Quis custodiet ipsos custodes?

Disclaimer

Disclaimer
Все мысли, изложенные на данном блоге, являются исключительно плодом воображения автора и отражают его личную точку зрения. Точка зрения автора никак не взаимосвязана с точкой зрения других физических и юридических лиц, за исключением тех случаев, когда это особо указано в тексте.

вторник, 22 марта 2016 г.

В поисках пользы от внутреннего аудита

Недавние исследования компаний "большой четверки" (раз, два) об очередном "открытии" несоответствия внутреннего аудита ожиданиям стейкхолдеров неожиданно породило активную дискуссию в англоязычных форумах.
Неожиданно потому, что тема «несоответствия ожиданиям» уже стала баяном достаточно не нова – подобное «открытие» публикуется уже который год. По мере ухудшения экономической обстановки и падения показателей компаний, не удивительно, что недовольство стейкхолдеров всеми, включая внутренний аудит, растет. Претензии, предъявляемые аудиту, традиционны - все делают долго, плохо и не понятно, риски не выявляют, рассказывают очевидные, всем давно известные вещи. Обычно аудиторское сообщество реагировало достаточно вяло - игнорировало или равнодушно пожимало плечами - что поделаешь, такие вот мы.
Но на этот раз со стороны представителей аудиторского сообщества неожиданно последовала достаточно агрессивная реакция.
Дискуссия (если этот термин применим к публичному взаимному обмену обвинениями) показалась мне достаточно интересной, и я решил тоже пографоманить на эту тему. Тему решил условно разбить на две части. Первая - о претензиях, связанных с оценкой текущих рисков, выявлении и информирование о новых рисках. Вторая - о достаточно старой и наболевшей теме использования технологий внутренним аудитом.
Итак, первый блок на тему претензий, связанных с оценкой внутренним аудитом текущих рисков. 

Мнение стейкхолдеров (сквозь призму исследования)

Согласно вышеупомянутым исследованиям, меньше половины опрошенных "удовлетворены пользой, приносимой внутренним аудитом" и считают, что "аудиторский план правильно фокусируется на критичных для компании рисках". Кроме того, "поскольку ожидания выросли, внутренний аудит должен охватывать планом более широкий диапазон рисков и давать более глубокие и полезные рекомендации". Короче "внутренний аудит должен быть более проактивным в выявлении и снижении рисков, а не просто тестировать существующие контроли".  

Мнение аудиторского сообщества

В ответ на результаты исследований сразу несколько экспертов в области внутреннего аудита выразили достаточно агрессивную позицию на тему "что должен и что не должен делать внутренний аудит". Аргументов было очень много, с цитатами стандартов и "ведущих практик", но, в общем, сводились к следующему:

  • Оценка существующих рисков, равно как и выявление новых, является ответственностью менеджмента, а не внутреннего аудита. 
  • Тот же относится и к снижению рисков.
  • Менеджмент должен выполнять свою работу, а не ждать, пока внутренний аудит сделает ее вместо него.
  • Внутренний аудит отвечает за оценку того как менеджмент выявляет, оценивает и управляет рисками. 

ИМХО 

У каждой стороны есть рациональное зерно в доводах и причины для обид на другую сторону. Стейкхолдеры чувствуют, что, пока компания претерпевает от новых рисков, внутренний аудит занимается какой-то непонятной ерундой. Внутренний аудит думает, что на него пытаются сделать выжепрофессионала при том же бюджете и ресурсах. В сухом остатке мы видим отсутствие взаимопонимания и диалога. И, чтобы получить взаимопонимание, диалог придется начать. И начать его нужно таки внутреннему аудиту. Хотя бы потому, что стейкхолдеры - это заказчик и работодатель. И если работодатель не доволен - обиды не помогут. В рекомендации "внутренний аудит должен быть более проактивным в выявлении и снижении рисков, а не просто тестировать существующие контроли" нет ничего про то, что внутренний аудит должен делать вместо менеджмента. Проактивность - это способность самим выбирать свою реакцию на внешние раздражители. Да, внутренний аудит не должен оценивать риски вместо менеджмента. Но оценить, насколько эффективно с этой задачей справляется менеджмент, он должен? А донести до аудиторского комитета понятными доступными словами, что менеджмент не эффективно выполняет данную функцию? Согласно тому же исследованию, только 9% компаний используют ERM. Т.е. у подавляющего числа компаний нет единой картины рисков, которая бы позволила адекватно оценить ситуацию и приоритезировать ресурсы при обработке рисков. Почему бы внутреннему аудиту не оценить процесс и не донести последствия до менеджмента и аудиторского комитета? Главное - правильно аргументировать "почему это плохо" и "что с этим делать". Не ссылками на "ведущие практики" и "требование стандартов", а конкретные последствия для бизнеса, посчитанные в деньгах. Задача не тривиальная, но это и есть следующая ступенька на пути к светлому будущему внутреннего аудита к позиции доверенного советника (trusted advisor), которое каждый руководитель внутреннего аудита декларирует в стратегии развития функции (ну, ладно, хотя бы в уставе внутреннего аудита).
То же относится и к мероприятиям по снижению рисков. Да, это задача менеджмента. Но провести мониторинг, выявить, что не делается в срок и донести до стейкхолдеров - это задача внутреннего аудита. И насколько серьезно будет восприниматься эта информация очень зависит от аргументации. Описание позиции "должны были сделать, но не сделали" и "не сделали, в результате чего компания потеряла... и потеряет в будущем ..." воспринимается совершенно по-разному. В первом случае - вызывает скуку, во втором - желание что-то поменять.
Чтобы не заканчивать тему в миноре, хочется отметить и положительную тендеденцию. Согласно тем же исследованиям, количество стейкхолдеров, которое считают функцию внутреннего аудита не просто полезной, но своим доверенным советником, растет. Да, очень медленно, но ведь растет. Значит все-таки можно? Остается только определиться кем быть умным или красивым - контрольно-ревизионной функцией, перебирающей бумажки в поисках виноватых или функцией-партнером, помогающей развивать бизнес. И если вторым - активно развивать навыки коммуникации.


