Размещено 26.11.25.

Многие коллеги делятся тем, как у них устроена внутренняя кухня. Не работал в огромных коллективах внутренних аудиторов, но спроецировать жизнь на коллективы численностью от 1 до 20 человек могу. Упомянутые на этой странице мысли как-то не ложатся в моё представление о прекрасном. Рассмотрим по этапам, как может быть устроена жизнь подразделения внутреннего аудита.

Планирование.

Когда-то уже писал, к чему приводит следование «лучшим практикам» при планировании. Оказывается, изложенное в 2018 описывает не самый трудозатратный подход.

Из прочитанного в этом году больше всего удивила необходимость формирования внутреннего документа планирования (ВДП) аж из 6 разделов  – краткий обзор аудируемого процесса, критическое ПО, сведения о процессе от других подразделений компании, сведения о результатах прошлых аудитов, анализ на «красные флаги» мошенничества и выявленные риски, подход к рискам и области, не охваченные аудитом. С одной стороны, вроде бы всё понятно, «для галочки» можно за час заполнить. Но если заполнять честно, то уже над первым подпунктом, а именно «ФИО и должность руководителя аудируемого процесса и других заинтересованных сторон аудита» можно зависнуть на пару дней и всех не указать, даже если полностью прочитать телефонный справочник организации.

К формированию программы проверки приступают только после того, как будет проведен контроль ВДП. Причем интересно то, что и на этапе ВДП, и в программе проверки нужно описать риски. В общем, на мой взгляд, совершенно лишняя процедура эта ВДП.

Из других наблюдений – всегда восхищали объем документов и упоение при описании своих трудов (типа «дорожной карты по проведению проверки»). К чему приводит – повторяться не буду, см. ссылку выше.

Документирование проверки.

Каждая мысль в статьях о том, что можно посмотреть в ходе проверки – ценна, хотя некоторые и «восхищают» со знаком минус (некоторые отрасли понимаю, из прочитанного в текущем году понравилась новизна в виде попытки аудита склада розницы в декабре и отсутствия раздельного хранения годного и брака). Но что поражает – авторы в тексте пишут абсолютно разумные мысли о том, какие могут быть наблюдения. Но как их же мысли поместить в предлагаемые шаблоны – я принципиально не понимаю. Хорошо, если такие шаблоны заполняются «для того, чтобы были» и после проверки. Но может возникнуть вероятность, когда находки в шаблоны не вписываются. Прямо вот методически-психологический интерес возник – а как тогда поступит рядовой аудитор? Как-то отразит или «забудет», потому что его наблюдения не вписываются в концепцию?

А сами шаблоны самой разной степени дури. Но замечу, что во всех непонравившихся мне шаблонах основная указанная в них процедура – тестирование. Коренную причину дефекта какого-нибудь процесса такой процедурой, IMHO, не поймешь.

Основной вопрос к шаблонам – их неэргономичность. Зачем такое количество полей? Условно «Влияние на деятельность», «Влияние на отчетность», причем при проведении конкретного тестирования какой-нибудь мелочи? Зачем пытаться сделать условную связку – «риск-процедура-документ-наблюдение»? Нужно ли заполнять всё и всегда? 

В общем, основной вывод – для простых процессов с тестированием по выборкам такие шаблоны применять можно, сильно много времени отнимать не должно (можно и пробелы вручную выравнивать), если руководителю подразделения комфортно – ну, он на то и руководитель. Процедуры хотя бы немного сложнее тестирования (например, в закупках – анализ цепочки событий, приведшей к закупке по очевидно завышенной цене) в шаблоны уже не вписываются. Ну и повторю свою гипотезу, которую когда-то писал на этом сайте о том, почему некоторые руководители и методологи внутреннего аудита очень любят такие таблички: коренная причина – они являются выходцами из внешнего аудита. Во внешнем аудите такое работает и, более того, необходимо.

Отчет.

За всю жизнь писал отчеты в самых разных формах. Больше всего нравятся просто тексты и презентации. Светофоры – вопрос философский, мне лично не нравятся, потому что очень тонкие грани между цветами. Сам бы я разделил находки на бордовые (когда совсем плохо и требуется что-то сделать срочно) и серые («дежурные наблюдения» с обещанием когда-то исправить).

