Будущее внутреннего аудита создается сегодня Текст научной статьи по специальности «Экономика и бизнес»

АУДИТ, КОНТРОЛЬ, УПРАВЛЕНИЕ РИСКАМИ

Е.А. Егорова

УДК 35.073.526

Будущее внутреннего аудита создается сегодня

Вопросы совершенствования функции внутреннего аудита не теряют свою актуальность. Год от года требования к задачам, функционалу и ценности результатов этого вида деятельности только возрастают. Статья описывает основные тенденции в области развития внутреннего аудита в России и за рубежом, в том числе по результатам исследования компании «Эрнст энд Янг» в области внутреннего аудита 2012 года. Недавние изменения в Международных профессиональных стандартах внутреннего аудита, а также регуляторов отдельных стран были весьма существенны в последние три года. Так, например, изменения зарубежного законодательства (в частности, вступление в силу британского закона «О взяточничестве») требуют от компаний, в том числе многих российских, внедрения адекватных процедур внутреннего контроля по противодействию коррупции. Статья рассматривает основные аспекты деятельности внутреннего аудита в разрезе его ключевых компонентов: ожидания руководства и комитетов по аудиту, персонал и развитие навыков и компетенций внутренних аудиторов, управление рисками компании как залог эффективной работы внутреннего аудита, применение аудиторских техник и процедур, а также оценка деятельности подразделений внутреннего аудита на основе сбалансированной модели показателей.

Ключевые слова: внутренний аудит, управление рисками, показатели деятельности, закон Сарбейнса-Окс-ли, кодекс этики, комплаенс-функция, корпоративное управление.

Эффективность функционирования управленческих систем напрямую зависит от рационально выстроенной и синхронизированной организационной структуры, квалификации и компетентности менеджмента, четкого распределения функционала и ответственности, методов сбора и обработки информации и, конечно, системы внутреннего контроля.

В основе принятия управленческих решений должна лежать своевременно получаемая, максимально полная и, что наиболее важно, достоверная информация, наличие которой в значительной степени обеспечивает эффективность и

© Иванов О.Б., Егорова Е.А., 2012

качество функционирования управленческих систем, снижает возможность ошибок, позволяет исключить или минимизировать многие риски.

Одним из главных постоянных источников получения такой информации являются материалы аудиторских проверок и других контрольных мероприятий, которые кроме экономико-статистических данных дают анализ положения дел в динамике, выявляют отклонения от требований нормативных правовых и методических документов, определяют причины нарушений, возможные финансовые, налоговые и иные риски, прогнозируют последствия.

В этой связи создание отвечающей современным потребностям корпоративного управления системы внутреннего контроля, аудита и управления рисками является важнейшим инструментом управления компанией, одним из необходимых условий обеспечения эффективности экономической деятельности, финансовой устойчивости, повышения инвестиционной привлекательности и динамичного развития предприятия, фирмы, корпорации.

Недостаточное внимание к созданию действенного механизма внутреннего аудита может вызвать самые серьезные сбои в системе управления. Все еще помнят крупномасштабные скандалы, которые потрясли крупнейшие корпорации в различных отраслях экономики США и Европы в конце XX — начале XXI века. В результате принятый в 2002 году в США специальный закон Сарбейнса-Окс-ли ужесточил требования к акционерным обществам по созданию и поддержанию эффективных систем внутреннего контроля. Аналогичные процессы имели место и во многих других экономически развитых странах, которые также усовершенствовали свое законодательство в части усиления ответственности за отклонения от норм права и деловой этики.

Однако мировой экономический кризис 2008—2009 годов и вызванная им нестабильная экономическая ситуация отдельных компаний и целых государств; сокращение объемов производства и рост безработицы; массовые банкротства, в том числе и крупных предприятий, фирм, банков; неуверенность разных слоев населения в завтрашнем дне привели к значительному росту финансовых нарушений и мошенничеств. Это еще в большей степени обострило проблему сохранения и рационального использования финансовых и материальных ресурсов, снижения влияния на экономическое состояние компаний негативных факторов и рисков. И следовательно на новый уровень поднимаются требования, предъявляемые системам внутреннего контроля, аудита, управления рисками и борьбе с внутрикорпоративным мошенничеством.

Следует подчеркнуть, что в последние годы усиление роли внутреннего аудита и управления рисками стало четкой тенденцией во всех развитых экономиках. Закончился период раздумий, когда российские компании задавали себе вопрос в отношении функции внутреннего аудита «Быть или не быть?». Пожалуй, полемика по этому вопросу уже исчерпала себя. И на повестке сегодня другие вопросы: внутренний аудит сегодня и завтра — какие перемены нас ждут? Как мы должны реагировать на изменения окружающей среды?

В январе 2012 года Forbes Insights по заказу компании «Эрнст энд Янг» опросил 695 руководителей служб внутреннего аудита, топ-менеджеров и членов советов директоров компаний по всему миру с выручкой свыше 500 млн долларов о роли и будущем внутреннего аудита. Почти 75% респондентов не сомневаются в положительном влиянии, которое оказывает внутренний аудит на инициативы компаний по управлению рисками. Но при этом 80% видят возможности для дальнейших улучшений в ближайшие год-два. Требования к внутреннему аудиту со стороны основных заинтересованных пользователей его результатов — высшего руководства и комитетов по аудиту — продолжают расти, и только один из пяти респондентов характеризует функцию внутреннего аудита своей компании как очень эффективную.

Если делать анализ по регионам, то наиболее высокую оценку внутреннему аудиту дают представители Азии и Тихоокеанского региона — 4,22 балла из 5 возможных. Наиболее критично оценивают деятельность внутреннего аудита представители Японии и стран Европы, Ближнего Востока, Индии и Африки — 3,5 и 3,7 баллов соответственно.

Ожидания

За последние два года приоритеты в задачах и ожиданиях от внутреннего аудита почти не изменились. Как и в прошлом году, компании заинтересованы в улучшении процессов управления рисками и способности компаний своевременно выявлять и реагировать на новые возникающие угрозы. По-прежнему от внутреннего аудита ожидают содействия в выявлении возможностей сокращения затрат, в том числе и собственно на внутренний аудит при одновременном сохранении и даже повышении его эффективности и пользы для компании.

Если говорить о конкретных областях, где внутренний аудит должен играть ведущую роль, то это крупные проекты, связанные с капитальными вложениями (назвали 49% респондентов), проекты по внедрению ИТ-систем (42%), сделки по слияниям и пог-

лощениям (37%), а также наиболее крупные контракты компаний (32%).

Чтобы продолжать соответствовать ожиданиям, внутренним аудиторам необходимо совершенствоваться в области актуальных навыков и компетенций, которые могут стать необходимы в ближайшее время. Функция внутреннего аудита должна гарантировать понимание потребностей организации и возможности для удовлетворения запросов руководства.

Персонал

Сегодня на рынке труда России по-прежнему наблюдается дефицит высококвалифицированных специалистов в области внутреннего аудита. С сожалением можно отметить, что необходимого притока молодых кадров к профессии не происходит, поскольку программы высших учебных заведений не предусматривают подготовку по специальности «внутренний аудитор», а вопросы внутреннего аудита кратко рассматриваются в рамках курса по бухгалтерскому учету и аудиту.

