Прохождение внешней оценки. Часть 2. За дело!

Начало – здесь.

Возможные варианты проведения.

Есть несколько вариантов методического подхода к проведению внешней оценки. Расположим их по возрастанию сложности и, соответственно, цены.

Самооценка с подтверждением внешним оценщиком.

Этот вариант подразумевает, что подразделение внутреннего аудита самостоятельно оценивает свою деятельность на соответствии Стандартам внутреннего аудита, а потом кто-то независимый (внешний оценщик) подтверждает корректность проведенной Вами оценки.

Если честно, вариант не особо представляю в реальной жизни. Пример из деятельности внутреннего аудита: представьте, что Вам нужно провести проверку контрольных процедур при выполнении СМР. Вы разрабатываете какой-либо опросник, возможно – вместе с методологией его заполнения, и отдаете их директору по капстрою, техническому директору / главному инженеру, финансисто-экономистам и далее по списку. Затем анализируете полученные ответы. Как думаете, как оценят внутренний контроль соответствующие директора? Вероятность 99,9% — всё прекрасно (возможно, за исключением финансово-экономических подразделений). Взялись бы подтверждать? А в случае внешней оценки внутреннего аудита речь будет идти еще и о людях, которые в первый раз знакомятся с тем, что Вы делаете.

Тем не менее, вариант возможен. Не знаю, соглашается ли на него big4, но лично я бы не согласился.

Внешняя оценка в один этап.

Наиболее традиционный способ. Внешний оценщик приходит и проводит свою работу. Как правило, занимает 2-3 месяца. Риск получения заключения о неполном соответствии при выборе данного варианта – максимальный, потому что несоответствие может быть выписано за какую-нибудь банальность. Из практики – отсутствовал утвержденный план мероприятий по итогам самооценки. То, что этот план состоит из одного пункта, делается за 5 минут и т.п. – во внимание не принимается. Тем не менее, оба раза из личного опыта я участвовал именно по такому варианту.

Внешняя оценка в два этапа.

Данный вариант очень любят продавать консультанты, потому что он самый дорогой. Идея состоит в том, что внешние оценщики предварительно оценивают соответствие, вместе с Вами составляют план мероприятий по улучшению, дают Вам 3-4 месяца на исправление, потом приходят и оценивают заново. Возможно, попутно продадут и килограммчик-другой методологии.

Если честно, мне это не кажется лучшей практикой по следующим причинам:

• оценка проводится раз в пять лет. Если не хватило времени за пять лет что-то исправить – с чего за 3 месяца получится? Опять же, если Вы сможете проработать «правильно» три месяца – это не означает, что 5 лет до следующей оценки Вы будете работать также (как на трассе при знаке «камера» – все едут 60 в соответствии с ограничением, потом весь поток разгоняется до 150­);
• прослеживается конфликт интересов: как Вы думаете, внешние оценщики в случае идеальной службы после первого этапа откажутся от второго и, соответственно, от гонорара? Или же будут стараться оправдать оплату второго этапа всяческими способами, например, придумыванием несуществующих несоответствий? Философский вопрос…

Однако именно этот вариант фактически это означает гарантированное прохождение, потому что сложно не устранить прямо указанные недостатки за отведенное время, да еще и по согласованному плану.

Типы внешних оценщиков.

Начну с требований Стандартов к внешним оценщикам. Как и в начале первой части статьи, приведу Стандарт 1312:

«Внешние оценки должны проводиться как минимум один раз в пять лет квалифицированным и независимым оценщиком или группой оценщиков, не являющихся сотрудниками организации. Руководитель внутреннего аудита должен обсудить с Советом:

• формат и частоту внешних оценок;
• квалификацию и независимость внешнего оценщика или группы оценщиков, включая любой возможный конфликт интересов».

Обратите внимание, что Стандарт не выдвигает никаких профессиональных требований к внешнему оценщику (аки CIA), хотя это почему-то подразумевается в среде внутренних аудиторов. Более того, и интерпретация Стандарта таких требований не выдвигает.

