Внутренний аудит становится партнером по бизнесу

| статьи | печать

Одним из ресурсов, использование которого поможет сэкономить средства компании, а также скорректировать и принять оптимальное управленческое решение, является внутренний аудит. Под влиянием внешних факторов, таких как изменения в технологиях, экономике, маркетинговой среде, политике, законодательстве, окружающей среде и общественной жизни, высшее руководство компаний и внутренний аудит начинают взаимодействовать как партнеры. Ведь из года в год требования акционеров к публичным компаниям возрастают: необходим их стабильный рост, включая финансовую отдачу в условиях непростой мировой экономической конъюнктуры. В каком направлении расширяются задачи внутренних аудиторов и требования к их компетенции и какую помощь они сегодня реально оказывают бизнесу? Многолетним опытом работы в международных крупных компаниях, ведущих свой бизнес и в Российской Федерации, делится Георгий Адольф, руководитель отдела по управлению рисками, соблюдению законодательства и внутренних норм, ИКЕА (розничный бизнес).

Согласно международным стандартам по внутреннему аудиту такая деятельность предоставляет независимые и объективные гарантии, консультации и направлена на совершенствование работы организации.

Внутренний аудит поддерживает баланс бизнес-рисков и внутренних контролей, необходимый для эффективности бизнеса

Основная идея внутреннего аудита заключается, с одной стороны, в том, чтобы помогать организации достигать поставленных стратегических или операционных целей, используя систематизированный и последовательный подход к оценке и повышению эффективности процессов управления рисками, контроля и корпоративного управления.

С другой стороны, помимо простого желания владельцев бизнеса иметь функцию внутреннего аудита в организации, существуют законодательные требования к определенным типам компаний. Например, компании, акции которых торгуются на Лондонской фондовой бирже (London Stock Exchange), обязаны иметь процессы, направленные на обнаружение, оценку и управление существенными рисками, с которыми может столкнуться организация и ее представительства, филиалы, дочерние компании и т.д. Данные процессы должны регулярно проверяться, и по их состоянию должна быть налажена регулярная коммуникация с советом директоров, акционерами и высшим руководством.

В таком случае внутренний аудит обеспечивает механизм по предоставлению независимых гарантий и консультаций на глобальном, региональном и локальном уровнях и является прямым связующим звеном с советом директоров, акционерами и аудиторским комитетом.

К контрольным механизмам в бизнес-процессах относятся по‑разному. Одни компании сильно бюрократизированы, другие, наоборот, работают «на честном слове», полностью отдают управление бизнес-процессами на откуп ответственности и добропорядочности соответствующим сотрудникам и, где уместно, консультантам и соответствующим поставщикам. И тот и другой подходы на практике не являются оптимальными, если основная деятельность организации коммерческая и нацелена на извлечение и увеличение прибыли, помимо работы над таким аспектом, как социальная ответственность.

Соблюсти баланс внутренних контролей и бизнес-рисков, которые может брать на себя компания, очень непросто, особенно когда она находится на стадии бурного роста на интенсивно развивающемся рынке или рыночной нише. В рамках своей основной деятельности внутренний аудит помогает проверить, соблюдается ли такой баланс, и, если нет, подсказывает, какие коррективные меры необходимо предпринять руководству, чтобы бизнес стал более эффективным.

Однако, всегда стоит понимать и помнить, что внутренний аудит сможет полноценно достичь выполнения своих задач и раскрыть свой потенциал только при одном из главных условий, что он будет независимым и объективным. Независимость в данном случае определяется отсутствием предпосылок, которые могут помешать внутреннему аудиту выполнять свои обязанности непредвзято. Чтобы создать условия, позволяющие достичь максимально возможной независимости и объективности, глава внутреннего аудита должен подчиняться напрямую (функционально) совету директоров, акционерам или владельцам бизнеса (если это частная/семейная компания), а административно он может быть подчинен высшему уровню управления в самой организации, например генеральному директору (рис. 1).


Новые вызовы и новые возможности в функционале

Что повлияло и продолжает влиять на изменение основных функций внутреннего аудита? Ответ на этот вопрос дает понимание окружающей макросреды компаний, организаций. По методологии T.E.M.P.L.E.S (Technology, Economics, Marketing, Politics, Legislation, Environment, Society), вызовы и новые возможности появляются от разных макроэкономических факторов, приведенных в скобках. Они же в свою очередь и влияют на то, как, когда и какую роль внутренний аудит должен выполнять, чтобы отвечать современным стандартам качества и приносить пользу организации.

