Начнем с позитива. Понятно, что все в восторге от слова «смелость» прямо в названии Стандарта 1.1. Другое из понравившегося:

  1. Стандарт 4.3 «Профессиональный скептицизм». Очень правильные слова, особенно понравилось, что нужно «Прямо и честно высказывать опасения и задавать вопросы относительно информации, являющейся противоречивой».
  2. Стандарт 11.3. «Темы для обсуждения». «При рассмотрении в комплексе наблюдений и заключений по результатам нескольких заданий могут выявиться закономерности или тенденции, такие как корневые причины. Если руководитель внутреннего аудита выявляет темы для обсуждения, касающиеся процессов руководства организацией, управления рисками и внутреннего контроля, такие вопросы должны быть своевременно доведены до сведения Совета и высшего исполнительного руководства, наряду с идеями, советами и (или) заключениями». Такое бывает: по итогам проверок одного-двух-трех однотипных предприятий может показаться, что какая-либо находка даже не достойна даже раздела «прочее» отчета. Но, поизучав процессы дальше, возникает именно «тема для обсуждения». Ситуация теперь не просто легализована, а обязывает внутреннего аудитора реагировать, даже если предложения пока только на уровне идей. 
  3. Стандарт 11.3. «Заключение на уровне бизнес-подразделения или организации». «Такое заключение отражает профессиональное суждение руководителя внутреннего аудита, которое основывается на результатах совокупности аудиторских заданий и должно быть подкреплено относящейся к делу, надежной и достаточной информацией». Ключевое здесь, как мне кажется – именно «профессиональное суждение» на основании предыдущего опыта. Для того, чтобы сделать вывод об эффективности, совершенно не нужно проводить отдельный аудит, достаточно посмотреть результаты предыдущих, реакцию менеджмента на наблюдения, исполнение рекомендаций. Раньше тоже так делали, но теперь это прямо соответствует Стандарту.
  4. Раздел V «Предоставление услуг внутреннего аудита». Много хороших фраз во введении, например:
    • «этапы выполнения заданий не всегда четко разграничены, линейны и последовательны». Можно ссылаться, когда программа хронологически пишется после проверки😊;
    • «услуги внутреннего аудита включают обеспечение уверенности, консультирование, а также совмещение обоих видов услуг». Это хорошо, что Институт внутренних аудиторов признал жизнь многообразной;
    • «внутренние аудиторы могут сами инициировать предоставление консультационных услуг <…>». Фраза – огонь, очень хорошо, что такое допустимо, и не нужно ждать, пока менеджмент на что-то созреет. Фактически прямо написано, что можно, например, автоматизировать контрольную процедуру и всучить ее менеджменту, сказав «пользуйтесь!».
  5. Стандарт 13.1. «Если не удается достичь взаимопонимания, внутренние аудиторы не обязаны вносить изменения в результаты задания, если для этого нет веской причины. Внутренние аудиторы должны соблюдать установленные процедуры, позволяющие обеим сторонам выразить свою позицию относительно содержания итогового сообщения о результатах аудиторского задания и причин любых расхождений во мнениях относительно результатов задания». Позиция стандартная, приложение к отчету – протокол разногласий. Просто понравилось описание. Ну а фразой «Внутренние аудиторы должны сообщать руководству о целях, объеме и сроках выполнения аудиторского задания» можно троллить подчиненных😊.
  6. Стандарт 13.3. «Внутренние аудиторы должны проявлять гибкость и вносить изменения в цели и объем аудиторского задания в случае возникновения такой необходимости по мере выполнения задания».
  7. Стандарт 14.4. «Внутренние аудиторы должны решить является ли необходимым разработать рекомендации, запросить планы мероприятий от руководства или действовать совместно с руководством с целью согласовать меры <…>». Дело даже не в том, что есть случаи отсутствия точных и конкретных рекомендаций, дело в интерпретации этих рекомендаций менеджментом (всё, что можно сделать не так – сделают не так). В этом случае вариант «проблема обозначена – решайте» оказывается очень кстати. Именно этим пунктом начну пользоваться прямо с 09.01.25.

Скорее понравилось – наличие стратегии. Сначала было внутреннее отторжение (еще одна бумажка), но подсознательно думаю – а ведь много развилок всегда можно обсудить: что-то смотрим, что-то не смотрим, где-то аутсорсинг. Опять же, почему бы не показать пример другим подразделениям, как реализовывать стратегию.

