Международные профессиональные стандарты внутреннего аудита (МПСВА) говорят о том (стандарт 1210), что «для выполнения стоящих перед подразделением внутреннего аудита задач, сотрудники подразделения должны коллективно обладать необходимыми знаниями, навыками и компетенциями или получить их». Подчеркну слово «коллективно», то есть не нужно требовать полный набор желательных компетенций от каждого сотрудника. Поэтому если аудитор не один, а несколько (даже для средних предприятий с этого целесообразно начинать, подробнее см. ниже), вариантов конкретных требований к каждой штатной единице, скорее всего, также будет возможно несколько. На этой страничке представлен разбор ошибок при подборе, а также приведен алгоритм по формулировке требований к специалистам, нужным именно здесь и сейчас. Про кадровый состав подразделений также можно почитать в книге на стр. 47, но там мне уже не нравится терминология. Разумнее «операционный аудитор» и «аудитор отчетности».

Разбор ошибок.

Самая большая ошибка описана на странице про отношение к профессии, и заключается она в подборе руководителя, не имеющего опыта, реально необходимого для компании. Однако руководитель вполне может быть себе бывшим аудитором отчетности, опасающимся бизнес-процессов и прочего менеджмента, важен опыт именно команды. Тем не менее, почему-то часто встречается ситуация, когда служба чуть менее, чем полностью, состоит из аудиторов отчетности. И именно они изучают бизнес-процессы, вызывая своим непрофессионализмом у менеджмента чувства от умиления до обозленности. Подчеркну, что речь идет не о моих предыдущих местах работы внутренним аудитором, там как раз в части подбора персонала было всё более чем хорошо (за исключением астрологических перегибов, но кто-то и в бога верит), иначе я бы в этих организациях просто не оказался бы.

На мой взгляд, так происходит потому, что пытаются искать каких-то универсальных людей. Пример дурных требований я привел на сайте. Уверен, что помимо авторов сайта есть достаточно большое количество операционных внутренних аудиторов и постановщиков систем внутреннего контроля, которые не обладают настолько широкой квалификацией, которая позволяла бы им вести бухгалтерский учет нулевых компаний и писать методические рекомендации по налоговому учету.

Почему же находят не того человека? Приведу свое мнение. Безусловно, попытка найти человека, который качественно разбирается в бизнес-процессах, скорее всего, происходила. Но в каждой вакансии есть требования, которые легко проверить, а есть те, которые можно только оценить только на испытательном сроке. К требованиям, которые легко проверить, относятся такие вещи, как образование, наличие квалификационного аттестата аудитора, места предыдущей работы (если такие требования есть в вакансии), возраст (не африканского спортсмена берем, у них с этим сложности бывают), пол (хотя случаи, знаю, бывают разные) и т.п. К требованиям, которые проверить затруднительно, относится опыт работы. Условно, как проверить то, что человек может писать хорошие регламенты? Очень сложно. Даже если будут представлены образцы работ, а отзывы будут замечательными, не факт, что человек это сделал совсем сам и сможет повторить (даже просто «натянуть» утащенный с предыдущей работы регламент на другую ситуацию). А как проверить то, что человек реально видит проблемы в анализируемом процессе? Тоже можно только из практики: возможно, что в предыдущем опыте ему подсказывали руководители, возможно, что выявленное лежало вообще на поверхности и т.п.

И в ситуации, когда претендентов несколько, предпочтение, естественно, отдается человеку, подпадающему под формальные требования. Тот факт, что другой сотрудник значительно лучше разбирается непосредственно в предмете, проверить на собеседовании нереально, и человек отпадает. Причем часто отпадает на уровне кадровиков, а не руководителя подразделения внутреннего аудита. И получается результат, описанный выше, то есть анализом бизнес-процессов занимаются бывшие аудиторы отчетности.

Другие ошибки связаны с искусственным ограничением круга потенциальных кандидатов. Во-первых, это избыточные требования к опыту работы. Пример, как ни странно для меня, из финансовой отчетности. Практическое указание МПСВА 1210-1 «Профессионализм» содержит следующие требования:

  • профессионализм в понимании принципов и методик бухгалтерского учета, если внутренний аудитор много работает с финансовой информацией и отчетностью;
  • знакомство с основами бухгалтерского учета, экономики, коммерческого права, налогообложения, финансов, методов количественного анализа, информационных технологий, управления рисками, противодействия мошенничеству. «Знакомство» подразумевает способность определить наличие реальных или потенциальных проблем и понять, какие дополнительные исследования необходимо осуществить или какая нужна помощь.

