В этой записи рассмотрены особенности роста внутреннего аудитора от, в терминологии известной книги Л.Б. Сойера, «начального» до «оптимизированного» уровня. Впрочем, автор в отношении людей пишет по-другому, а именно от «внутреннего/внешнего аудитора» до «аудитора, ориентированного на цели».
Ниже попытаемся последовательно рассказать, что именно должно происходить с внутренним аудитором в ходе его превращения из внешнего в «оптимизированного» или хотя бы «управляемого», чего остерегаться и что будет полезным сделать. Таблица, положенная в основу сиих измышлений, взята из рисунка 2-2 со стр. 31. Траектории роста могут быть разными, например, если человек – бывший стратегический консультант, то он может сразу оказаться на уровне анализа достижения целей. Но это не совсем внутренний аудитор в классическом понимании, потому что анализировать процесс с точки зрения возможностей злоупотреблений тоже нужно уметь. Ниже рассмотрены преобразования в знаниях конкретного сотрудника вместе с движением к максимально возможному уровню всего подразделения внутреннего аудита.
Уровень 1. Внутренний/внешний аудитор.
Исходя из самого названия, идеальный кандидат на эту должность – внешний аудитор отчетности (может быть и бухгалтер, если писать умеет). Не аудитор СМК, потому что отчетность тоже нужно знать, а у СМК с этим проблемы.
Л.Б. Сойер совершенно логично и очень правильно подобрал в качестве дополнительных услуг этого уровня соблюдение требований стандартов/нормативных актов, а также соблюдение политик и процедур (если объединить всё в одно слово, то получится «compliance»). В большинстве случаев compliance-проверка не очень сложна. Такой тип работы можно назвать «наливай да пей»: берешь любой документ, читаешь, выписываешь требования, формируешь план проверки, да вперед. Но оценка, например, ПБиОТ и производства с точки зрения «физических» процессов, или соблюдения каких-либо требований регуляторов с точки зрения «бумажных» процессов, может быть нетривиальной. Тем не менее, наблюдения показывают, что превращение из внешнего во внутреннего аудитора этого уровня происходит достаточно быстро, и через некоторое время в любом процессе любой человек сможет найти кучу несоответствий каким-либо требованиям.
Стандартная ошибка на этом уровне развития внутреннего аудитора – думать, что его работа очень полезна и недоумевать, почему заказчики и менеджмент поплевывают как на замечания, так и на рекомендации. Ответ простой – пусть даже Вам и «заказывали» compliance-проверку, скорее всего, хотели решения проблемы. А compliance этого, увы, не дает. Вспоминается история >10-летней давности, когда compliance-аудиторы в составе 5 человек через три недели принесли владельцу отчет на 75 тыс. руб. (это не $1000, а примерно $3000, но всё равно «масштабно»). Не в смысле авансовый отчет принесли, а в смысле нарушений нашли на эту сумму. Внутренний аудит прекратил свое существование в этой организации очень быстро.
Советы:
- Учитесь по документу понимать, как может выглядеть процесс. В дальнейшем пригодится.
- Выявляйте наиболее рисковые области, то есть включайте в программу то, что с высокой вероятностью будет нарушено, и не включайте то, что практически гарантировано будет соблюдаться. Хотя в терминологии книги – это уже аж третий уровень.
- Научитесь отличать «многочисленные нарушения основополагающих документов» от «отдельных недостатков». Речь идет об общих выводах по результатам проверки.
Уровень 2. Аудитор процесса внутреннего контроля.
Исключая случай поврежденной психики (может возникать как с рождения, так и по итогам работы где-нибудь в специфическом месте), любой проверяющий начнет задумываться – а абсолютно ли совершенны те документы, соблюдение требований которых он проверяет? И возникает, в формулировке таблицы из книги, попытка «оценки контроля над важными операционными процессами». Толчком может быть ситуация, когда «внутренний/внешний аудитор» сообщил об отсутствии нарушений регламента либо об отдельных недостатках (пусть даже в стиле «многочисленных нарушений основополагающих документов»), но оказывается, что даже если устранить эти недостатки – лучше бы не стало, о чем ему и сообщили. Типовой пример – закупки. Вроде все процедуры соблюдены, а купили в два раза дороже, чем в розницу.
