В этой записи рассмотрены особенности роста внутреннего аудитора от, в терминологии известной книги Л.Б. Сойера, «начального» до «оптимизированного» уровня. Впрочем, автор в отношении людей пишет по-другому, а именно от «внутреннего/внешнего аудитора» до «аудитора, ориентированного на цели».

Ниже попытаемся последовательно рассказать, что именно должно происходить с внутренним аудитором в ходе его превращения из внешнего в «оптимизированного» или хотя бы «управляемого», чего остерегаться и что будет полезным сделать. Таблица, положенная в основу сиих измышлений, взята из рисунка 2-2 со стр. 31. Траектории роста могут быть разными, например, если человек – бывший стратегический консультант, то он может сразу оказаться на уровне анализа достижения целей. Но это не совсем внутренний аудитор в классическом понимании, потому что анализировать процесс с точки зрения возможностей злоупотреблений тоже нужно уметь. Ниже рассмотрены преобразования в знаниях конкретного сотрудника вместе с движением к максимально возможному уровню всего подразделения внутреннего аудита.

Уровень 1. Внутренний/внешний аудитор.

Исходя из самого названия, идеальный кандидат на эту должность – внешний аудитор отчетности (может быть и бухгалтер, если писать умеет). Не аудитор СМК, потому что отчетность тоже нужно знать, а у СМК с этим проблемы.

Л.Б. Сойер совершенно логично и очень правильно подобрал в качестве дополнительных услуг этого уровня соблюдение требований стандартов/нормативных актов, а также соблюдение политик и процедур (если объединить всё в одно слово, то получится «compliance»). В большинстве случаев compliance-проверка не очень сложна. Такой тип работы можно назвать «наливай да пей»: берешь любой документ, читаешь, выписываешь требования, формируешь план проверки, да вперед. Но оценка, например, ПБиОТ и производства с точки зрения «физических» процессов, или соблюдения каких-либо требований регуляторов с точки зрения «бумажных» процессов, может быть нетривиальной. Тем не менее, наблюдения показывают, что превращение из внешнего во внутреннего аудитора этого уровня происходит достаточно быстро, и через некоторое время в любом процессе любой человек сможет найти кучу несоответствий каким-либо требованиям.

Стандартная ошибка на этом уровне развития внутреннего аудитора – думать, что его работа очень полезна и недоумевать, почему заказчики и менеджмент поплевывают как на замечания, так и на рекомендации. Ответ простой – пусть даже Вам и «заказывали» compliance-проверку, скорее всего, хотели решения проблемы. А compliance этого, увы, не дает. Вспоминается история  >10-летней давности, когда compliance-аудиторы в составе 5 человек через три недели принесли владельцу отчет на 75 тыс. руб. (это не $1000, а примерно $3000, но всё равно «масштабно»). Не в смысле авансовый отчет принесли, а в смысле нарушений нашли на эту сумму. Внутренний аудит прекратил свое существование в этой организации очень быстро.

Советы:

  1. Учитесь по документу понимать, как может выглядеть процесс. В дальнейшем пригодится.
  2. Выявляйте наиболее рисковые области, то есть включайте в программу то, что с высокой вероятностью будет нарушено, и не включайте то, что практически гарантировано будет соблюдаться. Хотя в терминологии книги – это уже аж третий уровень.
  3. Научитесь отличать «многочисленные нарушения основополагающих документов» от «отдельных недостатков». Речь идет об общих выводах по результатам проверки.

Уровень 2. Аудитор процесса внутреннего контроля.

Исключая случай поврежденной психики (может возникать как с рождения, так и по итогам работы где-нибудь в специфическом месте), любой проверяющий начнет задумываться – а абсолютно ли совершенны те документы, соблюдение требований которых он проверяет? И возникает, в формулировке таблицы из книги, попытка «оценки контроля над важными операционными процессами». Толчком может быть ситуация, когда «внутренний/внешний аудитор» сообщил об отсутствии нарушений регламента либо об отдельных недостатках (пусть даже в стиле «многочисленных нарушений основополагающих документов»), но оказывается, что даже если устранить эти недостатки – лучше бы не стало, о чем ему и сообщили. Типовой пример – закупки. Вроде все процедуры соблюдены, а купили в два раза дороже, чем в розницу.