Обратите внимание, что профессионализм в части финансовой отчетности нужен только для тех внутренних аудиторов, которые много работают с финансовой информацией. Для остальных достаточно знакомства, а не «экспертных знаний МСФО и РСБУ» (традиционная формулировка из вакансии для внутреннего аудитора). Соответственно, отказ от такой формулировки здорово расширяет круг потенциальных кандидатов, если вам нужен аудит бизнес-процессов.

Другие искусственные ограничения:

  • пол. Да, в шахту, наверное, лучше, чтобы мужчина спускался, по литейке ходить – тоже мужчина. В общем, там, где грязно – наверное, что-то можно ограничить. Но даже для таких вакансий возможно всякое. А про все остальные уж тем более не нужно ограничивать круг потенциальных кандидатов только 50% (если вы, конечно, не управляете рисками на уровне «а вдруг сотрудник забеременеет»);
  • возраст. Понятное дело, что приятнее общаться с ровесниками, а, в соответствии с мерфологией, любой человек теряет хватку за 5 лет до достижения пенсионного возраста, чему бы он не равнялся. Но если будет выбор между 25-летним и 55-летним сотрудником – не факт, что нужно брать 25-летнего. Опыт все-таки важен, а многие сотрудники в возрасте будут значительно больше вкалывать, чем молодежь и лица среднего возраста, и вообще держаться за работу. Ценности разные;
  • требования к предыдущим местам работы. Кого Вы предпочтете в возрасте 30 лет: эксперта сайта (с опытом руководства внутренним аудитом и построения внутреннего контроля на реальных предприятиях) или бывшего аудитора отчетности? Мой-то выбор очевиден, но неужели Вы допускаете, что качественный опыт можно получить, будучи сотрудником только четырех юридических лиц, зарегистрированных на территории Российской Федерации?;
  • и т.п.

Собственно, избегание данных ошибок и позволит найти реально необходимого для подразделений риск-менеджмента, внутреннего контроля и внутреннего аудита человека. Подходы описаны ниже.

Численность подразделений.

Представим, что стоит задача оптимальным образом распределить выделенный собственником бюджет на развитие риск-менеджмента, внутреннего контроля и внутреннего аудита. Понятное дело, что для наших профессий значительно комфортнее, когда есть управление рисками отдельное, отдел постановки бизнес-процессов (организационного развития) отдельный, дирекция по внутреннему аудиту в подчинении собственника. Но часто такие структуры будут означать не очень эффективное использование денег акционера. Вспомните пример среднего брундуляторного завода: зачем там условных 10 человек (7 внутренних аудиторов, 2 постановщика СВК и 1 риск-менеджер) на 2000 человек работающих? Что они там будут делать?

Подразделения риск-менеджмента и постановки СВК, в моем понимании, должны формироваться только после подразделения внутреннего аудита (аргументацию для владельцев бизнеса см. здесь). При этом выделенные специалисты по управлению рисками и внутреннему контролю могут появляться только при относительно большой численности внутреннего аудита (условно, человек пять). Но еще раз подчеркну, что далеко не в каждом бизнесе такая численность даже внутреннего аудита нужна.

Оптимальную численность внутреннего аудита определить непросто. В разделе про планирование работы на год я назвал численность подразделения в 2 человека на 2000 работающих разумной. Но чем больше компания, тем меньше аудиторов в процентах от общей численности требуется, и если в компании работает 100 тысяч человек, это не значит, что во внутреннем аудите должно работать аж 100. Просто делать нечего им будет… Поэтому разумная численность до момента, когда количество сотрудников подразделений управления рисками, внутреннего контроля и внутреннего аудита составит 30-50 человек – это 1 специалист на 1000-2000 работающих. После 50 человек численность может быть увеличена только для очень больших компаний и только для того, чтобы каждое подразделение было бы хотя бы раз в несколько лет затронуто хоть какой-то проверкой.

Я говорю именно об операционно-ориентированных и стратегически-ориентированных аудитах, постановке риск-менеджмента на уровне компании и прочих централизованных и больших вещах. В эти 50 человек не должны включаться инвентаризаторы (если необходимо проводить инвентаризации регулярно, условно, в торговых компаниях), ревизоры (при необходимости регулярных проверок множества подразделений на соответствие чему-нибудь, условно говоря, охране труда и технике безопасности), подразделения системы менеджмента качества (тоже вроде как там аудиторы должны быть) и т.п. Отмечу, что эти 50 человек по зарплате могут значительно превысить даже 400 инвентаризаторов.

Требования к функционалу.

Внутренний аудит.

Есть несколько направлений, где требуются уникальные знания. Уникальность знаний – это не та уникальность, что есть один специалист на всю страну, а уникальность, более близкая к таковой у ИНН (есть у каждого, но свой). Эти направления характеризуются тем, что нужен, во-первых, именно специфический и мало где кроме самого направления применимый опыт, во-вторых, в большинстве случаев необходимо непрерывное профессиональное развитие (нормативная база большая и постоянно обновляется, требуется регулярное повышение квалификации и т.п.).

