Роль внутреннего аудитора: новые тенденции (А. Андреева, "Риск-менеджмент", N 7-8, июль-август 2008 г.)

Роль внутреннего аудитора: новые тенденции

Внутренний аудит в компании в последнее время претерпевает существенные изменения. От этой службы ожидают не столько оценки системы внутреннего контроля (СВК), сколько помощи в ее создании, построении системы корпоративного управления и риск-менеджмента. Как совместить эти задачи, избежав при этом конфликта интересов?

Функция внутреннего аудита прошла в своем развитии ряд этапов. Изменилось определение внутреннего контроля, который вырос из проверки записей в бухгалтерском учете в инструмент удержания рисков в допустимых пределах. Из функции, ориентированной на анализ бухгалтерского учета и отчетности, внутренний аудит превратился в элемент риск-менеджмента. Появились новые объекты для оценки - система корпоративного управления, система управления рисками. По мере трансформации целей и расширения объема задач внутреннего аудита также изменялись ожидания заказчиков его услуг - собственников, акционеров, менеджмента. Сегодня внутренний аудит способен решать гораздо более масштабные и интересные задачи и играть более заметные роли, чем те, которые предусматривались для контрольно-ревизионных служб. Во многих компаниях успешно функционируют отделы IT-аудита, экологического аудита. Развитие отдельных отраслей бизнеса путем агрессивного роста приводит к тому, что департаменты аудита начинают принимать активное участие в сделках по слияниям и поглощениям. Существует тенденция к вовлечению внутреннего аудита в проекты по реинжинирингу бизнес-процессов, дизайну системы внутреннего контроля, подготовке к внешнему аудиту. Основной вопрос, с которым сталкиваются руководители служб внутреннего аудита, принимая участие в подобных проектах, как избежать конфликта интересов, сохранить объективность и независимость.

Конфликт интересов

Традиционно внутренний аудит оказывает два вида услуг - предоставляет гарантии, то есть дает независимые и непредвзятые оценки процессов контроля, корпоративного управления и риск-менеджмента, и оказывает консультации. В каждой компании служба внутреннего аудита сталкивается с проблемой определения разумного баланса - перевес в сторону гарантий ведет к восприятию внутренних аудиторов в качестве "полицейских", в то время как увеличение доли консультационных услуг приводит к высокой зависимости от менеджмента и риску потери объективности. Тем не менее участие в таких проектах возможно при соблюдении определенных требований.

Изменение бизнес-процессов

Реинжиниринг, или оптимизация бизнес-процессов, равно как и разработка систем внутреннего контроля, дизайн политик и процедур, безусловно, предусматривают участие внутреннего аудита. Но его роль в данном случае будет заключаться в оценке процессов, процедур и изменений в IT-системах перед их внедрением. Участие в качестве разработчика означает, что аудиторы будут проверять то, что сами разработали и внедрили. Одной из лучших практик является распределение услуг в области гарантий и консультаций по разным службам департамента аудита (при наличии достаточных ресурсов). Если же ресурсы ограниченны, то рекомендуется проводить ротацию аудиторов между проектами. Например, один сотрудник службы внутреннего аудита оказывает услуги в области консультирования в определенной предметной области, предоставление гарантий в которой является функцией другого аудитора.

Создание эффективной СВК. Подготовка к внешнему аудиту

Любая компания имеет СВК. Каждый сотрудник выполняет различные контрольные функции в рамках своей повседневной деятельности. Однако рано или поздно руководство начинает задумываться о повышении эффективности контрольных процедур, и ключевым этапом в этом процессе становится дизайн и настройка системы внутреннего контроля. Внутреннему аудитору, принимающему участие в дизайне внутренних контролей, отводится экспертная роль, а не функции разработчика и управление изменениями. Часто внутренний аудит сталкивается с подобными противоречиями и испытывает желание сделать что-то вместо менеджмента. Нередко внутренние аудиторы сами пишут политики, разрабатывают процедуры, внедряют контроли, пишут доработки для IT-приложений. Такое вмешательство аудиторов в операционную деятельность и организация процедур, которые впоследствии они сами будут проверять, всегда создает конфликт интересов, а также противоречит стандартам и Кодексу этики внутреннего аудитора. Ведь ответственность за построение СВК несет менеджмент. Задача внутреннего аудита в данном случае несколько иная - обучение сотрудников и независимый мониторинг процесса. Каким бы хорошим ни был дизайн внутренних контролей, если менеджмент не понимает, что такое контроль и зачем он нужен, все усилия будут напрасны. Внутренний контроль начинается с контрольной среды. А это этические ценности, стиль управления, отношение менеджмента. Ключевые факторы успеха в данных обстоятельствах - проактивность, лидерство, поддержка высшего руководства. Стоит особо отметить необходимость наличия эффективного управления проектом, четкого распределения ролей и ответственности.

Начинать проект дизайна и настройки внутренних контролей следует с определения ключевых контролей, тестирования их эффективности, разработки планов действий и процесса внедрения.

Схема взаимодействия внутреннего аудитора и менеджмента при настройке СВК представлена в таблице.