Кроме того, при подборе кандидатов с опытом работы в большинстве случаев во внутренний аудит приходят специалисты из финансовых и контрольно-ревизионных подразделений компаний, основная специальность которых — бухгалтер или сотрудник службы безопасности. Таким специалистам требуется дополнительное обучение, затратное как по времени, так и по усилиям и ресурсам.

В нашей современной действительности ситуация осложняется еще и тем, что в тарифно-квалификационном справочнике профессия «внутренний аудитор» отсутствует. На сегодняшний день не выработаны единые требования к данному виду деятельности, и, как следствие, — в различных компаниях системы внутреннего аудита строятся по собственному разумению, на различных принципах, по различным методикам; во многих случаях аудитом называется фактически ревизорская деятельность, а в достаточно значительном количестве предприятий и организаций функция и вовсе отсутствует.

В последнее время предпринимаются отдельные попытки выйти с инициативами по формализации и лигитимизации профессии «внутренний аудитор», включению ее в тарифно-квалификационный справочник и созданию системы сертификации внутренних аудиторов. Прежде всего это инициативы Института внутренних аудиторов и созданного при поддержке Счетной палаты Российской Федерации некоммерческого партнерства «Международный центр передовых практик внутреннего контроля и управления рисками». Однако реальных решений в этом направлении пока нет.

И все-таки, какие навыки нужны внутреннему аудитору? Конечно, необходимо понимать роль внутреннего аудита в своей организации, ее реализуемую миссию и стратегию, знать стандарты и методологию внутреннего аудита, но на сегодняшний день этого уже недостаточно. Непременным условием является знание принципов управления, а также владение углубленными знаниями в общих дисциплинах, таких как бухгалтерский учет, финансовый анализ, право. Внутренним аудиторам как экономистам в широком смысле необходимо понимать, как функционирует финансовая система организации, как организован бухгалтерский учет, планирование, управление денежными средствами. В то же время внутренние аудиторы, значительная часть работы которых лежит в сфере, отличной от экономики и финансов, должны понимать отраслевую специфику бизнеса, разбираться в технологии и быть знакомы с операционной частью деятельности организации, например с тем, как построены процессы производства товаров, работ или услуг, процессы закупок и продаж.

Современному внутреннему аудитору также необходимы специализированные и постоянно расширяемые знания и технические навыки в сфере внутреннего аудита, в том числе: оценка организационных основ управления компанией, разработка стратегического плана по внутреннему аудиту, а также программы по контролю и улучшению качества функции внутреннего аудита, оценка рисков частной собственности, оценка программ и деятельности компании на предмет этичности, координация управления рисками и их страхования, а также оценка компетентности риск-менеджмента компании с использованием стандарта ISO 31000.

Другая сфера, в которой деятельность службы внутреннего аудита сейчас наиболее актуальна, — ИТ-менеджмент, контроль и безопасность. В данной сфере также можно выделить перечень ключевых компетенций внутреннего аудитора, в том числе: аудит стратегического управления ИТ, знание технологий анализа данных, управление информационной безопасностью, аудит ИТ-проектов, а также программ, разработанных пользователями, обнаружение и предотвращение мошенничества в автоматизированных системах, разработку плана ИТ-аудита, аудит механизмов контроля прикладных программ, управление и аудит уязвимостей ИТ-систем компании.

Однако кроме знаний исключительно важное значение для успешной работы внутреннего аудитора имеет опыт, а помимо навыков, знаний и опыта большое значение имеют также личные качества внутреннего аудитора.

Одно из важнейших качеств — это профессиональный скептицизм, заключающийся в том, что внутренний аудитор не принима-

ет на веру различные утверждения, а старается найти им подтверждение, самостоятельно получая ответы на возникающие вопросы. Внутреннему аудитору сегодня также необходимо быть объективным, а также предельно точным и аккуратным, в своих оценках и высказываниях; уметь подходить к отношению с сотрудниками исключительно с рабочих позиций, не проецируя личные аспекты взаимоотношений, а также работать в команде; иметь высокую работоспособность и крепкую нервную систему; стремиться к новым знаниям, непрерывному росту и профессиональному развитию, а также адаптироваться к происходящим изменениям. Помимо этого, большую роль в деятельности внутреннего аудитора играет, в том числе, развитие коммуникативных навыков — умение спрашивать и добиваться необходимой информации, «слушать» и «слышать» как рядового сотрудника компании, так и руководителя подразделения и одинаково воспринимать их точку зрения, умение четко выражать мысли и отстаивать свою позицию и прочее; также важны аналитические способности — внутренний аудитор должен быть способен анализировать зачастую невзаимосвязанные группы событий или большие объемы информации и делать предварительные выводы, корректно документировать свои наблюдения и разрабатывать эффективные рекомендации на их основе.

Большинством из этих качеств и навыков можно овладеть или развить со временем, а их приоритет определяется в каждом конкретном случае исходя из роли внутреннего аудита в компании и задач, поставленных перед внутренними аудиторами. Зачастую у внутренних аудиторов в силу специфики деятельности вырабатываются качества и навыки, которые, несомненно, являются необходимыми для дальнейшего карьерного и профессионального роста: способность комплексно смотреть на ситуацию, умение и желание доходить до сути вещей и нацеленность на поиск решений.

Исходя из этого, интересно отметить, что во многих компаниях работа во внутреннем аудите рассматривается как наилучшая подготовка для кандидатов занять в будущем руководящие должности; более того, сам руководитель службы внутреннего аудита сегодня становится одним из ключевых топ-менеджеров компаний и отвечает за весьма широкий круг задач. Это координация работы системы управления рисками (44%), корпоративная комплаенс-функция (41%), включая вопросы соответствия требованиям антикоррупционного законодательства, выявление и расследование фактов мошенничества (39%), обеспечение соответствия требованиям закона Сарбейнса-Оксли и аналогичным регуляторам в области внутреннего контроля (28%) и даже мониторинг соблюдения этических требований (кодекса этики) — 19%.

Проведенное исследование компании «Эрнст энд Янг» 2012 года подтверждает, что внутренним аудиторам сегодня нужны уже не только традиционные навыки владения аудиторскими техниками и процедурами, но и хорошее знание бизнеса и отрасли, в которой они работают (54%), и даже лидерские и управленческие задатки (47%). Из технических навыков и знаний, которые, по мнению респондентов, на сегодняшний день являются наиболее важными для внутренних аудиторов, названы два: внутренний контроль (36%) и комплаенс требования регуляторов (33%), а для восполнения недостающих знаний и навыков службы внутреннего аудита часто прибегают к аутсорсингу в таких областях, как ИТ-аудиты (42%) и выявление рисков мошенничества (30%).

Риски

Сегодня у компаний уже не вызывает вопроса, как сформировать план аудитов и куда должны быть направлены ресурсы службы. Конечно, на области высокого риска. И если еще пару лет назад план аудита, основанный на рисках, формировался на один год и не пересматривался, то сегодня 35 % европейских компаний делают это чаще, а каждая пятая компания — на ежеквартальной основе. Ряд крупных западных компаний уже внесли изменения в политику внутреннего аудита, закрепив принцип планирования деятельности «3+9», который означает утверждение плана работы на 3 месяца (1 квартал) и перспективное планирование на последующие 9 месяцев, независимо от истечения календарного или финансового года.

