Размещено 26.10.24
Как и в комментариях к стандартам, начну с понравившихся:
- Примеры предвзятости (стандарт 2.1.). Хорошо написано, особенно про предвзятость знания. Нужно стараться избегать.
- Описание конфликта интересов (стандарт 2.2.). Например, в части объективности – «Носить характер непотизма или фаворитизма по отношению к определенным лицам».
- Примеры положения о мотивации схем вознаграждения (стандарт 2.2.). Хорошо, что прямо указано о нецелесообразности построения мотивации на основании опросов от клиентов аудита, количества наблюдений, ….
- «Хотя внутренние аудиторы несут ответственность за обеспечение своего личного профессионального развития и могут оценивать свои собственные навыки и возможности для развития, руководителю внутреннего аудита следует поддерживать профессиональное развитие внутренних аудиторов». Можно читать по-разному, но лишнее напоминание о том, что развитие – дело рук самих внутренних аудиторов.
- «Риск может не быть материальным или существенным для организации, но может быть таковым для аудиторского задания или объекта аудита». На мой взгляд, такая рекомендация дает заниматься тем, что внутренний считает важным, не объясняя всем вокруг, почему.
- «Должная профессиональная осмотрительность также требует сопоставления затрат на предоставление услуг внутреннего аудита (например, потребностей в ресурсах) с выгодами, которые могут быть в результате получены. Например, если средства контроля объекта аудита не разработаны должным образом, выгоды от полной оценки эффективности этих средств контроля вряд ли оправдают затраты». Я это интерпретирую так: если процесс кривой – не нужно детально оценивать, что в нем не так. Достаточно сказать, что процесс кривой.
- «Видение также предназначено для стимулирования непрерывного развития внутренних аудиторов». Может оказаться очень полезно для функции, если есть толковый аудитор, который хочет повысить заработную плату и готов инвестировать в собственное развитие.
- «Если организация действует в динамичной среде, план работы внутреннего аудита может нуждаться в обновлении каждые шесть месяцев, ежеквартально или даже ежемесячно». Да я бы вообще все эти риск-ориентированные планы на год не разрабатывал и не утверждал. Собрались числа 25 каждого месяца, подумали, чем будем заниматься в следующем месяце, посовещались, решили, зафиксировали, информационный запрос со сроком предоставления информации в два дня отправили – и работаем. А что, не в динамичной среде живем? На самом деле шутка, но наличие возможности радует.
- «Руководителю внутреннего аудита также следует присутствовать на заседаниях Совета, ключевых комитетов, высшего исполнительного руководства и групп, непосредственно подотчетных высшему исполнительному руководству <…>». Если будете ссылаться на этот пункт для обоснования того, что хотите где-то позаседать – пункт хороший, но не говорите, что это рекомендации.
- «Руководителю внутреннего аудита следует рекомендовать внутренним аудиторам отмечать удовлетворительные и положительные результаты деятельности в сообщениях в рамках аудиторского задания». Рекомендация хорошая, но я бы ограничил ее использование только случаями, когда между менеджментом и советом директоров / владельцами существует определенная дистанция. Если взаимодействие между менеджментом и СД носит ежедневный и неформальный характер, лично моя позиция меняется: менеджмент сам себя может похвалить, задача внутреннего аудита – скорее, покритиковать.
- «Профессиональное суждение руководителя внутреннего аудита помогает определить, приняло ли руководство риски, превышающие риск-аппетит или уровень толерантности к риску» и «Требования настоящего стандарта выполняются только в том случае, если руководитель внутреннего аудита не может достичь согласия с руководством, ответственным за управление риском». Как и всегда, мне нравится ссылка на возможность профессионального суждения и отсутствие необходимости что-то обосновывать менеджменту перед вынесением вопроса на СД.
- «Уровень анализа и детализации на этапе планирования, отличается у разных функций внутреннего аудита и для разных аудиторских заданий». Хорошая рекомендация с точки зрения диалогов при внешней оценке функций. Безусловно являясь сторонником анализа полных популяций данных, осознаю сложность ответа на вопрос «почему именно в этой проверке был использован выборочный подход?». Ответ – «потому что».
- «Если оценка дизайна контроля не была проведена в ходе планирования аудиторского задания, она может быть проведена в качестве отдельного этапа выполнения задания, либо внутренние аудиторы могут оценить дизайн контроля при проверке его эффективности». Рекомендую (простите за тавтологию) исполнять данную рекомендацию в части отказа от «предварительной» оценки эффективности, под которой подразумевается наличие необходимых контрольных процедур в процессе. Как правило, такая оценка означает, что если бы все действовали по регламенту, то всё бы работало. Но только тестирование и интервью дает ответ на вопрос, почему регламенту не следуют.