Важный момент, который может пригодиться – буквальная фраза из интерпретации, что «Принимая решение о достаточной компетентности внешнего оценщика или группы оценщиков, руководитель внутреннего аудита руководствуется своим собственным профессиональным суждением». То есть если Вы, например, захотите проведение внешней оценки творческим коллективом из меня и эксперта сайта – Вы вполне можете нас выбрать. Хотя не то, что CIA, у нас нет даже бумажки о соответствии профстандарту.

Ниже описаны три наиболее часто встречающихся варианта выбора.

Институт внутренних аудиторов.

Если можно так выразиться, наиболее каноничные внешние оценщики. Потому что представляют организацию, которая Стандарты и разрабатывала. Под соответствием «лучшим практикам» будут понимать исключительно практические указания.

В их плюс – их цены немного ниже, чем у big4 (а 10 лет назад были в два раза ниже). В минус, отмечаемый всеми – это наиболее занудные (или дотошные?) проверяющие, что отмечают все, с кем общался на тему внешней оценки функции внутреннего аудита.

Big4.

Ну, или то, что от них осталось на территории РФ. В эту же категорию можно отнести и крупнейших российских аудиторов, которые поддерживают в спектре услуг консультирование в области управления рисками, внутреннего контроля и внутреннего аудита. В общем, Большие консультанты, несущие в мир лучшие практики по всем вопросам, включая внутренний аудит.  

Их безусловный плюс – известность. Любому владельцу бизнеса и комитету по аудиту не нужно объяснять, что такое big4. Из минусов – избыточная «фундаментальность» оценки. Хотя, возможно, ошибаюсь, оценку не проходил, но результаты видел. А еще видел коммерческое предложение с очень низкой ценой (в 2-3 раза ниже альтернатив) и оговоркой, что (в переводе на русский) «стоимость проекта мы определим в ходе проекта».

Физическое лицо.

Физическое лицо в качестве внешнего оценщика, как сказано в интерпретации Стандарта, может выбрать руководитель внутреннего аудита. Для подразделения внутреннего аудита такой вариант – безусловно, наиболее комфортный. С высокой вероятностью будет означать минимальное количество придирок, при этом общение будет проходить не в парадигме «проверяющий-проверяемый» (не ляпнуть чего-нибудь лишнего), а в нормальном диалоге.

Безусловный минус – каким бы известным не было физическое лицо, известно оно не всем. Можно быть выдающимся игроком в условные городки, и Ваше имя в среде любителей городков будет греметь. Но за пределами этой тусовки имя абсолютного чемпиона никому ничего говорить не будет. Так и с внутренним аудитом. Соответственно, рекомендация для руководителя внутреннего аудита при выборе вариантов – предварительно провести работу с пользователями заключения об оценке для того, чтобы избежать вопросов «А это кто?». А по цене – да как договоритесь.

Организация внешней оценки.

Внешний оценщик в любом случае запросит достаточно большой объем информации:

• нормативные документы (положение о подразделении внутреннего аудита, регламент проведения проверок);
• методические документы;
• CV сотрудников подразделения;
• планы работ внутреннего аудита и порядок их формирования;
• полный комплект документов по 2-3 проектам. Встречал два варианта: случайной выборкой за предыдущие 1-1,5 года и только что завершившиеся. Поддерживаю и ту, и другую выборку – в первом варианте можно убедиться в том, что функция стабильна, во втором – что именно так и работает на момент оценки. В любом случае целесообразно ограничить перечень проектов: далеко не всё хочется показывать. Поэтому, прежде чем обсуждать предоставление материалов, нужно заранее вычеркнуть те, которые показывать не нужно (главное – чтобы оставшихся проектов было больше двух😊);
• отчеты на комитеты по аудиту / заказчику внутреннего аудита

и т.д. Фантазия не ограничена, думаю, что у каждого внешнего оценщика свой перечень. Ответы, как правило, не представляют сложности.

