Статьи

Внутренний аудит: перестройка имиджа
Василий Кудрин, дипломированный внутренний аудитор
Институт внутренних аудиторов

***Материал взят с сайта "Института внутренних аудиторов"

О развитии профессиональной услуги "Внутренний аудит", которая приобрела огромный интерес в последние годы как в международном, так и (теперь) в российском бизнесе - в статье Василия Кудрина, CIA, менеджера компании Ernst & Young, "Внутренний аудит: перестройка имиджа". Статья (с небольшими изменениями) впервые была опубликована в корпоративном журнале "ЮКОС-Ревю" № 4 (октябрь 2004 г.).

Что такое внутренний аудит?

Это «... деятельность по предоставлению независимых и объективных гарантий и консультаций, направленных на создание добавленной стоимости и совершенствование хозяйственной деятельности компании» (из Стандартов профессиональной практики внутреннего аудита). Гарантии и консультации - два продукта аудита. В одних аудиторских проектах (assurance) внутренние аудиторы дают разумные гарантии - ответ на вопрос, работает ли система внутреннего контроля, требует ли она улучшений. В других проектах (consulting) внутренние аудиторы могут работать как фасилитаторы, содействующие менеджерам в процессе принятия управленческих решений ... при этом вовсе не участвуя в самом процессе принятия решений роли не участвуют.

Внутренний аудит развивается и эволюционирует. В настоящее время выделяется 4 роли внутреннего аудита в компаниях: (1) оценка соблюдения процедур, (2) оценка составляющих внутреннего контроля, (3) содействие менеджменту в совершенствовании и ре-инжиниринге бизнес-процессов (performance improvement), (4) в реализации принятой стратегии бизнеса.

«Внутренний аудит помогает компании достичь поставленные цели, используя систематизированный и последовательный подход к оценке и повышению эффективности управления рисками, контроля и системы корпоративного управления». Так понимается внутренний аудит в лучшей международной практике. Именно с таким пониманием сегодня работают уже многие внутренние аудиторы, практикующие в России.

Внутренний аудит - это искусство, наука и техника одновременно. Современный внутренний аудит - это не просто проверка соблюдения регламентов. Это скорее похоже на творческий изыскательский проект, где каждый пласт информации требует нового осмысления, объяснения, дополнительного анализа. Потребности современного бизнеса усложняются и изменяются. Сам бизнес это и есть перемены, движение вперед, а внутренний аудит - услуга, которая всецело этому содействует. Перемены неизбежны! Мы всегда живем в период перемен - и очень часто почему-то этому удивляемся! Вместо того, чтобы пассивно наблюдать, как они на нас влияют, нам необходимо уметь их предвидеть, предпринимать инициативу и помогать Компании извлекать преимущества из данных перемен.

Управление рисками и внутренний аудит.

Лучшая практика внутреннего аудита ориентирована на поиск эффективных методов управления рисками. Под бизнес-риском мы понимаем вероятность того, что событие или действие при своем наступлении повлияют на способность достижения целей либо приведут к убыткам, ущербу для Компании. По сути это то, что препятствует нашей качественной работе, удовлетворенности клиентов и мотивации сотрудников, - то, что препятствует достижению наших бизнес-целей. Значит, соответствующее построение риск-менеджмента - это главная предпосылка корректного, должного функционирования функции «Внутренний аудит» в Компании. Именно коренные изменения в управлении рисками (risk management), революция в некотором смысле, сделают возможным полноценное использование внутреннего аудита в компаниях.

Однако в России внутренний аудит исторически, по инерции воспринимается как контрольно-ревизионная работа. Именно поэтому сегодня внутренний аудит сталкивается с трудностями. Даже в тех компаниях, где функция «Внутренний аудит» развивается по международных примерам, один из существенных рисков аудиторского проекта - это предвзятое восприятие  работы внутренних аудиторов.

В чем перемены?