В моем понимании уникальными являются следующими специалисты:

  • специалисты по аудиту подготовки финансовой отчётности;
  • специалисты по аудиту строительства (сметчики и технический надзор);
  • специалисты по аудиту в области информационных технологий (IT-аудиторы);
  • специалисты по аудиту производственных вопросов (если производство сложнее «отверточного»), в т.ч. по охране труда, технике безопасности и экологии;
  • compliance-аудиторы в широком понимании. Упрощенно можно считать, что это – юристы, условно – толковый налоговый юрисконсульт.

Все остальное может и должен делать специальный человек с условным названием «операционный аудитор». Я специально не рассматриваю как отдельных специалистов «аудитор систем менеджмента качества». В моем представлении об идеальном мире СМК живет отдельно от внутреннего аудита по МПСВА, хотя встречал и совмещение. Причина моих представлений кроется в том, что аудит по СМК– это комплаенс-ориентированный аудит, и от него нужно отказаться.

Смешение перечисленных уникальных профессий и профессии операционного аудитора я в целом не приветствую. Попытаюсь объяснить почему, но сначала – небольшое отступление. На форуме внутренних аудиторов была мысль о том, что трансформация из внешнего во внутреннего аудитора занимает примерно год, и это типа совершенно нормально. Со сроками вполне согласен, но по итогам года, как ни странно, в компании будет трудиться аудитор с опытом работы операционным аудитором ровно в один год. То есть уже не новичок, но еще явно не дотягивающий до «профи» в операционном аудите, несмотря на фактический возраст и предыдущий опыт работы. При этом с хорошей вероятностью за этот год он ухудшит собственную квалификацию в части контроля СВК при подготовке отчетности.

Так вот, есть много достаточно квалифицированных людей, которые понимают бизнес и в целом смогут решить за год новую задачку, в том числе научиться выявлять в процессах неэффективность и мошенничество. Но, во-первых, посмотрите на список аудитов из примера про годовое планирование. Какой бы из этих аудитов Вы бы доверили вчерашнему аудитору отчетности, даже с учетом его гипертрофированных знаний мировых стандартов? Я бы без контроля (то есть фактически став руководителем либо экспертом проекта) – никакой из. А при ограниченной численности подразделения, особенно в случае территориального разброса бизнеса, аудитор должен быть на самовыпасе (то есть давать результат самостоятельно без ежедневных корректировок его деятельности). Во-вторых, при новом наборе в подразделение внутреннего аудита – зачем брать человека, который «только стоял рядом»? Мы почему-то не берем вместо токаря электрика и наоборот, хотя логика вполне применима: за год да обучится. Просто потому, что времени жалко.

Именно поэтому смешение профессий внутри внутреннего аудита (извините за тавтологию) возможно, но не всегда целесообразно. Подчеркну, что я не сомневаюсь в принципиальной возможности смены профессии внешнего аудитора на аудитора внутреннего (опять же, знакомство с учетными системами может помочь), просто на это нужно достаточно много времени. Часто необходима ломка мировоззрения. Вспомните эпиграф к странице про внутренний контроль. От мироощущения «баланс на дату должен совпасть» до «процесс должен быть эффективным, а активы не исчезли» — большая пропасть, инструкции по преодолению которой не существует даже у Минфина.

Изначальная задача сводится к распределению численности между выделенными типами внутренних аудиторов. Может быть, мое мнение многим не понравится. Но если задача, поставленная владельцем, не предполагает иного, при создании подразделения внутреннего аудита первые три аудитора должны специализироваться именно на операционном аудите и мошенничестве, но никак не на финансовой отчетности. Просто с точки зрения эффективности подразделения: в отчетности много не найдешь, дорого собственнику не продашь. Возможны исключения, например, если постоянно идет какая-нибудь стройка, то вторым или третьим очень неплохо будет взять в штат аудитора в строительстве.

Что касается остальных типов аудиторов:

  • от функционала в области финансовой отчетности в целом можно отказаться, если (1) проведенные выездные налоговые проверки не приводят к значительным претензиям, от которых нельзя отбиться; (2) нет каких-то требований биржи и прочих регуляторов. Логика примерно следующая. В маленьких организациях напортачить с отчетностью проблематично, большие компании готовят отчетность по МСФО и заказывают внешний аудит (в подавляющем большинстве случаев его сопровождает налоговый аудит) в приличных аудиторских компаниях. Зачем тратить деньги на некое тестирование внутреннего контроля? Кому оно понадобится, если сама СВК оценивается внешним аудитором, отчетность подтверждается, а по потенциальным налоговым проблемам существует отдельный отчет?;
  • в части остального функционала. В небольшой организации специалисту в области IT, производственных вопросах, экологии и прочей охране труда просто не найдется достойного объема работ. Соответственно, если необходимо провести разовый аудит – лучше отдать на аутсорсинг. А вот в больших организациях таких людей найти очень полезно, и специалист с хорошим опытом не только принесет интересные находки и новый взгляд на процессы, но и поднимет восприятие подразделения внутреннего аудита в глазах всего менеджмента организации;
  • по функционалу в части compliance. Проблема в том, что нужен очень универсальный человек. Но, к сожалению, найти такого практически невозможно: каждый обладает узкой специализацией. Поэтому нужно задуматься, готовы ли мы платить деньги за него.

Несколько слов об аутсорсинге. Не знаю, сколько может стоить консультационный проект по проведению условного IT-аудита, примерно догадываюсь, сколько стоит технический надзор, знаю, сколько стоит страница перевода специализированного текста. Но, как мне кажется, деньги при привлечении внешних консультантов в помощь внутреннему аудиту не столь важны, сколь качество. Как уже сказано, занять специалиста в узкой области в течение даже одного года может быть проблематичным, не говоря о долгосрочном сотрудничестве. Так зачем долго-долго искать специалиста, платить ему зарплату (скорее всего, не уровня 30 тыс. руб. в месяц, а значительно выше), если через несколько лет он как специалист может потерять квалификацию именно из-за того, что работает у нас? Но еще раз подчеркну, что в больших организациях целесообразно, как сказали бы консультанты, развивать собственные компетенции.

Итого, принципиально можно указать следующую последовательность по наполнению функционала внутреннего аудита в больших организациях:

  • операционные аудиторы (не менее двух человек);
  • аудитор в строительстве / аудитор производства;
  • операционные аудиторы (до полного комплектования штата в соответствии с объемом работ);
  • IT-аудитор;
  • compliance-аудитор (юрист).

Аудитор финансовой отчетности (вариант – налоговик) находится либо в числе первых двух человек (если владельца это интересует), либо на последнем месте.

В эту схему подбора персонала не входят инвентаризаторы, ревизоры, постановщики СМК и другие специалисты, обеспечивающие функционирование системы внутреннего контроля.

Внутренний контроль.

Внутренний контроль я рассмотрю только на уровне бизнес-процессов. Для внутреннего контроля на уровне бизнеса вполне подходит описание раздела про риск-менеджмент.

На самом деле очень многие люди когда-то описывали хоть какой-то бизнес-процесс в графическом или текстовом виде. А в некоторых случаях даже вносили в него изменения. И, как правило, с удовольствием пишут об этом в резюме, указывая в качестве строки в разделе «опыт» «реинжиниринг бизнес-процессов». И вроде как это тот функционал, который нам нужен. Но, что если Вы хотите появления регламентов хотя бы уровня этого сайта, далеко не каждый человек подходит.

На мой взгляд, с опаской нужно относиться к следующему опыту:

  • описание (и реинжиниринг) процессов для системы менеджмента качества. На примере регламента закупок: я не видел ни одного регламента по итогам постановки СМК, где были бы закрыты хотя бы принципиальные дыры, не говоря о мелких;
  • описание (и реинжиниринг) процессов в рамках каких-нибудь консультационных проектов без ясных целей (названия контор приводить не буду, но одна из них известна на рынке «отчетами по диагностике» разных ФГУП и прочих предприятий в ведении Минимущества), то есть направленных на «совершенствование деятельности организации» в целом, а не на постановку СВК;
  • описание бизнес-процессов для всяческих целей подготовки финансовой отчетности (особенно для требований бирж). Причина – это не описание принятия решений, а описание механических действий при формировании отчетных форм.

Как видите, процентов 90, а то и 95 потенциальных кандидатов явно не подойдут. Поэтому очень интересуйтесь, что именно стоит за фразами «реинжиниринг бизнес-процессов» в резюме.

Второй момент, который очень полезен для постановщика СВК – это именно опыт преобразований. Разработать качественный регламент – это только полдела (хотя и немаловажная), главная – внедрение. Поэтому идеальная ситуация – это когда человек имеет не только опыт разработки, но и опыт изменений. И неважно, каких именно: главное, что человек хотя бы в нескольких процессах понял, где есть проблема (может, даже не особо понимая, что это на самом деле называется «дырой в СВК»), сумел убедить это переделать, добился исправления и проконтролировал ситуацию до конца («починил»).

Риск-менеджмент.

С точки зрения полезности для организации ключевое требование – это умение управлять (а точнее – направлять менеджмент на управление) стратегическими рисками. И в этом кроется главный подвох: большинство риск-менеджеров имеет опыт работы во всяческих финансовых организациях, и в терминологии FERMA они управляли финансовыми рисками и рисками опасностей. Соответственно, требования к функционалу достаточно банальны: необходим стратег в хорошем понимании.

Данный вывод понимают все, поэтому некоторые вакансии даже так и называются – «риск-менеджер в промышленности». И это действительно совсем разные специализации – риск-менеджер в промышленно-торговом и финансовом бизнесе. Если взять на промышленное предприятие риск-менеджера из финансовых институтов, то получится хеджирование, страхование и прочие актуарные расчеты. Иногда полезно (условно, в авиакомпании), но чаще возникает впечатление, что занимаются не тем.

Требования к специалистам.

Здесь перечислены возможные разумные требования к специалистам по риск-менеджменту, внутреннему контролю и внутреннему аудиту, сформулированные на основании разделов этой страницы, представленных выше. Моя рекомендация: требования должны быть не обязательными (за исключением действительно обязательных), а желательными. То есть формулировки примерно следующие: «желательно CIA», «знание иностранного языка будет являться преимуществом» и пр. Нужно для того, чтобы искусственно не ограничивать поиск кандидатов. Аналогия – поиск полового партнера на длительный срок. Обязательных требований мало, это пол (ну, для кого это важно) и min/max по возрасту (минимальный min — с точки зрения УК РФ). В остальном можно затребовать идеальные пропорции, требуемое хобби и прочие необходимые IQ, но и выбор будет маленький, и жить с ним/ней будет невозможно. Требования в формулировке «желательно» не отпугнут большинство соискателей, и у вас значительно увеличится круг потенциальных кандидатов.

Итоговые вакансии формировать не буду. Во-первых, необходимо продумать сами требования для конкретного бизнеса. Во-вторых, есть достаточно разумных формулировок для создания своей вакансии в свободном доступе.

Общие требования.

Как понятно из разбора ошибок на этой странице вверху, а также из предыдущей страницы, общие требования по полу, возрасту и прочей носатости выдвигаться не должны. Ничего, кроме искусственного сужения круга кандидатов, добиться с помощью них невозможно. Тем не менее, другие общие требования к вакансиям имеют право на существование.

Общее образование.

Начнем с общего образования. Частично об этом сказано в разделе «Как подбирать соратников». Ключевое как для владельца, так и для руководителя внутреннего аудита – с кем комфортнее работать. Но, даже если Вы получили основное образование по специальности «бухгалтерский учет и аудит», не нужно отказываться от выпускников технических вузов. Уверяю Вас, что предметы типа математического моделирования механики сплошных сред или же теории реализации языков программирования значительно лучше тренируют мозги, чем заучивание ПБУ. А для внутреннего аудитора важны именно мозги, а не знания (хотя они, естественно, не помешают). Знания можно приобрести (за тот же год необходимой трансформации из внешнего аудитора во внутренний), мозги в возрасте старше 30 лет – уже вряд ли.

Профильное образование с условным названием «технолог производственных процессов» либо же «эколог» требуется специалистам по производственным процессам. Но, отмечу, что это может сослужить и дурную службу: дело в том, что в институтах учат не совсем тому. К сожалению, наука не поспевает за практикой. Если студент был упертый, то понять новые технологии он сможет далеко не всегда, так как в соответствующих ячейках мозга прошито, что можно делать только так, как делали в СССР (даже при годе выпуска вчерашнего студента в 2010 году). Образование инженера может привести к тому, что у него будет таблица объемов красных резиновых мячиков из справочника, и ни в какие другие способы вычисления объема красных резиновых мячиков он верить не будет. Я с этим сталкивался неоднократно: справочник материалов 70-го года, приказ профильного министерства СССР, методика несуществующего НИИ, больше ничему не верим, ничего не знаем, «я – инженер (специалист), ты – дурак».

Профессиональное образование. 

Более детальное описание профессиональных квалификаций — на странице про подтверждение профессионализма дипломами

Для внутренних аудиторов единственная разумная квалификация, известная мне – это CIA. Конечно, раньше была странность, что при наличии квалификационного аттестата аудитора засчитывалась часть 4 «Понимание бизнеса». Сейчас странность пропала, экзамен из трех частей. Беда этого экзамена в том, что перевод на русский язык существует недавно и до сих пор не очень понятный, отзывы первых сдававших – сделан google-переводчиком. Соответственно (информация с форума ИВА) в США из членов Института внутренних аудиторов примерно 70% имеет квалификацию CIA, в РФ – только 10%. Не думаю, что сотрудники в России менее профессиональны, чем в США (подсказывает интуиция пятой точки), поэтому можно найти квалифицированного аудитора и без CIA. Также стоит отметить, что CIA вполне может получить специалист лет 25-26 из big4, то есть наличие сертификата никоим образом не говорит о реальном опыте преобразований.

Остальные имеющиеся квалификации для внутреннего аудитора – это лажа. Конечно, есть собиратели красивых бумажек и прочих медалек (у Л. Каганова есть хороший стишок про казака), но к профессии внутреннего аудитора красивые бумажки и знаки отличия отношения не имеют. Особенно доставляет квалификация CPIA (надо же, только в одной букве ошибка, а такая большая разница). Судя по программе, автор этой ерунды и сопровождающей нетленки Б.Н. Соколов – это Петрик российского внутреннего аудита. Маркетинговый ход, конечно, оценить можно, он неплохой: всего-то за сумму примерно в $1000+$1000 (дешевле, чем подготовка к нормальному CIA) с вероятностью 100% получить пару сертификатов после прослушивания лекций преподавателей бухгалтерского учета о внутреннем аудите – чем плохой бизнес, особенно если получить тисненые позолотой грамоты можно по всей России. Но ценность этого сертификата лично для меня отрицательная – нужно быть лохом, чтобы платить за такое. 

Для внутреннего аудитора финансовой отчетности, IMHO, российского квалификационного аттестата аудитора не достаточно. Отчетность по МСФО более информативна, рано или поздно к ней и перейдем, поэтому лучше выдвинуть требование наличия большинства бумаг ACCA. Потому что шаг от РСБУ к МСФО – это не чтение новых рекомендаций Минфина, это определенная смена идеологии (при формировании отчетности по МСФО принимается значительно больше решений), и не каждому человеку дано такое.

Для IT-аудитора, естественно, необходимо быть в курсе таких слов как CoBIT и ITIL. 

Для аудитора в строительстве может быть полезным не только наличие собственной печати, но и квалификация в области управления проектами. Причина того, что она нужна – редкая стройка в России управляется как проект, а переход на проектное управление – один из способов повышения эффективности самого строительства.

Для постановщика СВК никаких разумных квалификаций нет, и, скорее всего, в своей жизни я их не увижу. Уж больно специфическая штука это – сделать по каким-то универсальным и конкретным требованиям такую систему внутреннего контроля, чтобы работала.

Для риск-менеджера в финансовых институтах существуют квалификации, подтверждающие специализированные знания (в первую очередь, FRM, также полезна CFA, но последняя – для финансовых аналитиков). Не думаю, что они очень полезны в обычном бизнесе. Поэтому я бы внимания на них не обращал, есть вероятность получить математика, который будет считать что-нибудь про сферического коня в вакууме.

Навыки и умения.

Навыков и умений в наших профессиях должно быть достаточно много. Мне, например, нравятся такие требования как «умение работать с большим объемом несистематизированной информации», «способность быстро разобраться в информационных системах» и т.п. Беда в том, что проверить эти требования затруднительно. Поэтому рекомендую ограничиваться выдвижением только тех требований к навыкам и умениям, которые можно проверить. Как пишет эксперт сайта, на языке западных товарищей это все называется soft-skills.

Среди безусловно полезных навыков – это уверенное владение Microsoft Office и, в первую очередь, Microsoft Excel. Чтобы убедиться в знаниях, достаточно дать маленький тест, например, сделать какую-нибудь сводную табличку из произвольной выгрузки из 1С7.7. Очень демонстрирует понимание. Кстати, безусловный плюс выпускников big4 – специальные курсы по Excel, знают нестандарт. Аналогично с Microsoft Word и PowerPoint, но здесь проще: можно не знать простеньких вещей (условного образца слайда в PowerPoint) и, как сотрудники Уникака, выравнивать пробелы (а также размер шрифта и заголовки) по всему документу вручную. Времени теряется много, но итоговый результат выглядит в целом приемлемо. Главное – сохранять рассылаемый всем файл в формате Acrobat Reader, чтобы знания никто не оценил случайно.

Про русский язык. Ошибаются практически все (я так достаточно часто), это нормально. Ошибаются даже учителя русского языка старой закалки. Важно, чтобы количество ошибок не превышало некого разумного предела, то есть условный диктант должен быть написан хотя бы на 4 балла. И именно требование по уровню грамотности можно ввести в качестве требования к соискателю. Естественно, если Вы не считаете, что «Горе о туман» — это произведение А.С. Грибоедова, а тот, кто считает, что правильное название «Горе от ума» — шибко умный и нам такой не нужен. Беда в том, что уровень грамотности падает, и, особенно в случае молодых сотрудников, требования к знанию русского языка и, тем более, диктант (тест) на собеседовании, значительно сузят круг потенциальных кандидатов. Выход – брать людей без особой оглядки на грамотность и требовать включить во всех приложениях Office проверку орфографии. И уметь читать их мысли: фраза «я на конец пришел» не будет означать, что у коллеги закончилось пешее эротическое путешествие. Просто запятые забыл и Word «на конец» красненьким не подчеркнул. 