В общем, разными путями к аудитору приходит осознание того, что проблема – не в соблюдении документов, а в качестве самих документов. Большинство людей делает этот шаг вперед в профессиональном развитии достаточно легко – тяжело не обратить внимание, что круглое носят, а квадратное катают. И, сопоставляя результаты процессов с регламентирующими этот процесс документами, вполне можно выявить и рекомендовать устранить большие дыры во внутреннем контроле.

Типовая ошибка «аудитора процесса внутреннего контроля» – думать, что все проблемы – в несовершенстве нормативной документации. И достаточно описать каждый возможный случай в регламенте, заставить всех выполнять этот регламент – и, вуаля, цели организации будут легко достигнуты. Более того, при жизни на этом уровне в течение 1-2 лет без попытки перейти на следующий с высокой вероятностью будет наблюдаться эффект Даннинга-Крюгера. Причем, человек будет себя не недооценивать, а переоценивать. Анализ документов, как правило, покажет большое количество дыр, несоблюдений регламентов обычно много. В общем, недалеко до перманентной мысли «все проблемы потому, что не исполняют мои рекомендации, и если бы послушали бы умного человека, всё давно бы достигло оптимума».

Советы:

  1. Начинайте применять технику «5 почему» для поиска коренной причины. Как правило, даже у очевидных проблем во внутреннем контроле долгая история.
  2. Пытайтесь отделить сопли зёрна от плевел при выдаче рекомендаций. Уже на этом уровне важно отличать важное именно для бизнеса от мелочей, который должны быть указаны в приложении №10 между строк.  

Уровень 3. Риск-ориентированный аудитор.

Аудитор процесса внутреннего контроля как правило, быстро вырастает до уровня риск-ориентированного внутреннего аудитора. Достаточно прочитать какую-нибудь книгу про внутренний контроль, сходить на тренинг/семинар, изучить интернет и т.п. Риски процессов выявляются достаточно просто, основная рекомендация – устранить эти самые риски, при разумном подходе система внутреннего контроля для основных процессов становится разумной. Как минимум, в отличие от предыдущего случая, не ждём, что что-то случится, а сразу предусматриваем регламентом какую-либо контрольную процедуру.

Типовая ошибка при оценке рисков – вовремя не остановиться в «непрерывном» совершенствовании. Несмотря на 100 выявленных рисков в процессе и внедрению контрольной процедуры на каждый выявленный риск, процесс всё равно может получиться плохим, см. примеры. И внутренний аудитор инициирует пересмотр рисков, выявляет еще 10… В общем, замкнутый цикл, который, как правило, стабилизируется на создании в каждом большом подразделении должности, основная задача которой – производство внутренних документов и отчетов об их исполнении. Связь с реальным миром – как в «законе тысячи» Паркинсона: «Учреждение, в котором работают более тысячи сотрудников, становится «вечной» империей, создающей так много внутренней работы, что больше не нуждается в контактах с внешним миром».

Более значимая проблема связана с необходимостью изменить ментальность. Если внимательно читать книгу Л.Б. Сойера, то принципиальное различие между риск-ориентированным аудитором (уровень 3) и аудитором, ориентированным на управление рисками (уровень 4) – это подходы к оценке рисков, а именно «снизу вверх» и «сверху вниз» соответственно. Наш условный аудитор может столкнуться с тем, что выявление рисков в некоторых процессах затруднено. Особенно если ты занимался бухгалтерским учетом либо, например, учетом ТМЦ и переходишь к анализу НИОКР, GR, PR, разработке программного обеспечения либо чего-нибудь аналогичного вплоть до благотворительности. Связано с тем, что написать регламент ТМЦ – несложно, регламент НИОКР – почти невозможно.

