk committee, and the chief risk officer and his team are setting policy, doing oversight, and monitoring key risk and key profit indicators in the second line of defence. In the third line of defence, internal audit is the goalkeeper, catching risks not appropriately defended by the first and second lines — whether as designed or as operating.
The result of an ERM audit is an opinion that lets the board of directors know whether the company’s risk-management approach is well-designed and functioning as intended, with recommendations as necessary to address areas needing improvement. The opinion matters because it affects what senior management and the board do. “So you’ve really got to do a lot of communicating upfront,” Sparano said.
A company’s governing structure influences internal audit’s approach because an ERM audit should look beyond standard risk-management practices. What the board does and what senior management does to manage and monitor risk and key performance indicators should be within the scope of an ERM audit.
At US Bancorp, as at other companies, internal audit must stay away from setting policy to remain independent in its annual assessment to the board. The annual ERM audit opinion delivered to the board and its committees includes internal audit’s findings of what senior management and the board do right and what they need to do better in enterprise risk management. At US Bancorp, several board committees are interested in the findings, including the risk-management committee and the audit committee.
US Bancorp has more than $400 billion in assets, but the enterprise risk is in the bank’s daily transactions reflected in treasury, capital, liquidity, and wire transfers.
It’s a view key stakeholders don’t necessarily share, Sparano said, because risk management means different things for different stakeholders. US Bancorp’s independent public accountants, for example, focus on reserves, losses, and disclosures reflected in the consolidated financial statement. Regulators, for their part, care less about consolidated financial statements. To them, processes, corporate governance, and documentation are more important measures to gauge risk.
“The stakeholders don’t closely align,” Sparano said. “So when you go out and audit enterprise risk management, you’ve got to do a lot of definitions and make sure it rings true with all your stakeholders.”
Sparano established a five-member ERM internal audit team. The ERM auditors, who are within the broader internal audit team, co-ordinate the work with the second line of defence. As the head of internal audit, Sparano delivers the results of the ERM audits to the board of directors, where he presents to several committees and works closely with the chief risk officer.
“I try to make sure the first line of defence is doing their job and the second line of defence is doing their job,” Sparano said. “… The goal is to ensure each line of defence is functioning in a well-co-ordinated manner to maximise the efficiency and effectiveness of the overall risk-management programme.”
A risk-management audit assesses several elements, such as risk culture, risk appetite, risk governance and oversight, and risk reporting and escalation — all of which take time, technology, talent, and training to establish and bolster. As ERM matures across all business lines, so does the assessment. New regulations and business expansions may require changes, for example, to third-party risk-management procedures, which involve refining the audit design, Sparano said.
Maturation involves more documentation, processes are established and repeated, metrics are increasingly defined to allow for quality assurance, and management deepens its understanding of ERM. In the most advanced stage, ERM decision-making and continuous improvement projects are based on data, metrics, formal quality assurance, and self-assessment feedback.
A few years into refining ERM and the assessment of ERM at US Bancorp, Sparano said he has found it more productive to talk about the sustainability of ERM auditing rather than its maturity.
Sustainability implies an open-ended process that is understood to require improvements as needed to benefit the business. Maturity quickly triggers philosophical questions from board members, Sparano said, who wonder when maturity will be reached and whether trying to reach it is cost-beneficial.
Sparano considers US Bancorp’s chief risk officer his partner. The two see each other almost daily, meet one-on-one at least once a month, and frequently talk on weekends. “We’ve got to be joined at the hip,” Sparano said.
As a result of their close work relationship, the heads of US Bancorp’s internal audit and risk-management teams use the same terminology and concepts when they talk to the board of directors about risk management.
Sparano encourages his team members to talk daily to their colleagues in risk management. He said the daily interactions make it easier to integrate risk management and risk-management assessment, especially when ERM updates and changes are introduced and internal audit must recalibrate its processes.
To make sure US Bancorp is in line with the industry, Sparano benchmarks his ERM audit methodology against what other banks do.
“It’s a pretty hard audit approach,” Sparano said, adding that he networks with other bank chief audit executives, participates in various industry round tables, and uses benchmarking data provided by internal audit and financial services associations.
https://www.cgma.org/magazine/issues/2015/dec/us-bancorp-risk-management.html
|
How to become Certified Internal Auditor (CIA) |
Дневник |
Метки: Certified Internal Auditor CIA |
ПРО СИСТЕМУ ОПЛАТЫ ТРУДА ВНУТРЕННИХ АУДИТОРОВ |
Дневник |
Труд Сизифа не был бессмысленным – просто у него была почасовая оплата.
(с) Неизвестный автор.