И про иностранный язык. В практическом указании 1210.А1-1 «Использование внешних поставщиков услуг для поддержки или дополнительно к деятельности внутреннего аудита» прямо сказано, что привлечение внешнего поставщика услуг может быть использовано для «проведения аудитов, для которых необходимы специализированные навыки и знания (например, информационные технологии, статистика, налогообложение, переводы с иностранных языков)». Мне, как заслуженному языковеду-лингвисту, очень приятен последний момент: знание иностранных языков в соответствии с практическими указаниями является специализированным, то есть я вроде как в принципе сгожусь как внутренний аудитор со своими знаниями русского и производственного. А если серьезно – читать, думаю, может каждый. И если общение не подразумевает ежедневного общения с экспатами – без английского, скорее всего, можно и обойтись.

Профессиональные требования.

Здесь я попытался в максимально короткой форме сформулировать профессиональные требования к разным профессиям. Короткая – потому что этого достаточно. Можно переписать требования максимально детально, например, написать, что участвует в оценке рисков, годовом планировании, разрабатывает и утверждает регламенты, занимается мониторингом и т.п. Но, на мой взгляд, и так примерно понятно, что в больших организациях даже обычные специалисты подразделений риск-менеджмента, внутреннего контроля и внутреннего аудита всё это должны тем или иным образом выполнять.

В требованиях предлагаю не указывать опыт работы (возможно, за исключением «не менее года», чтобы не брать совсем новичка). Потому что разница между 3 года и 2 года 8 месяцев (а также между 5 лет и 4 года 9 месяцев и т.п.) малоразличима.

Внутренние аудиторы.

Ключевое требование для всех сотрудников на должность вакансии ведущий внутренний аудитор и выше – это понимание МПСВА. Если ищите новичков – требование, скорее всего, лишнее. Стандарты написаны просто, за год освоить – легко. Но остальные знать должны.

Требования к операционным аудиторам:

  • опыт проведения операционных аудитов (если план на год уже есть, можно указать требуемые аудиты буквально);
  • опыт проведения проверок обособленных подразделений (если вакансия подразумевает командировки на предприятия. Опыт отдельный, потому что одно дело – изучать процесс, когда все рядом, совсем другое дело – понять, как всё организовано, в течение недели);
  • опыт подготовки аналитических записок по разным вопросам;
  • опыт сопровождения внедрения изменений.

Требования к аудиторам отчетности:

  • опыт постановки контрольных процедур над подготовкой финансовой отчетности;
  • опыт тестирования контрольных процедур над подготовкой финансовой отчетности.

Заметьте, что внешний аудит и опыт тестирования СВК – это не совсем одно и то же, поэтому опыт проведения проверок в качестве внешнего аудитора – полезен, но не может и не должен являться определяющим. Скорее, бывший главбух большой организации нужен.

Требования к аудитору строительства:

  • опыт контроля и снижения стоимости представленных подрядчиком предварительных смет;
  • опыт выполнения функции технического заказчика, в т.ч. подтверждения объемов и качества выполненных работ.

Требования, на самом деле, к разным специальностям (специалисту по ценообразованию в строительстве и инженеру по техническому надзору). Но, как показывает практика, каждый квалифицированный инженер по технадзору в курсе контроля сметной стоимости. И основная задачка аудитора в стройке – не проверка на соответствие использованных в смете коэффициентов действующей нормативной базе, а снижение стоимости сметы в целом (если условия договора подразумевают не фиксированную стоимость) и контроль соответствия представленных к закрытию объемов выполненных работ проекту.

Требования к аудитору производства:

  • опыт работы на руководящей позиции в производстве (уровень – не ниже мастера цеха);
  • опыт рационализаторской (другого слова придумать не могу, непрерывное совершенствование как-то тоже не очень нравится) работы на производстве.

Требования к IT-аудитору: опыт проведения IT-аудитов, в т.ч. защита периметра, выявление уязвимостей в информационной системе, защита данных и т.п.

Требования к юристу необходимо формулировать в зависимости от того, какое законодательство необходимо знать (сами понимаете, что налоговое законодательство – это одно, а законодательство по добыче полезных ископаемых – совсем другое).

Постановщик системы внутреннего контроля.

Требования сформулировать затруднительно, так как нет стандартов. Поэтому, опять же, нужно описать всё максимально простым языком:

  • реальный опыт преобразований (реструктуризации бизнеса или реинжиниринга бизнес-процессов);
  • опыт постановки системы внутреннего контроля, в т.ч.:
    • выявление «дыр» в системе внутреннего контроля с точки зрения неэффективности и мошенничества;
    • изменение действующих / разработка новых документов, определяющих контрольные процедуры (можно написать еще короче: разработка и изменение регламентов);
    • контроль исполнения предложенных решений с точки зрения их эффективности;
  • опыт управления операционными рисками.

