Внутренний аудит. Что проверять? Как выбрать?

Международные профессиональные стандарты внутреннего аудита (МПСВА) требуют формирования риск-ориентированного плана внутреннего аудита, в частности, на основании формализованной оценки рисков, проводимой не реже, чем один раз в год.

Каноничный подход.

Безусловно каноничным подходом можно назвать подход, который основан на существующей оценке рисков.
Итак, хорошо если есть реестр рисков с рассчитанными математическими ожиданиями текущего и остаточного риска. Начать нужно с ранжирования рисков для внутреннего аудита.

Первое, что нужно определить – по какому из математических ожиданий нужно отранжировать риски. Мое мнение – нужно ранжировать по текущему. Логика примерно следующая: менеджмент всегда будет настаивать на том, что «да, у нас сейчас всё плохо (ну, или всё хорошо), но в ближайшем будущем «заколосицца» (ну, или станет «еще лучше»)».

Как показывает практика, ближайшее будущее не всегда наступает быстро (в конце концов, продолжительность человеческой жизни ничтожна с точки зрения времени существования вселенной, и в этом масштабе ближайшее будущее – это и 100 лет). Поэтому план проверок составлен исходя из текущего математического ожидания. Но, теоретически, я допускаю ситуацию, когда план аудита составляется исходя как из математического ожидания остаточных рисков, так и из изменения дельты между мат.ожиданием текущего и остаточного риска. Логика последнего – аудит эффективности прилагаемых менеджментом усилий.

Второе, что нужно определить – можем ли мы проверить мероприятия по управлению рисками из программы. Ну, например, можем ли мы проверить, куда пошла взятка руководителю ИФНС по крупнейшим налогоплательщикам? Как-то сомневаюсь, что он/она расписку даст. С другой стороны, любая выдача наличных на любое «стимулирование» (включая продажи) – это, скорее всего, не менее 50% прилипания к рукам передающего менеджера. А владельца бизнеса тоже не пошлешь передавать… Поэтому проверить можно только путем личной передачи, на что аудитор согласиться не должен (хотя бы из соображений, представленных в УК РФ). Другой пример: «активная работа по формированию «карманного» профсоюза». Мы должны повесить человеку вывеску «Председатель карманного профсоюза»? И будет ли он во всем «карманным»? В общем, управление некоторыми рисками практически невозможно проанализировать. Поэтому я предлагаю отказываться от включения в план аудита мероприятий, "аудитопригодность" которых вызывает некоторые сомнения.

Третье, что нужно сделать – это оценить новизну потенциальных находок в рамках каких-нибудь плановых аудитов. Например, все знают, что с качеством (персоналом, ремонтами, оперативным учетом, логистикой и т.п.) у нас откровенно плохо. Знает владелец, знает совет директоров, знает менеджмент, знают исполнители. Из года в год пишутся мероприятия, что-то выполняется, лучше не становится. Нужно ли проводить аудит? Ну, вроде как да (подход-то риск-ориентированный, а риски значимы). А зачем? Потратить четверть человеко-года для констатации всем давно известных фактов, при этом находящихся под личным контролем владельца? Да, можно систематизировать проблемы, обеспечить новый (четырнадцатый по номеру рассматриваемого доклада) взгляд и т.п. Но совсем уж новизна вряд ли будет. В общем, очень целесообразно оценить плановые аудиты при формировании программы на основании риск-ориентированного подхода с точки зрения интересности для всех.

Перейдем к непосредственно планированию. В пример не включены риски, которые лежат ниже линии толерантности, которую мы для себя определили в предпосылках (10% от EBITDA, или 100 млн. руб.). Но это не значит, что с ними не нужно работать (работа по многим из них целесообразна, 100 млн. руб. неплохо даже для большого предприятия).

Итоговая программа, отсортированная по алфавиту, для нашего условного предприятия выглядит примерно так:

Аудит действующей системы закупок.
Аудит концепции автоматизации.
Аудит НИОКР.
Аудит плана действий в кризисных ситуациях.
Аудит планов переноса производства.
Аудит системы контроля качества.
Аудит управления дебиторской задолженностью.
Аудит эффективности инвестиционной программы.
Аудит эффективности разработанной BSC.
Аудит эффективности технического надзора.
Аудит PR процессов и процедур.
Неэффективная автоматизация. Инциденты информационной безопасности.