Взаимодействие внутреннего аудитора и менеджмента при настройке СВК
Этап	Менеджмент	Аудитор
Определение ключевых контролей	+	+
Разработка шаблонов тестирования		+
Тестирование контролей, идентификация пробе- лов в контролях		+
Выдача рекомендаций		+
Разработка планов действий по выполнению аудиторских рекомендаций	+
Выполнение планов действий Мониторинг выпол- нения планов действий	+	+

Аналогичная методика работы применяется при подготовке к внешнему аудиту, в том числе к аудитам на соответствие SOX. В ряде случаев перечень контролей должен быть согласован с внешним аудитором. Также возможен обмен результатами тестирования внутренних контролей с внешними аудиторами. Роль внутреннего аудита в таких проектах может заключаться в идентификации пробелов в контролях и мониторинге процесса их устранения. При внедрении самооценки тестирование контролей и отслеживание выполнения планов действий находится под ответственностью менеджмента и выполняется собственниками бизнес-процессов. Внутренний аудит в данном случае будет использовать результаты самооценки и фокусироваться на областях с наиболее высоким уровнем риска.

Итогом такой работы, особенно подкрепленной успешным результатом внешнего аудита, становится трепетное отношение к внутреннему контролю со стороны менеджмента и бизнес-подразделений. Но, к сожалению, это не быстрый процесс. Соотношение времени, затраченного на "политическую" и "техническую" работу, - 70 к 30%. Существенную помощь в "уравновешивании" периодов может оказать система мотивации, предусмотренная для руководителей и рядовых сотрудников. Она может подразумевать как отдельные фиксированные выплаты за конкретный результат (например, успешное прохождение аудита по SOX), так и переменные, зависящие от прогресса выполнения аудиторских рекомендаций. Также не стоит забывать о нематериальной стороне: похвала, признание заслуг, вручение почетной грамоты - все это очень близко нашему народу, воспитанному в духе социалистических соревнований. В совокупности два компонента мотивации дают блестящие результаты.

Выполнение контрольных процедур

Согласно традиционному определению ролей заказчиков и клиентов внутреннего аудита, высшее исполнительное руководство полагает, что внутренний аудит "все контролирует". В соответствии с этим существует негативная тенденция, при которой менеджмент стремится назначить внутренний аудит "главным контролером". На аудиторов возлагают всевозможные контрольные функции - проверку расходов средств бюджетов, строительных смет, инвентаризацию, инспекцию авансовых отчетов и многие другие. С учетом того, что менеджмент несет ответственность за построение и поддержку эффективной системы внутреннего контроля, такое перераспределение обязанностей расценивается как передача контрольных функций в службу, которая должна осуществлять независимую оценку контрольных процедур, а не их непосредственное выполнение. Например, инвентаризация является контрольной процедурой и представляет собой сверку физического наличия активов с данными учета. Роль, которую может выполнять аудитор, - оценка самой процедуры инвентаризации (процессов пересчета, подведения результатов, отражения их в учете). Присутствуя на инвентаризации, он также может самостоятельно сделать выборочный пересчет. Инвентаризация входит в число аудиторских процедур, но не является прямой обязанностью службы внутреннего аудита. Бухгалтерские сверки - также скорее бухгалтерская, нежели аудиторская функция. Если у организации есть потребность в проведении регулярных инвентаризаций, вероятно, имеет смысл создать инвентаризационную службу, которая входила бы в структуру финансового или бухгалтерского блока.

Подводя итоги

В завершение хотелось бы отметить, что цели и задачи внутреннего аудита в компании будут определяться состоянием СВК, в том числе уровнем зрелости контрольной среды, а также систем риск-менеджмента и корпоративного управления. Чем ниже эффективность этих систем, тем в большей степени внутренний аудит будет заниматься расследованием мошенничества и обеспечением сохранности активов. В свою очередь, эффективность СВК, риск-менеджмента и корпоративного управления будет существенно различаться в зависимости от стадии развития функции управления рисками в компании.

Так, в компании, находящейся на реактивной стадии управления рисками, существует пассивное отношение как к риску, так и к контролю, являющемуся инструментом управления риском. Реактивная стадия характеризуется незначительным вниманием к управлению рисками со стороны руководства, отсутствием интегрированного подхода к риск-менеджменту, неполным охватом критических областей бизнеса инструментами управления рисками. Вероятно, что и внутренний аудитор в такой компании будет скорее играть роль специалиста по расследованию мошенничества или выполнять обязанности менеджмента по контролю отдельных функций и процессов.

Организации, СУР которых находятся на тактическом уровне развития, более заинтересованно относятся к управлению рисками. У таких предприятий существует как поддержка менеджмента и периодическая оценка рисков, так и признание необходимости интегрированного подхода к управлению рисками. В наиболее выгодном положении находятся руководители служб внутреннего аудита компаний, находящихся на стратегической стадии развития системы управления рисками. Именно в таких организациях внутренний аудит может реализовать современный рискориентированный подход к своей деятельности, а также стать одной из ключевых функций, повышающих стоимость бизнеса и являющихся проводником благоприятных для бизнеса изменений.

А. Андреева,

директор по аудиту Eastern Ventures Holdings

"Риск-менеджмент", N 7-8, июль-август 2008 г.

Актуальная версия заинтересовавшего Вас документа доступна только в коммерческой версии системы ГАРАНТ. Вы можете подать заявку на получение полного доступа к системе бесплатно на 3 дня.

Получить бесплатный доступ

Если вы являетесь пользователем интернет-версии системы ГАРАНТ, вы можете открыть этот документ прямо сейчас или запросить по Горячей линии в системе.