Для внутреннего аудитора кодекс этики, определенный международными стандартами внутреннего аудита – это основополагающий, чуть ли не священный документ. Однако для человека более-менее стороннего, все эти требования кодекса в части объективности, честности, непредвзятости и т.д. не выглядят столь уж очевидными. А людям от бизнеса те или иные требования ко внутреннему аудиту объяснить, порой, вообще очень и очень тяжело. Поэтому мы решили непредвзято, с точки зрения пользы для организации посмотреть на требования, предъявляемые международными стандартами ко внутреннему аудитору, оценить возможность контроля за исполнением этих требований, посмотреть на вероятность выявить некоторые отклонения при контроле. Ну и конечно же – подумать: как эти выявленные отклонения могли бы повлиять на бизнес. На основании полученных данных, мы сделали свое оценочное суждение – об уместности или неоправданности того или иного требования. Итак, в стандартах (точнее, правилах поведения) начало такое: «Внутренние аудиторы…» + требование.

Вперед, к анализу, который для удобства чтения разместили в четырех таблицах:

  1. Честность.

Требование

Как контролировать?

Вероятность выявить отклонение

Влияние на бизнес

Вывод

1.1. Должны выполнять свою работу честно, добросовестно и ответственно.

Оценочное суждение руководителя.

Проверка результата аудиторского задания на соответствие ТЗ.

И полиграф не даст результатов, потому что внутренний аудитор будет искренне верить, что работает честно, добросовестно и ответственно.

Низкая. Объективного мнения не существует априори, а объем ТЗ по формальным признакам может быть выполнен и при скудном результате. Поэтому, если внутренний аудитор не идиот, попасться практически невозможно.

Низкое. Если отдельно взятый аудитор будет выполнять свою работу лживо, плохо и безответственно, бизнес вряд ли это заметит.

Требование излишнее

1.2. Должны действовать в

рамках закона и, если того требуют профессиональные стандарты, раскрывать соответствующую информацию.

Горячая линия, стукачество (whistleblowing) со стороны коллег в широком смысле слова (не только из подразделения внутреннего аудита, но и из других).

Низкая. Много ли вы знаете случаев, когда аудиторы действовали незаконно и их как-то поймали и привлекли к ответственности?

Высокое. Кейс с господином Магнитским это доказывает

Требование уместное

1.3. Не должны сознательно участвовать в акциях или действиях, дискредитирующих профессию внутреннего аудитора или свою организацию.

Разработать перечень дискредитирующих профессию действий. Нанять детектива, чтобы отслеживал действия аудитора. И чтобы ютуб отсматривал на предмет случаев пьяного дебоша аудитора.

Низкая. Перечень рассматриваемых действий – множество счетное, но не факт, что конечное. Как такое контролировать?

Высокое. Если аудитор дискредитировал компанию, это может привести к остановке бизнеса.

Черный лебедь во плоти – невозможно контролировать ситуацию. Требование излишнее.

1.4. Должны уважать юридически и этически оправданные цели своей организации и вносить вклад в их достижение.

 

Полиграф? Представьте верующего аудитора, работающего в компании по производству презервативов.

-Вы уважаете этически оправданную цель компании: производить средства контрацепции?

-Да.

-Пиип. Уволен!

Средняя. С помощью средств объективного контроля реальное отношение дел к тому или иному вопросу установить, конечно же можно. Но имеет ли это рациональное с точки зрения экономики зерно – вопрос спорный.

Низкое. Непонятно, кто юридическую оправданность целей устанавливает, а с этической еще хуже. Слабо верится, что аудитор не может быть эффективен для организации, если он не вполне уважает этически оправданные цели.

Требование излишнее

  1. Объективность.

Требование

Как контролировать?

Вероятность выявить отклонение

Влияние на бизнес

Вывод

2.1. Не должны участвовать в какой-либо деятельности, которая могла бы нанести ущерб их беспристрастности. Это также распространяется на деятельность и отношения, которые могут противоречить интересам организации.

 

Разработать перечень такой деятельности, а лучше – прямо запретить всё, кроме внутреннего аудита (в широком понимании, то есть не только проверки, но и консультации).

Рассматривать отдельные случаи в рамках какого-нибудь коллегиального органа управления

Среднее. Очевидно, что если возникает конфликт интересов, то это серьезный вопрос, который и выявить несложно и оценить серьезность эффекта – тоже. Все остальные сферы жизни разве что с помощью детектива отслеживать.

Среднее. Теоретически, в рамках того же конфликта интересов, можно получить выгод для себя на величину, сопоставимую с заметной долей от прибыли компании.

Требование уместное

2.2. Не должны принимать в подарок ничего, что могло бы нанести ущерб их

профессиональному мнению или восприниматься как наносящее такой ущерб.

 

Разработать положение о подарках в организации и определить денежный эквивалент максимально дорогого подарка.