В общем, разными путями к аудитору приходит осознание того, что проблема – не в соблюдении документов, а в качестве самих документов. Большинство людей делает этот шаг вперед в профессиональном развитии достаточно легко – тяжело не обратить внимание, что круглое носят, а квадратное катают. И, сопоставляя результаты процессов с регламентирующими этот процесс документами, вполне можно выявить и рекомендовать устранить большие дыры во внутреннем контроле.
Типовая ошибка «аудитора процесса внутреннего контроля» – думать, что все проблемы – в несовершенстве нормативной документации. И достаточно описать каждый возможный случай в регламенте, заставить всех выполнять этот регламент – и, вуаля, цели организации будут легко достигнуты. Более того, при жизни на этом уровне в течение 1-2 лет без попытки перейти на следующий с высокой вероятностью будет наблюдаться эффект Даннинга-Крюгера. Причем, человек будет себя не недооценивать, а переоценивать. Анализ документов, как правило, покажет большое количество дыр, несоблюдений регламентов обычно много. В общем, недалеко до перманентной мысли «все проблемы потому, что не исполняют мои рекомендации, и если бы послушали бы умного человека, всё давно бы достигло оптимума».
Советы:
- Начинайте применять технику «5 почему» для поиска коренной причины. Как правило, даже у очевидных проблем во внутреннем контроле долгая история.
- Пытайтесь отделить сопли зёрна от плевел при выдаче рекомендаций. Уже на этом уровне важно отличать важное именно для бизнеса от мелочей, который должны быть указаны в приложении №10 между строк.
Уровень 3. Риск-ориентированный аудитор.
Аудитор процесса внутреннего контроля как правило, быстро вырастает до уровня риск-ориентированного внутреннего аудитора. Достаточно прочитать какую-нибудь книгу про внутренний контроль, сходить на тренинг/семинар, изучить интернет и т.п. Риски процессов выявляются достаточно просто, основная рекомендация – устранить эти самые риски, при разумном подходе система внутреннего контроля для основных процессов становится разумной. Как минимум, в отличие от предыдущего случая, не ждём, что что-то случится, а сразу предусматриваем регламентом какую-либо контрольную процедуру.
Типовая ошибка при оценке рисков – вовремя не остановиться в «непрерывном» совершенствовании. Несмотря на 100 выявленных рисков в процессе и внедрению контрольной процедуры на каждый выявленный риск, процесс всё равно может получиться плохим, см. примеры. И внутренний аудитор инициирует пересмотр рисков, выявляет еще 10… В общем, замкнутый цикл, который, как правило, стабилизируется на создании в каждом большом подразделении должности, основная задача которой – производство внутренних документов и отчетов об их исполнении. Связь с реальным миром – как в «законе тысячи» Паркинсона: «Учреждение, в котором работают более тысячи сотрудников, становится «вечной» империей, создающей так много внутренней работы, что больше не нуждается в контактах с внешним миром».
Более значимая проблема связана с необходимостью изменить ментальность. Если внимательно читать книгу Л.Б. Сойера, то принципиальное различие между риск-ориентированным аудитором (уровень 3) и аудитором, ориентированным на управление рисками (уровень 4) – это подходы к оценке рисков, а именно «снизу вверх» и «сверху вниз» соответственно. Наш условный аудитор может столкнуться с тем, что выявление рисков в некоторых процессах затруднено. Особенно если ты занимался бухгалтерским учетом либо, например, учетом ТМЦ и переходишь к анализу НИОКР, GR, PR, разработке программного обеспечения либо чего-нибудь аналогичного вплоть до благотворительности. Связано с тем, что написать регламент ТМЦ – несложно, регламент НИОКР – почти невозможно.
