В.Кудрин "Внутренний аудит: перестройка имиджа"
Раздел: Теория внутреннего аудита
Василий Кудрин, дипломированный внутренний аудитор
Институт внутренних аудиторов
О развитии профессиональной услуги "Внутренний аудит", которая приобрела огромный интерес в последние годы как в международном, так и (теперь) в российском бизнесе - в статье Василия Кудрина, CIA, менеджера компании Ernst & Young, "Внутренний аудит: перестройка имиджа". Статья (с небольшими изменениями) впервые была опубликована в корпоративном журнале "ЮКОС-Ревю" № 4 (октябрь 2004 г.).
Что такое внутренний аудит?
Это «... деятельность по предоставлению независимых и объективных гарантий и консультаций, направленных на создание добавленной стоимости и совершенствование хозяйственной деятельности компании» (из Стандартов профессиональной практики внутреннего аудита). Гарантии и консультации - два продукта аудита. В одних аудиторских проектах (assurance) внутренние аудиторы дают разумные гарантии - ответ на вопрос, работает ли система внутреннего контроля, требует ли она улучшений. В других проектах (consulting) внутренние аудиторы могут работать как фасилитаторы, содействующие менеджерам в процессе принятия управленческих решений ... при этом вовсе не участвуя в самом процессе принятия решений роли не участвуют.
Внутренний аудит развивается и эволюционирует. В настоящее время выделяется 4 роли внутреннего аудита в компаниях: (1) оценка соблюдения процедур, (2) оценка составляющих внутреннего контроля, (3) содействие менеджменту в совершенствовании и ре-инжиниринге бизнес-процессов (performance improvement), (4) в реализации принятой стратегии бизнеса.
«Внутренний аудит помогает компании достичь поставленные цели, используя систематизированный и последовательный подход к оценке и повышению эффективности управления рисками, контроля и системы корпоративного управления». Так понимается внутренний аудит в лучшей международной практике. Именно с таким пониманием сегодня работают уже многие внутренние аудиторы, практикующие в России.
Внутренний аудит - это искусство, наука и техника одновременно. Современный внутренний аудит - это не просто проверка соблюдения регламентов. Это скорее похоже на творческий изыскательский проект, где каждый пласт информации требует нового осмысления, объяснения, дополнительного анализа. Потребности современного бизнеса усложняются и изменяются. Сам бизнес это и есть перемены, движение вперед, а внутренний аудит - услуга, которая всецело этому содействует. Перемены неизбежны! Мы всегда живем в период перемен - и очень часто почему-то этому удивляемся! Вместо того, чтобы пассивно наблюдать, как они на нас влияют, нам необходимо уметь их предвидеть, предпринимать инициативу и помогать Компании извлекать преимущества из данных перемен.
Управление рисками и внутренний аудит.
Лучшая практика внутреннего аудита ориентирована на поиск эффективных методов управления рисками. Под бизнес-риском мы понимаем вероятность того, что событие или действие при своем наступлении повлияют на способность достижения целей либо приведут к убыткам, ущербу для Компании. По сути это то, что препятствует нашей качественной работе, удовлетворенности клиентов и мотивации сотрудников, - то, что препятствует достижению наших бизнес-целей. Значит, соответствующее построение риск-менеджмента - это главная предпосылка корректного, должного функционирования функции «Внутренний аудит» в Компании. Именно коренные изменения в управлении рисками (risk management), революция в некотором смысле, сделают возможным полноценное использование внутреннего аудита в компаниях.
Однако в России внутренний аудит исторически, по инерции воспринимается как контрольно-ревизионная работа. Именно поэтому сегодня внутренний аудит сталкивается с трудностями. Даже в тех компаниях, где функция «Внутренний аудит» развивается по международных примерам, один из существенных рисков аудиторского проекта - это предвзятое восприятие работы внутренних аудиторов.
В чем перемены?
Первые задачи, связанные с построением службы внутреннего аудита во многих крупных компаниях, уже решены. Какие-то компании, чьи акции котируются в Нью-Йоркской фондовой бирже, к этому подтолкнули требования акта Сарабенса-Оксли (SOA, Sarbanes-Oxley Act); кто-то сам пришел к необходимости комплексной перестройки. Разработаны политики в области внутреннего аудита, приняты положения о внутреннем аудите, главное - выстроены организационные связи: в лучших практиках, а для кого-то по требованиям законодательства, внутренний аудит должен быть функционально подотчетен аудиторскому комитету совета директоров. Так обеспечивается независимость службы внутреннего аудита, а также формируется возможность постоянного контакта и конструктивном взаимодействия как с менеджментом, так и с советом директоров.