Некоторые российские компании также в целях повышения гибкости и оперативности реагирования на изменение ситуации используют поквартальное планирование своей деятельности. В частности ОАО «Российские железные дороги» уже на протяжении 10 лет имеет такую практику, которая себя оправдывает полностью.

В условиях динамично изменяющейся внешней среды, нестабильности на финансовых рынках данный подход повышает планку требований не только к квалификации внутренних аудиторов, но и к самой системе управления рисками, которая должна дина-

Ужесточение регуляторных требований, в том числе введение UK Bribery Act, привело к тому, что в странах Европы, Ближнего Востока, Индии и Африки это обстоятельство стало оказывать значительное влияние на подход к составлению аудиторского плана работы (у 46% респондентов).

Международное исследование Эрнст энд Янг в области внутреннего аудита, 2012

мично реагировать на внутренние и внешние изменения и обеспечить внутренних аудиторов своевременной информацией о профиле рисков компании.

Однако, как показывает практика, внутренние аудиторы по-прежнему полагаются на собственное профессиональное суждение, и каждая вторая компания корректирует план аудитов, руководствуясь не только и не столько результатами корпоративной оценки рисков менеджментом, сколько их переоценкой внутри службы.

Данная ситуация как правило свидетельствует о недостаточной интеграции службы внутреннего аудита и системы управления рисками компании. Зачастую сама методология и организация системы управления рисками не позволяют обеспечивать внутренних аудиторов необходимой информацией для планирования аудитов.

В большинстве российских компаний внутренние аудиторы отметили следующие основные факторы, которые не позволяют эффективно использовать результаты системы управления рисками:

• Низкая детализация рисков. В отчетность по рискам включаются высокоуровневые риски компании, которые невозможно соотнести с конкретными бизнес-процессами и подразделениями компании.

• Периодичность оценки рисков. Во многих компаниях оценка/ переоценка рисков осуществляется ежегодно, а мониторинг рисков не осуществляется (либо осуществляется формально). Подобная периодичность оценки не позволяет своевременно реагировать на произошедшие изменения и применять принцип «3+9» при планировании деятельности.

• Различные подходы к оценке рисков. Различия в подходах к оценке рисков разными подразделениями компании (например, некоторые подразделения не оценивают и не взвешивают на вероятность итоговые оценки рисков в области охраны труда и промышленной безопасности) затрудняют последующий анализ и ранжирование/сравнение «существенности» рисков, что вынуждает внутренних аудиторов переоценивать риски своими силами.

• Недостаточная информация о мероприятиях по управлению рисками. Во многих компаниях в отчетности по рискам менеджмент «забывает» указывать текущие мероприятия по управлению рисками и контрольные процедуры (которые осуществляются в рамках повседневной деятельности), обозначая лишь те, которые требуют дополнительных усилий и ресурсов. Оценка эффективности мероприятий по управлению рисками (в том числе количественная) также является редкостью в российских компаниях.

73% компаний имеют семь и более функциональных подразделений, в обязанность которых входит управление теми или иными рисками.

Перспективная модель управления

рисками.

Обеспечение устойчивости и повышение эффективности бизнеса.

Эрнст энд Янг, 2009

Таким образом, последние два-три года на уровне руководства и комитетов по аудиту компаний неоднократно возникал вопрос координации деятельности подразделений внутреннего аудита, внутреннего контроля, управления рисками, комплаенс-функции, служб менеджмента качества и т.п.

Все они в той или иной степени осуществляют оценку рисков и выполняют роль так называемых «поставщиков гарантий» для высшего руководства и комитетов по аудиту. Это значит, что они являются проводниками информации о рисках и средствах контроля в различных областях деятельности компании, высказывают мнение в отношении их эффективности, предлагают разнообразные решения для улучшения бизнес-процессов и достижения целей деятельности.

Однако в этом многообразии скрыта опасность (см. схему 1). Зачастую функциональные подразделения, занимающиеся управлением рисками, существуют в рамках компаний обособленно, их деятельность не координируется в соответствии с общекорпоративной стратегией. Вследствие этого информация о рисках, выявленных в одной области, может не передаваться в другую, или угроза там может не распознаваться вообще (что особенно характерно для рисков, возникающих на «стыке» ответственности различных подразделений и служб компании). Более того, в разных областях и разными под-

Внутренний аудит

Дублирование функций риск-менеджмента (в т.ч. в част оценю рисков), отсутствие понимания о полнота покрытия рисков и мероприятиях по управлению ри в компании

Управление рисками

Различия в методологии и подходах. Избыточность, дублирование функций по идентификации, оценке, анализу, контролю, мониторингу

Деятельность подразделений

Тяжелая, обремененная операционная деятельность, не повышающая ценностъкомлании

Интегрированные возможности

~ Неэффективные, нескоординированныв, разобщенные

Схема 1. Неэффективная координация подразделений в рамках управления рисками, внутреннего аудита и внутреннего контроля

разделениями компании «существенность» (серьезность и важность) определенных рисков может оцениваться по-разному.

Для разрешения данной ситуации компании разрабатывают Схему предоставления гарантий — перечень областей рисков и подразделений компании, ответственных за их управление (так называемых «поставщиков гарантий» — например, ИТ-служба несет ответственность за выявление, оценку и управление рисками сохранности данных ИТ-систем, служба экономической безопасности оценивает надежность/риски, связанные с контрагентами компании, независимые аудиторы компании оценивают надежность системы внутреннего контроля за подготовкой финансовой отчетности и т.п.).

Существует множество поставщиков гарантий для компании, например:

• менеджмент и сотрудники, выполняющие контрольные процедуры в рамках своих обязанностей;

• комитеты Совета директоров и высшее руководство компании, осуществляющие общий надзор за системой внутреннего контроля и формирующие контрольную среду компании;

• внутренние и внешние аудиторы;

• аудиторы систем менеджмента качества;

• риск-менеджеры;

• экологические аудиторы и т.п.

Согласно стандартам Института внутренних аудиторов выделяют три основные группы поставщиков гарантий:

• поставщики гарантий, подотчетные руководству компании и/ или являющиеся его частью, включая отдельных лиц, которые выполняют самооценку средств контроля, аудиторов системы менеджмента качества, экологических аудиторов и прочих сотрудников, назначаемых руководством;

• поставщики гарантий, подотчетные Совету директоров, например служба внутреннего аудита;

• поставщики гарантий, отчитывающиеся внешним заинтересованным сторонам, например внешние аудиторы компании.

Анализ порядка и схемы предоставления гарантий (см. ком-мент. 1) помогает оценить ответственность по управлению различными рисками между подразделениями компании и оптимизировать их функции в рамках системы управления рисками, внутреннего контроля и функции внутреннего аудита (в отдельных случаях данный анализ также может выявить области рисков, ответственность за управление которыми не закреплена за каким-либо подразделением).