И вот здесь внутреннему аудитору предстоит тяжелая развилка: либо человек сразу понимает, что оценка «снизу вверх» не работает и переходит к оценке рисков «сверху вниз», то есть на следующий уровень, либо начинается ерунда. Ерунда состоит в том, что мы по-прежнему берем какой-нибудь регламент (а он может быть абсолютно формальным, например, для СМК), при отсутствии – рисуем блок-схему. Далее ментально, а потом и документально, связываем плохие результаты процесса с нарушениями этого регламента. То есть НИОКР не удается не потому, что на специалистах экономим, системного подхода нет, а лаборатория далека от мировых стандартов, а по причине отсутствия заполнения формы №3Ж на этапе бюджетирования и отсутствия акта по форме №5Х при оценке результативности. Потому что требования к ученому или лаборатории не прописаны, а необходимость форм – прописана. Кстати, если аудитору быстро не обрубить такой подход – пиши пропало, он всю оставшуюся жизнь будет все видимые проблемы от пандемии до политической нестабильности сводить к форме №3Ж (ну, или №5Х).
Совет (помимо перехода на следующий уровень): избегайте большого количества макулатуры по итогам своей работы. Не обязательно производить её самим, речь идет и о рекомендациях. Можно втянуть в блудни «матриц рисков и контролей» весь коллектив. Деревья жалко.
Уровень 4. Аудитор, ориентированный на управление рисками.
Для того, чтобы оказаться на этом уровне, нужно понимать, что:
- не на всё в этой жизни существует разъяснение Минфина (внутренний регламент, инструкция ВЦСПС, …);
- наличие регламентов процессов, регулярное обновление матриц рисков и контролей, объемы проверок и количество проверяющих, вообще говоря, мало связаны с достижением целей бизнеса. Подчеркну, что в предыдущем предложении отсутствует упоминание ненужности регламентации, проверок и т.п. Как говорит один из руководителей одного из субхолдингов, где я сейчас работаю, существуют «гигиенические» вещи (от положения о договорной работе до регламентов информационной безопасности), которые должны быть вне зависимости от стратегии. Но, как ни странно, цели организации могут быть достигнуты и без этих «гигиенических» вещей, просто с ними EBITDA будет больше.
Увы, очень многие из аудиторов до этого уровня и не доходят, оставаясь толковыми аудиторами процессов. Но если Вы внутренне согласились с приведенными пунктами, полдела уже сделано. Вторые полдела – внутренний аудитор должен дорасти до квалифицированного консультанта по рискам. Наш подход к рискам – здесь.
Риски – это, в первую очередь, суждение. С этой точки зрения неплохо, когда бывший внешний аудитор занимался отчетностью МСФО – там для суждения место есть. Сложнее будет бывшему аудитору отчетности по РСБУ, см. первый буллит первого абзаца этого раздела. Само суждение будет зависеть от кругозора, опыта и понимания текущего бизнеса. И здесь вероятность ошибок, особенно в самом начале, очень высока. Зато есть огромное пространство для развития, именно на этом этапе жизни внутреннего аудитора должно возникнуть желание исследовать высокие материи – стратегии (какие риски достижения целей в целом), этические ценности, «тон сверху» и т.п.
В общем, внутренний аудитор всё больше становится внутренним консультантом, так как ценно не выявленное нарушение, а его, аудитора, профессиональное суждение. И, естественно, возрастают риски и ответственность (у консультанта ее минимум после подписания акта выполненных работ, а внутренний аудитор надеется работать в компании долго). Типовая ошибка для аудитора, ориентированного на управление рисками – естественно, ошибки, основанные на непонимании бизнеса, а также высокая вероятность вернуться к матрице рисков и контролей как основной рекомендации. То есть на всякий риск должна быть контрольная процедура. Если такое происходит – см. ерунду из предыдущего раздела, возможно, чуть менее выпуклую.
Совет: не идти по принципу рекомендаций «чтобы корова меньше ела и давала больше молока, ее нужно меньше кормить и больше доить». Смотрите на организацию сверху и комплексно, многие кажущиеся при подходе «снизу вверх» важными элементами управления при взгляде «сверху вниз» окажутся малозначимыми.
Уровень 5. Аудитор, ориентированный на цели.
Другое название такого аудитора в авторстве Л.Б. Сойера – «доверенный советник». Название хорошее, мне нравится. Одна особенность – достижение такого уровня никак не измеряется, доверенным советником не становятся приказом по предприятию. Но стремиться нужно.