- «Внутренним аудиторам следует понимать и использовать технологические решения, повышающие эффективность и результативность анализа, такие как программные приложения, которые позволяют тестировать полную совокупность, а не только выборку». Выдающаяся рекомендация. Я старался применять ее с 2008 года, когда ушел в реальный бизнес. О результатах напишу в мемуарах (понятное дело, гарантий об их появлении не даю по очень разным причинам).
- «Если внутренние аудиторы определяют конкретное корректирующее мероприятие для устранения замечания, они могут указать это корректирующее мероприятие в качестве рекомендации. Внутренние аудиторы также могут предложить руководству несколько вариантов для рассмотрения. В некоторых случаях внутренние аудиторы могут предложить руководству самому определить возможные варианты и определить соответствующий план действий». Именно так. Знаешь, что делать конкретно или имеешь несколько вариантов – пишешь в рекомендации. Видишь проблему, но не знаешь, как выправить – отправляй на рассмотрение руководства.
Ну а теперь – про вредные советы. Раздел I вынужден пропустить по независящей от меня причине, а именно отсутствию рекомендаций.
Раздел II. Этика и профессионализм.
«В целях поддержки внутренних аудиторов руководителю внутреннего аудита следует находить возможности для обучения, а также для обсуждения гипотетических и реальных ситуаций, требующих принятия решений, основанных на принципах этичного поведения» и далее по этой рекомендации. Мое мнение – человек либо этичен, либо не очень. Обучать, конечно, можно, но может возникнуть ситуация с законом о полиции: знаю назубок, но ведут себя как умеют.
«План работы внутреннего аудита может включать проведение оценки рисков, связанных с вопросами этики, с целью определить, учитываются ли эти риски надлежащим и эффективным образом в существующих политике и механизмах контроля». Ну вот не уверен. И, если честно, вообще не очень понимаю этих акцентов на этике.
Самая сомнительная рекомендация: «Если внутренние аудиторы определяют, что поведение члена высшего исполнительного руководства не соответствует ожиданиям организации в вопросе этики, изложенным в кодексе поведения, кодексе этики или другим образом, руководителю внутреннего аудита следует уведомить Совет о таком нарушении. Если вопрос касается председателя Совета, руководителю внутреннего аудита следует оповестить об этом всех членов Совета». Интересно, как долго проработает руководитель внутреннего аудита, если будет рассказывать свои наблюдения о председателе Совета письменно всем членам Совета директоров?
Ну а примеры дискредитирующего поведения (рекомендации к стандарту 1.3.) показали мне, что живу я скучновато.
Раздел III. Руководство функцией внутреннего аудита.
Фундаментальная проблема этого раздела – сами стандарты, комментарии см. здесь . Чтобы не оставлять раздел пустым – укажу странное требование к внешнему оценщику функции внутреннего аудита: «Опыт работы в отрасли промышленности или секторе экономики, в котором работает организации». Вот интересно, зачем? Конечно, внутренний аудит – не поставка канцелярских товаров, но, IMHO, опыт в конкретной отрасли не очень важен. Хотя, возможно, имелись в виду финансовые организации.
Раздел IV. Управление деятельностью функции внутреннего аудита.
В связи с объемностью раздела буду ссылаться на принципы.
Принцип 9. Осуществляйте стратегическое планирование.
Для меня одна из самых сомнительных рекомендаций – «Руководитель внутреннего аудита может разработать матрицу рисков и контролей организации с целью <…>». Во-первых, я в целом не очень хорошо отношусь к громоздким документам, а матрица рисков и контролей (контрольных процедур?), если она хоть как-то приближена к реальности – громоздка. Как следствие – это трудоемко. В бизнесе, где я сейчас работаю, на это легко можно положить 2-3 человеко-года, а за время разработки половина поменяется. Безусловно, это приблизит к пониманию процесса. Но соотношение времени и эффекта явно не выглядит оптимальным. Во-вторых – а не менеджмент ли больше заинтересован в ее создании?