Первые задачи, связанные с построением службы внутреннего аудита во многих крупных компаниях, уже решены. Какие-то компании, чьи акции котируются в Нью-Йоркской фондовой бирже, к этому подтолкнули требования акта Сарабенса-Оксли (SOA, Sarbanes-Oxley Act); кто-то сам пришел к необходимости комплексной перестройки. Разработаны политики в области внутреннего аудита, приняты положения о внутреннем аудите, главное - выстроены организационные связи: в лучших практиках, а для кого-то по требованиям законодательства, внутренний аудит должен быть функционально подотчетен аудиторскому комитету совета директоров. Так обеспечивается независимость службы внутреннего аудита, а также формируется возможность постоянного контакта и конструктивном взаимодействия как с менеджментом, так и с советом директоров.

Проект внутреннего аудита можно рассмотреть как проект, задание (engagement), включающее 4 фазы:

  1. Определение предметной области и объема аудита (engagement scope);
  2. Планирование (engagement plan), в основном связанное с составлением программы проекта и планирование ресурсов;
  3. Выполнение (execute), или «полевые работы» (field work);
  4. Завершение (conclude), результатом которого является отчет (report). Отчет по результатам аудиторского проекта включает также план действий (action plan), разработанный менеджментом по результатам согласованных рекомендаций.

Определение предметной области.

  • Проект открывается (инициируется) - как на основе годового плана (annual plan / program) внутреннего аудита, утверждаемого советом директоров, так и по согласованию с топ-менеджментом компании. 
  • Осуществляется сбор и анализ информации из различных источников, в том числе путем проведения интервью, составления опросников (questionnaires), организации выездов на объекты, «в поля» (preliminary surveys).
  • Важный шаг в аудиторском проекте - это встречи с клиентом. Аудиторы исходят из того, что встреча с клиентом должна быть тщательно подготовлена и проведена в конструктивной атмосфере. Ключевой фактор здесь - это всесторонняя подготовка встречи и профессионализм аудитора (due diligence).

    Аудитор должен быть уверен, что работа, которую он делает, приносит пользу Компании и ее акционерам. Он должен понимать и уметь объяснять клиенту, в чем польза внутреннего аудита, почему и как им добавляется стоимость ("add value" approach).

    На этом же этапе совместно с клиентом рассматривается схема бизнес-процесса, определяются и оцениваются на SMART бизнес-цели, обсуждается с клиентом список бизнес-рисков, оценивается их «вероятность» и «значимость», то есть составляется карта, или профиль / матрица, бизнес-рисков (risk profile / matrix).

    Принцип SMART (SMART, Specific, Measurable, Agreed to, Realistic, Time-bound) - специфично, измеримо, согласованно, реалистично, своевременно. Критерий или стандарт, в соответствии с которым измеряются бизнес-цели и управленческие планы действий.

  • Далее организуется встреча с куратором проекта со стороны клиента, где аудиторами добывается новая информация, и собирается информация, которая ранее не могла быть получена по различным причинам. На основе обсуждений, встреч, анализа информации формируется "техническое задание" (engagementproposal), необходимое для определения предметной области, или фронта и объема работ (engagementscope).

Планирование. В рамках «Планирования» аудиторы готовят программу внутреннего аудита и формируют команду аудиторов в соответствии с их компетенциями - знаниями, навыками и опытом. Далее организуется встреча аудиторов и менеджеров, на которую аудиторы приходит не только с концепцией аудиторского проекта, но и с программой проекта - графиком работ и конкретной аудиторской командой. По результатам такой встречи появляется письмо о взаимодействии, т.е. письма-обязательства (аналог engagement letter), которое является стандартом аудиторской практики. Данное письмо - есть договоренность между аудиторами и менеджерами о том, кто и что делает для того, чтобы на выходе получить результат в виде отчета внутренних аудиторов, включая разработанный менеджментом необходимый план действий.