На просторах интернета, в профессиональных стандартах, а также в материалах регулярно проводимых конференций, посвященных внутреннему аудиту, можно найти огромное разнообразие информации о том, как лучше мотивировать внутреннего аудитора и его руководителя. Кроме того, общаемся с коллегами по цеху, имеем определенный жизненный опыт.
Единство во всех обсуждаемых подходах только одно — необходимы какие-то KPI либо же, на худой конец, КПЭ. При этом оставим в стороне абсолютное значение зарплаты (тут все понятно: внутренние аудиторы хотят получать на карточку побольше, владельцы считают, что внутреннему аудитору, как и любому другому бездельнику, нужно платить поменьше). Поэтому большинство начинает строить какие-то BSC для внутреннего аудитора.
Проблемы возникают следующие:
Ответ на эти вопросы, якобы, где-то есть. Но где? Любой надувающий щеки эксперт при глубоком рассмотрении данной темы будет вынужден признать перечень оговорок, при котором мотивация аудита может работать эффективно. Также нужно отметить, что внутренний аудитор, обычно, более хитер, чем среднестатистический объект мотивации, поэтому многие стандартные подходы не работают.
В данной статье мы покажем в произвольном виде реальные наблюдения в части потуг по мотивации аудита, опишем их в стиле «что задумывалось» / «что получилось» / «что можно оптимизировать». Ключевая ценность опуса — именно последнее, то есть размышления о том, как сделать разумным дополнительное вознаграждение (оно же “переменная часть заработной платы”, оно же “премии”) руководителей внутреннего аудита (как начальников, так и менеджеров проектов).
Что задумывалось: контроль расходов, жесткое бюджетирование.
Что получилось: пожалели 0,5 млн. руб. на привлечение эксперта по производству и решили не выезжать не предприятие. Результат очевиден, нормальный аудит сделан не был. Почему раньше не смогли спланировать — а тема возникла в январе, сразу после утверждения бюджета. И в командировках побольше нужно было побыть, чтобы доразобраться. Кстати, мнение авторов: планирование командировок — штука достаточно бесполезная. Нужно ехать — нужно выезжать и не заморачиваться.
Может быть и другой вариант: освоение бюджета, чтобы на следующий год не срезали. Самыми разными способами: а почему бы не съездить побухать в условный Саратов, назвав это семинаром-тренингом? А чего бы ни купить какую-нибудь хреновину типа фотика за 60 рублей: без него-то никак… И т.п.
Что реально можно оптимизировать: сроки командировок, количество персонала на проверку, условия их проживания. А еще заставить печатать на односторонней бумаге, сократить количество воды и чайных пакетиков и ввести нормирование канцелярских товаров. Остальное неизбежно ведет к росту аудиторского риска.
Что задумывалось: определить круг действительно важных рисков, которые интересуют совет директоров, представить по ним «разумные гарантии» и прочие хорошие вещи.
Что получилось: по разным причинам (типа внеплановых поручений и прочих расследований) было не до выполнения плана. Но так как план нужно сделать (иначе премии не будет), сделали все остальное. «Для отмазки». В том числе и выезд отменили, «камерально» исследовали объект. Ну и в находках потеряли: сказали, что рисков особо не прослеживается, но стрельнуло уже на следующий год.
Что реально можно контролировать: сроки проверки вкупе с находками, находящимися в разработке. Все другое обязательно приведет к сужению скоупа, глубины проверки и откладывания требуемой проработки в долгий, следующетрехлетний цикл ящик. А что: разве может внутренний аУдит дать 100% гарантию того, что все будет хорошо? Не может: стрельнуло – и стрельнуло.
Что задумывалось: качественное планирование, мониторинг руководителем фактической трудоемкости, контроль «вех» проекта, выявление лучших руководителей с последующей раздачей слонов.
Что получилось: очковтирательство вкупе с «замыливанием» реального хода проекта. Заполнение тайм-шитов представляет собой креатифф, не имеющий ничего общего с действительностью. Дополнительно появляются «резиновые» проекты, на которые сливают все безделье с тунеядством (строк «Философствование о духовных скрепах» и «Жалость к себе» почему-то нет в списке проектов), то есть при плане в 80 человекочасов один из проектов «фактически» (по тайм-шитам) весит 80 трудодней. При этом доля проверок, где трудоемкость соблюдена — 99%. Внутренние аудиторы — люди креативные (как говорится, лучший егерь — бывший браконьер).
Что реально можно контролировать: должны быть свидетельства того, что проекты делаются. Этого достаточно. Например, составлен план, проведено интервью, черновик отчета написан и т.д. Все остальное – путь в затратное и никому ненужное крючкотворство. Большинство внешних аудиторов прекрасно знают, на что лучше “чарджить”, если прохеровничал пару недель.
