Для внутреннего аудитора кодекс этики, определенный международными стандартами внутреннего аудита – это основополагающий, чуть ли не священный документ. Однако для человека более-менее стороннего, все эти требования кодекса в части объективности, честности, непредвзятости и т.д. не выглядят столь уж очевидными. А людям от бизнеса те или иные требования ко внутреннему аудиту объяснить, порой, вообще очень и очень тяжело. Поэтому мы решили непредвзято, с точки зрения пользы для организации посмотреть на требования, предъявляемые международными стандартами ко внутреннему аудитору, оценить возможность контроля за исполнением этих требований, посмотреть на вероятность выявить некоторые отклонения при контроле. Ну и конечно же – подумать: как эти выявленные отклонения могли бы повлиять на бизнес. На основании полученных данных, мы сделали свое оценочное суждение – об уместности или неоправданности того или иного требования. Итак, в стандартах (точнее, правилах поведения) начало такое: «Внутренние аудиторы…» + требование.
Вперед, к анализу, который для удобства чтения разместили в четырех таблицах:
- Честность.
Требование |
Как контролировать? |
Вероятность выявить отклонение |
Влияние на бизнес |
Вывод |
---|---|---|---|---|
1.1. Должны выполнять свою работу честно, добросовестно и ответственно. |
Оценочное суждение руководителя. Проверка результата аудиторского задания на соответствие ТЗ. И полиграф не даст результатов, потому что внутренний аудитор будет искренне верить, что работает честно, добросовестно и ответственно. |
Низкая. Объективного мнения не существует априори, а объем ТЗ по формальным признакам может быть выполнен и при скудном результате. Поэтому, если внутренний аудитор не идиот, попасться практически невозможно. |
Низкое. Если отдельно взятый аудитор будет выполнять свою работу лживо, плохо и безответственно, бизнес вряд ли это заметит. |
Требование излишнее |
1.2. Должны действовать в рамках закона и, если того требуют профессиональные стандарты, раскрывать соответствующую информацию. |
Горячая линия, стукачество (whistleblowing) со стороны коллег в широком смысле слова (не только из подразделения внутреннего аудита, но и из других). |
Низкая. Много ли вы знаете случаев, когда аудиторы действовали незаконно и их как-то поймали и привлекли к ответственности? |
Высокое. Кейс с господином Магнитским это доказывает |
Требование уместное |
1.3. Не должны сознательно участвовать в акциях или действиях, дискредитирующих профессию внутреннего аудитора или свою организацию. |
Разработать перечень дискредитирующих профессию действий. Нанять детектива, чтобы отслеживал действия аудитора. И чтобы ютуб отсматривал на предмет случаев пьяного дебоша аудитора. |
Низкая. Перечень рассматриваемых действий – множество счетное, но не факт, что конечное. Как такое контролировать? |
Высокое. Если аудитор дискредитировал компанию, это может привести к остановке бизнеса. |
Черный лебедь во плоти – невозможно контролировать ситуацию. Требование излишнее. |
1.4. Должны уважать юридически и этически оправданные цели своей организации и вносить вклад в их достижение.
|
Полиграф? Представьте верующего аудитора, работающего в компании по производству презервативов. -Вы уважаете этически оправданную цель компании: производить средства контрацепции? -Да. -Пиип. Уволен! |
Средняя. С помощью средств объективного контроля реальное отношение дел к тому или иному вопросу установить, конечно же можно. Но имеет ли это рациональное с точки зрения экономики зерно – вопрос спорный. |
Низкое. Непонятно, кто юридическую оправданность целей устанавливает, а с этической еще хуже. Слабо верится, что аудитор не может быть эффективен для организации, если он не вполне уважает этически оправданные цели. |
Требование излишнее |
- Объективность.
Требование |
Как контролировать? |
Вероятность выявить отклонение |
Влияние на бизнес |
Вывод |
---|---|---|---|---|
2.1. Не должны участвовать в какой-либо деятельности, которая могла бы нанести ущерб их беспристрастности. Это также распространяется на деятельность и отношения, которые могут противоречить интересам организации.
|
Разработать перечень такой деятельности, а лучше – прямо запретить всё, кроме внутреннего аудита (в широком понимании, то есть не только проверки, но и консультации). Рассматривать отдельные случаи в рамках какого-нибудь коллегиального органа управления |
Среднее. Очевидно, что если возникает конфликт интересов, то это серьезный вопрос, который и выявить несложно и оценить серьезность эффекта – тоже. Все остальные сферы жизни разве что с помощью детектива отслеживать. |
Среднее. Теоретически, в рамках того же конфликта интересов, можно получить выгод для себя на величину, сопоставимую с заметной долей от прибыли компании. |
Требование уместное |
2.2. Не должны принимать в подарок ничего, что могло бы нанести ущерб их профессиональному мнению или восприниматься как наносящее такой ущерб.
|
Разработать положение о подарках в организации и определить денежный эквивалент максимально дорогого подарка. Горячая линия. |
Низкое. Выявить, что аудитор получил подарок – задача относительно несложная. Но установить ущерб его профессиональному мнению вследствие подарка – мало реально. |
Низкое. |
Требование излишнее |
2.3. Должны раскрывать все известные им материальные факты, которые, не будучи раскрыты, могут исказить отчеты об объекте аудита.
|
Откуда другой человек может знать, что аудитор знал, но не раскрыл? Стукачество и полиграф. |
Низкое. Предложенные варианты помогут установить факт, что что-то такое имело место. Но конкретика, если аудитор сам не расскажет, крайне маловероятна |
Высокое. Например, недостоверный отчет о приобретаемом бизнесе в рамках Due Diligence может обернуться покупателю реальными потерями, сравнимыми с его выручкой, например. |
По логике – требование уместное, но по факту вряд ли возможен эффективный контроль. Поэтому в итоге – требование излишнее |
- Конфиденциальность.
