В книге (стр. 42) я предложил как вариант совмещение подразделений внутреннего контроля и аудита. По факту в книге под контролером в некоторых случаях понимается внутренний аудитор, в некоторых – постановщик системы внутреннего контроля.
Возможно, я не очень хорошо услышал оппонентов, и говорить о том, что в большинстве организаций внутренний контроль и внутренний аудит совмещен, было не очень корректным. Но, «что написано пером, не вырубишь топором».
Тем не менее, я и считал, и продолжаю считать, что внутренний аудит может и должен принимать активнейшее участие в постановке систем внутреннего контроля. Как уже было сказано во введении к разделу «С чего начать преобразования?», лучший способ сорвать постановку системы внутреннего контроля – полностью доверить процесс контролируемым, то есть менеджменту.
Основные гешефты для руководителя внутреннего аудита от расширения обязанностей – делом доказать полезность организации. Однако такая ситуация приводит к возникновению значительных рисков. Перечислю их:
- Нарушаются стандарты, в частности, независимость. Может быть, и не очень критично с точки зрения «буквы» (то есть мы в качестве консультационной услуги написали менеджменту регламент – почему бы и нет, коль умеем. А потом год не проверяем либо дополнительно раскрываем информацию в отчете). Но достаточно критично с точки зрения «духа»: проверять самого себя не очень хорошо (пусть даже формально это будут разные люди, возможно, из разных отделов).
- Будьте уверены, что если через год выявится какой-нибудь даже мелкий недочет в организации любого процесса, не говоря о крупном, а его автором являетесь Вы – получите полный комплект презрения и обвинений в непрофессионализме.
- Менеджмент будет постепенно начинать считать, что постановка и поддержание системы внутреннего контроля – задачка непосредственно подразделения внутреннего аудита. Как результат: (1) иждивенческие настроения. То есть менеджмент не захочет вносить даже исправления, может дойти до того, что подразделение внутреннего аудита будет держателем «контрольной копии» регламентов; (2) полусаботаж. Любая попытка делегировать менеджменту хоть что-нибудь в части регламентации СВК будет наталкиваться на отторжение; (3) вся агрессия будет нацелена на одну дирекцию. Какую – думаю, что можно не упоминать, но в «идеальной структуре» предприятия она находится справа от генерального директора.
- Постановка СВК – задача долгая. Сложные регламенты (закупки, инвестиции, ремонты) могут развиваться годами. Поэтому при совмещении постановки СВК и внутреннего аудита через некоторое время можно столкнуться с тем, что мы непрерывно и совершенствуем СВК, и проводим аудиты. То есть разграничить «сначала ставим, потом проводим аудит» не получится с очень высокой вероятностью. Дальше см. п. 1, 2, 3.
Тем не менее, я являюсь сторонником того, чтобы внутренние аудиторы принимали активнейшее участие как в управлении рисками, так и в постановке систем внутреннего контроля. Хорошие варианты:
- максимальная детализация рекомендаций (изменение организационной структуры, внесение изменений в конкретные пункты регламентов, создание дополнительных инструкций с описанием ключевых контрольных процедур и т.д. и т.п.) по итогам аудитов;
- разработать 1 (один) регламент для того, чтобы показать, как вообще это должно выглядеть. После этого сказать что-то типа «я и так с совестью пошел на сделку, давайте дальше сами». При этом ни одной подписи «утверждаю» внутренний аудитор ставить не должен, максимум – «согласовано», причем последняя – в исключительных случаях, при наличии традиции согласовывать любую бумаженцию со всеми подразделениями (генеральному директору в таких случаях очень комфортно, ответственность несёт не только он, а еще 20 топ-менеджеров). Кстати, этот сайт при таком подходе в помощь;
- просматривать документы перед их утверждением / переутверждением и рекомендовать внести в них правки (как минимум, критичные с точки зрения внутреннего контроля).
Но для того, чтобы давать действительно разумные рекомендации, помните, что неплохо понимать бизнес… Идеальный лично для меня вариант, который редко, но встречается. Менеджмент сообщает примерно следующее: «мы проблему поняли, но твои рекомендации – решение вопроса «через жопу в прятки», поэтому мы сделаем так и так». Причем в некоторых случаях предлагается действительно абсолютно разумный вариант.
Отдельная тема – это участие внутреннего аудита в каком-нибудь проекте на разовой основе. Практическое указание 2120-2 «Управление рисками внутреннего аудита» вводит специальное понятие «ложные гарантии». Там приведен интересный пример: бизнес-подразделение попросило внутренний аудит предоставить ресурсы для выборочного тестирования новой информационной системы. Когда выявилась большая ошибка в дизайне информационной системы, бизнес-подразделение сказало, что внутренние аудиторы были вовлечены в процесс, но не выявили ошибку. Чтобы избежать этого, нужно договариваться «на берегу» и хранить следы фактических договоренностей в переписке по электрической почте. Если же бизнес-подразделение действительно заявит такое, нужно реально ругаться и скандалить. Также добавлю, что очень многие, пригласив внутренний аудит на совещание, искренне считают, что часть ответственности уже лежит на нас. Это нужно пресекать на корню, и отвечать за это должен руководитель внутреннего аудита.
Последний совет. Не нужно ни в коем случае встраивать внутренний аудит в цепочку заключения договоров (за исключением нескольких типов) в качестве согласующего подразделения. Конечно, поднимать скандальчики на этапе заключения договора, возможно, и интереснее, чем после подписания актов выполненных работ (превентивный контроль лучше последующего); бурная деятельность внутреннего аудита выглядит действительно бурной (а численность нужна вообще фантастическая: работать-то за всех); предотвращение ущерба значительно лучше выявления.
Но что будет происходить в целом с системой внутреннего контроля: зная, что есть такое согласующее подразделение, как подразделение внутреннего аудита, все остальные подразделения тупо забьют на работу. И в этом главный риск – превратиться в единственного во всей компании «смотрящего», а не в потере независимости. Хотя последнее тоже важно: ты будешь говорить «как же так?», а тебе будут отвечать «ты же сам согласовал».