«Стратегию внутреннего аудита следует корректировать при любых изменениях в стратегических целях организации или ожиданиях заинтересованных сторон». На мой взгляд, приведенный перечень факторов, на основании которых рекомендовано изменение стратегии, немного раздут. Безусловно, степень зрелости процессов или личность председателя комитета по аудиту должны стратегию внутреннего менять. Но изменение политик и процедур и даже смена руководителя внутреннего аудита, мне кажется, не является поводом изменения стратегии. В противном случае можно пересматривать стратегию хоть ежеквартально, а в моем понимании стратегия должна фиксироваться как минимум на пару лет.
Про методологию уже писал в конце предыдущей статьи. Рекомендации расширяют набор вопросов, по которым должна быть разработана методология, но не принципиально. А замечание примерно такое же, как и про стратегию – неужели у каждого руководителя внутреннего аудита должна быть своя методология? Конечно, написано аккуратно: «Пересмотр методологии внутреннего аудита также может потребоваться в случае смены руководителя внутреннего аудита <…>», но, как мне кажется, должна быть преемственность.
Про формирование плана внутреннего аудита рекомендаций дано очень много. Основной мой вывод – действуй по ситуации, потому что очевидных к исполнению указаний не прослеживается:
- подход к выявлению рисков. Сначала пишется и про то, что нужно рассмотреть цели и стратегию не только на уровне организации в целом, но и на уровне отдельных подлежащих аудиту единиц, и про необходимость внедрения методологии непрерывной оценки рисков (кстати, интересно, как выглядит), и про учет рисков с точки зрения возможностей (а не только негатива), и про необходимость разработки подходов к выявлению и оценке существенных, новых и возникающих рисков (хочется спросить – одной методичкой или несколькими)? С другой стороны, делается вывод про то, что, оказывается, «функция внутреннего аудита не сможет ежегодно оценивать каждый риск во вселенной аудита» (кстати, один раз в год – хоть 1000 рисков) и можно просто поговорить с заинтересованными лицами;
- план должен быть риск-ориентированным, но при составлении календарного графика нужно учитывать «компетенции и имеющийся ресурс внутренних аудиторов». То есть риски мы видим в информационных технологиях и стройке, но будем проверять налоги и закупки, потому что умеем?
Ну и про то, что нужно согласовать с Советом критерии существенности изменений, требующих пересмотра плана аудита. Не проще согласовать раз в полгода (или в месяц?) само изменение, что у руководителя подразделения внутреннего аудита займет полчаса, чем формулировать критерии и убеждать всех заинтересованных в том, что именно эти критерии нужно использовать?
К рекомендациям по координированию деятельности – только один вопрос, а не много ли макулатуры? Вот есть риски, связанные с охраной труда. Риск значимый, safety first. И в очень редких случаях во внутреннем аудите есть сотрудник, специализирующийся на ПБиОТ. А теперь представьте, что нужно сделать для того, чтобы утвердить, что охраной труда занимаются и без внутреннего аудита (например, есть целый отдел в управляющей компании, не говоря о производственных активах) в соответствии с рекомендациями: разработать процедуру оценки, поговорить со всеми заинтересованными лицами (руководство, СД), проанализировать все отчеты, составить карту обеспечения уверенности или матрицу рисков, обсудить полученное и (!) документально оформить договоренности и описание услуг по обеспечению уверенности. Не проще самому сделать?
Принцип 10. Управляйте ресурсами.
По управлению кадровыми ресурсами – замечаний не имею. Даже в ярмарках вакансий можно участвовать, и с тем, что «Если ресурсы недостаточны для выполнения запланированных аудиторских заданий, руководитель внутреннего аудита может провести обучение имеющегося персонала» согласен.
Что я думаю о технологических ресурсах – писал уже 10 лет назад как, повторяться не буду.
Принцип 11. Осуществляйте эффективную коммуникацию.
Исходя из самого названия принципа, ожидать каких-либо рекомендаций кроме «за всё хорошее против всего плохого» сложно. Пара примеров, можете прочитать только жирный текст, картинку представляйте себе сами, если хватит воображения:
- «Руководитель внутреннего аудита и внутренние аудиторы могут инициировать обсуждение с руководством и Советом стратегии, целей, рисков, а также отраслевых новостей, тенденций и регулятивных изменений. Такие обсуждения, наряду с опросами, интервью и групповыми семинарами, являются полезными инструментами для получения информации, особенно относительно рисков мошенничества и возникающих рисков. Интернет-сайты, информационные бюллетени, презентации и другие формы коммуникации могут быть эффективными способами информирования сотрудников и других заинтересованных сторон о роли и пользе от работы функции внутреннего аудита».
- «Методология может включать политики, процедуры, критерии, руководства по стилевому оформлению для обеспечения последовательности и управления коммуникацией функции внутреннего аудита».