Результаты анализа позволяют руководству/Совету директоров компании принимать решения по:

• порядку предоставления гарантий по отдельным рискам/областям риска в зависимости от их «существенности» (то есть по ответственности подразделений компании по управлению отдельными рисками/областями риска);

• оптимизации взаимодействия между подразделениями компании в рамках управления рисками, внутреннего контроля и функции внутреннего аудита (в том числе по избежанию дублирования функций);

• дизайну целевой Схемы предоставления гарантий компании с учетом оптимизации.

Важно помнить, что при разработке Схемы предоставления гарантий необходимо учитывать и методологические моменты в области управления рисками, внутреннего контроля и внутреннего аудита. Так, например, для эффективной интеграции риск-менеджмента и внутреннего аудита необходимо учесть следующее:

• Методология внутреннего аудита должна содержать процедуры оценки эффективности и надежности системы управления

Хотя многие организации наблюдают за деятельностью внутреннего аудита, риск-менеджмента и комплаенса, далеко не все рассматривают все эти функции в качестве целостной системы. Задача по составлению общей схемы предоставления гарантий включает соотнесение областей, по которым предоставляются гарантии, с ключевыми рисками организации. Этот процесс позволяет организации выявлять и закрывать любые пробелы в процессе управления риском и дает уверенность заинтересованным сторонам в том, что рисками управляют, отчетность по ним представляется, а регуляторные и законодательные требования выполняются. Организация выиграет от такого усовершенствованного подхода, который обеспечит руководству доступ к информации о рисках, с которыми сталкивается организация, и том, какие меры в их отношении принимаются. Схема предоставляемых гарантий составляется по всей организации, чтобы понять, где в целом рассредоточены роли и ответственность по управлению риском и предоставлению гарантий. Цель этого состоит в том, чтобы убедиться в наличии продуманного процесса управления риском и предоставления гарантий без дублирования усилий или потенциальных пробелов.

Практическое указание Института внутренних аудиторов 2050-2 Схема предоставляемых гарантий (Assurance Maps)

В целях обеспечения надлежащего охвата и минимизации двойной работы руководителю внутреннего аудита следует обмениваться информацией и координировать деятельность с другими внутренними и внешними сторонами, оказывающими услуги по предоставлению гарантий и консультаций.

Практическое указание Института внутренних аудиторов 2050-2 Схема предоставляемых гарантий (Assurance Maps)

рисками компании. По результатам данной оценки внутренние аудиторы должны, в том числе, сделать вывод о возможности полагаться на результаты корпоративной оценки рисков для целей планирования аудитов.

• Методология управления рисками должна учитывать возможность применения отчетности по рискам (в том числе оценку рисков) службой внутреннего аудита и своевременного информирования службы внутреннего аудита об изменении в профиле рисков компании.

Оптимизация взаимодействия, а также единство методологических подходов в области управления рисками, внутреннего контроля и внутреннего аудита позволят добиться синергетического эффекта деятельности подразделений компании и, соответственно, повысить эффективность службы внутреннего аудита.

Аудиторские техники

Эффективное применение аудиторских техник позволяет не только повысить качество работы самих аудиторов, но и принести пользу организации. По этой причине многие руководители служб внутреннего аудита обеспокоены поиском новых решений, позволяющих снизить объем ручного тестирования отдельных операций, но при этом увеличить аудиторский охват. Вследствие этого прослеживается большая заинтересованность аудиторов в использовании возможностей информационных технологий и методов анализа данных, которые, несмотря на большие начальные инвестиции по сравнению с традиционными техниками, в конечном итоге приносят значительный положительный эффект. Набор аудиторских техник и компьютерных процедур на сегодня весьма обширен. Выбор определенного метода или их комбинации обуславливается целями и объемом аудиторского задания, а также их применимостью в отдельной ситуации при выполнении рабочей программы.

Среди наиболее популярных аудиторских техник, применяемых в повседневной работе, аудиторы выделяют следующие.

Прежде всего это «методы анализа данных», включающие в себя такие аспекты деятельности аудиторов, как извлечение и анализ данных, непрерывный аудит, оценку рисков и выявление факторов мошенничества. Результаты опроса показали, что данную технику среди внутренних аудиторов применяют 57% опрошенных, она успешно используется службами внутреннего аудита ведущих компаний Европы в рамках различных видов деятельности, включая оценку рисков, планирование, выполнение аудитов и даже подготовку отчетов. Исследование также показало, что такие методы ана-

лиза данных, как прогнозное моделирование, регрессивный анализ и интеллектуальный анализ данных, успешно используются службами внутреннего аудита для выявления мошенничества, тестирования контрольных процедур и анализа причин возникновения рисков.

Второе место среди аудиторских техник, безусловно, стало неожиданностью — это техника «непрерывного мониторинга контролей» (Continuous Controls Monitoring) — 54%. По своей сути это инструмент, который позволяет осуществлять в режиме реального времени анализ состояния процессов и систем на соответствие заданным параметрам, так как любое отклонение свидетельствует об угрозе реализации рисков или нарушении правил и стандартов деятельности и может привести к негативным последствиям. Фактически речь идет о технике непрерывных аудитов, которая может быть реализована при условии высокой оснащенности компании ИТ-системами.

И наконец, третьим фаворитом среди внутренних аудиторов остаются «тематические аудиты». Их применяют более половины опрошенных аудиторов Европы.

Применение эффективных аудиторских техник в российской практике имеет свою специфику По данным совместного исследования аудита в России, опубликованного в феврале 2010 года Институтом внутренних аудиторов и компанией «Эрнст энд Янг», 76% российских аудиторов не используют специализированное программное обеспечение. Интересно, что среди причин были указаны: «не требуется ввиду небольшого размера подразделения внутреннего аудита» (62%), «не видны явные преимущества от внедрения» (19%) и «бюджетные ограничения» (29%).

Однако мировой опыт показывает нам, что применение эффективных аудиторских техник зачастую заметно повышает качество сбора, анализа и интерпретации информации при выполнении аудиторского задания. Кроме того, сплошное тестирование зачастую просто невозможно провести ввиду ограничений по ресурсам и отсутствия экономической целесообразности (формула «цена контроля — эффект контроля»).

Аудиторская работа

Структура аудиторского плана работы выглядит сегодня примерно следующим образом (см. рисунок 1): пальму первенства делят аудит стратегических задач и операционные аудиты, почти столько же времени отводится финансовым аудитам, а работе с регуляторами и их требованиями аудиторы уделяют 13% своего времени и внимания.

Однако акценты работы внутреннего аудита на тех или иных группах рисков в разных регионах могут отличаться. Так, например, в странах Европы, Ближнего Востока, Индии и Африки основное внимание аудиторов сосредоточено на работе со стратегическими и операционными рисками. Они занимают около половины рабочего времени аудиторов. За ними следуют финансовые риски, комплаенс риски и риски в области ИТ. В то время как в странах Американского континента лидируют комплаенс и регуляторные риски (в совокупности 30% времени), затем операционные и финансовые. И на ближайшие один-два года такое распределение, скорее всего, будет сохраняться.