Приведу простой пример. С развитием технологий, все большим внедрением различных систем ERP и открытием для бизнеса облачных решений внутренние аудиторы должны быть вооружены уже новыми знаниями, инструментами, методами оценки рисков и соответствующих контролей. Все меньше и меньше остается аудиторских доказательств на бумажных носителях. Необходимо определить и быть уверенными в том, какие электронные носители или знаки могут послужить солидными доказательствами правомерности совершения тех или иных действий, а также фактов совершения тех или иных бизнес-активностей/процессов. Вопросы информационной безопасности и соответствующих контролей выходят на первый план повестки дня не только для специалистов по информационной безопасности, но и внутреннего аудита.

Так, в одной международной британской компании внутренние аудиторы все больше и больше стали вникать в суть электронных систем и лучше понимать киберугрозы. Это привело к тому, что они начали меньше запрашивать предварительные документы на бумажных носителях на стадии планирования аудита и больше выполнять роль ИТ-аудиторов, выгружая из глобальной ERP-системы все интересующие их финансовые транзакции по любой стране и анализировать их прежде, чем начинать полевые работы и проводить интервью с финансовыми директорами и главными бухгалтерами, если речь идет о финансовых аудитах. Так внутренний аудит становится более эффективным.

Например, наибольший интерес представляет стандартная транзакционная статистика по задвоенным счетам, задвоенным суммам на оплаты, задвоенным вендорам (поставщикам) в системе (потенциально с небольшими различиями в одной-двух буквах), выставлению счета до подписания контракта и/или созданию запроса на покупку (Purchase Order) в системе, просроченным счетам на оплату, дебиторской задолженности и т.д. В этом им помогают достаточно распространенные современные аналитические инструменты, такие как ACL Analytics (Audit Common Language), содержащий необходимую статистику (при выгрузке из ERP-системы) по различным интересующим аудитора результатам финансовых транзакций.

Принимая во внимание маркетинговые факторы, необходимо понимать суть маркетинговых стратегий, ставить под вопрос определенные решения генеральных и маркетинговых директоров по поводу различного рода стратегических решений по маркетинговым инвестициям или изменению ценовой политики компании, чтобы помогать им находить оптимальное сбалансированное направление. Модели BCG, а также модель жизненного цикла продукта, помимо остальных прочих, уже давно стали хорошим подспорьем в анализе маркетинговых инвестиций организации.

В портфеле услуг современной функции внутреннего аудита можно выделить как минимум следующие крупные области:

  • финансовый аудит;

  • аудит соответствия законодательству, внутренним нормам и стандартам организации (Compliance Audits);

  • операционные аудиты (проверка существующих бизнес-процессов на предмет эффективности, экономической целесообразности;

  • оценка достижения компанией ее стратегических целей и т.д.);

  • ИТ-аудит (рис. 2).


Наряду с таким широким спектром деятельности, необходимым, чтобы приносить пользу акционерам/владельцам организации, выполняя любой из перечисленных выше аудитов, современная функция оценивает также превентивные контроли против мошенничества, хищения, коррупции, нарушения этических бизнес-норм и предоставляет различного рода консультации по улучшению бизнес-процессов и бизнеса в целом.

Механизмы превентивных контролей и консультаций для обеспечения стабильного роста компании и ее доходов

Что значит внутренний аудит как бизнес-партнер?

Основные характеристики современной функции внутреннего аудита таковы:

  • быть независимой;

  • обладать в совокупности всеми необходимыми знаниями и инструментами;

  • полностью следовать международным стандартам и Кодексу этики ИВА (международного Института внутренних аудиторов).

При соблюдении приведенных выше аспектов внутренний аудит оказывает дополнительную помощь в предоставлении гарантии и консультаций как для высшего руководства организации, так и для акционеров в том, что поставленные стратегические цели компании могут быть достигнуты или же определенные коррективные меры должны быть приняты вовремя, до момента наступления нежелательного случая.

Сегодня приоритетным становится предоставление гарантий того, что у организации существуют солидные превентивные контрольные механизмы (риск-ориентированный подход) для обеспечения стабильного роста компании и ее доходов. В этой связи основной фокус — на превентивных контролях и консультациях по их построению (в случае отсутствия таковых).

По сути, внимание на превентивных мерах и лидерство в контролируемом развитии и расширении бизнеса — основные классические задачи внутреннего аудита. Поэтому он уже не просто исполнитель и ревизор, а профессионал-стратег, способный быстро анализировать, рекомендовать и активно содействовать в принятии эффективных решений, нацеленных на устойчивое развитие бизнеса организации (Sustainable Business Growth).

Однако при этом не стоит забывать, что одну из первоначальных функций по обнаружению (post-factum) определенных несоответствий или отсутствию процессных контролей с внутреннего аудита никто не снимал. Но и эта старая функция порой влекла предупреждающий эффект, когда обнаруженные отклонения от нормы, вовремя приостановленные, сэкономили компании много миллионов. Приведу пример.