Проект внутреннего аудита можно рассмотреть как проект, задание (engagement), включающее 4 фазы:
- Определение предметной области и объема аудита (engagement scope);
- Планирование (engagement plan), в основном связанное с составлением программы проекта и планирование ресурсов;
- Выполнение (execute), или «полевые работы» (field work);
- Завершение (conclude), результатом которого является отчет (report). Отчет по результатам аудиторского проекта включает также план действий (action plan), разработанный менеджментом по результатам согласованных рекомендаций.
Определение предметной области.
- Проект открывается (инициируется) - как на основе годового плана (annual plan / program) внутреннего аудита, утверждаемого советом директоров, так и по согласованию с топ-менеджментом компании.
- Осуществляется сбор и анализ информации из различных источников, в том числе путем проведения интервью, составления опросников (questionnaires), организации выездов на объекты, «в поля» (preliminary surveys).
- Далее организуется встреча с куратором проекта со стороны клиента, где аудиторами добывается новая информация, и собирается информация, которая ранее не могла быть получена по различным причинам. На основе обсуждений, встреч, анализа информации формируется "техническое задание" (engagementproposal), необходимое для определения предметной области, или фронта и объема работ (engagementscope).
Важный шаг в аудиторском проекте - это встречи с клиентом. Аудиторы исходят из того, что встреча с клиентом должна быть тщательно подготовлена и проведена в конструктивной атмосфере. Ключевой фактор здесь - это всесторонняя подготовка встречи и профессионализм аудитора (due diligence).
Аудитор должен быть уверен, что работа, которую он делает, приносит пользу Компании и ее акционерам. Он должен понимать и уметь объяснять клиенту, в чем польза внутреннего аудита, почему и как им добавляется стоимость ("add value" approach).
На этом же этапе совместно с клиентом рассматривается схема бизнес-процесса, определяются и оцениваются на SMART бизнес-цели, обсуждается с клиентом список бизнес-рисков, оценивается их «вероятность» и «значимость», то есть составляется карта, или профиль / матрица, бизнес-рисков (risk profile / matrix).
Принцип SMART (SMART, Specific, Measurable, Agreed to, Realistic, Time-bound) - специфично, измеримо, согласованно, реалистично, своевременно. Критерий или стандарт, в соответствии с которым измеряются бизнес-цели и управленческие планы действий.
Планирование. В рамках «Планирования» аудиторы готовят программу внутреннего аудита и формируют команду аудиторов в соответствии с их компетенциями - знаниями, навыками и опытом. Далее организуется встреча аудиторов и менеджеров, на которую аудиторы приходит не только с концепцией аудиторского проекта, но и с программой проекта - графиком работ и конкретной аудиторской командой. По результатам такой встречи появляется письмо о взаимодействии, т.е. письма-обязательства (аналог engagement letter), которое является стандартом аудиторской практики. Данное письмо - есть договоренность между аудиторами и менеджерами о том, кто и что делает для того, чтобы на выходе получить результат в виде отчета внутренних аудиторов, включая разработанный менеджментом необходимый план действий.
Выполнение. После вступительной встречи стартует фаза «Выполнение». Некоторые аудиторские проекты теперь все больше охватывают всю Компанию, ведь бизнес в Компании все больше интегрируется, а с ним и система внутреннего контроля, и система управления рисками. При этом внутри стадии «Выполнение», как правило, организуются «полевые работы», выезды, особенно там, где необходимо понять, как система контролей выстроена на уровне бизнес-подразделений (business units).
«Выполнение» делится на 2 этапа - 2 части оценки системы внутреннего контроля: оценка дизайна контроля (control design evaluation) и тестирование контролей (testing). Цель оценки дизайна контроля - понять, насколько менеджмент при построении системы внутреннего контроля учел все необходимые критерии и цели контроля (control objectives, control criteria).
В мире существует несколько общепринятых принципов при построении системы внутреннего контроля. Наибольшую известность имеет модель, разработанная Комитетом спонсорских организаций - COSO (в которую входят такие организации, как AICPA, IIA, IMA, FEI, AAA. Именно на эту модель дана прямая ссылка в 404-й статье акта Сарбанеса-Оксли. По модели COSO Internal Control - Integrated Framework система внутреннего контроля состоит из 5 взаимосвязанных компонентов, каждый из которых имеет отношение ко всем категориям бизнес-целей (стратегическим, операционным, целям отчетности и соответствия требованиям законодательства):
- Контрольная среда - Control Environment;
- Система выявления и оценки рисков - Risk Assessment;
- Контрольные процедуры - Control Activities;
- Информационная среда и система коммуникаций - Information and Communicatoin;
- Мониторинг СВК - Monitoring.
