Рекомендации по построению службы внутреннего аудита в компании

Служба внутреннего аудита позволяет использовать риск-ориентированный подход к ведению бизнеса. В данной статье мы расскажем о ценных рекомендациях по построению службы внутреннего аудита, которые мы получили, исходя из международной практики внутреннего аудита, изложенной в книге «Внутренний аудит по Сойеру», изд.7.

Статья представляет интерес для: членов Совета директоров, руководителей организации, финансовых директоров, руководителей службы внутреннего аудита, внутренних аудиторов.

В данной статье даны ответы на вопросы:

1. В чем состоит идейное лидерство в различных подходах к предоставлению продуктов и услуг внутреннего аудита для бизнеса?
2. В чем состоит критическая оценка руководителями службы внутреннего аудита своего видения службы внутреннего аудита?
3. Какая архитектура внутреннего аудита, в рамках которой должны быть выстроены услуги и продукты будущего?
4. Какие внешние силы могут оказать влияние на роль службы внутреннего аудита в организации?

Наша аудиторская компания оказывает услуги по аутсорсингу и косорсингу внутреннего аудита, применяя международный опыт внутреннего аудита, а также опыт мировых лидеров профессии внутренний аудитор.

Вопрос 1. В чем состоит идейное лидерство в различных подходах к предоставлению продуктов и услуг внутреннего аудита для бизнеса?

На рисунке представлена эволюция профессии внутреннего аудитора с точки зрения той пользы, которые приносят услуги внутреннего аудита бизнесу.

Рисунок иллюстрирует изменение положения руководителя внутреннего аудита с точки зрения его влиятельности по мере создания большей добавленной стоимости:

Эволюция положения внутреннего аудита

Первые внутренние аудиторы обеспечивали, чтобы внешние финансовые аудиторы не обнаружили существенных нарушений в ходе обзорной проверки.

При повышении статуса внутреннего аудитора зародилась концепция контроля.

В ответ на противодействие менеджмента внутренние аудиторов занялись вопросами риска — и зародился риск-ориентированный аудит. Аудиторы начали сообщать менеджменту о вероятности и последствиях наступления рисков.

Менеджмент признал пользу обсуждения рисков, что привело к зарождению управления рисками (ERM).

Внутренний аудит ориентированный на цели — это подход по принципу «сверху вниз», в котором бизнес цели являются центральным фактором при оценке рисков.

Цели и задачи организации — это то, что находится под риском. Понимание того, как потоки целей проходят сквозь организацию в направлении сверху вниз, дает важный контекст для оценки управления рисками. Без таких усилий менеджмент органичен в способности эффективно понимать и реагировать на риски, а лица оценивающие риски, могут оценивать их неправильно.

Такой подход дает возможность руководителю службы внутреннего аудита приносить пользу в выполнении роли консультанта по корпоративному управлению и управлению рисками.

Путь эволюции внутреннего аудита, представленный в книге «Внутренний аудит по Сойеру», отражает международный опыт внутреннего аудита.

А что происходит у нас в России во внутреннем аудите? На какой ступени развития находится внутренний аудит в России?

Мы можем говорить о внутреннем аудите, исходя из своего опыта и практики внутреннего аудита в российских компаниях.

У нас есть понимание, что внутренний аудит в структуре крупного бизнеса и в государственных корпорациях находится на высоком уровне развития, применяя передовой международный опыт внутреннего аудита, потому что у крупного бизнеса для этого есть все необходимые ресурсы.

Наша аудиторская компания приняла на обслуживание несколько малых по масштабам деятельности ПАО, в котором внутренний аудит не присутствовал в организационной структуре управления вообще, но возникла необходимость создания службы внутреннего аудита.

Федеральным законом от19.07.2018 №209-ФЗ была введена в действие статья 87.1 «Управление рисками, внутренний контроль и внутренний аудит в публичном обществе» закона 208-ФЗ «Об акционерных обществах».

В действующее законодательство внесены требования к публичным акционерным обществам об организации системы управления рисками и внутреннего контроля (СУРиВК), а также в публичном акционерном обществе должен осуществляться внутренний аудит.

Если вернуть и посмотреть рисунок «Эволюция положения внутреннего аудита», то «малые» ПАО сразу шагнули на третью ступень развития службы внутреннего аудита, потому что наша аудиторская компания по оказании услуг аутсорсинга внутреннего аудита применяет уже сложившуюся практику риск-ориентированного подхода при оказании услуг внутреннего аудита.

Таким образом, российские публичные акционерные общества в настоящее время находятся в большей части на третьей ступени эволюции службы внутреннего аудита «Риск ориентированный аудитор».

Концепция продуктов и услуг внутреннего аудита

В таблице дана реальная эволюция продуктов и услуг внутреннего аудита, которая побуждает руководителей службы внутреннего аудита рассмотреть возможность четко определить предоставляемые ими продукты и услуги, а также осознать связь между вариантами выбора, навыками их команды и имеющимися ресурсами.