Поясним немного, что значит аудит стратегии компании. Все очень просто. Например, при анализе стратегии развития бренда компании внутренний аудитор должен оценить риски и последствия выбора того или иного пути: будет ли компания работать в преми-ум-классе товаров или услуг, или наоборот, займет бюджетную нишу на рынке. Если мы откажемся от той или иной группы потребителей — что грозит нашему бизнесу, как мы сможем управлять этими угрозами? Или другой пример — стратегия роста: она предусматривает работу на локальном или международном рынках — какое влияние это окажет на бизнес компании, какими рисками нам придется управлять и какую цену, возможно, нам придется

Комплаенс-аудиты I ИТ аудиты

■Аудит регуляторный ■ Финансовый аудит

Операционные аудиты 'Аудит стратегии

Рисунок 1. Структура плана аудита

заплатить за этот рост, укладывается ли он в допустимые уровни аппетита к риску, определенные нашими акционерами? Не секрет, что проекты ряда российских компаний в Ливии и Сирии оказались закрыты или находятся под угрозой остановки. Риски реализовались, и большинство компаний снова вынуждены пересматривать стратегию.

Среди направлений ИТ-аудитов — их доля 14% в плане работ — респонденты Европы чаще всего называли аудит информационной безопасности (45%) и аудит системы обеспечения непрерывности деятельности (28%). При этом готовность и уровень квалификации аудиторов к проведению таких аудитов респонденты оценили на 1.49 и 1.68 баллов соответственно из трех возможных. К сожалению, уровень квалификации персонала служб внутреннего аудита пока отстает от темпов роста ожиданий и сложности задач, которые ставит руководство компаний.

В практике российского внутреннего аудита, в отличие от зарубежной практики, проведение ИТ-аудитов по-прежнему остается наименее популярной областью деятельности, несмотря на то, что российские компании достигли весьма высокого уровня автоматизации бизнес-процессов. Для некоторых российских компаний выполнение первого ИТ-аудита было проведено лишь в рамках подготовки к внешней независимой оценке функции внутреннего аудита, выполняемой согласно требованиям Международных профессиональных стандартов внутреннего аудита (Стандарт 1312 — Внешняя оценка). И в большинстве случаев на основе аутсорсинга с привлечением внешних экспертов. Зачастую ИТ-аудиты, выполняемые в России, включают ограниченный круг вопросов, например проверку доступа к конфиденциальной информации и обеспечение непрерывности деятельности, тогда как существующие нормативные документы и международная практика в этой области охватывают значительно большую сферу вопросов, таких как проведение аудита системы управления в сфере ИТ (Практические указания Института внутренних аудиторов — Auditing IT Governance , July 2012) или проведение аудитов ИТ-проектов (Auditing IT Projects, March 2009), а также проведение аудитов на соответствие системы внутреннего контроля ИТ-процессов лучшим мировым практикам, например стандарту COBIT (Control Objectives for Information and Related Technology), разработанному Институтом стратегического управления ИТ (The IT Governance Institute). Институт внутренних аудиторов выпустил целую серию документов, посвященных вопросам ИТ-аудита — это Global Technology Audit Guides, который сегодня включает 17 практических руководств, а кроме того еще три руководства, посвященных оценке ИТ-рисков.

По-прежнему достаточно редким явлением в работе российских аудиторов остается проведение оценки системы управления рисками. Однако важно помнить, что при разработке плана аудиторских проверок аудиторы могут полагаться на результаты корпоративной оценки рисков, выполненной менеджментом компании, только в том случае, если аудитор подтвердил эффективность процесса управления рисками, то есть провел аудит с использованием практических указаний Института внутренних аудиторов (Assessing the Adequacy of Risk Management Using ISO 31000, December 2010).

Несмотря на единичные пока случаи оценки системы управления рисками (СУР), этот процесс набирает обороты. Но причина этому — не только необходимость для внутренних аудиторов выполнять требования Международных стандартов. Дело в том, что многие российские компании завершили трехлетний цикл внедрения СУР. В эту работу были инвестированы немалые ресурсы, и руководство наконец-то решило подвести итог начинаниям и понять, как повлиял процесс внедрения СУР на эффективность бизнеса, позволил ли он предупредить угрозы и с минимальными потерями выйти из рисковых ситуаций. Для этого привлекались эксперты по проведению независимой оценки СУР, запускались процессы пересмотра стратегии дальнейшего управления рисками, и все это стимулировало аудиторов для создания собственных программ аудита СУР.

Еще одним активно развивающимся направлением работы внутреннего аудита становится оценка корпоративного управления, включая работу по отдельным направлениям — аудит корпоративной культуры, аудит взаимоотношений с государственными органами, аудит соглашений между акционерами, аудит программ противодействия мошенничеству, формирование и аудит схемы пред оставления гарантий и т.п. Надо сказать, что лейтмотивом последней международной конференции по внутреннему аудиту, которая состоялась в июле 2012 года в Бостоне, стали именно вопросы предупреждения мошенничества и коррупции. Появление Закона Великобритании «О борьбе со взяточничеством» (UK Bribery Act), а также уже состоявшиеся расследования в рамках американского аналогичного закона FCPA, которые обернулись для компаний многомиллионными штрафами, ставят перед внутренними аудиторами вопрос оценки эффективности мер, направленных на предотвращение противоправных действий. По данным Transparency International индекс коррумпированности России составляет 2.1 балла (из десяти возможных, где 10 — прозрачность и отсутствие коррупции), что эквивалентно 154 месту наряду с такими странами, как Таджикистан, Камбоджа, Лаос, Папуа — Новая Гвинея.

В условиях глобализации бизнеса и выхода России на международные рынки капитала, меры компаний по предупреждению мошенничества и коррупции в значительной степени влияют на решения западных инвесторов и партнеров. Кроме того, Россия становится участником международных проектов по борьбе с коррупцией. Ратификация Россией Конвенции Организации экономического сотрудничества и развития (ОЭСР) по борьбе со взяточничеством привела к внесению соответствующих изменений в российское законодательство, что проявляется даже на уровне документов, регламентирующих бизнес-процессы, например осуществления закупочной деятельности, в особенности компаниями с госучастием. Поэтому роль внутреннего аудита в вопросах оценки эффективности этих программ и обеспечения комплаенса будет только расти.

КР1

Для отслеживания собственной эффективности и результативности внутренние аудиторы ведущих компаний давно внедрили систему показателей оценки деятельности. При изучении мнения внутренних аудиторов, которые еще не используют такую систему, очень четко прослеживается их понимание о необходимости ее создания, ведь внедрение системы позволит всесторонне оценить вклад внутреннего аудита в совершенствование деятельности и достижение целей компании и наглядно продемонстрировать результаты работы внутреннего аудита руководству и комитету по аудиту.

У многих руководителей внутреннего аудита при внедрении или пересмотре системы показателей оценки деятельности возникает множество вопросов: как определить показатели оценки деятельности внутреннего аудита? Какие показатели с наибольшей точностью смогут оценить эффективность внутреннего аудита? А главное, какие критерии оценки применять, для того чтобы наиболее полно отразить меняющуюся роль внутреннего аудита в компании?

Требования регуляторов не определяют критерии/подход к разработке/пересмотру показателей оценки деятельности. Внутренние аудиторы совместно с руководством компании должны самостоятельно определить перечень показателей, позволяющих получить объективную оценку деятельности внутреннего аудита. Приоритетность выбора показателей зависит от стратегических целей и задач компании, особенностей организационной структуры, использования риск-ориентированного подхода в осуществлении ключевых аспектов деятельности внутреннего аудита и прочих факторов.