И вот здесь внутреннему аудитору предстоит тяжелая развилка: либо человек сразу понимает, что оценка «снизу вверх» не работает и переходит к оценке рисков «сверху вниз», то есть на следующий уровень, либо начинается ерунда. Ерунда состоит в том, что мы по-прежнему берем какой-нибудь регламент (а он может быть абсолютно формальным, например, для СМК), при отсутствии – рисуем блок-схему. Далее ментально, а потом и документально, связываем плохие результаты процесса с нарушениями этого регламента. То есть НИОКР не удается не потому, что на специалистах экономим, системного подхода нет, а лаборатория далека от мировых стандартов, а по причине отсутствия заполнения формы №3Ж на этапе бюджетирования и отсутствия акта по форме №5Х при оценке результативности. Потому что требования к ученому или лаборатории не прописаны, а необходимость форм – прописана. Кстати, если аудитору быстро не обрубить такой подход – пиши пропало, он всю оставшуюся жизнь будет все видимые проблемы от пандемии до политической нестабильности сводить к форме №3Ж (ну, или №5Х).

Совет (помимо перехода на следующий уровень): избегайте большого количества макулатуры по итогам своей работы. Не обязательно производить её самим, речь идет и о рекомендациях. Можно втянуть в блудни «матриц рисков и контролей» весь коллектив. Деревья жалко.

Уровень 4. Аудитор, ориентированный на управление рисками.

Для того, чтобы оказаться на этом уровне, нужно понимать, что:

  • не на всё в этой жизни существует разъяснение Минфина (внутренний регламент, инструкция ВЦСПС, …);
  • наличие регламентов процессов, регулярное обновление матриц рисков и контролей, объемы проверок и количество проверяющих, вообще говоря, мало связаны с достижением целей бизнеса. Подчеркну, что в предыдущем предложении отсутствует упоминание ненужности регламентации, проверок и т.п. Как говорит один из руководителей одного из субхолдингов, где я сейчас работаю, существуют «гигиенические» вещи (от положения о договорной работе до регламентов информационной безопасности), которые должны быть вне зависимости от стратегии. Но, как ни странно, цели организации могут быть достигнуты и без этих «гигиенических» вещей, просто с ними EBITDA будет больше.

Увы, очень многие из аудиторов до этого уровня и не доходят, оставаясь толковыми аудиторами процессов. Но если Вы внутренне согласились с приведенными пунктами, полдела уже сделано. Вторые полдела – внутренний аудитор должен дорасти до квалифицированного консультанта по рискам. Наш подход к рискам – здесь.

Риски – это, в первую очередь, суждение. С этой точки зрения неплохо, когда бывший внешний аудитор занимался отчетностью МСФО – там для суждения место есть. Сложнее будет бывшему аудитору отчетности по РСБУ, см. первый буллит первого абзаца этого раздела. Само суждение будет зависеть от кругозора, опыта и понимания текущего бизнеса. И здесь вероятность ошибок, особенно в самом начале, очень высока. Зато есть огромное пространство для развития, именно на этом этапе жизни внутреннего аудитора должно возникнуть желание исследовать высокие материи – стратегии (какие риски достижения целей в целом), этические ценности, «тон сверху» и т.п.

В общем, внутренний аудитор всё больше становится внутренним консультантом, так как ценно не выявленное нарушение, а его, аудитора, профессиональное суждение. И, естественно, возрастают риски и ответственность (у консультанта ее минимум после подписания акта выполненных работ, а внутренний аудитор надеется работать в компании долго). Типовая ошибка для аудитора, ориентированного на управление рисками – естественно, ошибки, основанные на непонимании бизнеса, а также высокая вероятность вернуться к матрице рисков и контролей как основной рекомендации. То есть на всякий риск должна быть контрольная процедура. Если такое происходит – см. ерунду из предыдущего раздела, возможно, чуть менее выпуклую.

Совет: не идти по принципу рекомендаций «чтобы корова меньше ела и давала больше молока, ее нужно меньше кормить и больше доить». Смотрите на организацию сверху и комплексно, многие кажущиеся при подходе «снизу вверх» важными элементами управления при взгляде «сверху вниз» окажутся малозначимыми.