Особенность бытия аудитора, ориентированного на цели – нужно во многих функциональных областях иметь знания на уровне заместителя руководителя этой области. Здесь, как мне кажется, основная задача внутреннего аудитора следует из миссии, а точнее финальных слов, «обмен знаниями». Именно трансляция своего широкого кругозора (пусть даже почерпнутого из интернетов, не говоря о личном опыте в других организациях) может вызвать уважение у менеджмента.
Надо быть готовым к тому, что возможны разные варианты достижения цели. Соответственно, менеджмент может выбрать, например, более рисковый путь, чем можно было бы. Решения пусть принимает менеджмент, Ваша задача – ждать. Через 3 года появится полное право сообщить о том, что «я же предупреждал, было очевидно».
Принципиальная ошибка внутреннего аудитора, ориентированного на цели, связана с ростом толерантности. С точки зрения достижения целей корявая стратегия – безусловно, значительно большая беда, чем текущие недостатки, условно, в системе ТОиР. Поэтому и не хочется «заниматься всякой мелочевкой», вмешиваться в процесс, ругаться с менеджментом, потому что всё равно ТОиР никогда не бывает идеальным. Дополнительный факт – внутренний аудитор, ориентированный на цели, как правило, имеет большой опыт и видел в жизни всякое. Поэтому новизны в большинстве находок, в отличие от молодого внутреннего аудитора, для него уже нет, становится скучно, знаешь 90% вопросов менеджмента и ответов на них и т.п. И начинается внутренняя дискуссия, что зачем мне туда лезть, если всё равно ничего не поменяешь. Еще один вариант – Вы начинаете подсознательно (или даже сознательно) торговаться с менеджментом: например, он реализует Ваши системные рекомендации, Вы не доводите какую-нибудь пакость про этого менеджера наверх.
Совет: регулярно спускайтесь с облаков. Когда внутренний аудит не рассматривает процессы на самом нижнем уровне, есть риск пропустить что-то интересное. Безусловно, можно ссылаться на мудрость и жизненный опыт, но когда окажется, что не заметили отсутствие забора на площадке, а там что-то пропало – на Вас тоже посмотрят. Ну и на зарплату с премией, думаю, в любой организации по итогам каждого года внутренний аудит должен собирать, хотя вроде как в целях этого нет. А это бывает только при анализе процессов и тестировании контрольных процедур.
Факторы роста.
В заключение – несколько элементов потенциального роста на протяжении жизни внутреннего аудитора. Что точно может ускорить рост:
- для аудитора:
- работа в молодости по несколько лет на разных предприятиях. При работе в одной компании с молодости на протяжении 10-15 лет привыкаешь к «местному сумасшедшему дому», и возникает ментальная ловушка – нормальным кажется даже явно идиотическое решение. После 35-40 лет долгая карьера, наоборот, становится возможной;
- пропуск через критическое рассмотрение максимального количества разной информации из самых разных источников. Да, может привести к профессиональной деформации, когда во всем видишь подвохи. Не без этого;
- глубокое понимание производственных процессов (для производственных компаний);
- для подразделения в целом – обеспечение максимального кругозора сотрудников. Если в службах изначально 5 аттестованных внешних аудиторов – расти будете медленно.
Что еще интересно – рост не зависит от масштаба компании (иногда лучше оказать одним из трех внутренних аудиторов, чем одним из двадцати трех), а также от владельцев (даже в государственных компаниях вполне себе встречается аудит уровня доверенного советника).
Завлекательный текст, живой. Несколько неточно использование только книги Сойера как методики оценки изменений роли аудитора. Там идет речь о модели компетентности и модели зрелости процессов. Вы же описываете другую конструкцию вообще. Откуда пришел специалист, с каким багажом, что ему нужно подтянуть. Идея интересная
Здравствуйте, Денис Вячеславович.
Еще раз посмотрел — в таблице в книге написано «аудитор». Возможно, кривой перевод, оригинал не читал. Поэтому как понял/прочитал, так и описываю рост специалиста от «внутреннего/внешнего аудитора» до «доверенного советника». И даже если автор и переводчики имели ввиду что-то другое — возражать не буду, статья — всего лишь наше мнение и рекомендации. Да и лучшей классификации именно аудиторов придумать тяжело…
Спасибо за отзыв! С наступившим!
С уважением,
Роман Макеев.