Прохождение внешней оценки. Часть 1. Подготовка.

В соответствии с Международными профессиональными стандартами внутреннего аудита (далее – Стандарты), а если конкретно, то в соответствии со Стандартом 1312 «Внешние оценки»,

«Внешние оценки должны проводиться как минимум один раз в пять лет квалифицированным и независимым оценщиком или группой оценщиков, не являющихся сотрудниками организации. Руководитель внутреннего аудита должен обсудить с Советом:

• формат и частоту внешних оценок;
• квалификацию и независимость внешнего оценщика или группы оценщиков, включая любой возможный конфликт интересов».

Минимальная частота внешней оценки – один раз в пять лет. Если честно, то чаще и не нужно, но решать Совету. Для того, чтобы не терять бдительности внутренних аудиторов, конечно, можно и снизить частоту до одного раза в три года, а если не любить руководителя внутреннего аудита – то и еще чаще, но принципиально ситуация не изменится: либо соответствуешь, либо нет.

В этой статье я рассмотрю подготовку к прохождению внешней оценки исходя из собственного опыта, общения с коллегами по профессии, а также потенциальными оценщиками. Думаю, что мой опыт достаточно релевантен: во-первых, имеется опыт самооценки, во-вторых – активное участие в прохождении (дважды). Правда, не в качестве руководителя, а только с моим непосредственным участием, но участие – можно сказать, в эпицентре событий.

Общие рекомендации:

1. Старайтесь соблюдать Стандарты в течение всей жизни внутреннего аудита, а не только в период прохождения оценки. В частности, регулярно проводите внутренние самооценки, предусмотренные Стандартом 1311. Я, как правило, перечитываю стандарты с интерпретациями в конце каждого года в рамках подведения итогов и рефлексии: после 15 декабря стараюсь не напрягать клиентов аудита, соответственно, есть время для «работы с документами» методической работы.
2. Подготовку к прохождению начните заранее, я рекомендую – за год. Вроде очевидная рекомендация, но двух месяцев после проведения самооценки для устранения недостатков либо не хватит при каком-либо несоответствии, либо получится аврал. Причина – нужно попытаться спланировать риск-ориентированно и, скорее всего, набрать персонал.
3. Отвлекитесь от фактической жизни, необходимо, чтобы «бумаги были в порядке». Обращайте внимание также на потенциальные несоответствия с низкой вероятностью их признания таковыми.
4. Подготовьтесь к «правильным ответам» на поставленные вопросы. В некоторых случаях (опишу в следующей части) можно и поговорить откровенно. Но в других откровенные разговоры ожидаемо могут привести как минимум к увеличению Ваших трудозатрат и расходу нервных клеток.
5. Выделите трудоемкость. Лучше поручить подготовку не руководителю, а толковому аудитору под контролем руководителя. Вероятность пропуска чего-либо существенного снижается.

Ниже акцентирую внимание на потенциальных несоответствиях некоторых Стандартов и возможных подходах к их устранению. Стандарты укрупнены «до сотен», то есть для удобства отдельно не рассматриваются стандарты 1200, 1210, 1210.А1 и т.д., они объединены в один подпункт, на этом примере – 1200.

Стандарты 1000. Цели, полномочия и ответственность.

Речь идет про положение о внутреннем аудите. Чтобы не давать поводов к мыслям о несоответствии, идеальная ситуация – переписывание точь-в-точь формулировок из миссии и Стандартов. Важно не забыть про консультационные услуги. Видел отчет (без формальных несоответствий), когда внешние оценщики рекомендуют их предусмотреть в положении, потому что не было. Логика наблюдения – вроде внутренний аудит нормальный, но не лучший, а надо стремиться. Как правило, требуемое Стандартами описание характера консультационных услуг должно представлять из себя банальную фразу вроде «консультационные услуги в области корпоративного управления, управления рисками и внутреннего контроля». Сами понимаете, под эту сурдинку можно что угодно делать. Годное (но не идеальное) положение о внутреннем аудите с логикой написания – здесь.

Стандарты 1100. Независимость и объективность.