А еще о представлении авторов стандартов об эффективной коммуникации говорит следующая цитата: «В методологию внутреннего аудита также следует включить процедуры документирования обсуждений и предпринятых действий, включая описание риска, причину внимания к вопросу, причину невыполнения руководством рекомендаций внутренних аудиторов или других действий, имя лица, ответственного за принятие риска, и дату обсуждения». Согласитесь, начиная с описания риска рекомендация прекрасно предназначена для учета в табличной форме. Потом еще можно сделать сводную таблицу, кто внутренних аудиторов куда послал и почему… Всё для эффективной коммуникации!
Принцип 12. Повышайте качество.
Как думаете, что является основополагающим для повышения качества внутреннего аудита? Нет, не подбор сотрудников. И даже не развитие их компетенций. «Надлежащий надзор за выполнением аудиторского задания является основополагающим элементом программы обеспечения и повышения качества. Надзор начинается на этапе планирования и продолжается на протяжении всего задания. Надзор может включать в себя установление ожиданий, поощрение общения между членами группы на протяжении всего задания, а также своевременное рассмотрение и визирование рабочих документов». Кстати, аналогичные мысли были и в книге «Внутренний аудит по Сойеру». Дальше рекомендации очевидны – чек-листы, средства автоматизации, обратная связь, «другие показатели», результаты опросов.
Даже одного раздела не хватило для того, чтобы показать, что надзор – наше всё, появился дополнительный раздел. На мой взгляд, классический репрессивный подход. Который сквозит даже при описании периодических самооценок. Рекомендации – не про «изучать деятельность внутреннего аудита», а «проводить собеседования и опросы среди заинтересованных сторон функции внутреннего аудита. С помощью данного процесса руководитель внутреннего аудита может оценивать качество и степень соблюдения методологии функции внутреннего аудита». Не берусь судить, у меня другой подход.
Другой подход у меня и к оценке деятельности. Ну невозможно придумать разумные параметры. Когда-то писал про мотивацию, мнение не изменилось, оценка деятельности – только качественная. При этом новые рекомендации достаточно широки, но непонятны. Как можно измерить:
- охват целей аудиторского задания в соответствии с компетенцией внутреннего аудита?
- насколько заключения функции внутреннего аудита на уровне бизнес-подразделения или организации в целом соотносятся с существенными целями организации?
- процент охваченных внутренними аудитами ключевых рисков и процедур контроля организации (вообще говоря, процедур контроля можно выявить 100, а можно 1000)?
- …
Про подтверждение профессионализма дипломами также писал раньше.
В общем, раздел мне категорически не понравился и я бы не исполнял рекомендации полностью. Хотя, возможно, став еще на год ближе к пенсии (или к маразму – кому как нравится), тоже буду стремиться к качеству через надзор, действия аудиторов оценивать на основании того, что о них говорят клиенты аудита, а также тщательно изучать обмен информацией в рамках задания и письменно запрашивать дополнительные доказательства или разъяснения.
Раздел V. Предоставление услуг внутреннего аудита.
Принцип 13. Осуществляйте эффективное планирование аудиторских заданий.
«Руководителю внутреннего аудита следует утвердить процедуру, содержащую требования к качеству и содержанию коммуникации в рамках аудиторского задания в соответствии с ожиданиями Совета и высшего исполнительного руководства». Вот на самом деле авторы думают, что для каждого пункта по (тоже цитата, классификация видов коммуникации) «первоначальный, текущий, заключительный и итоговый обмены информацией с руководством объекта аудита» можно придумать, условно, универсальную матрицу? Вряд ли. Написать общие принципы? Так там тоже будет такое количество оговорок, что в лучшем случае 80% коммуникаций будет по шаблонам идти. Тем не менее, процедуру рекомендуют утвердить.
«Внутренние аудиторы могут подготовить диаграмму, электронную таблицу, матрицу рисков и контролей, описание процессов или другой инструмент для документирования рисков и средств контроля, предназначенных для управления этими рисками». А почему не просто выписать в программу риски, которые видит аудитор? Почему именно что-то понятное только для какой-то одной группы людей? При этом ниже делается оговорка, что «Матрица рисков и контролей, в случае ее использования, разрабатывается обычно на протяжении аудиторского задания». Не возражаю для финансовой отчетности или каких-нибудь простейших процедур, но для каждой проверки? И, коль уж новизна нужна – в довесок рекомендуют «тепловую карту» для каждого аудиторского задания. Вот ведь пользы-то будет…
Про критерии описано нудно, но в целом понятно (есть ожидаемое состояние, есть текущее). Но сильно удивил подход к определению уровня контроля. «Например, «достаточный уровень» может означать, что в рамках одной из целей контроля определенный процент операций проводится в соответствии с установленными процедурами контроля, или что определенный процент средств контроля в целом работает должным образом». С учетом того, что в этом же абзаце идет речь о «четко сформулированной толерантности к риску», мне кажется, что «достаточный уровень» — это 100% операций, которые подпадают под определение нетолерантных.
