Деятельность внутреннего аудита в целом может быть разделена на два больших направления: риски, связанные с регуляторными требованиями (комплаенс-риски), и риски, относящиеся к эффективности бизнес-процессов. Классический аудит, в первую очередь, ассоциируется с первым направлением, а для многих аудиторов оно является практически единственным в работе. Однако менеджмент и собственники компании в большинстве своем хотели бы видеть бо́льшую роль внутреннего аудита в направлениях, способствующих улучшению бизнес-процессов.
Исходя из необходимости осуществления комплаенс-аудитов и с учетом пожеланий менеджмента, рано или поздно (в идеале – чем раньше, тем лучше) практически каждый внутренний аудитор задается вопросом: какую реальную пользу я приношу организации и ее собственникам, и какие существуют критерии оценки этой пользы?
С точки зрения владельцев организации, основные критерии оценки довольно прозрачны: рост доходов/ снижение расходов. Если брать деятельность всей организации в целом, то подход к оценке вклада внутреннего аудита будет более многогранным.
В компаниях реального сектора, особенно не подвергнутых жесткому регулированию со стороны надзорных органов, оценить реальную пользу внутреннего аудита несложно. Там внутренние аудиторы могут позволить себе и отвлечение от соблюдения формальных требований при осуществлении аудиторских проверок, и выполнение “аудитов за 5 минут” по WhatsApp, о которых рассказывал в своем выступлении один из членов ИВА, и смещение акцента при проведении аудита с контроля на консалтинг. Результаты таких аудитов часто выражаются в конкретных финансовых показателях, которые легко доступны для восприятия.
Но что делать внутренним аудиторам тех организаций, чья деятельность находится под жестким контролем со стороны регулятора? Им приходится акцентировать свое внимание в первую очередь на регуляторных, комплаенс-рисках, с минимальной долей финансовой составляющей в качестве результата аудитов. В итоге работа внутреннего аудитора может восприниматься руководством организации и ее собственниками как еще одна обязательная, неизбежная статья расходов, не генерирующая дохода. И если в иностранных компаниях – с учетом их уровня зрелости в комплексном отношении к рискам и системе внутреннего контроля – подобная деятельность подразделения внутреннего аудита считается стандартной и воспринимается позитивно, в российских компаниях сформировавшаяся культура пока во многом не позволяет достойно оценить выполняемые аудитором задачи.
Неудивительно, что такая ситуация заставляет внутренних аудиторов – и прежде всего в лице руководителей подразделения (далее – руководитель СВА) – задумываться о своей реальной пользе и действиях, которые можно предпринять для повышения восприятия ценности своей деятельности. Понимая, что от комплаенс-аудитов отказаться невозможно, а одними регуляторными аудитами свою ценность не повысить, руководители СВА пытаются найти золотую середину, определенный баланс между обязательными и реально полезными с точки зрения руководства организации аудитами.
Возможно ли достижение такого приемлемого баланса? Несмотря на значительную субъективность в оценке вклада внутреннего аудита, в большинстве случаев это реально, но требует определенных действий. Прежде всего руководитель СВА должен адекватно оценить:
- имеющиеся в его распоряжении ресурсы; а это покажет объем задач, доступный для выполнения текущим составом;
- наиболее значимые для организации риски, снижение которых повышает вероятность достижения организации своих целей;
- понимание и отношение руководства организации к указанным рискам, что влияет на важность идентифицированных рисков в глазах менеджмента;
- направления, которые являются наиболее значимыми для генерации доходов/ снижения расходов; их определение может помочь в выборе “наиболее полезных” тем для аудита;
- адекватный объем регуляторных аудитов, который необходим как для закрытия регуляторных рисков, так и для выполнения требований надзорных органов;
- уровень самостоятельности при составлении годового плана аудитов [1].
Риски, мешающие организации достигнуть поставленной цели, с точки зрения руководства организации, являются наиболее важными и всегда вызывают неподдельный интерес. Комплаенс-риски могут быть их частью, но лишь в ограниченном объеме при условии, что можно показать прямую связь между уровнем регуляторного риска и размером возможных потерь.