Требование |
Как контролировать? |
Вероятность выявить отклонение |
Влияние на бизнес |
Вывод |
---|---|---|---|---|
3.1. Должны быть разумны и осмотрительны в использовании и сохранении информации, полученной в ходе выполнения своих обязанностей.
|
DLP система, хотя она и не поможет, когда аудитор сообщает что-либо устно. Не говоря о том, что у аудитора ноутбуки и флешки, в общем, … |
Средняя. Автоматизированные системы мониторинга за утечкой данных могут существенно снизить риск неправомерного использования информации, в том числе и внутренними аудиторами. |
Высокая. При промышленном шпионаже утечка данных может обернуться для компании потерей конкурентоспособности |
Требование уместное |
3.2. Не должны использовать информацию в личных интересах или любым другим образом, противоречащим закону или могущим нанести ущерб достижению юридически и этически оправданных целей организации.
|
В случае контроля за инсайдерской информацией – возможна разработка и контроль соблюдения соответствующего положения. Ввиду всеобъемлющего термина “информация” контроль ее использования в общем случае затруднен. |
Неизвестно |
Неизвестно |
Представляется, что такую ситуацию можно выявить только постфактум. Требование справедливое, но крайне сложно контролируемое. Следовательно – излишнее. |
- Профессиональная компетентность.
Требование |
Как контролировать? |
Вероятность выявить отклонение |
Влияние на бизнес |
Вывод |
---|---|---|---|---|
4.1. Должны участвовать только в тех заданиях, для выполнения которых обладают достаточными профессиональными знаниями, навыками и опытом.
|
Личное мнение руководителя. Оценка со стороны профессионального сообщества (хотя и среди CIA, и среди «лидеров профессии» странных людей очень немало). |
Высокая. Выявить соответствие объема аудиторского задания квалификации и опыту аудитора не представляет большой сложности при участии другого, отличного от самого проверяемого, аудитора. |
Низкая. Ситуация, когда неквалифицированный аудитор сделал некачественную работу, которая привела к реальному ущербу организации при попустительстве руководителя по аудиту – весьма фантазмагорична. |
Требование уместное |
4.2. Должны оказывать услуги внутреннего аудита в соответствии с Международными профессиональными стандартами внутреннего аудита.
|
Внешняя оценка. Внутренние установки в качестве требований к интерпретации стандартов. |
Высокая. На то внешняя оценка и производится |
Низкая. Для более высокой оценки отсутствует доступная статистика по сравнению эффективности выполнения одного и того же аудиторского задания в соответствии со стандартами и в разрез с ними. |
Требование уместное |
4.3. Должны непрерывно повышать свой профессионализм, а также эффективность и качество оказываемых услуг.
|
Внутренняя оценка. Внешняя оценка. |
Высокая |
Низкая. Сложно на цифрах доказать, что непрерывно повышающие свой профессионализм внутренние аудиторы несут больший Value для компании, чем дискретно повышающие свой профессионализм аудиторы |
Требование излишнее |
Итого, 7 из 12 (58%) требований как бы никому и не нужны. Почему никому? Организации так точно, а самому аудитору требования зачем – каждое из них и так вызывает профессиональную деформацию? Именно поэтому среднестатистический внутренний аудитор являет собой чрезвычайно специфический элемент в социуме. Но цель нашего исследования на данный момент не посочувствовать тому, как требования правил поведения калечат психику, а показать, что как минимум половина из них являются, по сути, элементами с неочевидной полезностью.
Продолжаем считать, что лучший егерь – это бывший браконьер. То есть, лучший внутренний аудитор – это бывший корпоративный мошенник. К мошенничеству не призываем, а призываем подумать, зачем нужны такие странные документы, которые никому не несут пользу. Это, пожалуй, один из немногих вопросов, в котором нам было бы искренне интересна позиция ИВА в РФ и в мире в целом. Хотя, с высокой вероятностью, будут ссылаться на «внутренние установки»…
У меня очень запущенный случай- профессиональная семейная деформация- я аудитор в 3 поколении. Дедушка налоговый сельхоз инспектор, бабушка член партии, вторая работала главбухом, мама — нормоконтролер на военном заводе и народный контроль от профкома, папа- инспектор Технадзора, муж бывшии- полицейскии, инспектор вневедомственной охраны.
Уже в институте раскрыла преступление ( кражу) по горячим следам, поймали сами вора.
Выбрали в присяжные заседатели, была там 2 года. Работала в кру, потом в корпоративной безопасности и вот я аудитор.
Ну и день рождения у меня как раз в День аудитора.
Сестра у меня филолог и работала недолго со мной, говорит что это талант писать так, чтобы было понятно всём.
Свою работу считаю творческой, интересной и сравниваю с работой врача, надо полностью обследовать пациента и поставить диагноз. И также как и с пациентом- абсолютно здоровых нет- бывают недообследованные!
Да, причем врачом очень широкого профиля:)
Лучший егерь — бывший браконьер. Поправили!
Прекрасно!!!! Лучший егерь – это браконьер. То есть, лучший внутренний аудитор – это бывший корпоративный мошенник. Обязательно буду цитировать (есть у меня в лекциях и презентация «Корпоративное мошенничество»)