Самое важное для внутреннего аудита.
Самое важное при выполнении программы аудита как для руководителя проверки, так и для исполнителей – это не скатиться до уровня compliance. На примере некоторых мероприятий по управлению рисками:
- директор по инвестициям / технический совет может появиться, но эффективность процесса принципиально не изменилась: народу больше, затрат больше, бумаг больше, решения по-прежнему кривые;
- кафедра в профильном университете открыта, договор с колледжем заключен. Но программы обучения не поменялись. То есть деньги платим, на выходе – обычный выпускник, которого нужно переучивать заново;
- профсоюз почему-то больше за рабочих, а не так, как нужно владельцу;
- система мотивации разработана, но с большими косяками: мало того, что премии пообещали большие, так еще и цели каждого топ-менеджера не очень совпадают с целями предприятия;
- регламенты для внутреннего контроля разработаны, но лучше бы не разрабатывались: существующие «дыры» теперь и на бумаге
и т.д.
Compliance подразумевает простановку галочек «выполнено» и выдачу заключения о выполнении мероприятия. Операционно-ориентированный аудит всё-таки обратит внимание на то, снята ли проблема. У меня был случай, когда документ, на разработку которого отвели несколько месяцев и который подразумевал достаточно детальное описание последовательности действий, был написан за полдня по моему приезду и состоял из четырех пунктов. Я обиделся, но с точки зрения compliance – вроде как нужно было вопрос снимать.
О технологиях общения с клиентами аудита распространяться не буду, книжек достаточно много. Но отмечу, что я (кстати, являясь абсолютным интровертом) люблю выслушивать проблемы. Во-первых, можно привезти новых тем. Во-вторых, возможно что-то улучшить сразу именно «внутри» процесса.
Документирование и контроль выполнения задания.
Позволю себе привести здесь прямые цитаты из Международных профессиональных стандартах внутреннего аудита (МПСВА).
В части документирования стандарт 2330 звучит как «Внутренние аудиторы должны документировать соответствующую информацию в целях обоснования выводов и результатов аудиторского задания».
В части контроля выполнения задания стандарт 2340 звучит как «Для достижения поставленных целей, обеспечения качества работы и повышения квалификации сотрудников подразделения внутреннего аудита необходим должный контроль над выполнением задания». При этом интерпретация начинается со слов «Требуемая степень контроля будет зависеть от уровня профессионализма и опыта внутренних аудиторов, а также сложности задания».
Всё! Почему же чуть ли не каждый первый руководитель подразделения внутреннего аудита (я не имею в виду своих бывших руководителей, скорее, наблюдения сделаны по результатам конференций и общения с коллегами) требует какого-то долбанутого документирования и странного контроля? Да, безусловно, есть практические указания. Но, во-первых, они носят все-таки рекомендательный характер. Во-вторых, некоторые из них сомнительны с точки зрения целесообразности. Например, среди практических указаний есть и визирование каждого документа при контроле (буквальная цитата: «доказательством контроля являются инициалы и дата проверяющего на каждом проверенном рабочем документе»). Лично у меня информации, по-хорошему, мегабайты после каждого задания. Неужели нужно распечатать всё и расписываться на каждой фотке в качестве доказательства контроля (в работе веду себя как турист – с фотоаппаратом хожу, потому что быстрее, чем ксерить)? Может, штампик проще завести («просмотрено»)?
На мой взгляд, эти указания явно писали бывшие аудиторы отчетности. Люди, которые раньше не работали во внешнем аудите (например, я), от документирования каждого шага, скажем мягко, удивляются. Но, так как многие руководители внутреннего аудита пришли из внешнего, их такое документирование совершенно не напрягает. И, как мне кажется, имеет место определенная дедовщина из серии «мы в свое время трахались, вот и вы потрахайтесь». Отдельная тема с автоматизацией внутреннего аудита. Лучшему продукту в этой области я посвятил отдельную страницу.
Реальная польза очень детального документирования сомнительна: результатами документирования мало кто пользуется, при прососе люлей будет получать менеджер проекта, а не контролер. Ключевой результат этого документирования – это потеря не меньше 10-15% времени на каждый проект, а при документировании на выезде – сокращение возможного количества пунктов программы. Казалось бы, немного. Но по году получается целый месяц для каждого сотрудника. А за месяц можно провести полноценный аудитик.