С одной стороны, Стандарты не содержат каких-либо прямых запретов для обеспечения независимости, а объективность – вообще мысленная установка. Поэтому получается, что в соответствии с Положением (то есть документально) можно функционально подчиняться директору по безопасности, административно – финансовому директору (или наоборот), при этом выполнять свою работу независимо и объективно. Но несоответствие стандартам будет выписано гарантировано. Поэтому выход один – административное подчинение генеральному директору (желательно еще на организационной структуре стрелочку нарисовать не сплошной, а пунктирной линией), а функциональное – Совету в широком смысле (см. определение в Стандартах). В проекциях на российские структуры – либо Совету директоров, либо кому-то из учредителей / акционеров.

В качестве неожиданных потенциальных скелетов в шкафу можно указать:

• с учетом подхода некоторых типов внешних оценщиков (см. вторую часть) могут потребоваться доказательства прямого взаимодействия с советом. Устные показания для такого типа оценщика ничего не значат, поэтому озаботьтесь хотя бы согласованием итогов встреч по электронной почте. При этом лучше не фиксировать частоту встреч, а то укажете «не реже одного раза в полгода», а встретиться не получилось…;
• в положении о премировании не должно быть никаких ссылок на зависимость премирования от (1) каких-либо финансовых показателей и (2) какой-либо оценки менеджмента. Это не значит, что премия не должна зависеть от EBITDA всей компании (да-да, я так действительно считаю, в момент кризиса плохо требовать себе каких-либо выплат), но оформлено это должно быть как «оценка совета директоров на основании…».

Стандарты 1200. Профессионализм и профессиональное отношение к работе.

Вопрос про профессионализм состоит из двух частей: фактический опыт и бумажные квалификации. Соответствие Стандартам 1200 вполне можно обеспечить независимо от фактического опыта, образования, навыков и т.п.

Доказать фактический опыт относительно просто. Даже если подразделение создано из пяти человек, раньше никогда не работавших во внутреннем аудите, то через пять лет (к моменту проведения первой внешней оценки) на весь коллектив будет четверть века стажа. Вполне можно предъявлять внешнему оценщику, опровергнуть сложно, да это и не спрашивают особо. Исходя из личного опыта (не выписанные несоответствия, а задаваемые вопросы), рекомендую обратить внимание на следующие три аспекта:

• IT-аудит. О том, кто такой IT-аудитор, могу в течение пары часов написать не меньше, чем на этой странице, вопрос дискуссионный, что именно нужно (связность данных, информбезопасность или стремление к ITIL). Но кто-то должен хоть какими-то навыками обладать;
• применяемые методы анализа данных (это из Стандарта 1220.А2) и, соответственно, квалификация сотрудников подразделения внутреннего аудита – хоть кто-нибудь может хотя бы в Excel изобразить что-то сложнее сводной таблицы;
• наличие отраслевой экспертизы. Ритейла, понятное дело, не касается (институты советской торговли уже все переименовались), но для промышленного производства – как правило, будут интересоваться.

Если раздутие бюджета не предусмотрено, а существующих аудиторов выгнать жалко, внешних оценщиков вполне может удовлетворить пара проектов с привлеченными специалистами по данным направлениям.

Однако можно и не привлекать внешних специалистов, а начать обучать своих. Речь не идет о втором высшем образовании, скорее, о курсах. Пример – искал аналитика в подразделение, ощущение, что сейчас аналитик данных – каждый второй (от ментов до учителей истории). Поэтому никто не мешает Вам тётушку в возрасте отправить на какие-нибудь курсы и всем рассказывать о том, что мы народ обучаем и скоро будем бороздить космические пространства. Хотя все (и руководитель подразделения внутреннего аудита, и внешний оценщик) понимают, что на трамвае в космос не улететь, Стандарты вроде как соблюдены. Дополнительно нужно изобразить всякие бумаги с оценкой персонала, планами по обучению и т.п.