Следующие рекомендации касаются самой программы:
- вызывает большие сомнения описание методологии («описывает задачи и методологию») в программе проверки. В моем понимании методология – это что-то большое, а программа проверки – это несколько листов А4;
- «внутренние аудиторы могут разработать программу задания, связав риски и контроли, выявленные в ходе оценки рисков, с методами тестирования. По мере проведения анализа и оценки внутренние аудиторы могут связать риски и контроли с наблюдениями и заключениями». Плохо, потому что не всегда наблюдения и заключения связаны с рисками и контрольными процедурами. В этом случае перед исполнителем будет стоять нелегкий выбор: забить на выявленное или возвращаться к планированию проверки (с описанием того, что есть) в ходе проверки. Конечно, зависит от аудитора, но за себя лично я не гарантирую выбор второго варианта.
А самой большой странностью в этих рекомендациях мне показалась фраза «Определением и распределением ресурсов при планировании задания обычно занимается внутренний аудитор, назначенный руководить заданием и осуществлять надзор за его выполнением». Не, метод самоконтроля при выполнении задания прекрасен, но, как мне кажется перед словом «осуществлять» можно было бы написать «и/или».
Принцип 14. Выполняйте аудиторское задание.
Кстати, темы статьи не касается, но формулировка принципа замечательна, даже вроде на какой-то конференции обсуждали.
Самое принципиальное замечание в этом разделе – для того, чтобы сделать вывод об эффективности либо неэффективности, необходимы некие «установленные критерии», то есть: «Проведенный анализ должен дать содержательное сравнение между критериями оценки и текущим состоянием». Рекомендация, с одной стороны, выполнима: есть представление о прекрасном (формализованное?), к нему нужно стремиться. Но она же может способствовать к ограничению полета мысли внутреннего аудита. Банальный пример, вспоминая «Связной»: а где-нибудь написано, что на полу не должно быть окурков? Да вряд ли. Но вроде очевидно, что наличие окурков – это плохо. И внутренний аудитор может попасть в ментальную ловушку: если ничего не нарушено (нигде не написано, что окурков быть не должно), значит, это допустимо. На это в рекомендациях есть хорошая фраза о том, что «степень воздействия представляет собой оценку, основывающуюся на профессиональном суждении <…>». Я рекомендую всем внутренним аудиторам принять и внушить себе, что их профессиональное суждение, а не соответствие критериям – основа для выводов для отчета.
Также не понравилось:
- «Хотя внутренние аудиторы должны сообщать о существенных рисках в виде наблюдений, они могут сообщать о других рисках также в виде наблюдений или иным способом». Интересно, каким?
- «Присвоение рейтингов или ранжирование может быть эффективным инструментом коммуникации для описания существенности каждого наблюдения». С одной стороны, вроде разумно. Но около каждой фразы в отчете ставить какие-то индикаторы с ранжированием (ну, типа «ужас-ужас». «просто ужас», «неплохо исправить»)?
- рекомендации ко всему разделу 14.6. Просто почитайте, что написано под тремя группами буллитов («Документация аудиторского задания должна содержать:», «Обычно рабочая документация включает:» и «Общий формат рабочей документации:»). После этого попробуйте вообразить обязательность всего перечисленного для любой проверки.
Кстати, слово «первопричина» тоже доставляет, я к нему отношусь также, как и к «инициация».
Принцип 15. Информируйте о результатах аудиторского задания и осуществляйте мониторинг планов мероприятий.
Несмотря на то, что «за всё хорошее против всего плохого», возражений не имею.
P.S. «Применение Международных стандартов внутреннего аудита в общественном секторе» анализировать не буду, потому что из общественного сектора выгнали уже 7 лет назад.
Вместо заключения.
Уважаемые читатели. Вышеизложенное – просто мое мнение. Единственная цель этого опуса – развивайте критическое мышление. Не следуйте догмам, думайте.