Тем не менее, стандарты нужно соблюдать. Для этого, как мне кажется, достаточно понять эти стандарты буквально с акцентом на то, что чем меньше документирования и контроля (особенно для опытных аудиторов), тем лучше.
Для документирования вполне достаточно перекачать полученную инфо в папочку на общем диске. С точки зрения контроля – достаточно поправить сам отчет, убедиться в согласии (либо несогласии) менеджмента с наблюдениями, спросить, почему нет какого-либо наблюдения (которое вроде бы очевидно). Лично у меня это занимает полдня практически на любой труд.
О контроле внутренних аудиторов.
Я живу по тайм-шитам с 2001 года. С уверенностью могу сказать, что подавляющее большинство лично моих тайм-шитов недостоверны. Даже когда в командировке на всю неделю по одному проекту. Потому что либо работаешь по вечерам (и работаешь, мягко говоря, больше 40 часов в неделю), либо не хватает строк «ждал чего-то», «просто работать не хочется» и «не помню, что делал».
Но контроль нужен. Как его организовать максимально дешево с точки зрения трудозатрат? Идея достаточна проста – согласен с заполнением тайм-шита по пятницам. Но сам тайм-шит должен быть в условно свободной форме, то есть сам исполнитель может добавлять в него строки. Для чего это нужно? Бывают в работе аудитора приятные моменты, когда за 20 минут экспресс-совещания («Ром, можешь подойти прямо сейчас?») ты экономишь организации миллионов 10 рублей по году. Когда-то потребуется оценить собственную эффективность, и эти мелкие вещи очень полезно включить в отчет по итогам работы подразделения. Соответственно, в тайм-шите можно и указать о том, что «совещание такое-то».
А сам контроль целесообразно проводить после каждого завершенного аудита. И не нужно сравнивать факт с неким плановым значением. Достаточно сопоставить находки и затраченное время. Единственный момент – нужно понимать, сколько реально времени занимает тот или иной аудит, для этого нужно иметь личный опыт выполнения аудитов. Собственно, в этом и состоит контроль: если человек тратит излишне много времени регулярно, либо же, наоборот, демонстрирует растущую эффективность, это повод для неких действий по управлению персоналом.
Отчет по результатам.
Я сторонник абсолютно свободной формы отчета. То есть как пишется, так и хорошо. Естественно, любой документ из под пера внутреннего аудита должен соответствовать МПСВА, то есть быть точным, объективным, ясным, кратким, конструктивным, полным и своевременным.
Главная задача внутреннего аудита – не производство отчета, а совершенствование управления рисками, внутреннего контроля и корпоративного управления. С этой точки зрения доведение отчетов до невменяемого совершенства совершенно не целесообразно: главное, чтобы наблюдения понимались одинаково и внутренним аудитом, и менеджментом. Традиционные проблемы при подготовке отчета:
- люди согласны с выявленным, но не согласны с формулировками;
- излишне большое количество комментариев. Мне особенно нравятся комментарии бухгалтерии и юристов: 2-3 страницы текста со ссылками на законодательство и в конце «да, согласны».
Способ управления проблемами – «нужно чаще встречаться». В подавляющем большинстве случаев разногласия по отчету после встреч умещаются на одной страничке.
Банальное дополнение: для совета директоров и генерального директора целесообразно делать краткую информацию о проведенном аудите, а детализированный отчет пусть останется у менеджмента.
Отдельно стоит сказать о том, что какую бы ты форму отчета не выбрал, даже максимально подробную, всегда есть вероятность того, что при чтении на что-то не обратят внимания. Особенно интересен был случай при прохождении внешней оценки: менеджмент пожаловался, что в отчете что-то не написано (в том смысле, что мы не до конца ситуацию прорабатываем). Реально оказалось написано, причем теми словами, которые менеджмент требовал. Так что, если на Вас наезжают по такому поводу как форма отчета, неудобство чтения, недостаточность аналитики – прислушаться нужно, но рвать на себе волосы и категорически отказываться от существующей практики – вряд ли.
Вчера случайный образом набрел на ваш сайт черед поиск книги аудита по Сойеру. Саму книгу не читал, но к удивлению нашел Ваш отзыв. Спасибо за Вашу точку зрения, теперь вот знакомлюсь с другими материалами сайта в период «безработья».
Артем, спасибо за отзыв!
Удачи в поисках работы.
Р. Макеев.