В эту программу нужно добавить время на:

ежегодный мониторинг системы управления рисками. В МПСВА не говорится о том, как часто нужно проводить эту оценку. Но при наличии системы управления рисками хотя бы раз в год очень полезно поинтересоваться, а что, собственно говоря, менеджмент сделал для управления рисками, и какими рисками и как планируется управлять в следующем году. Кстати, в интерпретации к Стандарту 2120 «Управление рисками» отмечено, что информация для оценки системы управления рисками может быть собрана в рамках нескольких аудиторских заданий, то есть ключевые риски будут затронуты в рамках плановых аудитов и мониторинга исполнения мероприятий, необходимо проконтролировать только остальные;
инвентаризации, мониторинги и прочие обязательные действия;
резервное время (внеплановые поручения, текущие вопросы, отпуска / болезни).

Если внутренних аудиторов на предприятии хотя бы два (что представляется разумным с точки зрения непрерывности системы внутреннего контроля), то их, скорее всего, не хватит для выполнения программы.
В этом случае:

либо ранжируем по математическому ожиданию до «выполнибельной» программы;
либо идем к владельцу / председателю комитета по аудиту для того, чтобы нам с помощью пишущего предмета показали, что делать;
либо предлагаем увеличить бюджет подразделения (взять еще одного человека).

Если же на существующую численность аудиторов для реализации всей годовой программы хватать не будет, то нужно спускаться вниз по математическому ожиданию и дойти до полной загрузки каждого аудитора. Но отмечу, что если человек с зарплатой 3 млн. руб. в год месяцами занимается риском в 300 тыс. руб., то численность явно избыточна. Хотя, с другой стороны, если владелец доволен – то почему бы и нет.

Подход на основании оценки денежных потоков.

На мой взгляд, значительно интереснее подход, когда риски оцениваются на основании денежного потока. Подход банален: мы запрашиваем расшифровку БДДС, и около каждого значения проставляем «возможный процент неэффективности». БДДС должен быть детализирован с разумной точностью.
Некоторые значения вполне понятны. Например, всяческого рода консалтинги, скорее всего, будут иметь возможный «процент потенциальной неэффективности» в районе 90%. То есть по факту всяческих консультационных услуг мы не сможем оценить, сколько именно они стоят, поэтому нужно присвоить максимально высокое значение. А вот по статье «Услуги ФГУП «Почта России» можно смело ставить 0%. Причина очевидна: ну, не украдешь там ничего…

Вообще такая оценка не так проста, как можно подумать. Потому что одна и та же статья затрат может иметь разный признак «неэффективности». Примеры:

ремонт самолетных двигателей в LuftHansa Technik и у компаний из бывших союзных республик в Прибалтики будет обладать явно разной «взяткоемкостью» для ответственного за ТОиР: если у немцев откаты практически невозможны, то за страны бывшего СССР (даже пусть теперь и европейские) никто не ручается (пережитки Советского/Российского образа ведения бизнеса);
закупка кабеля у завода и у посредников будет обладать не меньшей разницей во "взяткоемкости", чем в примере из предыдущего пункта.

Дальше нужно составить банальную табличку и отсортировать её по последнему столбцу (риск). В данную таблицу нужно включать все платежи (как по продажам, так и по закупкам).

Собственно, по отсортированному последнему столбцу (риск) можно по идеологии, описанной для каноничного подхода, и сформулировать план проверок.

Такой подход напоминает подход от «уровня существенности», который любим бывшими аудиторами отчетности, но значительно интереснее с точки зрения потенциальных результатов. Безусловно, тут есть место субъективному фактору, ну, что делать.

Эта таблица позволяет сосредоточиться именно на потенциальной неэффективности конкретных строк, а не анализировать «основные средства» или «финансовые вложения» в целом.

Естественно, если на основании этой таблицы проводить аудиты типа «аудит порядка выбора консультантов» и «аудит порядка закупки брундуляторов», а не только анализировать отражение этих аспектов жизни предприятия в отчетности.

Одновременно отмечу, что такая таблица плоха тем, что не очень значительные затраты даже при присвоении 100% значения неэффективности могут выпасть из рассмотрения. К примеру, безопасность, персонал, учет и прочие не очень затратные, но очень важные вещи. Но они в целом известны, можно добавить руками.

Данный подход, в моем понимании, соответствует операционно-ориентированному аудиту: стратегия не измеряется БДДСами. Безусловный плюс такого подхода – план работы внутреннего аудита на год формируется за полдня.

Какой подход выбрать?

Как уже было сказано если подразделение внутреннего аудита достаточно зрелое, то нужно выбрать именно каноничный подход.
А вот если подразделение внутреннего аудита только создается, то, на мой взгляд, вряд ли.

