вторник, 22 марта 2016 г.

В поисках пользы от внутреннего аудита

Недавние исследования компаний "большой четверки" (раз, два) об очередном "открытии" несоответствия внутреннего аудита ожиданиям стейкхолдеров неожиданно породило активную дискуссию в англоязычных форумах.
Неожиданно потому, что тема «несоответствия ожиданиям» уже стала баяном достаточно не нова – подобное «открытие» публикуется уже который год. По мере ухудшения экономической обстановки и падения показателей компаний, не удивительно, что недовольство стейкхолдеров всеми, включая внутренний аудит, растет. Претензии, предъявляемые аудиту, традиционны - все делают долго, плохо и не понятно, риски не выявляют, рассказывают очевидные, всем давно известные вещи. Обычно аудиторское сообщество реагировало достаточно вяло - игнорировало или равнодушно пожимало плечами - что поделаешь, такие вот мы.
Но на этот раз со стороны представителей аудиторского сообщества неожиданно последовала достаточно агрессивная реакция.
Дискуссия (если этот термин применим к публичному взаимному обмену обвинениями) показалась мне достаточно интересной, и я решил тоже пографоманить на эту тему. Тему решил условно разбить на две части. Первая - о претензиях, связанных с оценкой текущих рисков, выявлении и информирование о новых рисках. Вторая - о достаточно старой и наболевшей теме использования технологий внутренним аудитом.
Итак, первый блок на тему претензий, связанных с оценкой внутренним аудитом текущих рисков. 

Мнение стейкхолдеров (сквозь призму исследования)

Согласно вышеупомянутым исследованиям, меньше половины опрошенных "удовлетворены пользой, приносимой внутренним аудитом" и считают, что "аудиторский план правильно фокусируется на критичных для компании рисках". Кроме того, "поскольку ожидания выросли, внутренний аудит должен охватывать планом более широкий диапазон рисков и давать более глубокие и полезные рекомендации". Короче "внутренний аудит должен быть более проактивным в выявлении и снижении рисков, а не просто тестировать существующие контроли".  

Мнение аудиторского сообщества

В ответ на результаты исследований сразу несколько экспертов в области внутреннего аудита выразили достаточно агрессивную позицию на тему "что должен и что не должен делать внутренний аудит". Аргументов было очень много, с цитатами стандартов и "ведущих практик", но, в общем, сводились к следующему:

  • Оценка существующих рисков, равно как и выявление новых, является ответственностью менеджмента, а не внутреннего аудита. 
  • Тот же относится и к снижению рисков.
  • Менеджмент должен выполнять свою работу, а не ждать, пока внутренний аудит сделает ее вместо него.
  • Внутренний аудит отвечает за оценку того как менеджмент выявляет, оценивает и управляет рисками. 

ИМХО 

У каждой стороны есть рациональное зерно в доводах и причины для обид на другую сторону. Стейкхолдеры чувствуют, что, пока компания претерпевает от новых рисков, внутренний аудит занимается какой-то непонятной ерундой. Внутренний аудит думает, что на него пытаются сделать выжепрофессионала при том же бюджете и ресурсах. В сухом остатке мы видим отсутствие взаимопонимания и диалога. И, чтобы получить взаимопонимание, диалог придется начать. И начать его нужно таки внутреннему аудиту. Хотя бы потому, что стейкхолдеры - это заказчик и работодатель. И если работодатель не доволен - обиды не помогут. В рекомендации "внутренний аудит должен быть более проактивным в выявлении и снижении рисков, а не просто тестировать существующие контроли" нет ничего про то, что внутренний аудит должен делать вместо менеджмента. Проактивность - это способность самим выбирать свою реакцию на внешние раздражители. Да, внутренний аудит не должен оценивать риски вместо менеджмента. Но оценить, насколько эффективно с этой задачей справляется менеджмент, он должен? А донести до аудиторского комитета понятными доступными словами, что менеджмент не эффективно выполняет данную функцию? Согласно тому же исследованию, только 9% компаний используют ERM. Т.е. у подавляющего числа компаний нет единой картины рисков, которая бы позволила адекватно оценить ситуацию и приоритезировать ресурсы при обработке рисков. Почему бы внутреннему аудиту не оценить процесс и не донести последствия до менеджмента и аудиторского комитета? Главное - правильно аргументировать "почему это плохо" и "что с этим делать". Не ссылками на "ведущие практики" и "требование стандартов", а конкретные последствия для бизнеса, посчитанные в деньгах. Задача не тривиальная, но это и есть следующая ступенька на пути к светлому будущему внутреннего аудита к позиции доверенного советника (trusted advisor), которое каждый руководитель внутреннего аудита декларирует в стратегии развития функции (ну, ладно, хотя бы в уставе внутреннего аудита).
То же относится и к мероприятиям по снижению рисков. Да, это задача менеджмента. Но провести мониторинг, выявить, что не делается в срок и донести до стейкхолдеров - это задача внутреннего аудита. И насколько серьезно будет восприниматься эта информация очень зависит от аргументации. Описание позиции "должны были сделать, но не сделали" и "не сделали, в результате чего компания потеряла... и потеряет в будущем ..." воспринимается совершенно по-разному. В первом случае - вызывает скуку, во втором - желание что-то поменять.
Чтобы не заканчивать тему в миноре, хочется отметить и положительную тендеденцию. Согласно тем же исследованиям, количество стейкхолдеров, которое считают функцию внутреннего аудита не просто полезной, но своим доверенным советником, растет. Да, очень медленно, но ведь растет. Значит все-таки можно? Остается только определиться кем быть умным или красивым - контрольно-ревизионной функцией, перебирающей бумажки в поисках виноватых или функцией-партнером, помогающей развивать бизнес. И если вторым - активно развивать навыки коммуникации.


По первому вопросу - все. Вторая часть будет про не менее наболевший вопрос использования аналитики.