А теперь про то, что не понравилось. Увы, раздел получился побольше:

  1. Требования не только к руководителю внутреннего аудита, но и Совету. Есть очень комфортная ситуация для внутреннего аудита, когда Совет представляет ровно один человек, а именно единоличный владелец бизнеса. И внутреннему аудиту он ставит задачи исходя из того, как он видит (неважно, какие поручения – от проверки личных активов до проведения внеплановой инвентаризации канцелярии – он заказчик, платит деньги, и т.п.). И тут – Раздел III. Руководство функцией внутреннего аудита, раздел «Встречи с исполнительным руководством и советом». «Руководитель функции внутреннего аудита должен обсудить настоящий раздел с Советом и высшим исполнительным руководством». Причем не важно, что функции уже 100500 лет… Когда у тебя компания на бирже, независимые директора, комитет по аудиту – всё понятно и даже хорошо, потому что ответственность за, скажем так, нерискориентированный внутренний аудит, будет лежать не только на руководителе подразделения. Но в современном российском мире очень сомнительная рекомендация. Самое плохое с точки зрения внешней оценки – функцию можно признать несоответствующей Стандартам, если Совет директоров по каким-то причинам не захочет участвовать. А пальцем будут показывать на руководителя внутреннего аудита.
  2. Дополнение Стандартов обязательными тематическими требованиями. Если раньше речь шла о рекомендациях (из новостей на сайте ИВА – PG «Аудит рисков (недобросовестного) поведения», «Аудит достаточности капитала и стресс-тестирования банков), «Комплексный подход к внутреннему аудиту», …), то теперь часть из них станет обязательными. Не нравится по простой причине – чем больше обязательных требований, тем больше вероятность возникновения непонятных и откровенно дурных.
  3. Избыточное участие менеджмента («высшего исполнительного руководства») в деятельности внутреннего аудита. Мне кажется, что предложенные пункты создают конфликты интересов:
    • стандарт 6.1 говорит о том, что руководство принимает Положение о внутреннем аудите. Всё бы ничего (по традиции положение о подразделении утверждает генеральный директор), но есть и пункт, что руководство так же приводит «свои ожидания в отношении функции внутреннего аудита, которые рекомендуется учитывать Совету при установлении компетенции внутреннего аудита». Потенциально положение усугубится всякой ерундой (например, запретами на доступ к информации и необходимости участия в аудите системы менеджмента качества) и будет приниматься / пересматриваться годами;
    • стандарт 7.2 говорит о том, что руководство «взаимодействует с Советом с целью определения требований к квалификации, компетенциям и опыту работы руководителя внутреннего аудита». Вспоминая, как менеджмент по всем правилам выбирает себе «нужных» контрагентов, вполне возможна ситуация, когда подойдет только один руководитель СВА из всех возможных на рынке труда, совершенно случайный дружественный менеджменту;
    • стандарт 8.4 устанавливает, что руководство «действует совместно с Советом и руководителем внутреннего аудита с целью определить объем и периодичность проведения внешней оценки качества». IMHO, а почему бы руководству не предложить ежегодно оценивать соответствие Стандартам? На пару месяцев всё руководство внутреннего аудита занято будет, пыла в отношении проведения аудитов поубавится…
  4. Отсутствие дифференциации требований к подразделению внутреннего аудита в зависимости от его масштабов. Заключительному разделу «Применение Международных стандартов внутреннего аудита в общественном секторе» место нашлось, а про небольшие подразделения сказано минимум. Вроде бы очевидно, что есть службы из 1-2 человек, есть из 10-20 и есть из 100-200 сотрудников. Неужели их жизнь ничем не отличается друг от друга? Я прекрасно понимаю необходимость документирования, желательно в какой-нибудь информационной системе, когда в подразделении 100 человек по всему миру. Но когда ты один? Отсутствие таких требований неплохо ложится на мою «теорию заговора» консультантов: чтобы соблюсти стандарты, проще привлечь консультантов, чем взять одного толкового чела, который для соблюдения требований будет вынужден 30-40% своего времени писать какую-то макулатуру.
  5. Стандарт 12.2 Оценка деятельности. «Для оценки деятельности функции внутреннего аудита руководитель внутреннего аудита должен разработать целевые параметры». Всегда считал, что функцию внутреннего аудита можно оценить только качественно, продолжаю так считать, но буду вынужден что-то придумывать. Например, оценка работы Службы по итогам опроса членов СД (не меньше 4,0). Кстати, если бы Совету директоров как основному заказчику вменили обязанность придумывать критерии оценки – не возражал бы.
  6. Стандарт 13.6 Программа задания:
    • в программу должны быть включены критерии оценки (фраза из Стандарта 13.4 Критерии оценки – «Внутренние аудиторы должны определить наиболее подходящие критерии, которые будут использоваться для оценки деятельности объекта аудита в соответствии с целями и объемом аудиторского задания»). Вот дурь полная, критерий – соответствие здравому смыслу на основании профессионального суждения;
    • утверждение любых изменений (в соответствии со стандартом 13.3 – обязательно руководителем внутреннего аудита). Вот зачем руководителю внутреннего аудита контролировать каждый шаг влево или вправо на каждой проверке? Не понимаю.
  7. Стандарт 14.3 Оценка наблюдений. «Внутренние аудиторы должны оценить каждое потенциальное наблюдение с точки зрения его существенности». «Внутренние аудиторы должны приоритизировать все наблюдения в зависимости от их существенности, в соответствии с принятой руководителем внутреннего аудита методологией». Проблема в том, что в ходе отдельной проверки внутренний аудитор может сильно ошибиться в оценке уровня существенности. Через несколько лет ты поймешь, что проблема очень значимая, но изначально неправильная приоритизация приведет к тому, что начнут тыкать пальцем.
  8. Стандарт 15.1 Итоговое сообщение о результатах аудиторского задания. «В итоговом сообщении должны быть указаны лица, ответственные за устранение замечаний, а также плановые сроки завершения мероприятий». Авторам можно порекомендовать определиться, кто они всё-таки – мальчики или девочки, потому что на 4 страницы выше в Стандарте 14.4 написано что-то другое (см. п. 7 про позитив), а именно – отчет может вполне закончиться рекомендациями. Опять же, а что делать, если менеджмент не сподобился на план мероприятий?

