Размещено 26.05.25.

Что говорят стандарты.

Лично мне стратегия внутреннего аудита как-то не нужна, хотя в профессии 20+ лет. Жил без нее (кстати, и стандарты старые устраивали), но так как во всех нормативных документах написано, что должен соответствовать Стандартам Института внутренних аудиторов – теперь приходится задумываться. Соответственно, первая мысль – а что можно почерпнуть из источника, который и привел к необходимости столь полезного дела? Кстати, в добровольном порядке против формализации стратегии внутреннего аудита ничего не имею, напрягает именно жесткая необходимость.

В стандарте 9.1 написано, что «для разработки эффективной стратегии и плана работы внутреннего аудита руководитель внутреннего аудита должен понимать процессы руководства организацией, управления рисками и внутреннего контроля». Прекрасная стартовая позиция…

Читаем дальше. Стандарт 9.2 – минимум информации, но хотя бы есть потенциальные разделы в документ: видение, стратегические цели и соответствующие инициативы функции. Вспоминается про УниКак:

Брейнстормили почти шесть часов подряд, изведя при этом двадцать листов формата А1, шесть маркеров и около восьмидесяти чашек кофе, который варили в кафетерии «Кактуса», и, по указанию владельца бизнеса, консультантам приносили бесплатно. В конце концов, сильно устав и почти охрипнув от жарких споров, утвердили следующую схему презентации:

  1. Вступление
  2. Операционные модели
  3. Заключение

Глубина смысла, закладываемого каждым участником в пункты схемы, не поддавалась измерению.

В общем, судя по стандартам, самое главное, что «стратегия внутреннего аудита помогает функции внутреннего аудита двигаться в направлении реализации ее компетенции». Ну и уже писал про рекомендации к Стандарту 9.2, восхитило, что любое изменение в именном составе всех заинтересованных (выбыл член совета директоров, сменился руководитель предприятия или внутреннего аудита) – повод для пересмотра стратегии внутреннего аудита.

Дальше глумиться не буду. Однако ответа на мой изначальный вопрос, а именно из чего должна состоять стратегия, окромя трех перечисленных пунктов, ничего нигде не увидел. В рекомендациях в том числе. По порядку разработки стратегии рекомендовано два подхода, которые должны использоваться в стратегии (SWOT и сравнение текущего и целевого положения), а дальше – сразу к инициативам (то есть к плану мероприятий). SWOT-анализ мысленно уже вижу, как минимум полезно осознание собственных слабых сторон.

Единственная «зацепка» для разделов стратегии – ожидания Совета и заинтересованных сторон. Здесь будет принципиальная сложность, связанная с тем, что для огромного количества заинтересованных сторон внутренний аудит, будем честны, не нужен. Соответственно, ожидания возникнут, может быть, даже в формализованном виде, однако это будет бумага ради бумаги. Вторая принципиальная сложность – собственно видение. Традиционно можно ожидать:

  • от акционеров – влияние на EBITDA «в плюс», то есть приносить пользу. Доказывать, что и нулевое влияние, вообще говоря, нормально, очень сложно;
  • от независимых членов СД – разные гарантии, в первую очередь, достоверность отчетности. Хотя случаи бывают разные. В одной организации было подряд три председателя Комитета по аудиту, первому были нужны находки, второму (историку по образованию с опытом работы в банковском аудите) – документирование и внедрение TeamMate, третьему – что-то похожее на compliance;
  • от топ-менеджмента – скорее всего что-нибудь вроде соблюдения процессов, желательно – в удаленных подразделениях.

Все указанные категории могут ставить дополнительные задачи, наиболее часто встречающаяся – искать воров (в очень широком смысле). При этом, если вспомнить про стандарты и организационную структуру, такой поиск – задача менеджмента. Тем не менее, в соответствии со Стандартом нужно пожелания учесть. Хорошо, если будет какая-то конкретика (например, обеспечить «тестирование контролей» финансовой отчетности), но и общие фразы – тоже неплохо. Потому что это же стратегия😊

А самое для меня грустное, что никто не скажет, что ожидают от внутреннего аудита «укрепления способности организации создавать, защищать и сохранять стоимость организации, предоставляя Совету и руководству организации независимые, основанные на оценке рисков, объективные заверения, мнения, рекомендации и прогнозы».