К моменту проведения внешней оценки сертификаты уже должны быть в наличии. И очень желательно, чтобы хотя бы кто-то сдал хоть одну часть CIA. Кстати, мое личное отношение ко всяким квалификациям – здесь. Не знаю, как на момент написания статьи (может, сейчас требуются экзамены по профстандарту), но 10 лет назад было важно. Вспоминая прошлое: не то, чтобы в СУЭК был плохой внутренний аудит. И обучение было, одни общие тренинги 1-2 раза в год в разных местах чего стоят. Но вот ни у кого не было CIA даже в процессе получения, поэтому «нарвались» на рекомендацию.

Стандарты 1300. Программа обеспечения и повышения качества внутреннего аудита.

Это, наверное, самое типовое несоответствие, если не заглядывать в Стандарты заранее. Раньше была типовая программа на сайте ИВА, сейчас переехала в закрытый раздел. В общем, макулатура как макулатура, главное – минимизировать в ней конкретные по срокам обязательства (например, раз в год проводить самооценку и рассказывать о ней на СД). И, IMHO, идеально утвердить программу незадолго до проведения внешней оценки, чтобы случайно что-нибудь не просрочить. К следующей оценке будете готовиться – утвердите новую (как раз надо пересматривать раз в пять лет).

Стандарты 2000. Управление внутренним аудитом.

При оценке этих стандартов наиболее традиционными являются две претензии:

• риск-ориентированное планирование. Это оказалась самая большая тягомотина, потому что при одной из внешних оценок пытались рассказать фактически применяемую логику, что было интерпретировано внешним оценщиком как несоответствие. Потому что планируете не от рисков, а от бизнес-процессов. Понятно, что по итогам доказали риск-ориентированный подход, но осадочек остался. Поэтому обязательно следуйте каноничному подходу из соответствующей статьи. Да, и при планировании не забудьте письменно опросить менеджмент о том, что они хотели бы видеть в программе на год (мнение менеджмента в программу включать совершенно не обязательно);
• координация деятельности с другими сторонами. Здесь, как говорят футбольные тренеры, нужно «обозначить борьбу», то есть создать что-то типа «карты гарантий». Пример из жизни – внешние оценщики в отчете прямо указали, что нужно координировать деятельность со службой менеджмента качества и её аудитами. Отношение к СМК у всех примерно одинаковое (ходят, пишут, безобидны, …), я, если честно, не так давно узнал, что у нас есть такие (приезжали на вышеупомянутый тренинг и «зажигали» про важность своей работы), качество работы соответствует сложности получения сертификата соответствия по ISO9000, доверять им что-то лично я вообще не готов. Но оказалось, что мы в один год съездили на одно предприятие… Дурь, конечно, но лучше не пересекаться.

Как ни странно, но к Стандарту 2040 «Политики и процедуры» вопросов лично в моей практике не возникало. Возможно, связано с тем, что я не работал в огромных коллективах (100+ человек), а интерпретация этого Стандарта «Форма и содержание политик и процедур зависят от размера и структуры подразделения внутреннего аудита и сложности выполняемой им работы» позволяет в принципе не писать документов. Потому что сложно представить аргументы, что именно для такого подразделения должен быть какой-то конкретный набор этих самых политик и процедур.

Upd. по итогам обсуждения на LI. Коллега указывает, что нужно актуализировать все документы, включая положения, регламенты, должностные инструкции, процессы планирования и утверждения задания, написания отчетов и документирования. Если честно, у меня минимальное количество документов, но должностные инструкции были и их не актуализировал. Но если у Вас документов много — проинвентаризируйте всё.   

Стандарты 2100. Сущность работы внутреннего аудита.

Вы не поверите, но вроде как к одному из самых важных стандартов ни в одной из внешних оценок не возникало не то, что претензий, а даже вопросов. Тем не менее, личный опыт позволяет указать пару потенциальных рисков при прохождении внешней оценки, на которые можно обратить внимание:

• всё, что связано с этикой. Когда я слышу об этике, почему-то представляются коммерсанты с параллельной деятельностью, главные инженеры с ростом стройки на 50% при карманном стройнадзоре, и народ, который тащит через проходную всё, что плохо лежит. В общем, не до этики в обычных организациях. Хотя такие вопросы я, безусловно, затрагиваю. Когда директор тухлого актива ездит на служебной машине за $***тыс. долларов или уважаемые люди сидят до полуночи в баре гостиницы с оплатой по корпоративной карте. Назвать это «оценкой продвижения этических норм и ценностей внутри организации», как требуют Стандарты, более чем можно;
• всё, что связано с передачей и обменом информации между всеми (в т.ч. о корпоративном управлении и рисках). После какого-нибудь интервью с каким-нибудь членом СД, который оказался не в курсе чего-нибудь, внешний оценщик может сказать, что внутренний аудит недорабатывает. 