Выполнение. После вступительной встречи стартует фаза «Выполнение». Некоторые аудиторские проекты теперь все больше охватывают всю Компанию, ведь бизнес в Компании все больше интегрируется, а с ним и система внутреннего контроля, и система управления рисками. При этом внутри стадии «Выполнение», как правило, организуются «полевые работы», выезды, особенно там, где необходимо понять, как система контролей выстроена на уровне бизнес-подразделений (business units).

«Выполнение» делится на 2 этапа - 2 части оценки системы внутреннего контроля: оценка дизайна контроля (control design evaluation) и тестирование контролей (testing). Цель оценки дизайна контроля - понять, насколько менеджмент при построении системы внутреннего контроля учел все необходимые критерии и цели контроля (control objectives, control criteria).

В мире существует несколько общепринятых принципов при построении системы внутреннего контроля. Наибольшую известность имеет модель, разработанная Комитетом спонсорских организаций - COSO (в которую входят такие организации, как AICPA, IIA, IMA, FEIAAA. Именно на эту модель дана прямая ссылка в 404-й статье акта Сарбанеса-Оксли. По модели COSO Internal Control - Integrated Framework система внутреннего контроля состоит из 5 взаимосвязанных компонентов, каждый из которых имеет отношение ко всем категориям бизнес-целей (стратегическим, операционным, целям отчетности и соответствия требованиям законодательства):

  • Контрольная среда - Control Environment; 
  • Система выявления и оценки рисков - Risk Assessment;
  • Контрольные процедуры - Control Activities; 
  • Информационная среда и система коммуникаций - Information and Communicatoin;
  • Мониторинг СВК - Monitoring.

В октября 2004 года издана новая разработка COSO - модель COSO ERM - Integrated Framework (ERM - enterprise risk model), которая объединила в себе как компоненты системы внутреннего контроля, так и компоненты системы управления рисками.

В настоящее время во многих крупных компаниях уже идет работа по формированию единого подхода к системе внутреннего контроля (internal control system) и оценке ее функционирования менеджментом (management assessment of controls). Внутренний аудит со своей риск-ориентированной методологией (risk - based approach) играет при этом важную роль в формировании эффективной системы внутреннего контроля, включая процесс управления рисками. В некоторых компаниях внутренний аудит даже берет на себя роль инициатора (trigger) этого процесса, без дальнейшего участия в формировании самой системы внутреннего контроля, т.к. это могло бы повлечь за собой нежелательное воздействие на независимость внутреннего аудита в компании.

Завершение. Завершается проект формированием отчета, который направляется ответственным менеджерам для обсуждения и согласования. По результатам согласования рекомендаций менеджмент составляет план действий (action plan), который становится неотъемлемой частью окончательного отчета (final report) аудитора.

Развитие внутреннего аудита.

Внутренний аудит развивается в 3-х взаимосвязанных составляющих: технология, люди и управление знаниями.

Технология. Сегодня о развитии внутреннего аудита можно говорить, если осваивается специализированное аудиторское программное обеспечение (ПО), в дальнейшем интегрированное с единым ПО в области управления рисками, а также прочими программными продуктами, имеющими общекорпоративный масштаб.

Люди - основной капитал любой службы внутреннего аудита. Их знания, навыки, опыт, профессионализм и креативность. Эффективная аудиторская команда включает специалистов в разных областях. Отдельный внутренний аудитор не обязан быть специалистом во всех направлениях. Но в совокупности команда должна обладать набором знаний и навыков, достаточным для реализации эффективного аудиторского проекта. Если во внутреннем аудите нет таких людей, то есть 2 выхода.

Первый - нанять человека извне, но, как правило, не из самой компании, т.к. по Стандартам в целях объективности и независимости аудитор не может оценивать контроли в тех процессах, где он был исполнителем, собственником в недавнем прошлом.

Другие решение - аутсорсинг внутреннего аудита - услуга, которую в России предлагают сегодня некоторые консультационные компании. Аутсорсинг, кроме того, может быть общим решением по компании.