Что думаю сам.

Формулировку пожеланий для заинтересованных сторон можно значительно упростить, заодно направив потенциальное обсуждение на то, на что подразделение внутреннего аудита может повлиять. Для этого при разработке стратегии неплохо сделать так, чтобы у людей был выбор, то есть представить пользователю возможные альтернативы дальнейшего развития. В этом случае основой для стратегии может стать опросник, в котором потенциальные заинтересованные стороны проставляют галочки.

Соответственно, исходная задача по написанию стратегии внутреннего аудита и обязательства учета мнения лично для меня сводится к подбору возможных вариантов развития событий. Использовать буду, в первую очередь, книгу «Внутренний аудит по Сойеру». Можно прямо использовать раздел 1, а именно три краеугольных камня стратегии внутреннего аудита:

  • ожидания заинтересованных сторон;
  • ожидания от руководителя внутреннего аудита;
  • ожидания профессии внутреннего аудита.

Дальнейшие возможные альтернативы я не буду каким-то образом структурировать (по разделам, по важности и т.п.). Это можно сделать непосредственно в момент подготовки презентации по опросу (именно презентации, а не текстового документа, так как пользователи – уважаемые люди), задача этой страницы – подобрать разумное количество принципиальных развилок.

Вот мое видение различных вариантов:

  1. Пять уровней развития внутреннего аудита, в т.ч. ожидаемые достижения.

Открываем Сойера, рисунок 2-2, «Эволюция продуктов и услуг внутреннего аудита». Напомню, что там есть пять уровней развития: (1) внутренний внешний аудитор, (2) аудитор процесса внутреннего контроля, (3) риск-ориентированный внутренний аудитор, (4) аудитор, ориентированный на управление рисками, (5) аудитор, ориентированный на цели.

Немного завидую подразделениям, находящимся на низших уровнях развития. В этом случае всё просто, можно поставить цель достичь следующего уровня, и, в общем-то, цель и содержание стратегии становится понятной.

Сложнее тем подразделениям, кто уже находится (как минимум, считает, что находится) на относительно высоком уровне. В этом случае эволюция не прослеживается, поэтому считаю допустимым зафиксировать в стратегии, что «в целом заинтересованные стороны внутренний аудит удовлетворяет», и исходя из сложившейся ситуации, изменения нужны «косметические». Кстати, это не так и плохо, потому что в противном случае кто-то может задать вопрос, «а что вы делали предыдущие N лет?».

  1. Затраты.

С учетом того, что многие заинтересованные стороны будут считать, что внутренний аудит скорее не нужен (см. выше), затраты должны стремиться к нулю. Проще тем подразделениям, которые демонстрируют реальный экономический эффект, потому что подразделение внутреннего аудита фактически является эффективным инвестиционным проектом и обосновывать затраты на собственное содержание проще.

В противном случае придется оперировать «гарантиями» и потенциальным ущербом. В такой ситуации, если честно, не был, но, как понимаю, в этом случае бюджет будет зависеть, в первую очередь, от красноречия руководителя подразделения. И, в конце концов, а почему бы и не спросить, сколько акционеры готовы тратить на внутренний аудит, напрямую?

  1. Доля консультационных услуг.

Когда-то сформулировал, что внутреннему аудитору нельзя стать доверенным консультантом «приказом по предприятию», до сих пор считаю мысль умной. Дополнительная мудрая мысль – вообще говоря, любая проверка – это, в том числе, и консультации путем выдачи рекомендаций. Поэтому раздел стратегии не очень простой и подвержен манипуляциям: никто не мешает объявить, что практически 100% услуг внутреннего аудита – это консультации, направленные на создание, защиту и сохранение стоимости в соответствии с целями внутреннего аудита по определению Института, а отчет о проверке – это консультантские отчеты по диагностике.

Если отказаться от манипуляций в прочтении стандартов, внутренний аудит может участвовать в консультационных услугах двух типов:

  • процессные. Разные совещания при принятии решений, анализ проектов документов etc. Без права голоса и не забывая о независимости;
  • проектные. Например, DD при приобретении нового актива, подготовка ТЗ на автоматизацию контрольных процедур, не говоря об обычных проверках по просьбе менеджмента.

