Про составление плана работы внутреннего аудита уже писал в статье, когда создавал сайт. Сейчас ту статью переименовал в «часть 1». Перечитав мысли спустя продолжительное время, подход нахожу правильным. Но всё-таки есть несколько особенностей, которыми с высоты прожитых лет предыдущий опус можно дополнить. Для демонстрации своей приверженности стандартам внутреннего аудита каждую из особенностей привяжу к одному из стандартов, но для целей статьи упомянутые стандарты придется изложить не по порядку.

Особенность 1. Почему «классический» подход может не работать?

Стандарт 2010.А1 — План работы внутреннего аудита должен основываться на формализованной оценке рисков, проводимой по крайней мере один раз в год. При составлении плана должно учитываться мнение высшего исполнительного руководства и Совета.

Поговорим сначала про первое предложение Стандарта. Пример формирования плана мероприятий приведен в части 1 в разделе про «канонический подход». Однако на практике нормальный план работы подразделения внутреннего аудита из него может не вырисовываться.

Начну издалека. Рассматривать будем разумный бизнес, то есть с хоть какой системой внутреннего контроля, потому что для неразумного всё по-другому и он может разрушиться от банальных вещей типа воровства менеджмента. Два соображения:

  • для разумного бизнеса риски, снижающие его стоимость изнутри, всегда принципиально меньше любыми подходами к оценке, чем риски внешние. В противном случае это означает некомпетентность как владельцев, так и управленца;
  • чем больше бизнес, тем критичнее для него может оказаться внешнее воздействие по сравнению с внутренним. Можно дискутировать, мой основной аргумент – если бизнес большой, то он реагирует медленно. Например, по причине тяжело сокращаемых постоянных затрат. Любой внешний риск легко может сократить выручку в 1,5-2 раза, и если на уровне ларька можно быстро принять меры, то для большого бизнеса его стоимость станет околонулевой.

Поэтому с ростом масштаба и разумности бизнеса в зону внимания менеджмента должно попадать всё больше и больше внешних рисков и всё меньше и меньше внутренних. Но из внешних рисков не всегда возникает даже возможность проведения аудита внутренних процессов. Подумайте сами, какой аудит (внутренний) следует из риска «усиление конкуренции»? С одной стороны, вроде можно догадаться, что для снижения данного риска бизнес должен иметь хороший продукт, уметь его продавать, а производство должно стремиться к минимальной себестоимости при сохранении качества. Можно вспомнить, что бизнес не должен быть излишне закредитован, ему должно хватать персонала требуемой квалификации, и т.д. и т.п., но напрямую из формулировки внешнего риска «усиление конкуренции», на мой взгляд, это не следует. С этим и сталкиваешься в реальном бизнесе. То есть «каноничный подход» не очень хорошо работает в бизнесе по размеру большем, чем условное предприятие на 2000 человек с очевидными проблемами, пример которого и приведен на этом сайте. Кстати, на территории прообраза этого предприятия вполне колосится жилой квартал.

Далее, пусть даже мы и связали внешние риски с плановыми проверками, как в примере на сайте. Но что получается с точки зрения потенциального результата в виде add value от деятельности внутреннего аудита? Пойдем по первой таблице на странице сверху вниз:

  • аудит НИОКР. Вроде бы всегда есть, что посмотреть в таком аудите, и находки будут интересными. Вопрос: а если не взрастили ученых и результаты НИОКР представляют собой откровенную туфту – проверка окажется полезной? Сомневаюсь. Прогноз – кроме ругни ничего не получится, изменить ничего нельзя;
  • аудит системы контроля качества (заметьте, не системы менеджмента качества!). Как ни проводи аудит и сколько не ставь контрольных процедур – не убережешься. А если СМК нет, то единственная понятная рекомендация для всех – это постановка СМК. Берегитесь, деревья?
  • «контроль целесообразности предложенных мероприятий по удержанию молодежи» — это даже не полноценный аудит. Так, материалы попросить и записку подготовить, см. комментарий в таблице;
  • аудит плана действий в кризисных ситуациях – это как проверка РосПожНадзора. Хоть и проверяют, но пожары случаются. А сам риск недружественного поглощения в РФ, как оказалось, ну никак не связан с юридической структурой и схемой ФХД (раздел с рисками написан на основании рукописи книжки, не изданной в 2008 году);
  • аудит эффективности BSC – система мотивации идеальной не бывает, хотя бонусные карты менеджмента перед выплатой премий проверять надо. Самая эффективная мотивация – большая премия за достижение целей через 5 лет, но, увы, работает только в идеальном мире.