Что задумывалось: отсутствие «вечных» проектов (длящихся по полгода), регулярный доклад о находках и принципиальных изменениях в процессах.
Что получилось: из-за того, что клиенты аудита шибко заняты, согласование в срок провести невозможно. Как результат, в итоговые отчеты включаются неподтвержденные выводы. Но так как эти выводы озвучены «на самом верху», количество бесполезных скандалов резко возросло, а отношение к внутреннему аудиту, и так не очень хорошее, еще ухудшилось. Оказывается, внутренний аудит клевещет на добропорядочных людей почем зря.
Что реально можно контролировать: сроки, на которые аудиторы могут влиять непосредственно. Очевидно, что за сроки предоставления необходимой информации, ожидания встречи с нужным человеком, отпуска, внезапные командировки, а также сроки согласования всех версий отчета внутренний аудитор отвечать не может.
Что задумывалось: каждый человек должен получать премию за фактически отработанное время на проектах.
Что получилось: есть люди, которые ничего не делают. При этом, так как не ходят в отпуск и не болеют, премию получают больше. План по трудоемкости соблюдают, какие-то находки приносят (правда, какие-то очевидные), на работе задерживаются. А есть те, кто работает быстрее, но ходит в отпуск, болеет, отпрашивается и пр. При этом находок у них больше, сами находки качественнее, а премия меньше. Ваши прогнозы, кто покинет команду в ближайшее время? При ответе учесть, что в подавляющем большинстве случаев реальная зарплата каждого сотрудника — секрет Полишинеля.
Что реально стоит делать: учитывать отработанное время вкупе с неотработанным, то бишь наличие больничных или отпусков не должно влиять на размер премии. И, как ни странно, грейдировать людей. У одной из наших общезнакомых руководителей почему-то считалось, что финансовый аудитор в деньгах должен стоить не меньше операционного. И почему-то операционные находятся с трудом, а финансовые уходят только ногами вперед.
Что задумывалось: непрерывное повышение уровня квалификации сотрудников.
Что получилось: сходили на бесполезные тусовки, потратили деньги. В некоторых случаях уровень преподавателей ниже, чем уровень аудиторов. В лучших традициях реализовали «совмещение неприятного с бесполезным» (для тех, кто не знает — это типа послушать лекцию по химии на английском языке). В наиболее противных случаях молодой аудитор будет представлять из себя персонажа под названием «дурак с инициативой» (который, как известно, хуже просто дурака) и начнет отнимать время у всей конторы (случай, как не печально, встречается достаточно часто, форумы профильные почитываем) чем-то похожим на циклический вечный двигатель в управлении бизнесом.
Что реально стоит делать: забыть про обучение ради обучения за счет компании. Выделить 5-10% рабочего времени, которое персонал должен посвящать обучению.
Что задумывалось: лучшие практики внутреннего аудита, внедренные в повседневную практику.
Что получилось: исписали гору макулатуры, нормативная документация по внутреннему аудиту занимает 300 страниц. Прочитать это невозможно, да никто, кроме авторов, и не пытался. Зато всегда можно поиметь «нерадивого» сотрудника за то, что тот не соблюл п. 5.62.15 действующего регламента по документированию проверок в части несоблюдения порядка нумерации при документировании фактов финансово-хозяйственной деятельности. Да, кстати, внезапно оказалось (при проверке один раз в пять лет), что деятельность подразделения внутреннего аудита не соответствует стандартам. Ну да, депремируем руководителя на 10%. А на будущее — увеличим численность методологов, правда?
Что реально стоит делать: обеспечить простой и лаконичный регламент оказания внутренним аудитом услуг своим внутренним клиентам. В регламенте прописать, максимально коротко, права и обязанности как внутренних аудиторов по отношению к клиентам, так и клиентов по отношению к внутренним аудиторам. Внутреннюю методологию совершенствовать можно до бесконечности, но оценивайте эти экзерзисы по рационализации с точки зрения потенциального эффекта (дополнительное value / затраты в трудоднях в год). Да, еще можно собирать фидбеки об удовлетворенности, но исключительно в справочных целях.
Ключевая мысль этого небольшого эссе — взгляните на систему мотивации с учетом приведенных выше подводных камней, при этом:
Будут мысли — пишите, добавим.
Метки: ПРО СИСТЕМУ ОПЛАТЫ ТРУДА ВНУТРЕННИХ АУДИТОРОВ ПРО ВНУТРЕННИХ АУДИТОРОВ ПРО СИСТЕМУ ОПЛАТЫ ТРУДА |
Intelegerea Indicatorilor Cheie de Performanta - Webinar gratuit |
Дневник |
Метки: Indicator Cheie Performanta Indicator Cheie de Performanta Webinar gratuit |
| Страницы: | [1] |