В рамках усилий по стратегическому развитию службы внутреннего аудита планируется изменения в навыках и ресурсах, а также как это будет достигнуто.

Эволюция мышления подразумевает ожидание, что каждый новый этап несет новую пользу. Под новыми продуктами подразумеваются модели или методы, а также новые навыки и ресурсы.

Внутренний аудит может извлечь уроки из эволюции других служб внутреннего аудита и предоставлять продукты, которые приносят пользу сегодня.

Служба внутреннего аудита должна быть создана на таком уровне, который имеет смысл с точки зрения организации, отрасли и возможностей.

Наша аудиторская компания берет на обслуживание клиентов по аутсорсингу внутреннего аудита с любым бюджетом, который может быть выделен организацией для услуг службы внутреннего аудита.

Выделенный организацией бюджет на внутренний аудит, определяет какие ресурсы будут использованы для аутсорсинга внутреннего аудита, на основании выделенного бюджета будет составлен план работы внутреннего аудитора.

В любом случае, наша аудиторская компания ООО «Радар-Консалтинг» обеспечивает качество услуг внутреннего аудита по тем видам услуг, которые необходимы клиенту.

Вопрос 2. В чем состоит критическая оценка руководителями службы внутреннего аудита своего видения службы внутреннего аудита?

Вопрос о деловой проницательности занимал умы руководителей службы внутреннего аудита на протяжении последнего десятилетия.

Многие исследования, проведенные международным Институтом внутренних аудиторов, показали, что персоналу внутреннего аудита не хватает деловой проницательности.

Это означает две вещи:

• Во-первых, руководитель службы внутреннего аудита должен быть осведомлен о той стоимости, которую бизнес пытается создать посредством стратегий и операций, с тем, чтобы стратегия внутреннего аудита могла соответствовать этим усилиям и поддерживать их.
• Во-вторых, это означает, что руководитель внутреннего аудита должен быть способен использовать бизнес- инструменты при создании и реализации стратегических планов внутреннего аудита.

Стратегические планы действий или инициативы должны быть направлены на использование возможностей, развитие и повышение стоимости организации. Реализация инициативы позволит создать большую стоимость организации.

Руководитель внутреннего аудита по сути является бизнес-менеджером службы внутреннего аудита, который формирует бизнес-систему внутреннего аудита.

Операционные компоненты бизнес-функций

Это подразумевает, что руководитель внутреннего аудита не только имеет видение будущего, в котором будет приноситься большая польза, но и понимают, как нужно организовать, построить, развить и обеспечить согласованность людей, процессов и технологий, участвующих в создании самообновляющейся, интегрированной, операционной системы.

Наша аудиторская компания обладает большим потенциалом развития службы внутреннего аудита, сочетая в себе деловую проницательность опытных аудиторов, а также подготовку молодых кадров для внутреннего аудита.

Мы перенимаем опыт и международную практику внутреннего аудита, развивая в службе внутреннего аудита все операционные компоненты бизнес-функций. Наши стратегические планы действий направлены на использование возможностей, развитие и повышение стоимости организаций, которые являются нашими клиентами.

Вопрос 3. Какая архитектура внутреннего аудита, в рамках которой должны быть выстроены услуги и продукты будущего?

В Международных основах профессиональной практики (МОПП) представлена четко определенная профессиональная отрасль с Миссией внутреннего аудита, Определением внутреннего аудита, Основными принципами, Международными профессиональными стандартами внутреннего аудита и Кодексом этики.

МОПП представляют собой основанную на принципах концепцию, которая обеспечивает основу для эффективного внутреннего аудита, в том числе определяя, что делает внутреннего аудитора профессионалом, а также содержит руководство по достижению видения, которое определяет Миссия внутреннего аудита.

Миссия и архитектура внутреннего аудита

Миссия внутреннего аудита определена, как:

«Сохранение и повышение стоимости организации посредством проведения объективных внутренний аудиторских проверок на основе риск-ориентированного подхода, предоставления рекомендаций и обмена знаниями».

Итак, профессия внутреннего аудита имеет признание в мировой практике, роль внутреннего аудитора возрастает, а ценность услуг внутреннего аудита повышается.

Фундаментом внутреннего аудита являются Кодекс этики, Стандарты и Практические руководства. Продукты и услуги внутреннего аудита должны приносить пользу, которая определяется в Миссии внутреннего аудита «сохранение и повышение стоимости организации».

Наши клиенты, которые выбрали нашу аудиторскую компанию для аутсорсинга услуг внутреннего аудита, говорили нам, что многие аудиторские компании, в которые они отправляли заявки на услуги по внутреннему аудиту, просто «не понимали, что такое система управления рисками и внутренний контроль (СУРиВК), и соответственно не могли быть риск-ориентированным аудитором».

Понимание архитектуры внутреннего аудита, дает возможность правильно ориентироваться в предлагаемых современных продуктах и услугах для клиентов.

