Глава 2. Определение продуктов и услуг внутреннего аудита.
Эта глава очень понравилась. Особенно тем, что мыслим примерно одинаково, хотя у нас и поскромнее классификация. В книге авторы приводят следующую эволюцию внутреннего аудита:
- внутренний/внешний аудитор;
- аудитор процесса внутреннего контроля;
- риск-ориентированный аудитор;
- аудитор, ориентированный на управление рисками;
- аудитор, ориентированный на цели.
Классификация сопровождается отличными табличкой и картинкой, показывающей эволюцию внутреннего аудита. Глава начинается с описания исторического развития. В частности, в 1941 году «Первые внутренние аудиторы были людьми, которые обеспечивали, чтобы внешние финансовые аудиторы не обнаружили в ходе аудита ничего существенного, путем проведения первой обзорной проверки». В переводе на русский: помогали прятать концы в воду от внешних сторон. Увы, многие текущие внутренние аудиторы именно этим и занимаются, и требования к ним выдвигаются примерно такие же.
Всё, что описано – мудро и здраво. Даже про три линии защиты, GRC и ERM получилось как-то по-человечески (хотя про три линии защиты – с ненужным придыханием, но это вопрос вкуса). Единственное, не очень детально описан порядок возможных преобразований, но да про это можно отдельную книжку написать.
Что нужно помнить: рассуждения о том, каким должно быть подразделение внутреннего аудита через 1-2 года, а также что будет влиять на внутренний аудит через 10 лет – это классно (я так начал задумываться). Но есть гигиенические вещи. Контрольные процедуры в процессах, достоверность отчетности (в первую очередь, управленческой, то есть измерения процессов), IT-безопасность и т.п. Начинать нужно с этого, об этом мы и писали. Потому что, опять же, двух лет служба (а также руководитель) может и не пережить.
Глава 3. Развитие деятельности и возможностей внутреннего аудита.
Как мне понравилась глава 2, так не понравилась глава 3. Хорошие мысли, безусловно, есть. Например, среди вопросов: «Или же необходим другой состав персонала внутреннего аудита, который может охватить более широкий спектр необходимых навыков?». Ну, то есть всё-таки не попытка вырастить из бухгалтера консультанта по стратегии, а поменять…
Первая большая проблема в этой главе – это оценка зрелости процесса. Кстати, сам узнал, что «традиционные» консультантские штучки в виде оценки зрелости процесса– это концепция CMM, разработанная Университетом Карнеги-Меллон в 1987 году. Изначально у меня значительный скепсис к таким табличкам, по причине того, что встречал их исключительно у консультантов и исключительно для продажи услуг.
А сама проблема – это определение уровней развития внутреннего аудита. Безусловно, делается оговорка, что эта табличка – ориентир. Тем не менее, при пользовании впрямую (то есть без привлечения консультантов) ошибки более чем вероятны. Ниже перечислены компоненты внутреннего аудита, то есть заголовки столбцов:
- услуги, продукты и роли внутреннего аудита. Признак «оптимизирующего» уровня – «Внутренний аудит признается ключевым партнером (аудитор, ориентированный на цели)». Как Вы ответите про себя? А что скажет менеджмент на СД? Да никаким образом это признание не характеризует уровень внутреннего аудита;
- управление людьми. В чем разница между «стратегией роста руководителей/аудиторов» («оптимизирующий» уровень), «формальной программой повышения эффективности руководителей персонала» («управляемый» уровень) и «профессиональной сертификацией планирования развития руководителей и персонала» («определенный» уровень)? Смысл последнего, несмотря на формулировку, понятен, вопросы остаются. Вот даже банальная «традиционная» задача получить CIA сотрудникам подразделения – это какой уровень? Высший уровень или «средненько»? Кстати, дипломированные внутренние аудиторы (CIA), по мнению авторов, это только «повторяемый» (второй снизу) уровень;
- профессиональная практика (деятельность). Можете привести примеры, когда отсутствует «постоянное совершенствование профессиональной практики» («оптимизирующий» уровень)? Ну, то есть за год из всего коллектива подразделения никто даже не самообучился? Или бывший внешний аудитор не прочитал журнальчик с разъяснением позиции Минфина?
Ну и т.п., захотите почитать – в библиотеку ИВА.
Вторая проблема главы – не очень удачный пример, а именно «Пример организации сферы здравоохранения». Для тех, кто не держит книгу в руках – под организацией имеется в виду компания в сфере здравоохранения, а не организация государственного управления в сфере здравоохранения. На мой взгляд, ситуация в такой компании в США будет с трудом проецироваться на промышленное предприятие в России. При этом сам пример – в основном из описания ситуации с достаточно очевидными дальнейшими действиями.
Третье, чего не увидел от слова «совсем» – отсутствие примера программы преобразований. Сама программа – буквально один абзац. Стиль изложения – «Затем руководителям внутреннего аудита следует рассмотреть, требуют ли текущие цели и стратегии развития службы внутреннего аудита для обеспечения более высокого уровня услуг и продуктов». В книжку такой толщины можно было бы и вставить более детальное описание, что именно нужно сделать.