А вообще, коллеги со второй линии защиты с текущей работы предложили прекрасный выход для оценки хоть корпоративного управления, хоть чего (проводили для внутреннего контроля). Сделали опросник и попросили менеджмент ответить в баллах от 1 до 5. Как ни странно, результаты такого упражнения полностью совпали с личным видением. Соответственно, чтобы гарантировано соответствовать – повторите его в своей организации.

Стандарты 2200. Планирование аудиторского задания.

На этом сайте есть несколько подходов к планированию проверок. Общие подходы описал в момент создания сайта. Мысли шли дальше в направлении «как можно сделать быстрее и лучше», появилась статья «О разнице в подходах».  Жаль, но всё описанное приведет к получению несоответствия. Потому что во второй части этой статьи описываются «лучшие практики», написанные на основе дополнительного руководства (практических указаний) по планированию.  Заодно (цель статьи) детально рассказано, как использование «лучших практик» приводит к сжиганию неимоверного количества денег организации в форме трудозатрат внутренних аудиторов, которые можно потратить с куда большей пользой. Но! Именно жизнь из статьи и будет гарантировано соответствовать Стандартам, поэтому если хотите, чтобы Вами восторгались раз в пять лет – безусловно следуйте.

А что делать, если не хотите тратить человеко-месяцы непонятно на что, но при этом пройти внешнюю оценку без замечаний? Единственный гарантированный вариант – сначала писать программу проверки подходом, который считаете разумным, а потом к готовой программе придумывать риски. Да, просто добавлять столбец слева и заполнять его. Идеальная ситуация – это сделать набор типовых рисков и просто копировать к каждому пункту. Отсутствие слова «риск» перед запланированными программой действиями почти гарантированно приведет к несоответствию либо долгим и муторным диалогам, при наличии указанного столбца – а попробуй докажи обратное.

Из мелочей — не забывайте про обязательные атрибуты: цели, сроки, ресурсы.   

Стандарты 2300. Выполнение задания.

Потенциально в соблюдении именно этого раздела очень высока вероятность получения несоответствия по следующим пунктам:

• документирование. Увы, но здесь работает принцип «больше бумаги – чище жопа». В том числе регламентирующих бумажек. Можно отделаться одной (но большой) под названием «Порядок обращения с информацией», но позволяющей обеспечить максимально возможный люфт при её исполнении. Пример: в стандарте 2330.А2 написано, что «Руководитель внутреннего аудита должен разработать правила хранения документов, относящихся к заданию, независимо от формы носителя информации». Кто скажет, что «хранение документов в папке на диске персонального компьютера» не является правилом хранения документов в электронном виде?
• контроль над выполнением задания (проще говоря, контроль качества). Даже если Вы еженедельно просматриваете и обсуждаете с вверенным коллективом (кстати, может состоять из одного человека) ход выполнения задания, находки, полностью просматриваете все документы – есть шанс получить несоответствие. Потому что внешнему оценщику могут оказаться «нужны следы», а если у Вас нет какой-то отметки – ну как он может сделать вывод о соответствии?

Почему именно этим Стандартам уделяется столько внимания и почему никто не будет смотреть качество самого выполнения задания? Лично мое мнение – многие внутренние аудиторы вышли из внешних, а для внешних аудиторов плохие документирование и контроль качества могут привести к очень печальным последствиям. А вот недостоверная отчётность – далеко не всегда (вспомните ЮКОС). И ситуация переносится на внутренних аудиторов. Поэтому идеальная ситуация – использование TeamMate или аналогичной приблуды, мнение об ней писал давно. А реальное качество выполнения задания… Его тяжело измерить. Даже если недостатки отчетов совсем на поверхности лежат, писать о том, что выполнение задания не соответствует Стандартам, вряд ли кто рискнет. Поэтому в этих Стандартах внимание – только к формальным бумажкам.