Ну и т.д. Видно, что абсолютно необходимых аудитов из анализа четверти наиболее критичных рисков не следует, а вообще полноценных аудитов для 22 рисков – только 11, то есть ровно половина от числа рисков. С одной стороны – для 50 рисков можно ожидать 25 аудитов, с другой стороны, аудиты будут «притянуты за уши». В общем, что-то не так.

Из всего вышеизложенного получается, что абсолютно разумный вариант планирования деятельности внутреннего аудита – пойдем проводить инвентаризации займемся анализом внутренних процессов с точки зрения внутреннего контроля без привязки к рискам. Как обосновать такой выход с точки зрения стандартов – в конце статьи.

Особенность 2. Как учитывать мнение менеджмента?

Теперь про второе предложение из стандарта 2010.А1. Чтобы было проще, напомню и про стандарт

2010.А2 – Руководитель внутреннего аудита должен выяснить и учесть ожидания высшего исполнительного руководства, Совета и других заинтересованных сторон касательно выражения мнения и формирования выводов внутреннего аудита.

Все перечисленные люди могут обладать самой разной квалификацией. В подавляющем большинстве высшее исполнительное руководство, Совет и другие заинтересованные стороны разумны: встретиться вполне приятно, типичное пожелание – 1-2 проверки (мнение часто совпадает с твоим), окончательный план формируй сам, а мы тебя всегда ждем (иногда добавляют, что кроме I, II, III и IV квартала, но это не обижает). Но, как и везде, может наблюдаться эффект Даннинга-Крюгера: один уважаемый единоличный исполнительный орган как-то на полном серьезе заявил, что он сам должен определять, что и как будет проверять внутренний аудит.

Банальные причины, почему менеджмент не нужно слушать:

  1. Менеджмент захочет использовать внутренний аудит для работы по команде «фас». Особенно про соседние подразделения («врагов»).
  2. Менеджмент часто не очень понимает риск-ориентированный подход. Вспоминая консультационные проекты по постановке системы управления рисками – кто-то понимает сразу, что и как, кто-то в течение месяца веселится про «кирпич на голову». 50/50, кстати.
  3. Менеджмент часто в принципе не очень понимает, что творится в бизнесе. Опять же, к предыдущему пункту: достаточно взять анкету с рисками любого менеджера. То есть внешний консультант (не говоря о внутреннем аудите) может назвать больше рисков, чем менеджмент изнутри.

В общем, много банальных причин. Но с формальной точки зрения мнение менеджмента учитывать нужно. В оригинале стандартов написано must (должен), самый жесткий глагол. В переводе на русский, если попросят тебя проверить любую ерунду – нужно проверять, иначе стандарты нарушатся. Поэтому принцип разумности, долгие переговоры (Вы уверены, что нужно проверить именно делопроизводство? Реальный случай, менеджмент попросил сделать именно отдельную проверку, а аудиторы согласились) и внутренние ограничения (например, не более 10% от трудоемкости на «хотелки»).

Особенность 3. Как всё-таки планировать.

А теперь давайте прочитаем исходный стандарт.

2010 — Планирование.

Руководитель внутреннего аудита должен составить риск-ориентированный план, определяющий приоритеты внутреннего аудита в соответствии с целями организации.

Заметьте, никто не говорит, что необходимо четко придерживаться взаимно-однозначного соответствия рисков из реестра рисков и аудита из плана мероприятий. Более того, нигде не сказано, как именно должны быть оценены риски. И вообще, если читать интерпретацию, то первое, что нужно учесть при планировании – результаты консультаций с менеджментом и СД (кстати, это не понравилось и в книге Л. Сойера).

Соответственно, как всегда в жизни, появляется не противоречащая ничему гибкость в подходах. И попробуйте меня убедить, что нельзя оценивать риски «подходом на основании денежных потоков», как и указано в части 1. Собственно, этим подходом и предлагаю дополнить «канонический». Как минимум, с помощью такого подхода гораздо проще и понятнее объяснить любому человеку, почему процесс управления инвестициями важнее процесса ведения бухгалтерского учета. Не говоря о том, что такой подход гарантированно обратит внимание на самые большие подверженные рискам потоки.