Уровень 5. Аудитор, ориентированный на цели.

Другое название такого аудитора в авторстве Л.Б. Сойера – «доверенный советник». Название хорошее, мне нравится. Одна особенность – достижение такого уровня никак не измеряется, доверенным советником не становятся приказом по предприятию. Но стремиться нужно.

Особенность бытия аудитора, ориентированного на цели – нужно во многих функциональных областях иметь знания на уровне заместителя руководителя этой области. Здесь, как мне кажется, основная задача внутреннего аудитора следует из миссии, а точнее финальных слов, «обмен знаниями». Именно трансляция своего широкого кругозора (пусть даже почерпнутого из интернетов, не говоря о личном опыте в других организациях) может вызвать уважение у менеджмента.

Надо быть готовым к тому, что возможны разные варианты достижения цели. Соответственно, менеджмент может выбрать, например, более рисковый путь, чем можно было бы. Решения пусть принимает менеджмент, Ваша задача – ждать. Через 3 года появится полное право сообщить о том, что «я же предупреждал, было очевидно».

Принципиальная ошибка внутреннего аудитора, ориентированного на цели, связана с ростом толерантности. С точки зрения достижения целей корявая стратегия – безусловно, значительно большая беда, чем текущие недостатки, условно, в системе ТОиР. Поэтому и не хочется «заниматься всякой мелочевкой», вмешиваться в процесс, ругаться с менеджментом, потому что всё равно ТОиР никогда не бывает идеальным. Дополнительный факт – внутренний аудитор, ориентированный на цели, как правило, имеет большой опыт и видел в жизни всякое. Поэтому новизны в большинстве находок, в отличие от молодого внутреннего аудитора, для него уже нет, становится скучно, знаешь 90% вопросов менеджмента и ответов на них и т.п. И начинается внутренняя дискуссия, что зачем мне туда лезть, если всё равно ничего не поменяешь. Еще один вариант – Вы начинаете подсознательно (или даже сознательно) торговаться с менеджментом: например, он реализует Ваши системные рекомендации, Вы не доводите какую-нибудь пакость про этого менеджера наверх. 

Совет: регулярно спускайтесь с облаков. Когда внутренний аудит не рассматривает процессы на самом нижнем уровне, есть риск пропустить что-то интересное. Безусловно, можно ссылаться на мудрость и жизненный опыт, но когда окажется, что не заметили отсутствие забора на площадке, а там что-то пропало – на Вас тоже посмотрят. Ну и на зарплату с премией, думаю, в любой организации по итогам каждого года внутренний аудит должен собирать, хотя вроде как в целях этого нет. А это бывает только при анализе процессов и тестировании контрольных процедур.

Факторы роста.

В заключение – несколько элементов потенциального роста на протяжении жизни внутреннего аудитора. Что точно может ускорить рост:

  • для аудитора:
    • работа в молодости по несколько лет на разных предприятиях. При работе в одной компании с молодости на протяжении 10-15 лет привыкаешь к «местному сумасшедшему дому», и возникает ментальная ловушка – нормальным кажется даже явно идиотическое решение. После 35-40 лет долгая карьера, наоборот, становится возможной;
    • пропуск через критическое рассмотрение максимального количества разной информации из самых разных источников. Да, может привести к профессиональной деформации, когда во всем видишь подвохи. Не без этого;
    • глубокое понимание производственных процессов (для производственных компаний);
  • для подразделения в целом – обеспечение максимального кругозора сотрудников. Если в службах изначально 5 аттестованных внешних аудиторов – расти будете медленно.

Что еще интересно – рост не зависит от масштаба компании (иногда лучше оказать одним из трех внутренних аудиторов, чем одним из двадцати трех), а также от владельцев (даже в государственных компаниях вполне себе встречается аудит уровня доверенного советника).

Если вы нашли ошибку, пожалуйста, выделите фрагмент текста и нажмите Ctrl+Enter.