Предположим идеальную ситуацию: мы, прежде чем заниматься внутренним аудитом, провели очень правильную работу с точки зрения управления рисками (значительно фундаментальнее, чем обычно делают). И сформировали замечательный план работы на год.
Пусть в этом плане оказался, к примеру, аудит НИОКР. Что будет, если его проведет новый человек? Как мне кажется, ничего хорошего. Итак, есть руководитель подразделения НИОКР. Занимается разработкой условных брундуляторов более 30 лет, выглядит, как хороший консультант (седина – чтобы выглядеть солидно, геморрой – чтобы обеспокоено). Тут приходит молодой «хрен с горы» (возраст «хрена» меньше стажа руководителя НИОКР на предприятии) и говорит, что у этого самого человека всё плохо. Причем выводы неоднозначные, потому что «идеальный» процесс НИОКР организовать сложно, возможны разные варианты, так как сам процесс – творческий. Скажем, аудитор требует, чтобы все идеи при опытно-промышленных испытаниях протоколировались (запишите всё, о чём говорили). Такая ситуация принципиально НИОКР не улучшит, а нездоровый конфликт возникнет практически со 100%-ой вероятностью.

А теперь представьте, что риски сформулированы таким образом, что нужно провести какой-нибудь неосязаемой (в деньгах или штуках) природы аудит. Например, аудиты корпоративной культуры, контрольной среды, «эффективности клиентоориентированности», эффективности "воронок продаж" или таргетированной рекламы на умы клиентов и т.п. Мое мнение – результаты того же аудита корпоративной культуры могут быть восприняты только при хорошей корпоративной культуре. А если корпоративная культура хорошая – то зачем проводить аудит? Делать выводы на основании документов мне тоже представляется бесперспективным, потому что наличие кодекса этики или его отсутствие, по-хорошему, на той же контрольной среде не сказывается (воровать можно и при наличии, не воровать и при отсутствии). Кстати, про кодекс этики. Штука интересная, я как-то попытался написать. Коллеги из безопасности сказали, что получился хороший справочник злоупотреблений (писал в стиле «мы не делаем …») и почему-то не поддержали его утверждение.
В общем, решайте сами, но мое мнение: к стратегическим аудитам – через 2-3 года лучше приступать.

Включение дополнительных идей.

В соответствии с МПСВА при формировании плана необходимо учитывать мнение менеджмента (высшего исполнительного руководства) и совета директоров. Понятное дело, что мнение совета директоров (особенно председателя) лучше всё-таки учесть (ну, если хочется дальше работать в компании).
А вот с мнением высшего исполнительного руководства не все так однозначно. Неоднократно встречалась ситуация, при которой менеджер хочет использовать внутренних аудиторов в качестве инструмента борьбы с неугодными («натравить ревизию»). Этим инструментом особенно часто пользуется менеджмент среднего звена, вплоть до требования проверки конкретных сотрудников (при наличии такой возможности). К сожалению, понять это на этапе планирования не всегда возможно. Но оценивать разумность включения в план аудита идей от менеджмента всегда нужно.

Определение трудоемкости.

Трудоемкость, как мне кажется, штука очень философская. На мой взгляд, практически для любого аудита в средне-большой компании достаточно двух месяцев и одного человека. Есть одно «но»: во многом трудоемкость зависит от организации работы в службе.
При определении трудоемкости не нужно учитывать скорость принятия решения менеджментом. Если конкретный руководитель взял паузу на три недели из-за отпуска, человека из подразделения внутреннего аудита нужно загрузить чем-то другим. Да, есть разные психотипы, и среди внутренних аудиторов тоже. У меня ощущение, что чем больше у меня дел, тем больше я делаю. Возможно, это только моя особенность: кому-то стрессы помогают, кому-то мешают. Но стрессоустойчивость вроде как требуется по всем вакансиям.

Календарное планирование.

Несколько очевидных советов по календарному планированию.

Совет №1. Если в течение года в компании планируются большие изменения кривых процессов, аудит желательно запланировать на январь-февраль (однозначный пример из программы выше – аудит действующей системы закупок).

Совет №2. Если менеджмент указал дату исполнения чего-то 33 "мартобря", то аудит исполнения процесса целесообразно начинать 34 "мартобря" того же года.

Совет №3. Не планируйте выездные командировки на июль-август. Конечно, летом экскурсии значительно интереснее, чем зимой (хотя по мне так в зиму комфортнее, потому что пОтом не обливаешься). Но билеты и прочее проживание значительно дешевле в феврале или ноябре. Речь не идет о внеплановых заданиях – здесь если что-то нужно, то сразу нужно.