А дальше идет принципиальное разделение, следующие из оценки рисков:

  • отдельные аудиты на основании конкретного риска (в целом по компании);
  • риски, которые необходимо учитывать при проведении проверок из «Вселенной аудита».

О «Вселенной аудита» поговорим поподробнее. Я воспринимаю её как перечень юридических лиц либо организационно обособленных подразделений (производственных объединений  / единиц, филиалов, бизнес-единиц, отделений и т.п.), которые нужно проверять с определенной периодичностью (например, раз в 3-5 лет).  Иногда можно прочитать на самых уважаемых сайтах, что вселенная аудита – это про «частоту и периодичность покрытия проектами аудита процессов» (стр. 24). Утвержденного Постановлением ФОИВ определения вселенной аудита не существует, поэтому как формировать вселенную – на усмотрение руководителя.

Мы используемся «вселенную аудита» с ежегодной актуализацией для выбора проверок конкретных активов (как это называется у нас в компании) в следующем году. Во вселенной аудита указаны также и характерные процессы (можно назвать функциями) для каждого из активов, но это скорее справочно. Потому что риски на уровне бизнеса и риски на уровне актива могут быть разными. Отмечу, что большее количество измерений (помимо актива и процесса) приведет к трехмерности и практической невозможности удобной работы. Заодно скажу, что проверять бизнес-процессы на уровне активов значительно полезнее, чем анализировать из офиса. Правда, ехать куда-то нужно, но это – особенность работы. Кстати, с чем можно столкнуться, особенно если откладывать что-либо (например, из-за пандемии) на потом, то исходя из вселенной аудита очень много проверок может настичь одномоментно. То есть в долгосрочном цикле год будет посвящен отдельным процессам, а следующий – активам.

Итого подход, который применяем:

  1. Подход от рисков. Дает меньшую часть программы в виде отдельных аудитов. Прямо указываем, что для внешних рисков проверок не существует, для части рисков указываем, что будут анализироваться в рамках проверок финансово-хозяйственной деятельности (или же комплексных проверок).
  2. Подход от финансовых потоков. Дает большую часть программы в виде отдельных аудитов.
  3. Подход от вселенной аудита. Результат – реестр комплексных проверок.

В программе проверок на следующий год указываем в качестве источника аудита (для себя, не для печати на утверждение СД) «риски», «вселенная» и «биржа» (у нас одно из юрлиц – ПАО, должны соответствовать).

Если же Вы являетесь рьяным поборником всего лучшего, что есть в мире или Вам кажется, что в таком подходе прослеживаются какие-то несоответствия, приведу опровергающие соображения:

  1. «Лучшие практики» — это не стандарты. Вот нравится нам «вселенная аудита» — пользуемся, причем в том виде, в котором нравится. Не нравится риск-ориентированный подход, описанный в первой особенности – не пользуемся, пользуемся другим.
  2. Практические указания носят рекомендательный характер, в жизни их нужно упрощать. Ровно пять лет назад писал про возможные последствия следования им при планировании проверок.
  3. чЕсли хотите гарантированного соответствия – планируйте с конца. Определите перечень аудитов, расположите в удобном порядке, придумайте риски и оценку. Касается, кстати, не только плана проверок на год, но и планирования конкретного задания.

В общем, подход с комбинацией риск-ориентированного подхода (несколько аудитов точно будет, остальные риски учитываем при формировании программ проверок), анализа бюджета (позволит не забыть про самые большие потоки) в комбинации с перечнем проверяемых активов и чуть-чуть украшенных мнением менеджмента даст разумную программу проверок на ближайший год. Ну и не забывайте включать консультационные услуги.

P.S. Перед размещением статьи решил почитать «лучшие практики» в виде практических указаний от ИВА. Начинаются просто прекрасно, буквальная цитата:

В сегодняшней деловой среде эффективный внутренний аудит требует тщательного планирования в сочетании с гибким реагированием на быстро меняющиеся риски.

Вопрос: мне одному кажется, что «тщательное планирование» и «гибкое реагирование» не совсем сочетаются?

Если вы нашли ошибку, пожалуйста, выделите фрагмент текста и нажмите Ctrl+Enter.