А вот дальнейшие организационные вещи сложности уже могут представлять. Потому что внешний оценщик «для получения абсолютно полной картины о роли внутреннего аудита в организации» может захотеть:

• встретиться с Председателем совета директоров / владельцем;
• встретиться с Генеральным директором;
• встретиться с Председателем Комитета по аудиту;
• встретиться с менеджерами;
• съездить куда-нибудь (допрасходы – за счёт заказчика);
• провести опрос среди всех;
• встретиться с сотрудниками подразделения

и т.п. И если Председатель Комитета по аудиту будет с высокой вероятностью рад встрече, а сотрудники подразделения будут вынуждены по долгу службы, то все остальные пункты – это дополнительная головная боль. Особенно сложно, что консультанты (ну, то есть внешние оценщики) умеют долго разговаривать ни о чём, а у их собеседников внешняя оценка внутреннего аудита явно не входит в top100 приоритетных дел. Однако руководителю внутреннего аудита придется это и организовать, и пережить.

Прохождение внешней оценки. 

В общем, добрались и до прохождения внешней оценки. Результат внешней оценки основан на профессиональном суждении. Соответственно, в зависимости от профессионала – будет акцент либо на содержание, либо на форму. Безусловно, все внешние оценщики будут говорить, что форма – это вторично. Однако в ходе проведения переговоров в одной из компаний big4 мне на полном серьезе сказали, что, несмотря на численный состав службы в три человека, верить нам не будут без «наличия следов». Потому что как можно поверить, что рабочую группу из двух человек (которых, кстати, знаешь как облупленных) кто-то проконтролировал путем ежедневных утренних совещаний? Кстати, повезло (хотя выбрали и не big4) не попасть в лапы таких профессионалов, так как коммерческое предложение оказалось самым дорогим. И этого нужно ожидать.

Расскажу про собственные впечатления прохождения внешней оценки в СУЭК от Института внутренних аудиторов (была аж в 2013 году, то есть почти 10 лет назад). Так получилось, что я и активно участвовал в подготовке к прохождению, и в 2 из 3 отчетов по выборке был руководителем проверки.

Первое, что запомнилось – это очень и очень долгие разговоры. Забегая вперед – на обсуждении итогового заключения я единственный раз провел на совещании в организации до 21:00. Позже бывал (например, на корпоративах), вечерами случается работать (тогда брал материалы на флешке, сейчас – на удаленном рабочем столе) из дома, но вот именно чтобы столько часов подряд сидеть (а начали после обеда) – это исключительный случай.

Далее – нужно объяснять каждое действие. Долго описывать не буду, но я так мозги людям стараюсь не выносить, потому что придерживаюсь золотого правила нравственности. Тем не менее, при прохождении внешней оценки (в big4 – возможно, тоже) нужно настраиваться на то, что техника «Пять почему» трансформируется в технику «Двенадцать почему», а вопросы могут быть самыми неожиданными.

Было очень интересным узнать обратную связь от менеджмента. Опросы мы, безусловно, проводили, но независимому человеку явно скажут больше. У внешних оценщиков возникла мысль (на основании интервью и опросов), что наши рекомендации, скажем мягко, не очень конкретны. Прошлись по нескольким из них. Оказалось, что в отчёте написано ровно так, как рекомендовали клиенты аудита! Прямо вот в таких формулировках. Но в голове у проверяющих отчет не отложился, поэтому – лишние часы времени.

Что ещё понял из общения с ИВА. Всё, что Вы скажете – обернётся против Вас в лучших традициях манипуляций и демагогии. Примеры:

• два года назад было сокращение численности по пожеланию акционера. При этом численность составляет 0,6 аудитора на 1000 сотрудников с имеющимися резервами в бюджете – абсолютно разумно для большой компании. Естественно, фраза в проект отчёта – «выделяемый бюджет является основным фактором, определяющим численность подразделения»;
• взяли в штат второго специалиста с образованием «горное дело». В проекте отчета этот факт отражен в такой логике: (1) по мнению опрошенных респондентов, нам не хватает квалификации, поэтому (2) для решения этого вопроса мы и взяли в штат второго специалиста. То, что мы не спрашивали, хватает ли нам квалификации при приеме самого специалиста, да и не спрашивали у клиентов аудита, что они о нас думают – как-то во внимание принято не было;
• мы информируем, что риски, на которые невозможно влиять, исключаются из рассмотрения. Фраза в проекте отчета – «из рассмотрения исключаются стратегические риски и большинство внешних рисков»

и т.п. Как в анекдоте – «Гена, у тебя спички есть?»…

Но в целом – ничего страшного в прохождении нет. Правду говорить можно, но осторожно (см. выше), а опыт – очень полезный, потому что можешь взглянуть на себя со стороны и скорректировать собственное поведение. Опять же, еще пару лет я говорил возмущавшимся моими проверками и вопросами «Вы не знаете, как нас проверяли».