Кстати, для постановщика систем внутреннего контроля неплохо применить и требования к риск-менеджерам.

Риск-менеджер.

Требования к риск-менеджеру достаточно просты:

  • знание и понимание стандарта FERMA (если очень хочется, можно добавить COSO ERM, но см. комментарий про то, что не нужно переусердствовать в требованиях);
  • опыт постановки и поддержания системы управления рисками;
  • опыт изменения стратегии предприятия на основании анализа рисков.

С последним требованием кто-то не согласится: дело риск-менеджера – поддерживать процесс, а не менять стратегию. Тем не менее, анализ стратегических рисков, скорее всего, приведет к изменению стратегии. А нам это и нужно, то есть опыт именно в стратегических рисках.

Если нужно какое-то хеджирование (бизнес сильно завязан на разные валюты) либо страхование действительно (а не по законодательству) опасных производственных объектов – неплохо также написать «опыт расчета валютной позиции и хеджирования» и «опыт страхования рисков производственной деятельности в качестве заказчика».

Профессиональный опыт.

Упростить поиск кандидатов можно путем расширения охвата их возможной предыдущей деятельности. В требованиях к вакансии совершенно не нужно писать, например, «опыт работы внутренним аудитором» или «опыт работы риск-менеджером». Потому что внутренним аудитором может стать человек, до этого раньше и не знавший о профессии, а риск-менеджером вполне может стать внутренний аудитор.

Опыт, на самом деле, может быть достаточно разный. Конечно, приятно, когда человек уже работал в нужной или хотя бы смежной профессии. Но истории успешных риск-менеджеров, постановщиков систем внутреннего контроля и внутренних аудиторов бывают самые невероятные, поэтому круг можно расширить:

  • операционный аудитор и постановщик систем внутреннего контроля может быть бывшим:
    • бизнес-консультантом (не обязательно big4);
    • экономистом. Среди них есть люди, которые по циферкам понимают, как реально работает бизнес. А если еще были возложены какие-нибудь процедуры по согласованию договоров – вообще замечательно;
    • специалистом по организационному развитию. Его безусловно полезный опыт – он может понимать, к чему приводит пара фраз в документе;
    • менеджер, специализирующийся на преобразованиях бизнеса (не обязательно специалист по организационному развитию, просто человек с опытом). Да, возможно, и не пойдет, захочет работать в бизнесе. Но если он реформировал маленький бизнес, а зовут на большое предприятие в качестве операционного аудитора с соответствующей зарплатой – почему бы и нет;
    • и даже специалистом по системе менеджмента качества;
  • риск-менеджер может быть бывшим:
    • бизнес-консультантом (не обязательно big4);
    • менеджером подразделения стратегического развития. Даже если он не особо в курсе самого риск-менеджера, на подсознательном уровне он управлял рисками и добивался устойчивости бизнеса;
  • IT-аудитор может быть бывшим:
    • продвинутым системным администратором. Наверняка человек сталкивался с несанкционированным доступом к данным, потерями пользователей и прочим, и представляет, из-за чего это произошло;
    • разработчиком IT-архитектуры каких-либо систем. Создание «дыр» изнутри – очень полезный опыт для будущего IT-аудитора;
  • аудитор в строительстве, естественно, может быть бывшим инженером по техническому надзору либо специалистом сметно-договорного отдела;
  • аудитор в производственных областях может быть технологом производства, мастером либо начальником цеха и т.п.;
  • аудитор процессов охраны труда, техники безопасности и охраны окружающей среды может быть как производственником, так и специалистом соответствующего отдела (инженер по охране труда, эколог);
  • и т.п.

Кем могут быть в прошлом внутренний аудитор отчетности и юрист, сообщать не буду.

Иногда нужен молодой сотрудник на полутехническую работу. Я рекомендую смотреть студентов приличных вузов, для них это может быть первая работа. 

Подводя итог этой странице, необходимо отметить, что поиск людей для внутреннего контроля или внутреннего аудита – задача непростая. В последний раз я для поиска одного человека (без опыта) просмотрел что-то типа около 100 резюме и провел штук 10 интервью. Поэтому не жалейте времени, беседуйте. Резюме у всех выглядят правильно и одинаково, задача – выявить того, кто подходит именно Вам, при этом не пропустить нужного человека. Решается такая задача только в процессе личной встречи.

Если вы нашли ошибку, пожалуйста, выделите фрагмент текста и нажмите Ctrl+Enter.