В свете выхода новых Практических указаний РА 2320-4, посвященных непрерывному мониторингу и аудиту (доступны членам института как на
основном сайте IIA, так и на сайте
российского отделения), хотелось бы поднять эту тему, так несправедливо обойденную вниманием четыре года назад.
Образно выражаясь, для более оперативного реагирования на изменчивую ситуацию нам рекомендуется использование формулы
continuous assurance = continuous monitoring + continuous auditing. При этом разграничение между последними двумя происходит по владельцу процесса: за первое несет ответственность менеджмент (бизнес), за второе - внутренний аудит.
Казалось бы, на первый взгляд все понятно: есть непрерывный контроль со стороны менеджмента, есть непрерывный аудит со стороны внутреннего аудита. Но, как правильно отмечено в статье, ссылкой на которую поделился
btm, до сих пор нет однозначности в определении "непрерывности". В Указаниях предлагается определять периодичность сообразно уровню риска и адекватности контроля со стороны менеджмента, в диапазоне между режимом реального времени и некоей простой периодичностью "раз в...". То есть сохраняется, по моему мнению, некоторая неопределенность во временных промежутках. Можно ли, например, называть ежеквартальный аудит непрерывным? А ежемесячный? Ответ на это, видимо, остается на наше усмотрение.
Дальше возникает вопрос: где заканчивается одно и начинается другое? Вот один из примеров, который приводится в статье:
AEP (прим.: название компании), which consumes a lot of fuel to power its fleet of repair vehicles, has automated audits that identify excessive fuel usage and improper use of credit cards issued for charging fleet expenses. На мой взгляд, это пример вполне стандартной проверки, которую может (и должен) осуществлять менеджмент.
В следующем примере с Майкрософтом мы видим, что:
Eventually the department reached what Digenan (прим.: Директор по аудиту Майкрософта) calls the "next level," handing off processes to management that it could use in its continuous monitoring efforts. Становится понятнее, что степень вовлеченности аудита в осуществлении
continuous assurance может зависеть от "зрелости" системы внутреннего контроля в организации. Да и Указания нам говорят, что
"continuous auditing routines developed by internal auditors, when appropriate, may be transitioned to management, in which case they become continuous monitoring procedures performed by management". После такой передачи функций роль внутреннего аудита становится более привычной, а именно: периодическая оценка дизайна и результативности контролей, используемых менеджментом.
В связи со всем описанным выше, и в дополнение к вопросам
btm, предлагаю поделиться вашим отношением к ситуации, когда внутренний аудит по сути берет на себя функции менеджмента по непрерывному мониторингу (как в случае с вышеприведенным примером AEP). Правильно ли это? Какие могут быть случаи, когда передача контроля от аудита бизнесу невозможна?