Лично я бы в стратегии не фиксировал долю консультационных услуг, но написал бы о том, что внутренний аудит будет готов оказывать практически любого рода услуги по запросу. Какие риски при этом существуют – когда-то писал, ничего не изменилось

  1. Состав услуг.

Как мне кажется, подразделение внутреннего аудита должно быть готово к любому внутреннему аудиту (исходя из понимания бизнеса), поэтому каких-либо ограничений быть не должно в принципе. Однако все источники говорят о том, что это очень важный раздел, поэтому попробую и я.

Безусловно, в стратегии нужно написать, что в соответствии со Стандартами внутренний аудит должен формировать риск-ориентированный план. Однако по поводу конкретных услуг начинаются сложности. Например, Стандарты к высокорисковым относят, как минимум (см. Стандарт 9.4. «План внутреннего аудита»), управление информационными технологиями, риски мошенничества, эффективность этических и комплаенс-программ и рекомендуют формировать план с учетом этих рисков. По факту именно эти области обычно во многом закрываются второй линией защиты:

  • по информационной безопасности имеются отдельные подразделения, конкурировать с ними в профессионализме силами только подразделения внутреннего аудита, как правило, невозможно. Поэтому возможные аудиты без привлечения сторонней организации – во многом бесполезная бумажная оценка и к реальной безопасности отношения не имеет;
  • для рисков мошенничества существуют подразделения безопасности, с которыми, как правило, у подразделений внутреннего аудита существует негласный пакт о ненападении (но не всегда);
  • этика и комплаенс – встречаются целые подразделения даже в нефинансовых компаниях. Если честно, осязаемой полезности ни разу не видел, но раз существуют – значит нужно, а зачем проводить аудиты того, что должно контролироваться в режиме онлайн?

В общем, странно проверять то, что и так, как минимум на бумаге, защищено. Более того, стандарт 9.5 и рекомендует «координацию деятельности с другими сторонами», но отвечает за всё именно внутренний аудит, чего не хотелось бы.

Поэтому я бы в стратегии перевернул бы состав услуг с «тех, что оказывает внутренний аудит» к «тем, которыми внутренний аудит не занимается». И во втором случае предложил бы несколько ограничений:

  • не проводятся аудиты исходя из наличия «второй линии защиты». Например, аудиты по состоянию системы безопасности, в т.ч. информационной (но при этом могут проводиться аудиты управления информационными технологиями);
  • не проводятся аудиты процессов с минимальным риском (например, аудит делопроизводства);
  • не проводятся аудиты, за которые менеджмент несет внешнюю ответственность (как в рамках УК, так и в рамках КоАП), потому что если у сотрудников отсутствует инстинкт самосохранения, никакой внутренний аудит не поможет. Возможное исключение – охрана труда, потому что safety first.

Дополнительно в ходе обсуждения стратегических альтернатив можно обратить внимание на полезность подразделения, предложив анализ документов, поступающих на рассмотрение Совета директоров. При нормальном взаимодействии подразделения внутреннего аудита с членами СД есть высокая вероятность, что внутренние аудиторы могут реально стать советниками по всем вопросам.

  1. Что делаем сами, что отдаем на аутсорсинг.

Самый сложный раздел для «средних» подразделений внутреннего аудита. Потому что в «маленьких» (условно, 2 человека) очевидна необходимость привлечения кого-то на подряд, а в больших (условно, 20+ человек) можно набирать необходимых узкоспециализированных специалистов. А вот в «средних» подразделениях есть вероятность, что аудитору по узкому профилю будет просто нечем заниматься.

Потенциальные решения следуют из ответов на предыдущий вопрос, если возник перечень «обязательных» услуг. Данный раздел стратегии можно использовать в целях расширения штата, если считаете необходимым (либо, наоборот, отказа и привлечению внешних сотрудников). Типовые «узкопрофильные» аудиты, которые почти везде нужны, но в большинстве организаций не заслуживают отдельного специалиста: ИТ-безопасность, стройка, производство, … 

Дополнительный вопрос, который можно затронуть: привлечение консультантов для «проектов гарантий» на втором уровне защиты. Рекомендую, чтобы в этом каким-либо образом участвовал внутренний аудит как заказчик, потому что независимость внешних консультантов будет получше.