По первому вопросу - все. Вторая часть будет про не менее наболевший вопрос использования аналитики.

13 комментариев:

  1. Этот комментарий был удален автором.

    ОтветитьУдалить
  2. Этот комментарий был удален автором.

    ОтветитьУдалить
  3. да, в статье так и написано. Но тогда вопрос, существует программное обеспечение на предприятии, приняты риски, описаны процедуры копирования/восстановления. Действия аудитора оценки работы над рисками ?

    ОтветитьУдалить
  4. В смысле как аудитору оценить эффективность работы всего этого?

    ОтветитьУдалить
    Ответы
    1. Да. Откуда аудитору узнать, что в том ПО, к примеру, есть какой то временный пользователь по умолчанию, с известным паролем. Знает об этом разработчик, а администратор ПО на предприятии забыл об этой уязвимости, риск был не упомянут.

      Удалить
    2. Это немного офтопик. Но отвечая на вопрос, решение зависит от реализации (на каком уровне у нас пользователи). Если у нас есть технологические записи(не персонифицированные) - нужно понять назначение каждой записи, и механизмы, обеспечивающие выполнение политики безопасности. Если их (механизмов) нет - понять почему. Про пароль нужно спросить у админа - какой, кто знает и зачем пользуется. А проверить можно по логам в системе.

      Удалить
  5. Я услышал, что внутренний аудит ДОЛЖЕН быть проактивными предвидеть, предвосхищать и т.д. Если это так, то сразу встает вопрос о требованиях к уровню необходимой квалификации таких сотрудников - по моему опыту во внутреннем аудите чаще всего работают вышедшие из внутреннего контроля и "заточены" они совсем под другие задачи.

    ОтветитьУдалить
    Ответы
    1. Это вопрос зрелости функции внутреннего аудита. Действительно, часто в компаниях сначала возникает внутренний контроль, потом появляются элементы внутреннего аудита, эта функция отделяется и, в идеале, должна продолжать развиваться. Разумеется, компетенции тоже нужно развивать. На мой взгляд, внутренний аудит - это функция, которая должна развиваться и обучаться непрерывно. Только в таких условиях она может выполнять задачи, выходящие за рамки тестирования контролей. Более того, сейчас компании отказываются от тестирования контролей внутренним аудитом (отдают на аутсорс) для того, чтобы аудит мог больше времени посвятить более полезным задачам.

      Удалить
    2. хорошо, зрелость, но ведь так можно расти до бесконечности, по сути дублируя функционал администраторов ИТ и экспертов.

      Удалить
    3. Количество степеней зрелости конечно. В идеальных условиях достигается за несколько лет. Дублирования функционала администраторов ИТ точно нет :). На самом деле, речь идет о традиционной смене роли внутреннего аудита по мере развития Assurance Provider -> Problem Solver -> Insight Generator -> Trusted Advisor.

      Удалить
    4. Я в этой цепочке не очень понимаю, но это наверно эволюция сотрудника аудита ИТ, а не самого аудита ИТ, как такового.

      Удалить
    5. Это цепочка эволюции всей функции внутреннего аудита, включая и аудит ИТ. Суть в поэтапной эволюции из тестирования прошлого (контроли и т.д.) в прогнозирование будущих рисков.

      Удалить