Как уже было сказано, с внутреннего аудита лучше начинать всю деятельность по постановке тематики, представленной на данном сайте. И хорошо, что есть Международные профессиональные стандарты внутреннего аудита (МПСВА), которые на самом деле описывают требования к тому, что должно получиться в результате постановки. Помимо МПСВА рекомендую обратить внимание на документ под названием «Методические рекомендации по организации работы внутреннего аудита в акционерных обществах с участием Российской Федерации», документ получился очень толковым.

Переписывать эти документы я, естественно, не буду. На этих страницах я всего лишь, на основании своего хоть какого, но опыта, интерпретирую МПСВА. Если честно, то просто обычные рассуждения. С точки зрения пользы для конкретного бизнеса значительно интереснее программы проверок.

Я коснусь нескольких тем: планирования работы на год, планирование конкретного задания, расскажу свое видение исполнения и документирования. Естественно, не буду комментировать сущность работы внутреннего аудита.

Но для начала – несколько вводных рассуждений.

Уровень развития аудита.

Где-то в материалах (более поздних, чем середина 2000-х годов) ЗАО «КПМГ» я видел замечательный слайд под названием «Эволюция внутреннего аудита»:

Слайд хороший, но я бы дал несколько другое видение:

  • комплаенс-ориентированный внутренний аудит – это проверки исполнения уже существующих регламентов операционной деятельности без оценки разумности регламента;
  • операционно-ориентированный внутренний аудит – это не только проверки исполнения регламентов, но и анализ необходимости внесения в них изменений на основании существующих рисков и произошедших событий;
  • стратегически-ориентированный внутренний аудит – это анализ управления стратегическими рисками.

Так вот, комплаенс-ориентированный внутренний аудит даже при первоначальной постановке лучше пропустить. Казалось бы, почему? Вроде бы разумно выглядит. Несколько, как мне кажется, рациональных аргументов:

  • исключить дискредитацию внутреннего аудита в глазах владельца. Пример банален: владелец Уникака грустил, что снабженцы при зарплате в $600 ездят на новеньких пассатах. Понятное дело, что это один из признаков воровства. А теперь предположим, что регламент закупок есть и многостраничный (то есть коррупция не «пещерная», а «беловоротничковая»). Что обнаружишь в этом случае при комплаенс-ориентированном внутреннем аудите? Несколько технических ошибок в конкурсах, в лучшем случае – признаки фиктивности («конкурс печатей»). Но оправдание для технических ошибок – это «не ошибается тот, кто ничего не делает», а доказывать злой умысел при «конкурсе печатей», мягко говоря, затруднительно, да и не каждый аудитор обратит внимание на это: есть бумажки, и ладно. Результат – процедуры закупок «в целом соответствуют регламенту». По итогам такого аудита мнение владельца о внутреннем аудите падает чуть ниже плинтуса;
  • задуматься об эффективности процессов. Вспоминаем мужика, который уголь бросает и не ведет предусмотренный инструкцией учет перебросанного угля в лопатах. Если включить банальную эрудицию, можно догадаться, что учет перебросанного угля в лопатах, скорее всего, не нужен. Но! В комплаенс-ориентированном внутреннем аудите в отчет необходимо включить нарушение существующей «инструкции по учету перебросанного угля» в части учета перебросанного угля в лопатах. В операционно-ориентированном – отметить кривизну и избыточность с точки зрения внутреннего контроля «инструкции по учету перебросанного угля» и предложить её изменить;
  • чтобы не повторить ситуацию, описанную в первом примере книги на стр. 25. То есть не отмечать, что нарушений нет, потому что регламенты отсутствуют, а предложить в рамках первых проверок (1) формализовать процедуры; (2) объяснить, почему это нужно, то есть поискать реальные проблемы.

При этом не нужно думать, что комплаенс-аудит совсем не нужен: качество учета комплаенс-аудит должен повышать, что немаловажно для внутреннего контроля в целом.