Заключение о соответствии.

Почему-то внешние оценщики (как минимум, ИВА и big4) используют формулировку не «соответствует», а «в целом соответствует». С этим можно жить, но предупредить пользователей заключения о том, что «в целом соответствует» — это высшая из возможных оценок (то есть оценка «соответствует» в шкале отсутствует), нужно заранее.

Проект заключения можно и нужно обсуждать. Нам, например, вменялось «отсутствие стратегического плана развития внутреннего аудита». Комментарий, который, если его изложить коротко, звучал как «а зачем?», вполне был принят и из итогового отчета раздел исчез. В общем, всё как обычно, со всеми можно и нужно договариваться, а русский язык достаточно богат, чтобы подобрать удовлетворяющие все заинтересованные стороны формулировки.

Сложнее, если по какому-то вопросу мнения принципиально разные. Институт внутренних аудиторов так и не смог доказать нам, что имеется несоответствие Стандартам в части риск-ориентированного планирования. Ну, или мы доказали внешнему оценщику, что всё-таки соответствуем. Председатель ИВА выкрутился следующим образом. Буквальная цитата:

• <…> соответствие деятельности СВКиА внутренней нормативной документации СВКиА, принципам, изложенным в Стандартах, и лучшим практикам — в целом соответствует;
• соответствие потребностям Компании используемой СВКиА методологии риск-ориентированного планирования – соответствует частично <…>.

Что это значит и зачем так нужно было делать – так и не понял до сих пор. Как можно в ходе внешней оценки функции внутреннего аудита понять потребность Компании (не внутреннего аудита!) в методологии риск-ориентированного планирования? Кстати, всего было пять пунктов, при этом три – вообще не про Стандарты. Дальше комментировать не буду, мэтрам виднее. Написал для того, чтобы были готовы к неожиданностям.

Последствия.

Если честно – то особых последствий независимо от заключения внешнего оценщика не будет. Имел возможность наблюдать три:

• частично несоответствие – см. выше. Так как речь шла не про Стандарты, а про что-то другое, Совет вежливо поблагодарил внешних оценщиков (со слов – сам не присутствовал), да и забыл. Так получилось, что незадолго до рассмотрения итогов внешней оценки были очень интересные находки, которые рассматривали на Комитете, поэтому о «соответствии потребностям Компании» тема в принципе не зашла;
• несоответствие трем Стандартам. Возможно, что пожурили (опять же – не был). Но с точки зрения внутреннего аудита ничего не изменилось. Наблюдал за работой подразделения спустя 6 лет после прохождения внешней оценки – ровно те же наблюдения;
• соответствие. Почему-то удивился Совет директоров…

Но, безусловно, получить заключение оценщика о соответствии (и даже «о соответствии в целом») – приятно.

Коллеги, ждём Вашего опыта, по получению, а также по откликам на LI (запрещена в РФ) будем дополнять материал.

P.S. А.М. Сонин почему-то включил в качестве приложения в проект заключения, в раздел «Сильные стороны и направления для улучшения», мнение анонимно опрошенного сотрудника (из цитаты, думаю, понятна должность этого анонимуса). Процитирую: «Существующие стандарты и системы управления качеством (например, ISO 9001, ISO 14001) рекомендуют не иметь постоянно действующую службу внутреннего аудита, а привлекать для проведения проверок, после специального обучения, специалистов компании (в статусе аудитора). Возможно это можно сделать и в системе нашей компании, что несомненно даст экономию по управленческим затратам». Вот до сих пор думаю – это глум со стороны ИВА или серьезно? Правда, из итогового заключения пропало. Но мысль интересная! Сколько сэкономить-то можно!