  1. Частота и порядок прохождения внешней оценки.

Из Стандарта 8.4. «Внешняя оценка качества» видны две альтернативы: раз в пять лет или чаще (мое мнение – чаще не нужно) и способ проведения (рекомендую внешнюю оценку, причем в два этапа). Заодно в стратегии можно утвердить и план проведения внешней оценки, чтобы Совет директоров два раза не беспокоить.

  1. Методология.

Методологии в разделе Стратегия посвящен целый раздел. Я сторонник минимального количества бумаг, однако текущая версия Стандартов, особенно если следовать рекомендациям,  требует разжиться максимальным количеством макулатуры внутренних документов, причем настолько большим, что я аж разразился отдельным мнением в 2024 году. Соответственно, есть следующие опции, которые можно прописать в стратегии:

  • только документы, которые Стандарты обязывают разработать. Подойдет для небольших и средних по размеру подразделений внутреннего аудита;
  • глубоко проработанная методология. В этом случае в стратегии можно указать несколько документов, которые поддерживаются в актуальном состоянии. Подойдет для больших и / или территориально разбросанных подразделений. Перечень возможных документов в excel-файле на странице, ссылка на которую выше.

В любом случае, как мне кажется, разумным будет взять на себя обязательств поменьше. Даже если Вы являетесь сторонником документирования всего и вся.

  1. Сотрудники.

Понятно, что в стратегии нужно как-то поднять вопросы оплаты труда сотрудников. Задача руководителя – обеспечить заработную плату коллективу «выше рынка». Это хорошо не только для сотрудников, но и для всех, потому что чем выше заработная плата, тем больше выбор. Порекомендовать можно представить два варианта:

  • ориентация на «дорогих» сотрудников (выше рынка);
  • ориентация на сотрудников с более низкой зарплатой. В этом случае необходимо указать, что таких сотрудников потребуется больше, а текучесть будет выше.

В идеале получить в стратегии принцип формирования бюджета, в соответствии с которым руководитель подразделения будет сам отвечать за ФОТ без указания количества сотрудников. И обязательно утвердить безальтернативные вещи в отношении персонала, в первую очередь, обучение.

  1. Автоматизация деятельности подразделения.

Что я думаю об автоматизации – уже писал. Однако есть и другие мнения. Поэтому задача – представить возможные альтернативы (идем по пути автоматизации либо же не идем по пути автоматизации, должен ли менеджмент отчитываться об исполнении в условном TeamMate или не должен и т.п.).

  1. Прочее.

В самой стратегии также неплохо утвердить то, в чем подразделения внутреннего аудита часто обижают. Можно вспомнить:

  • отсутствие препятствий в деятельности, в первую очередь, в доступе к информации. Если будет документ от Совета директоров, лишний раз не помешает;
  • статус руководителя (должен быть не ниже первого зама), статус сотрудников (в случае грейдов – выше слесаря-сантехника), помещения, командировки. В общем, «малиновые штаны» из Кин-Дза-Дза.

Итоговый результат.

На рассмотрение заинтересованным сторонам передаются возможные варианты по вышеперечисленным пунктам. По традиции рассмотрение вариантов неплохо сопровождать преимуществами и недостатками, и в этом случае руководитель внутреннего аудита вполне может использовать хорошо знакомые техники менеджмента для выбора желаемого варианта.

Получив ответы на вышеперечисленные вопросы, стратегию в соответствии со стандартом сделать можно таким образом:

  • видение – это что-то типа миссии с указанием того, чем будет заниматься. Стиль – за все хорошее против всего плохого, чтобы была возможность это интерпретировать в лучших традициях менеджмента (то есть что не сделаешь – видению соответствует);
  • стратегия – это принципиальный набор действий по изменениям (типа создание функции, автоматизации деятельности, переход от одного уровня развития к другому);
  • инициативы функции – в моем понимании, перечень очень конкретных действий, который должен следовать из стратегии, разбавленный внутренними изменениями типа развития персонала и разработки внутренних документов. Естественно, надо быть образцом честности, и установить реальные сроки.

Как мне кажется, с таким подходом Стандарты будут соблюдены, а стратегия не будет бесполезной.

Если вы нашли ошибку, пожалуйста, выделите фрагмент текста и нажмите Ctrl+Enter.

Shares