При выборе показателей руководителям внутреннего аудита прежде всего следует руководствоваться следующими принципами:

• показатели должны быть понятными (легко воспринимаемыми и логичными для всех внутренних аудиторов и руководства компании);

• показатели должны отражать все аспекты деятельность внутреннего аудита (в том числе операционную деятельность внутреннего аудита, обучение сотрудников, использование внутренним аудитом информационных технологий, взаимодействие с Комитетом по аудиту и руководством компании);

• показатели должны быть сбалансированными;

• показатели должны отражать вклад внутреннего аудита в достижение стратегических целей компании;

• показатели должны быть как качественными, так и количественными.

Если говорить о самих показателях оценки деятельности, в настоящее время внутренние аудиторы уделяют все большее внимание показателям, отражающим их вклад в совершенствование деятельности и достижение целей компании, поэтому наряду со степенью выполнения плана аудитов как наиболее устойчивого показателя измерения деятельности (41%) в число лидеров входят такие показатели, как «Значимость аудиторских выводов и рекомендаций» (43%), «Продолжительность выпуска аудиторского отчета» (36%), «Доля выполненных аудиторских рекомендаций» (35%), «Своевременность внедрения аудиторских рекомендаций» (34%), удовлетворенность Комитета по аудиту работой внутреннего аудита (26%).

Институт внутренних аудиторов (ИВА), отвечая на потребности внутренних аудиторов в разработке показателей оценки деятельности, которые бы наиболее точно отражали роль внутреннего аудита в компании, за последние два года выпустил ряд документов по данной тематике, в том числе:

• Практическое руководство «Программа гарантий и повышения качества внутреннего аудита»;

• Практическое руководство по измерению эффективности и результативности внутреннего аудита;

• Инструкцию Института внутренних аудиторов по оценке качества деятельности внутреннего аудита (Quality Assessment Manual).

ИВА предлагает рассматривать сбалансированную систему показателей оценки деятельности внутреннего аудита в разрезе четырех компонентов:

• комитет по аудиту;

• исполнительное руководство/руководство объекта аудита;

• операционная деятельность внутреннего аудита;

• инфраструктура внутреннего аудита (технологии, управление ресурсами).

Каждой из компонент предлагается соответствующий набор ключевых показателей, которые ее характеризуют и соотносятся с целями деятельности подразделения внутреннего аудита. Пример сбалансированной системы ключевых показателей представлен на схеме 2.

Показатели, соответствующие компоненте «Комитет по аудиту», отражают уровень удовлетворенности Комитета по аудиту работой внутреннего аудита и степень достижения внутренними аудиторами целей, установленных Комитетом по аудиту. При разработке данных показателей внутренним аудиторам необходимо согласовать с Комитетом по аудиту общий подход к разработке показателей и критерии измерения их достижения.

Показатели, соответствующие компоненте «Исполнительное руководство/руководство объекта аудита», отражают уровень удовлетворенности руководства компании работой внутреннего аудита и степень достижения внутренним аудитором целей, установленных руководством, а также результаты опроса аудируемых (руководства объекта аудита) о качестве проведенных проверок.

Анализ выполнения показателей, относящихся к двум вышеперечисленным компонентам, позволяет получить представление о репутации внутреннего аудита в компании, в том числе получить ответы на следующие вопросы: является ли функция внутреннего аудита ценной для компании? считает ли Аудиторский комитет/руководство компании возможным полагаться на результаты внутреннего аудита? высоко ли оценивается качество деятельности внутреннего аудита?

Показатели, соответствующие компоненте «Операционная деятельность», отражают качество текущей деятельности внутреннего аудита, а именно качество проводимых проверок и мероприятий по контролю/мониторингу устранения замечаний, выявленных по результатам проведенных проверок.

Показатели, соответствующие компоненте «Инфраструктура внутреннего аудита», отражают степень использования внутренними аудиторами средств информационных технологий, качество и профессионализм внутренних аудиторов.

Таким образом, внедрение системы показателей оценки внутреннего аудита, оптимально сочетающей все аспекты деятельности внутреннего аудита, позволит обеспечить разумную уверенность различных заинтересованных сторон (Комитета по аудиту, руководства компании) в том, что внутренний аудит:

• функционирует эффективно и экономично;

к>

Схема 2. Система ключевых показателей эффективности деятельности подразделения внутреннего аудита

£

I

1 I

а. я

0 8

1

г

г

I

• воспринимается заинтересованными сторонами как приносящий пользу и улучшающий деятельность компании;

• осуществляет свою деятельность согласно Положению о внутреннем аудите или другому нормативному документу, определяющему цели и задачи внутреннего аудита;

• действует в соответствии с Международными профессиональными стандартами внутреннего аудита (если такое положение задекларировано в документах внутреннего аудита).

Качество внутреннего аудита в компании напрямую зависит от разработанных стандартов, определяющих его деятельность. Если эти стандарты не соблюдаются либо отсутствуют, функционирование внутреннего аудита не будет эффективным.

Стандарты призваны обеспечить однозначное понимание результатов проверок, как менеджментом компании, так и руководителями объектов проверки. Указанные документы призваны регламентировать порядок проведения контрольных процедур и требований к ним, определять основные принципы, требования, правила и этические нормы, которые должны соблюдаться при осуществлении внутреннего аудита и контроля, повысит их качество.

Применение стандартов позволяет:

— сделать организацию проведения внутреннего аудита более рациональной и эффективной, обеспечить дополнительный контроль за работой сотрудников служб внутреннего аудита;

— содействовать возможности использования в работе научных достижений и новых технологий;

— укрепить престиж внутреннего аудита и контроля;

— обеспечить высокое качество внутреннего аудита и контроля, способствовать его совершенствованию, а также применению новых передовых подходов к его организации.

Разработка внутрикорпоративных стандартов должна осуществляться на основе международных стандартов внутреннего аудита (прежде всего разработанных The Institute of Internal Auditors — Институтом внутренних аудиторов, который является главным авторитетом и идеологом в мире в вопросах внутреннего аудита).

Система указанных стандартов должна содержать руководящие указания по принципам аудита, управлению программами аудита, оценке системы внутреннего контроля, созданию механизма проведения оценки систем внутреннего контроля, проведению аудитов систем менеджмента, бизнес-процессов и других вопросов функционирования компании.

Примером формирования концептуальной методологической базы совершенствования и развития внутреннего аудита и контроля, создания механизма проведения оценки систем внутреннего кон-

троля и управления рисками в компании может служить система внутрикорпоративных стандартов аудиторской деятельности, разработанная и внедренная в ОАО «Российские железные дороги»:

• основной стандарт «Единая корпоративная система стандартов внутреннего аудита холдинга «Российские железные дороги»;

• стандарт планирования деятельности и управления ресурсами подразделения внутреннего аудита и контроля;

• стандарт по выполнению и оценке рисков для подготовки плана внутренних аудиторских проверок;

• стандарт планирования внутренних аудиторских проверок подразделением внутреннего аудита и контроля;

• стандарт проведения внутренних аудиторских проверок подразделением внутреннего аудита и контроля;

• стандарт проведения аудита системы управления рисками подразделением внутреннего аудита и контроля;

• стандарт подготовки отчета по результатам проведения внутренней аудиторской проверки подразделением внутреннего аудита и контроля.