Стандарты 2400. Информирование о результатах.

Что совершенно точно не влияет на оценку – так это читабельность Ваших отчетов. Знаком со службой, которая не прошла оценку по многим параметрам, но про информирование всё было хорошо. Хотя отчёты писались на 100+ страниц там, где можно обойтись 10.

Скорее всего, никаких изменений не потребуется по следующим аспектам:

• позитивные наблюдения в отчете. Это не требование стандарта, а рекомендация. Опять же, наблюдение, что количество конкурентных закупок выросло с 8 до 9% — оно же позитивно, поэтому можно смело указывать. В большинстве отчетов такое бывает, так что Стандарты соблюдены;
• направление результатов заданий внешним сторонам (то есть вне рамок организации). Потому что редко такое случается.

В общем, соблюдайте обязательные требования к отчету (цель, содержание и результаты выполнения задания, выводы, рекомендации), и проблем не будет.  Нужно быть готовым к ответу на вопрос, что делаете в случае ошибок. Ответ банален – направляю новый отчет в те же адреса, куда была направлена первоначальная версия. Кстати, мне тоже так регулярно приходится делать, я еще и извиняюсь.

Стандарты 2500. Мониторинг решения проблемных вопросов.

Как правило, ваших оппонентов будет интересовать само наличие единой таблицы мониторинга, в которую заносятся результаты всех проверок. Дополнительно советую сохранять все рекомендации из отчета, даже если они не приняты (кстати, для минимизации поползновений по присвоению несоответствий, их можно и удалить перед отправкой внешним оценщикам, но я так не делал). И обратите внимание, что мониторинг в соответствии со Стандартом – это не отчеты о выполнении, а то, что меры (так в Стандарте) результативны. Соответственно, хорошие признаки:

• статусы по рекомендациям «Отчет об исполнении», означающий то, что менеджмент отчитался, и «Проверен СВКиА», то есть проведен последующий контроль. Иногда я еще ставлю статус «Мониторинг СВКиА», одна из причин присвоения такого статуса – регламент изменили, но времени прошло мало, нужно через год посмотреть, как именно работают;
• для последующего контроля неплохо планировать отдельную проверку с приличной трудоемкостью. Как правило, это финальная проверка года.

Стандарт 2600. Информирование о принятых рисках.

Особые вопросы по этому Стандарту не отложились. Как его исполнять формально? Конечно, можно на пару страниц в начале каждого отчета описывать, почему внутреннему аудиту нельзя полностью верить. Точнее, почему именно возможны какие-то недостатки в изданных отчетах. Я его применяю в двух случаях:

1. Потенциальное нарушение независимости и/или объективности. Случаи приводить не буду, просто скажу, что в соответствии с этим Стандартом можно выполнять вообще любые задания/поручения хоть кого, главное – раскрыть информацию. Как правило, такое раскрытие заканчивается фразой типа «с точки зрения СВКиА, эти потенциальные нарушения не оказали влияния на ход и результат проведения проверки».
2. Неполнота информации. Являюсь сторонником работы с полной выборкой, поэтому, если не удалось собрать выборку хотя бы на 80% от общей популяции – скорее всего, опишу детально, почему и как. Заодно обращу внимание пользователей отчета на несовершенство (а то и более крепкое слово) информационных систем, которые не позволяют собрать информацию для выводов.

Итоги.

По итогам подготовки должна возникнуть таблица примерно с такими столбцами:

№ и название Стандарта	Текст Стандарта	Текст Интерпретации	Оценка соответствия	План действий (в случае необходимости)

Дальше всё банально – за каждый пункт плана назначается ответственный, за полгода до проведения проверки – контрольный срез ну и т.п.

Следуя рекомендациям этой статьи, то есть начав за год, любой план действий вполне реализуем. Хоть людей полностью заменить. В следующей части – о выборе оценщика и особенностях прохождения внешней оценки.