Выбор лишь кажется простым. Внутренний аудит, внося свой вклад в улучшение бизнес-процессов, может столкнуться с рядом препятствий. В бизнес-подразделениях работают неглупые люди (иначе бы их там не держали); и очевидные на первый взгляд решения по повышению эффективности деятельности уже были ими проанализированы не раз и гораздо в большем количестве, чем могут предложить внутренние аудиторы, что в итоге приводит к аргументированным возражениям со стороны подразделений на рекомендации по результатам аудиторских проверок. Выходом из этого тупика является оценка эффективности на стыке бизнес-процессов или конфликта интересов.
Проблемы, возникающие при взаимодействии подразделений, в целом известны руководству. Организация пытается оптимизировать данное взаимодействие, улучшает процедуры, проводит многочисленные встречи и совещания, разрабатывает новые KPI и т.д. Тем не менее, возможности оптимизации остаются, поскольку:
- при стандартных процедурах отсутствует независимый взгляд со стороны;
- руководители подразделений поднимают только те вопросы, в которых они заинтересованы более всего (особенно те, от которых зависят показатели их оценки). При этом иные аспекты, влияющие на эффективность организации в целом, могут не обсуждаться в т.ч. по причине ограниченности ресурсов для их решения;
- оценка эффективности и затрат может быть воспринята руководством неверно из-за некорректной информации, предоставляемой подразделениями;
- процессы в разных подразделениях могут требовать информации/ документов, которые уже находятся в распоряжении иного подразделения, но не в открытом доступе, что вынуждает заново тратить ресурсы на получение необходимых данных извне.
Также существует проблема конфликта интересов между похожими/ идентичными по направлению деятельности подразделениями, но ей незаслуженно уделяется меньше внимания, чем следует, пока организация в целом достигает свои бизнес-цели. Данный конфликт часто является скрытым и редко доходит до уровня руководства компании. Наиболее распространенным примером является конкуренция разных подразделений, обладающих схожим функционалом (например, дополнительные офисы), за одних и тех же клиентов, что приводит к финансовым потерям для организации в целом, либо репутационным рискам. К примеру, одно подразделение из-за недостатка ресурсов не может качественно и своевременно предоставить необходимые услуги клиенту, но при этом не передает его в «конкурирующее» подразделение внутри компании, заставляет его ждать; в итоге организация может вообще потерять данного клиента. Такие ситуации невозможно увидеть посредством анализа финансовых документов (включая счета бухгалтерского учета); их выявление является непростой задачей, требующей как анализа объема совершаемых операций и наличия свободных ресурсов, так и получения информации от сопутствующих подразделений, которые могут страдать от подобных конфликтов (например, сотрудники, привлекающие клиентов на кредитование, недовольны тем, что кредитные аналитики задерживают рассмотрение кредитных заявок). Данные ситуации представляют интерес для руководства компании; правда, рассчитанные показатели финансовых потерь/ недополученной прибыли будут очень приблизительны.
Как отмечено выше, в части деятельности организации в целом оценка полезности внутреннего аудита является более глобальной и включает в себя также аспекты, относящиеся к регуляторным аудитам в полном объеме. При этом такие аудиты не отодвигаются на второе место и являются более предпочтительными, чем оценка эффективности бизнес-процессов. Но вклад аудита в развитие и оценку контрольных функций в большинстве случаев не будет являться приоритетом для высшего менеджмента организации, который в первую очередь мотивирован на финансовые показатели деятельности, что оказывает непосредственное влияние на оценку деятельности внутреннего аудита.
Подводя итог, хочется отметить, что руководителю СВА разумно при планировании деятельности внутреннего аудита предвидеть ожидания руководства и понимать, какие результаты аудита будут и полезны для организации, и могут быть справедливо оценены менеджментом компании. При этом не нужно бояться экспериментировать с темами аудиторских проверок и затрагивать направления, которые не всегда с первого взгляда кажутся очевидными для аудита. Поэтому золотая середина в каждой компании будет своя – в зависимости от специфики деятельности организации и возможностей подразделения внутреннего аудита.
Указанные взгляды представляют собой исключительно субъективное мнение автора статьи и не являются абсолютной истиной. Не все читатели могут быть согласны с точкой зрения автора, изложенной в публикации.
[1] В организациях, входящих в состав крупных холдингов и групп, самостоятельность руководителя СВА в формировании плана деятельности подразделения может быть серьезно ограничена подразделением внутреннего аудита материнской компании