Пример

В своей работе мы используем различный арсенал технических средств, в том числе программу, которая дает наглядную графическую визуализацию статистики1, если подгрузить в нее ACL Analytics. Перед планированием одного из аудитов мы подгрузили в нее наиболее рисковые транзакции, чтобы понять, в какой стране их может быть больше и с чего начинать анализ (с какой страны). Программа выдает графический рисунок, в котором в системе координат ХY показана частота совершения транзакций, вызывающих наибольший интерес, по странам. При этом по оси ОX показывается код страны, по ОY — объем транзакций. В нашем случае это были транзакции с Sales Orders (ордера на покупку), срочные/экстренные (незапланированные), бесплатная доставка и т.д.

Мы также заранее просматривали вместе с моей командой, в качестве примера, транзакции с покупателями по странам. Транзакции такого рода: расчет наличными, аннулирование транзакций после их совершения, отказы в оплате и т.д. Современные аналитические инструменты позволяют визуализировать такие транзакции по странам. Тип интересующей транзакции с кодом автоматически закрашивается в определенный цвет, например зеленый. При этом его более насыщенные оттенки показывают самый большой объем такого рода транзакций, например, в сравнении с другой страной на карте, на которой по данной транзакции будет показан более светлый зеленый оттенок.

Таким образом, используя современные технические инструменты и подход к аудиту, ежегодно экономились средства на улучшении бизнес-процессов и контролях, а также на предотвращении потерь в эквивалентном размере более 50 млн руб. (по скромным оценкам) компании средних размеров оперирующей в районе Турции, Северной Африки и Ближнего Востока. А если посмотреть в глобальном масштабе и приблизительно оценить, сколько такая международная компания экономит финансовых средств от качественно проведенного внутреннего аудита по нескольким ее «дочкам» в разных странах со средним и крупным бизнесом, то суммы становятся весьма внушительными.

Как оценить эффективность внутренних аудиторов?

Чтобы сформировать эффективную команду, необязательно использовать старый подход, при котором внутренний аудитор — это обязательно сотрудник из бухгалтерии или сотрудник, долгое время работавший в финансах. Ведь чтобы отвечать эффективно всем современным возможностям и вызовам, команда внутреннего аудита должна в совокупности уметь покрыть любую аудиторскую задачу, то есть в ней, в идеале, должны быть эксперты по финансам, маркетингу, законодательству, ИT и т.д.

Когда удается собрать такую команду и вооружить ее необходимыми знаниями по стандартам ИВА, то качество аудитов существенно повышается. Тогда внутренний аудит смотрит на бизнес-процессы и контрольные механизмы с различных сторон, а не под одним ракурсом со стороны финансов или только как ревизор. Не принижая значимости финансов, которые, как кровь, обеспечивают жизнедеятельность организма организации, использование сбалансированного подхода позволяет команде внутреннего аудита видеть картину в целом, оценивать бизнес целиком, связывая различные бизнес-процессы воедино, что дает возможность более четко прослеживать их взаимозависимость и влияние на достижение стратегических целей компании. Поэтому даже во время аудита команда внутреннего аудита может давать ценные советы и консультации по разным аспектам.

Для оценки эффективности внутреннего аудита на практике используются два подхода: внутренний и внешний.

При внутреннем подходе незаинтересованные лица на основе заранее подготовленного определенного чек-листа, оценивают:

  • процессы и контроли в отделе внутреннего аудита;

  • заполненные формы обратной связи глав отделов или высшего руководства;

  • правильность и надлежащее состояние документооборота по выборке проведенных аудитов коллегами, не вовлеченными в данные аудиты;

  • четкое выполнение бюджета, временных рамок, качественного и своевременного исполнения аудиторского плана, а также другие ключевые показатели (по согласованию с аудиторским комитетом, акционерами и высшим руководством).

По результатам глава внутреннего аудита минимум раз в год представляет отчет о внутренней оценке с планом коррективных мер и статусом их выполнения высшему руководству и совету директоров.

Что касается внешнего подхода, оценка функции внутреннего аудита должна проводиться как минимум раз в пять лет независимым квалифицированным внешним аудитором или соответствующей сторонней организацией. Данная оценка обычно покрывает полный спектр работ внутреннего аудита, соблюдение международных стандартов ИВА и Кодекса этики, компетенции сотрудников, а также включает сравнение с аналогичными функциями на рынке для выявления лучших практик и другие необходимые параметры, которые согласовываются с представителями совета директоров и высшего руководства.

1 Французская программа Tableau.