Группа названных стандартов ОАО «РЖД» является составной частью системы внутрикорпоративных стандартов аудиторской деятельности, которая формируется на основе риск-ориентированного подхода проведения аудитов и международных стандартов профессиональной деятельности внутреннего аудита и разработана при участии консультантов из «Эрнст энд Янг». Наличие внутрикорпоративной системы стандартов кроме всего прочего относится к числу формальных критериев, влияющих на возможность привлечения капитала для ОАО «РЖД», по которым регуляторы, биржи, кредитные организации и рейтинговые агентства оценивают системы внутреннего аудита и контроля потенциальных заемщиков (эмитентов).

Трансформация внутреннего аудита: три шага в будущее

Итак, мы рассмотрели основные составляющие деятельности внутреннего аудита, которые являются самыми обсуждаемыми в профессиональной среде аудиторов и среди их заказчиков — органов управления компаний. Чтобы оценить, насколько эти дискуссии касаются и вас, попробуйте ответить на следующие вопросы:

• Понимает ли служба внутреннего аудита (СВА) вашей компании ожидания заинтересованных сторон?

Полезньй эффект

• Насколько деятельность СВА способствует решению основных задач, стоящих перед вашей организацией?

• Каким образом мы можем оценить, что СВА вносит реальный вклад в деятельность организации?

• Что необходимо для того, чтобы СВА могла обеспечивать больший охват рисков при меньших затратах?

• Должно ли содействие в формировании полезного эффекта и повышении эффективности деятельности организации входить в сферу ответственности СВА?

• Оказывает ли деятельность СВА должное влияние на формирование надлежащей контрольной среды нашей организации?

• Обладают ли сотрудники СВА необходимым и достаточным уровнем квалификации для выполнения поставленных перед внутренним аудитом задач? Насколько оптимальным является распределение обязанностей внутри СВА?

• Насколько повышение технологической оснащенности поможет улучшить работу СВА?

• Основано ли наше суждение об эффективности работы СВА нашей организации на объективных показателях и результатах сравнительного анализа?

• Что делает СВА для того, чтобы повысить конкурентоспособность организации?

Если вы обеспокоены подобными вопросами, то возможно, настало время подумать об изменениях. От внутреннего аудита будущего вас отделяет всего три шага.

Первое, что необходимо будет сделать, — это обеспечить согласованность целей и задач внутреннего аудита с целями и задачами деятельности вашей организации в целом. Бизнес динамичен. Внутренний аудит должен идти в ногу с изменениями, происходящими в деятельности организации. Поэтому первым шагом на пути трансформации роли внутреннего аудита является приведение целей и задач деятельности службы внутреннего аудита в соответствие со стратегическими целями и задачами деятельности организации в целом. Однако нужно понимать, что, только имея в своем арсенале нужные ресурсы, служба внутреннего аудита будет способна внести прямой вклад в достижение компанией поставленных целей благодаря выявлению недостатков в существующей структуре построения процессов и средств контроля, а также возможностей повышения их операционной эффективности. А для этого необходимо сделать второй шаг — обосновать необходимость изменений внутреннего аудита.

Одной из отличительных особенностей эффективной службы внутреннего аудита является способность найти разумный баланс

между рисками, затратами и полезным эффектом. При отсутствии такого баланса имеет место «ценностный разрыв». Отставание может наблюдаться как в области практической реализуемости поставленных перед внутренним аудитом задач, так и в области имеющихся навыков и знаний у сотрудников СВА — либо в обеих указанных областях. Подобного рода отставания могут препятствовать переходу функции внутреннего аудита на качественно новый уровень. Выявление таких отставаний и путей их преодоления лежит в основе построения экономического обоснования необходимости изменений. Подготовка экономического обоснования предполагает определение масштабов планируемой трансформации с учетом существующих потребностей и ожидаемого полезного эффекта. Службе внутреннего аудита необходимо разработать стоимостную модель, определить возможные варианты трансформации, выработать сценарии и выявить потенциальные выгоды и возможности экономии.

На рисунке 2 схематично представлено преодоление трансформационного люфта, который позволяет внутреннему аудиту перейти от роли гаранта в отношении эффективности системы внутреннего контроля на уровне бизнес-процессов к стратегическому советнику.

Наблюдаемое в цепом ряде компаний отставание трансформационных процессов является основным сдерживающим фактором, препятствующим качественному преобразованию службы внутреннего аудита и принятию ею функций консультанта по стратегическим вопросам по отношению к руководству и совету директоров. Повышение эффективности службы внутреннего аудита возможно за счет проведения целенаправленных мероприятий по преодолению такого разрыва.

Отставайте в части имеющихся

навьков и знаки й

Трансформационный люфт Отставаше в части ...... *

практической реахизуемости Взгляд Стратегический советник

Система

внутреннего "изнутри"

контроля и

соблюдение

требований

Обязательное условие

Практическая ценность для менеджмента

Критично для компании в целом

Отставание в части имеющихся навьков и знаний

Практика краткосрочной ротации

Недостаточная масштабность задач для надлежащего кадрового планирования по отдельным направлениям деятельности |-| ИТ, внешнеторговая деятельность, казначейскиеоперации,

I 1рИЧИНЫ налогообложение, цепочка поставок

предотвращение и выявление фактов мошенничества 0ТСТ8 ВЭ Н ИЯ Прямая зависимость аудиторской активности от имеющихся ресурсов

"Традиционное" видение роли внутреннего аудита ■Привязанность" к стратегическому плану и вспомогатегъным мероприятиям

Нехватка отраслевых знаний и конкурентоспособных навыков

Отставание в части практической реализуемости

Использование традиционного подхода к оценке рисков и планированию аудита Низкий охват бизнес-процессов

Чрезмерное акцентирование внимания на отдельных объектах и областях аудита

Ограничен нов применение методов моделирования и анализа данных Недостаточный объем мероприятий по обучению и профессиональному развитию сотрудников

Неспособность править но расставить приоритеты Неприятие перемен

Низкий объем операционных аудитов с фокусом на эффективности бизнес-процессов

Рисунок 2. Обоснование необходимости изменений функции внутреннего аудита

Как мы уже упомянули, без баланса между рисками, затратами и полезным эффектом организации не удастся в полной мере реализовать потенциальные возможности повышения эффективности деятельности и обеспечения устойчивого развития бизнеса.

Каким образом внутренний аудит может сбалансировать свою деятельность?

Во-первых, работа с рисками. Как показал экономический кризис, при реализации наихудшего сценария риски организации могут расти с угрожающей быстротой, далеко опережая рост возможностей по их преодолению. Службе внутреннего аудита необходимо быть во всеоружии и вовремя устранять появляющиеся «бреши» в защите путем:

• проведения более частых мероприятий по оценке рисков по сравнению с запланированным объемом подобных мероприятий (чаще одного, двух или даже четырех раз в год);

• повышения качества оценки рисков и ориентации на наиболее приоритетные риски;

• обеспечения более широкого охвата рисков (как существующих, так и вновь появляющихся);

• координации усилий и взаимодействия с другими подразделениями, ответственными за управление рисками (формирование карты предоставления гарантий);

• повышения информированности и формирования надлежащего отношения к системе внутреннего контроля.