Тем не менее, встречается практика табличных отчетов, которую не поддерживаю. Основные причины:

  • отсутствие новых наблюдений;
  • увеличение объема. С этим связан риск, что труды подразделения внутреннего аудита не осилит само подразделение, соответственно, будет недовычитанный труд;
  • трудоемкость. Одно дело набрать на клавиатуре 10 страниц, другое – 110;
  • сложность отражения фундаментальных наблюдений. Нашел для себя новую фишку, когда развитие какого-то актива анализирую иногда за 10+ лет. Даже тезисно история не поместится в ячейку таблицы Word без переноса на следующую страницу. А перенос строки в таблице – максимально неудобное чтение, плюс при печати может пропасть часть таблицы;
  • повторяемость некоторых столбцов. Когда пишешь просто текстом, можно указать, например, связку «наблюдение – причина» или же «реализовавшийся риск – наблюдение» (условно, «звезды сошлись неудачно, что привело к:» и куча буллитов). В таблице так не сделаешь (будет 10 строк «наблюдение – звезды сошлись неудачно»).

Тем не менее, что рекомендую: если в вашем подразделении пока практика максимально детальных отчетов в табличном виде не возникла – сами не предлагайте. Но если заказчик окажется въедливым – никуда не сбежишь, придется делать. И надеяться, что заказчик не прочтет много статей о внутреннем аудите с описанием форматов отчета. 

Контроль качества.

В моем понимании контроль качества – это, скорее, обычное общение с коллегами, цель которого – понять, что уже сделано и что еще можно сделать в ходе проверки (как на этапе планирования, так и на этапе проверки) исходя из уже имеющейся информации и как можно улучшить что-то в будущем. Опять же, на любом этапе может возникнуть запись в файл «мысли», чтобы потом не забыть при других проверках.

Понятное дело, что специалисты-методологи не поддерживают такой подход. Для них самое важное – контроль качества рабочих бумаг и закрытие чек-листов. Частично их поддерживаю, но некоторые тезисы по контролю качества вызвали сомнение. Примеры:

  • «описание контролей на этапе планирования – задокументировано». В принципе не понимаю, как это можно оценить, не проведя проверку процесса…;
  • необходимость указания первопричин и рисков для каждого из наблюдений. Вообще, первопричиной каждого наблюдения можно указать дурной менеджмент (почти во всех случаях). В моей традиции – согласовывать наблюдения с менеджментом. Безусловно, иногда мне расписывались за то, что «я своровал N млн. руб.», но даже в этом случае менеджмент не готов подписаться, что он непрофессионален;
  • «в случае отрицательных оценок или необходимости улучшений, указанных в анкете обратной связи от менеджмента, руководителем внутреннего аудита проведено обсуждение с членами команды аудита при участии менеджмента». Вот даже если мне выполнение работы сотрудника на проверке чем-то не понравится, ни в жизнь я не буду так делать. Или «каяться публично» – это хороший тон?

Подчеркну, если для формального заполнения – да пусть хоть какая форма будет, внешним оценщикам понравится. Если это делать с преобладанием содержания над формой – все подразделение четверть времени будет работать на производство бумаги, и именно этой четверти может не хватить для чего-то хорошего.

Заключение.

Почему обратил внимание на эти темы – особо не заморачивался документированием работы подразделения (как себя, так и коллег в случае исполнения функции руководителя), минимизировав (но не отменив полностью) такого рода деятельность. И считаю это правильным, хотя, как сказал на днях Илон Макс по поводу собственного восхваления в Grok, «для протокола я – толстый идиот». Понимаю, что можно что-то улучшить, нахожусь в поиске. Однако авторы большинства из наблюдений этой статьи приводит вот такие примеры:

  • у тех, у кого ВДП на этапе оценки качества, допускают, что «программа аудита содержит не все области аудита, которые определены на этапе годового планирования аудитов, и при этом отсутствует разумное обоснование такого несоответствия»;
  • «команда провела проверку закупок по программе пятилетней давности, не учтя, что компания перешла на электронные торги. В итоге 80% контрольных точек оказались нерелевантными, а отчет руководство вернуло на доработку».

Как такое вообще может возникнуть при наличии хотя бы одного вменяемого чувака (не обязательно руководителя подразделения внутреннего аудита или руководителя проверки), который хотя бы рядом был в процессе?

В общем, мое мнение по итогам этого всего: внутренний аудит не улучшить разработкой дополнительных форм и их заполнением. Стараться нужно, как – нужно думать в каждом конкретном случае. И особо напрягает уровень возможных рекомендаций внутреннего аудита, который работает по таким шаблонам и не стесняется делиться. Ведь если у тебя лучшая практика, то ее надо куда-то распространить? То есть каждый процесс в компании должен выглядеть примерно так?

На этих риторических вопросах и закончу.

Если вы нашли ошибку, пожалуйста, выделите фрагмент текста и нажмите Ctrl+Enter.

Shares