О чем еще хочется упомянуть. Именно комплаенс-ориентированный внутренний аудит (то бишь «тестирование контролей») и есть, как мне кажется, основная причина недостаточного развития профессий (см. «Почему к нам так относятся?» и другие материалы сайта). При этом он наиболее популярный. Причина такого, как мне кажется, в предыдущем опыте людей, которые организуют внутренний аудит. Многие приходят из внешнего аудита. А внешний аудит очень хорошо стандартизирован, поэтому комплаенс-аудит максимально понятен внешнему аудитору. А вот с операционным – это уже нужно думать в каждом случае, методических рекомендаций Минфина нет (см. эпиграф к разделу про внутренний контроль). И частенько требуется достаточно много времени, чтобы внутренний аудит перешел к операционно-ориентированному (хотя бы от «неплохого» до «относительно хорошего варианта» в терминах все той же страницы). А многие подразделения внутреннего аудита так и вообще не переходят, вполне комфортно чувствуя себя на ниве проверки наличия протоколов инвентаризаций и подписей в листах согласования к договорам.

Поэтому не повторяйте ошибок предшественников, начинайте с операционно-ориентированного.

А вот стратегически-ориентированный внутренний аудит, безусловно, можно начать ставить сразу, но лучше обождать (хотя бы 2-3 года). Как мне кажется, сначала необходимо убедиться в разумности СВК на операционном уровне. Укажу несколько причин:

  • операционно-ориентированный внутренний аудит в целом проще, чем стратегически-ориентированный. Цена любых ошибок на операционном уровне значительно ниже, чем на стратегическом, в том числе и при работе внутреннего аудита;
  • результаты операционно-ориентированного внутреннего аудита быстрее ощутимы и осязаемы в т.ч. в рублях (за несколькими исключениями). Починка материального учета даст результат значительно быстрее, чем починка процесса НИОКР;
  • чтобы что-то рекомендовать на стратегическом уровне, желательно понимать бизнес детально. А как лучше всего внутреннему аудитору этого достичь? Естественно, через операционные аудиты.

Дополнительные аргументы – на странице по планированию работы на год.

Но, опять же, зависит от пожеланий владельца. Уверен, что есть люди (например, уж позвольте похвастаться, лично автор сайта), которые и при задаче сразу перейти к стратегически-ориентированному внутреннему аудиту могут решить её если не полностью, то хотя бы частично. Но даже мне комфортнее делать это через год, а не первым аудитом. Также необходимо отметить, что если внутреннему аудиту в бизнесе уже 10 лет, а стратегии регулярно не анализируются – вы где-то задержались в развитии.

Целесообразность аутсорсинга.

МПСВА допускают, что функцию внутреннего аудита может выполнять внешний поставщик услуг.

Мое мнение – это целесообразно только в части комплаенс-ориентированного внутреннего аудита. Во-первых, процедуры все прописаны, особого понимания бизнеса не нужно. Во-вторых, календарное время тестирования может быть не очень важно, и для той же СВК над подготовкой отчетности можно привлечь аудиторскую компанию по разумным ставкам: аудиторский бизнес сезонен, почему бы летом и не «потестировать контроли».

А вот что касается операционно-ориентированного и тем более стратегически-ориентированного внутреннего аудита, он, по моему мнению, однозначно должен быть внутри организации. С точки зрения понимания бизнеса. Речь не идет об узкоспециализированных делах: если необходим анализ предлагаемых технических решений для нового завода, целесообразно позвать пару-тройку буржуйских организаций для оценки качества решений проектантов (даже если внутри есть аудитор производственных процессов), если у вас одна большая стройка на год, будет дешевле нанять сюрвейера и т.п.

Но, опять же, если Вы уверены, что система внутреннего контроля у вас настолько в порядке, что операционно-ориентированный внутренний аудит скатывается в комплаенс-ориентированный, то почему бы и не привлекать внешние стороны? Но я такого, если честно, в практике не встречал.

Если вы нашли ошибку, пожалуйста, выделите фрагмент текста и нажмите Ctrl+Enter.