В целом, эти задачи вполне отвечают и растущим ожиданиям руководства от функции внутреннего аудита. При этом руководство не устает напоминать и о поиске путей оптимизации затрат, в том числе на процессы управления рисками, включая «стоимость» тех структурных подразделений компаний, которые участвуют в этом процессе. Почти 48% участников исследования «Эрнст энд Янг» 2011 года в качестве одной из основных причин улучшения работы службы внутреннего аудита, обусловленных необходимостью экономии средств, указали повышение эффективности контрольной среды и увеличение полезного эффекта деятельности службы внутреннего аудита. Даже в условиях выхода экономики из кризиса служба внутреннего аудита должна с прежней активностью продолжать поиск новых возможностей оптимизации затрат.

Такие возможности могут включать в себя следующее:

• более эффективное использование средств контроля путем обращения внимания на наиболее значимые риски и применения подхода и технологических средств, которые наиболее отвечают задачам конкретной аудиторской проверки (например, проведение камеральной проверки вместо выезда на объект);

• максимально возможная опора на технологии для упорядочения бизнес-процессов;

• обеспечение соразмерности затрачиваемых средств существующему уровню риска;

• разработка гибких моделей комплектования кадрами с целью повышения гибкости в вопросах кадрового планирования с учетом пиковой и минимальной загрузки.

При этом служба внутреннего аудита должна изыскивать возможности экономии средств в масштабах всей организации, не ограничивая свой поиск исключительно собственным функционалом. Благодаря более глубокому пониманию бизнес-процессов и целей деятельности организации служба внутреннего аудита способна оказать действенную помощь руководству в выявлении возможностей экономии в масштабах всей организации.

Сегодня многие организации уже имеют определенное представление о том, насколько эффективно они могут управлять финансовыми рисками, рисками, связанными с соблюдением нормативных требований, так же как и затратами. Однако для обеспечения максимальной доходности инвестированных средств руководители компаний стали все больше полагаться на службу внутреннего аудита как на эксперта в области обеспечения высокой степени уверенности и оказания высокоэффективных аудиторских услуг. Они также ждут от нее новых конструктивных предложений по улучшению бизнес-процессов и средств контроля. Такие возможности могут включать в себя следующее:

• повышение уровня квалификации и оптимизация кадрового состава службы внутреннего аудита;

• увеличение возможностей для повышения эффективности деятельности;

• улучшение результативности мероприятий, направленных на коренные преобразования;

• консультирование по вопросам выхода на новые рынки;

• проведение сравнительного анализа с аналогичными компаниями отрасли и заимствование лучших практик.

После того как было достигнуто понимание места и роли службы внутреннего аудита в организации, а также сформировано экономическое обоснование ее преобразования, это означает, что настал момент для третьего шага — составления плана действий по трансформации службы из ее текущего состояния в желаемое (целевое). Службе внутреннего аудита необходимо сформулировать бизнес-цели, действия, функции и сферы ответственности всех вовлеченных в данный процесс сторон, а также сроки его реализации. Основная задача руководителя СВА — обеспечить надлежащую ответственность за план трансформации, при которой ответственные лица отчитываются о фактической реализации целей и задач в рамках плана. План трансформации может быть закреплен в формате стратегии развития внутреннего аудита компании. Например, в

ОАО «Российские железные дороги» в 2008 году правлением компании была одобрена «Концепция формирования единой системы внутреннего аудита и контроля», а в 2009 году утверждена «Функциональная стратегия построения единой системы внутреннего аудита и контроля в холдинге «РЖД». Эти документа определяют развитие системы внутреннего контроля, аудита, управления рисками и борьбы с мошенничеством в компании на период до 2015 года.

В июле 2012 года Институт внутренних аудиторов выпустил новое практическое руководство по «Разработке стратегического плана развития функции внутреннего аудита» (Developing the Internal Audit Strategic Plan). Тем самым институт еще и формально закрепил в своей Концептуальной базе профессиональной практики требования к непрерывному совершенствованию деятельности работы служб внутреннего аудита как отражение изменений бизнеса, ожиданий руководства и комитетов по аудиту во всем мире.

Усилия на трансформирование внутреннего аудита не будут потрачены зря. Опыт нашей работы и анализ «Эрнст энд Янг» опыта работы других компаний позволяют назвать как минимум десять преимуществ, которые будут достигнуты:

1. Полная прозрачность целей внутреннего аудита, направленных на обеспечение уверенности в эффективности системы внутреннего контроля и бизнес-операций для руководителей высшего звена и совета директоров в поддержку стратегических бизнес-целей.

2. Постоянные (обоснованные) улучшения процесса управления рисками, включая совершенствование контрольной среды.

3. Внутренний аудит играет важную роль в совершенствовании процессов и процедур контроля, способствуя достижению целей деятельности компании в заданные сроки. Сфокусирован на достижение компанией результатов деятельности, в том числе за счет непрерывного совершенствования процесса управления рисками и развития компетенции персонала компании в этой области.

4. Внутренний аудит является неотъемлемой частью корпоративного управления в компании, содействует поддержанию эффективной системы внутреннего контроля и управления рисками.

5. Все руководители высшего звена получают от внутреннего аудита, по крайней мере ежеквартально, оценку систему управления рисками относительно их зон ответственности.

6. Постоянное внимание к бизнес-рискам и процедурам контроля организации — независимо от их сложности, политической чувствительности, возраста или географического положения. Бизнес-аналитика ведется для того, чтобы быть уверенными в том, что деятельность внутреннего аудита отражает текущие и новые потребности компании.

7. Уникальные решения, обеспечивающие быстрые и точные результаты, разрабатываются благодаря высококачественным инструментам, новейшим технологиям и профессиональной практике в соответствии с потребностями организации.

8. Доверие к функции внутреннего аудита и ее значимость повышается путем привлечения высокопрофессиональных кадров со стратегическим мышлением и необходимыми техническими и личностными навыками.

9. Результаты деятельности внутреннего аудита оцениваются с точки зрения обоснованности затрат совместно с основными заинтересованными сторонами скорее на основании результатов деятельности бизнеса, нежели чем на основании анализа мероприятий, проведенных внутренним аудитом.

10. Репутация внутреннего аудита повышается в зависимости от его вклада в деятельность организации, а также от профессионализма и объективности, что является основным в работе подразделения.

В заключение хочется высказать надежду на большое будущее внутреннего аудита в России, которое, благодаря инициативам и вкладу в развитие профессии многих внутренних аудиторов в России, возможно, наступит гораздо быстрее, чем можно ожидать.

Комментарии

1. Термин «предоставление гарантий» следует понимать как выполнение функций по управлению определенными типами/областями рисков.

Литература

1. Международное исследование Эрнст энд Янг в области внутреннего аудита. 2012.

2. Международное исследование Эрнст энд Янг в области внутреннего аудита. 2011.

3. Международные профессиональные стандарты внутреннего аудита Института внутренних аудиторов. ИВА. 2011.

4. Практические указания Института внутренних аудиторов. ИВА, 2011.

5. Практические руководства Института внутренних аудиторов. ИВА. 2011.