Горячая линия.

Низкое. Выявить, что аудитор получил подарок – задача относительно несложная. Но установить ущерб его профессиональному мнению вследствие подарка – мало реально.

Низкое.

Требование излишнее

2.3. Должны раскрывать все известные им материальные факты, которые, не будучи раскрыты, могут исказить отчеты об объекте аудита.

 

Откуда другой человек может знать, что аудитор знал, но не раскрыл?

Стукачество и полиграф.

Низкое. Предложенные варианты помогут установить факт, что что-то такое имело место. Но конкретика, если аудитор сам не расскажет, крайне маловероятна

Высокое. Например, недостоверный отчет о приобретаемом бизнесе в рамках Due Diligence может обернуться покупателю реальными потерями, сравнимыми с его выручкой, например.

По логике – требование уместное, но по факту вряд ли возможен эффективный контроль. Поэтому в итоге – требование излишнее

  1. Конфиденциальность.

Требование

Как контролировать?

Вероятность выявить отклонение

Влияние на бизнес

Вывод

3.1. Должны быть разумны и осмотрительны в использовании и сохранении информации, полученной в ходе выполнения своих обязанностей.

 

DLP система, хотя она и не поможет, когда аудитор сообщает что-либо устно. Не говоря о том, что у аудитора ноутбуки и флешки, в общем, …

Средняя. Автоматизированные системы мониторинга за утечкой данных могут существенно снизить риск неправомерного использования информации, в том числе и внутренними аудиторами.

Высокая. При промышленном шпионаже утечка данных может обернуться для компании потерей конкурентоспособности

Требование уместное

3.2. Не должны использовать информацию в личных интересах или любым другим образом, противоречащим закону или могущим нанести ущерб достижению юридически и этически оправданных целей организации.

 

В случае контроля за инсайдерской информацией – возможна разработка и контроль соблюдения соответствующего положения.

Ввиду всеобъемлющего термина “информация” контроль ее использования в общем случае затруднен.

Неизвестно

Неизвестно

Представляется, что такую ситуацию можно выявить только постфактум. Требование справедливое, но крайне сложно контролируемое. Следовательно – излишнее.

  1. Профессиональная компетентность.

Требование

Как контролировать?

Вероятность выявить отклонение

Влияние на бизнес

Вывод

4.1. Должны участвовать только в тех заданиях, для выполнения которых обладают достаточными профессиональными знаниями, навыками и опытом.

 

Личное мнение руководителя.

Оценка со стороны профессионального сообщества (хотя и среди CIA, и среди «лидеров профессии» странных людей очень немало).

Высокая. Выявить соответствие объема аудиторского задания квалификации и опыту аудитора не представляет большой сложности при участии другого, отличного от самого проверяемого, аудитора.

Низкая. Ситуация, когда неквалифицированный аудитор сделал некачественную работу, которая привела к реальному ущербу организации при попустительстве руководителя по аудиту – весьма фантазмагорична.

Требование уместное

4.2. Должны оказывать услуги внутреннего аудита в соответствии с Международными профессиональными стандартами внутреннего аудита.

 

Внешняя оценка.

Внутренние установки в качестве требований к интерпретации стандартов.

Высокая. На то внешняя оценка и производится

Низкая. Для более высокой оценки отсутствует доступная статистика по сравнению эффективности выполнения одного и того же аудиторского задания в соответствии со стандартами и в разрез с ними.

Требование уместное

4.3. Должны непрерывно повышать свой профессионализм, а также эффективность и качество оказываемых услуг.

 

Внутренняя оценка.

Внешняя оценка.

Высокая

Низкая. Сложно на цифрах доказать, что непрерывно повышающие свой профессионализм внутренние аудиторы несут больший Value для компании, чем дискретно повышающие свой профессионализм аудиторы

Требование излишнее

Итого, 7 из 12 (58%) требований как бы никому и не нужны. Почему никому? Организации так точно, а самому аудитору требования зачем – каждое из них и так вызывает профессиональную деформацию? Именно поэтому среднестатистический внутренний аудитор являет собой чрезвычайно специфический элемент в социуме. Но цель нашего исследования на данный момент не посочувствовать тому, как требования правил поведения калечат психику, а показать, что как минимум половина из них являются, по сути, элементами с неочевидной полезностью.

Продолжаем считать, что лучший егерь – это браконьер. То есть, лучший внутренний аудитор – это бывший корпоративный мошенник. К мошенничеству не призываем, а призываем подумать, зачем нужны такие странные документы, которые никому не несут пользу. Это, пожалуй, один из немногих вопросов, в котором нам было бы искренне интересна позиция ИВА в РФ и в мире в целом. Хотя, с высокой вероятностью, будут ссылаться на «внутренние установки»…

Если вы нашли ошибку, пожалуйста, выделите фрагмент текста и нажмите Ctrl+Enter.