Единственное, что понравилось – «затем руководители внутреннего аудита заручаются поддержкой отдела кадров для оценки навыков существующего персонала с учетом новых требований и получения помощи в реализации планов смены карьеры в случае необходимости». Кстати, интересно, что это означает: изысканно вежливое описание «выгнать взашей» или руководитель внутреннего аудита не может сам определить уровень навыков (как текущих, так и перспективных) «существующего персонала»? Кстати, вероятно именно последнее, потому что в этом же непосредственно перед этим предложением есть «За этим следует трансформационный план обучения персонала по <…>»… В общем, конкретики совсем маловато. Видать, нужно закупить консультационных услуг…
Итого.
Самое опасное в этих главах для руководителя внутреннего аудита – потенциальный эффект Даннинга-Крюгера для руководителей подразделений. Как результат – оценка абсолютно нормального внутреннего аудита будет занижена (условно, с «управляемого» уровня до «повторяемого») по какому-нибудь пункту типа отсутствия формализованной стратегии внутреннего аудита, а оценка внутреннего аудита низкого уровня будет признана чуть ли не «оптимизирующей». Как результат – лишние движения. При этом подразумевается, что внутренний аудит должен быть на «оптимизируемом» или хотя бы «управляемом» уровне (№№4 и 5 из 5). А вопрос: нужно ли это организации в целом? совету директоров? руководителю внутреннего аудита?
Ну и неприятное из всех «больших» иностранных книг на русском – нет сквозного примера. Например, как мы сделали с рисками для брундуляторного завода на этом сайте. Было бы интересно почитать, как авторы с таким опытом «претворялись» в жизнь последовательно по каждому пункту, изложенному в книге. Но, увы, мне и документы COSO этим не нравились. Жаль, что все-таки мало книг в РФ по внутреннему аудиту…
Наши предложения.
Предложения по уточнению реального уровня развития внутреннего аудита исходя из наших представлений.
«Нормальный» уровень описан здесь в виде операционно-ориентированного и стратегически-ориентированного внутреннего аудита. Почему не стратегически-ориентированного? Может не оказаться потребителя (нет стратегии), сами можете надорваться.
В любом случае надо начинать с операционной эффективности и доказывать свою пользу именно на этом уровне. Какие бы ценные мысли Вы бы не доносили акционеру и руководству, часто внутренний аудит физически не будет восприниматься как профессиональный консультант по стратегии. Поэтому банальная оценка рисков (правда, и инвестиционных проектов тоже), банальное лечение процессов.
Да, через некоторое время нужно переходить на следующий уровень. Приведем несколько признаков внутреннего аудита высокого («оптимизирующего») уровня, о которых столь витиевато пишут авторы, по их классификации:
- услуги, продукты и роли внутреннего аудита – каждый год есть как минимум 1-2 находки на сумму, превышающую бюджет службы. Сумма должна быть не потенциальной, а осязаемой (в виде денег), при этом признается именно заслуга подразделения внутреннего аудита. Совсем здорово, если будут находки «в железе» (то есть не бумажки с процессами, а что-нибудь перестроено физически). Хоть весовую перенести;
- управление людьми – штат небольшой (1-2 человека на 1-2 тысячи работников), но с очень широким кругозором. Все нестандартные вещи (IT, стройка, …) – на аутсорс;
- профессиональная практика – люди способны обучаться. При этом не происходит переделывания бухгалтера в специалиста по информационной безопасности и наоборот. Идеальный сотрудник — как из цитаты про статью про МФТИ с лурка: «ни одну задачу средний ботающий физтех наизусть знать не будет и не сможет (впрочем, попадаются и такие задроты), но зато сможет решать любую реально к нему попавшую»;
- управление эффективностью деятельности и подотчетность. К Вам регулярно обращается менеджмент разного уровня за консультацией (без обязательств), причем консультации – не «разобраться» с кем-либо, а что можно сделать. Просто интересуются Вашим мнением: а как сделать лучше?;
- организационные отношения и культура – менеджмент соглашается с выводами подразделения внутреннего аудита практически без оговорок;
- структуры корпоративного управления (среда) – отсутствие вопросов «А кто вас проверяет?» и «Кто вы такие, чтобы мне на что-то указывать?». Независимой оценки один раз в 5 лет вполне достаточно. Ну и уважают в целом…
Более низкие уровни описывать не будем. Хотя бы по причине того, что осетрина не бывает второй свежести.
Перейти к разделу:
Общие впечатления и глава 1 «Разработка стратегии ВА».
Глава 4 «Определение команды и ресурсной модели ВА», глава 5 «Развитие руководителей и персонала ВА».
Главы 6-8. Про взаимоотношения внутри организации.
Глава 10. Оценка рисков и календарное планирование.
Глава 11. Планирование аудиторского задания.
Глава 12 «Оценка внутреннего контроля» и глава 13 «Информирование по вопросам внутреннего аудита».