Настоящий аудитор обладает 3 видами знаний:

  • профессиональное знание аудиторских принципов, подходов и процедур;
  • хорошее знание принципов управления, в том числе корпоративного управления; 
  • специальное знание в одной из областей, например финансы, право, ИТ, учет, логистика, закупки, производство и др.

Часто можно услышать, что аудиторы - дженералисты (от «general» - «общий», «общего характера»), ведь в своих проектах аудиторам приходится осваивать самые разные области деятельности. В дальнейшем из аудиторов получаются хорошие руководители высшего звена.

Одно из требований, предъявляемое к практикующим внутренним аудиторам, - это постоянное развитие, обучение. Во-первых, оно достигается само собой: аудиторы постоянно переключаются с одного проекта на другой - с одной области знаний на другую. Во-вторых, для внутренних аудиторов должны проводиться тренинги 2-х планов: на «аудиторскую» тематику и тренинги на развитие гибких навыков (soft skills) - коммуникационные, презентационные, управление проектами. В-третьих, аудиторы проходят профессиональное обучение и сдают экзамены на степень CIA (Certified Internal Auditor), поддерживаемую Институтом внутренних аудиторов (IIA, Institute of Internal Auditors).

Система управления знаниями (knowledge management). Управление знаниями - основа роста внутреннего аудита. Эта задача представляется особенно важной, т.к. внутреннему аудиту свойственна текучка, а знания должны оставаться именно там, где «проживает» внутренний аудит.

Итак, внутренний аудит развивается - в России и во всем мире. Но каждый продукт ценен благодаря его оценке своим потребителям. Клиенты - это прежде всего менеджеры Компании - люди, принимающие решения. Надо понимать, что высокоэффективный внутренний аудит - это уже не просто миф в российской деловой практике, а выраженная потребность. Сегодня нашим внутренним аудиторам остается сделать важный шаг - на деле подтвердить свою роль и подкрепить имидж. Наградой за это будут более эффективные аудиторские проекты и возросшая оценка услуги «внутренний аудит» со стороны акционеров и топ-менеджеров.

 

Статьи

   СТАТЬИ

А.Акулов "Внутренний аудит филиалов. Часто задаваемые вопросы"

Р.Гиниятов "Внутренний аудит и ревизия: определение профессии"

И.Краснова "Методика проведения внутренней аудиторской проверки эффективности системы внутреннего контроля бизнес-процессов"

В.Кудрин "Внутренний аудит: перестройка имиджа"

Я.Дерюгина "Планирование аудита продаж"

Д.Малыхин, А.Тихомиров "Особенности функционирования внутреннего контроля и аудита в банках"

А.Сонин "Внутренний аудит для успешной компании"

А.Сонин "Внутренний аудит как важнейший элемент системы управления компанией" new!


А.Акулов, Д.Малыхин, Н.Малюта, Н.Рыжих "К вопросу о стандартизации процессов управления рисками и внутреннего контроля"

С.Газиян "Изменения в 242-П с точки зрения ПОДФТ"

Р.Гиниятов "Риск и контроль (модель COSO)"

Д.Малыхин "Выпуск банковских облигаций: некоторые уроки для внутреннего аудита"

Д.Малыхин "Особенности правового обеспечения внутреннего контроля и аудита в банках"

Д.Малыхин "Подтверждение и повышение квалификации внутренних контроллеров и аудиторов банков"

Д.Малыхин, А.Полтавцев "Предстоящие изменения в работе внутренних аудиторов в связи с введением нового Соглашения по капиталу "Базель II"

А.Сонин "Внутренний аудит: кому подчиняться?"

А.Сонин "Внутренний аудит сегодня: какой путь выбрать?" new!

А.Сонин "Зачем компании нужен внутренний аудит?"

А.Сонин "Корпоративное управление и внутренний аудит"

А.Сонин "Корпоративное управление: мифы и реальность"

А.Сонин "О чем говорят рейтинги корпоративного управления"

А.Сонин "Ревизионная комиссия в реалиях современного бизнеса"

А.Тихомиров "Ориентируясь на риски, или как оценивать внутренний контроль"