В октября 2004 года издана новая разработка COSO - модель COSO ERM - Integrated Framework (ERM - enterprise risk model), которая объединила в себе как компоненты системы внутреннего контроля, так и компоненты системы управления рисками.
В настоящее время во многих крупных компаниях уже идет работа по формированию единого подхода к системе внутреннего контроля (internal control system) и оценке ее функционирования менеджментом (management assessment of controls). Внутренний аудит со своей риск-ориентированной методологией (risk - based approach) играет при этом важную роль в формировании эффективной системы внутреннего контроля, включая процесс управления рисками. В некоторых компаниях внутренний аудит даже берет на себя роль инициатора (trigger) этого процесса, без дальнейшего участия в формировании самой системы внутреннего контроля, т.к. это могло бы повлечь за собой нежелательное воздействие на независимость внутреннего аудита в компании.
Завершение. Завершается проект формированием отчета, который направляется ответственным менеджерам для обсуждения и согласования. По результатам согласования рекомендаций менеджмент составляет план действий (action plan), который становится неотъемлемой частью окончательного отчета (final report) аудитора.
Развитие внутреннего аудита.
Внутренний аудит развивается в 3-х взаимосвязанных составляющих: технология, люди и управление знаниями.
Технология. Сегодня о развитии внутреннего аудита можно говорить, если осваивается специализированное аудиторское программное обеспечение (ПО), в дальнейшем интегрированное с единым ПО в области управления рисками, а также прочими программными продуктами, имеющими общекорпоративный масштаб.
Люди - основной капитал любой службы внутреннего аудита. Их знания, навыки, опыт, профессионализм и креативность. Эффективная аудиторская команда включает специалистов в разных областях. Отдельный внутренний аудитор не обязан быть специалистом во всех направлениях. Но в совокупности команда должна обладать набором знаний и навыков, достаточным для реализации эффективного аудиторского проекта. Если во внутреннем аудите нет таких людей, то есть 2 выхода.
Первый - нанять человека извне, но, как правило, не из самой компании, т.к. по Стандартам в целях объективности и независимости аудитор не может оценивать контроли в тех процессах, где он был исполнителем, собственником в недавнем прошлом.
Другие решение - аутсорсинг внутреннего аудита - услуга, которую в России предлагают сегодня некоторые консультационные компании. Аутсорсинг, кроме того, может быть общим решением по компании.
Настоящий аудитор обладает 3 видами знаний:
- профессиональное знание аудиторских принципов, подходов и процедур;
- хорошее знание принципов управления, в том числе корпоративного управления;
- специальное знание в одной из областей, например финансы, право, ИТ, учет, логистика, закупки, производство и др.
Часто можно услышать, что аудиторы - дженералисты (от «general» - «общий», «общего характера»), ведь в своих проектах аудиторам приходится осваивать самые разные области деятельности. В дальнейшем из аудиторов получаются хорошие руководители высшего звена.
Одно из требований, предъявляемое к практикующим внутренним аудиторам, - это постоянное развитие, обучение. Во-первых, оно достигается само собой: аудиторы постоянно переключаются с одного проекта на другой - с одной области знаний на другую. Во-вторых, для внутренних аудиторов должны проводиться тренинги 2-х планов: на «аудиторскую» тематику и тренинги на развитие гибких навыков (soft skills) - коммуникационные, презентационные, управление проектами. В-третьих, аудиторы проходят профессиональное обучение и сдают экзамены на степень CIA (Certified Internal Auditor), поддерживаемую Институтом внутренних аудиторов (IIA, Institute of Internal Auditors).
Система управления знаниями (knowledge management). Управление знаниями - основа роста внутреннего аудита. Эта задача представляется особенно важной, т.к. внутреннему аудиту свойственна текучка, а знания должны оставаться именно там, где «проживает» внутренний аудит.
Итак, внутренний аудит развивается - в России и во всем мире. Но каждый продукт ценен благодаря его оценке своим потребителям. Клиенты - это прежде всего менеджеры Компании - люди, принимающие решения. Надо понимать, что высокоэффективный внутренний аудит - это уже не просто миф в российской деловой практике, а выраженная потребность. Сегодня нашим внутренним аудиторам остается сделать важный шаг - на деле подтвердить свою роль и подкрепить имидж. Наградой за это будут более эффективные аудиторские проекты и возросшая оценка услуги «внутренний аудит» со стороны акционеров и топ-менеджеров.