Про «примеры подтверждения», которые почти наверняка выльются в «лучшую практику», уже писал. Но это всё-таки примеры, а есть и обязательные документы. Выделено в цитатах из стандартов жирным шрифтом:

  • Стандарт 4.1 Соответствие Международным стандартам внутреннего аудита. «Методология функции внутреннего аудита должны разрабатываться, документально оформляться и поддерживаться в актуальном состоянии в соответствии со Стандартами».
  • Стандарт 9.2 Стратегия внутреннего аудита. «Руководитель внутреннего аудита должен разработать и внедрить стратегию функции внутреннего аудита, способствующую достижению стратегических целей и успеха организации и соответствующую ожиданиям Совета, высшего исполнительного руководства и других ключевых заинтересованных сторон».
  • Стандарт 9.3 Методология. «Руководитель внутреннего аудита должен принять методологию для системного и последовательного руководства функцией внутреннего аудита, реализации стратегии внутреннего аудита, разработки плана работы внутреннего аудита и соблюдения Стандартов».
  • Стандарт 9.4 План внутреннего аудита. «Руководитель внутреннего аудита должен основывать план работы внутреннего аудита на документально оформленной оценке стратегии, целей и рисков организации».

Вообще не представляю, как это может выглядеть. «Я, Иванов И.И., руководитель ПВА, ознакомившись с представленной стратегией, утвержденной ***, выявил следующие риски:»? и подпись внизу? 

  • Стандарт 11.1 Выстраивание отношений и коммуникация с заинтересованными сторонами. «Руководитель внутреннего аудита должен разработать подход к выстраиванию функцией внутреннего аудита отношений и доверия с ключевыми заинтересованными сторонами, включая Совет, высшее исполнительное руководство, операционное руководство, регуляторов, а также внутренние и внешние стороны, обеспечивающие уверенность, и других консультантов».

Почему решил, что это должно быть документировано? Потому что первым пунктом в качестве примера подтверждения соответствия указан «Документированный план управления взаимоотношениями функции внутреннего аудита с заинтересованными сторонами».

  • Стандарт 11.2 Эффективная коммуникация. «Руководитель внутреннего аудита должен разработать и внедрить методологию, обеспечивающую точность, объективность, ясность, краткость, конструктивность, полноту и своевременность коммуникации функции внутреннего аудита».
  • Стандарт 12.1 Внутренняя оценка качества. «Руководитель внутреннего аудита должен разработать методологию внутренней оценки, указанную в Стандарте 8.3 «Качество» <…>».
  • Стандарт 12.3 Надзор и повышение эффективности выполнения аудиторских заданий. «Руководитель внутреннего аудита должен разработать и внедрить методологию по надзору за выполнением аудиторских заданий, обеспечению качества и развитию компетенций».

Интереснейший практический вопрос – нужно ли сделать одну книжку под названием «Методология», в которой будут отражены все методологические аспекты всех стандартов, или для удобства внешнего оценщика лучше сделать издать набор брошюрок по каждому аспекту за подписью руководителя? В рекомендациях прямо написано, что можно и так, и так. Но вот как лучше?

Раньше на сайте ИВА была типовая программа повышению качества внутреннего аудита. Если тем же и закончатся все эти методологии – ну и ладно, распечатаем, подправим пару строк да подпишем. Но, исходя из контекста, документы должны быть пообъемнее, а это значит, что просто так не отделаешься. Чтобы получилось что-то разумное, нужно либо самому разрабатывать и тратить месяцы, либо консультантов привлекать. Если честно, оба варианта так себе.

Как будут реализовывать переход на новые стандарты – пока не решил. С одной стороны, вроде бы написано во всех внутренних документах о соблюдении Стандартов, кои поменялись. С другой стороны, можно же сделать переходный период, написать план приведения в соответствие к 2026 году, опять же, обсудить на СД возможную стратегию с вариантом откладывания внедрения до когда-нибудь… Или вообще, замутить прохождение внешней оценки в два этапа, перед оценкой написать что-нибудь с нужными заголовками, чтобы были документы для анализа внешнему оценщику… В общем – будем думать.

Если вы нашли ошибку, пожалуйста, выделите фрагмент текста и нажмите Ctrl+Enter.