Вопрос 4. Какие внешние силы могут оказать влияние на роль службы внутреннего аудита в организации?

Технологии уже сегодня влияют на аудит. Искусственный интеллект обладает большими возможностями по проведению необходимого для бизнеса анализа, автоматизация процессов добралась до бухгалтерского учета и непрерывного аудита.

Руководители внутреннего аудита должны рассмотреть возможность интеграции внутреннего аудита в организацию. Для руководителя внутреннего аудита важно понимать, какие подразделения организации также участвуют в выявлении и управлении рисками.

Модель трех линий защиты является наиболее эффективной моделью, применяемой в международной практике корпоративного управления.

Три линии защиты в рамках эффективного управления рисками и контроля

В 2013 году международный Институт внутренний аудиторов (The IIA) выпустил заявление о позиции, озаглавленное «Три линии защиты в рамках эффективного управления рисками и контроля», в котором подробно объясняется роль внутреннего аудита в управлении рисками в рамках организации.

Эта модель во многом основана на концепции корпоративной защиты, разработанной в Европе и продвигаемой идейным лидером внутреннего аудита Шоном Лайонзом из Ирландии.

Менеджмент считается первой линией защиты или стороной, в основном отвечающей за обеспечение достижения своих собственных целей.

Вторая линия защиты состоит из специалистов по рискам и контролю. Они выполняют уникальную задачу при рассмотрении конкретного вида контроля и/или риска. Менеджмент делегировал этим подразделениям значительный объем доверия.

В качестве третьей линии защиты служба внутреннего аудита несет уникальную ответственность за независимую и объективную оценку корпоративного управления, управления рисками и контроля в организации.

Ценность модели трех линий защиты состоит в том, что она содержит описание ролей в работе с рисками организации.

Четкое понимание ролей необходимо при реализации сложных проектов, таких как внедрение программы управления рисками организации, охватывающей множество подразделений и специалистов, с целью улучшения решений менеджмента и Совета директоров.

Применение GRC

Во-первых, The IIA и многие руководители внутреннего аудита используют этот термин GRC для обозначения корпоративного управления, управления рисками и контроля в соответствии с областями, в которых внутренний аудит стремится предоставить профессиональные услуги и консультации.

Во-вторых, организация OCEG (Open Compliance and Ethics Group), основанная в 2002 году в Северной Америки, использует этот термин для обозначения своей модели возможностей в области корпоративного управления, управления рисками и комплаенс (GRC).

Эта модель аналогична модели «трех линий защиты», но она в большей степени сфокусирована на передаче потоков данных по всей организации вплоть до уровня лиц, принимающих решения, для достижения целей GRC.

OCEG определяет себя, как некоммерческую исследовательскую организацию, цель которой создать мир, в котором каждая организация и каждый человек стремится достичь целей, устранять неопределенность и действовать честно.

Этот подход к бизнесу и жизни OCEG называет «Principled Performanc» («Деятельность на основе принципов»).

Применение ERM

Комитет спонсорских организаций Комиссии Тредвея (COSO) (в основном североамериканский) и Международная организация стандартизации (ISO) создали концепции и руководства по ERM и управлению рисками.

Концепция COSO ERM была первоначально опубликована в 2004 году и значительно обновлена в 2017 году.

Ценность ERM для организации, коротко говоря, заключается в том, что оно позволяет руководителям и членам Совета Директоров взглянуть по- новому на риски, оказывающие влияние на стратегическое направление и организационную структуру своей организации. Осведомленность о рисках означает, что при принятии решений менеджеры осведомлены как о внутренних, так и о внешних рисках.

ERM также помогает подразделениям второй линии защиты осознать, что проводимую ими уникальную экспертизу рисков необходимо привести в соответствие с целями, которые наиболее важны для менеджмента.

В сфере ERM дано четкое понимание роли, которую играет служба внутреннего аудита, что помогает руководителю службы внутреннего аудита в определении своего места и обязанностей в структуре корпоративного управления организации.

Выбор продуктов и услуг внутреннего аудита, приносящих пользу

Независимое положение службы внутреннего аудита в организации в силу своего характера защищает ее от неправомерного давления. Такая структура необходима для обеспечения объективности продуктов и услуг внутреннего аудита.

Понимание продуктов и услуг, которые предоставляет служба внутреннего аудита сегодня, является первым шагом в определении услуг, которые должны предоставляться завтра.

Путь в завтрашний день начинается с оценки руководителями внутреннего аудита того, насколько служба оправдывает профессиональные ожидания в рамках архитектуры МОПП, определения внутреннего аудита и Миссии внутреннего аудита.

Наша аудиторская компания полностью разделяет основные международные принципы внутреннего аудита и стремится к выполнению Миссии внутреннего аудита.

Мы будем рады, если информация, изложенная в статье, будет полезной для заинтересованных читателей. Заявки на внутренний аудит подавайте на сайте нашей аудиторской компании: