Внутренний аудит: последняя линия защиты или что-то большее?

Фото: www.pressfoto.ru

Восприятие внутреннего аудита как надежного защитного рубежа против всевозможных рисков в таких странах как Великобритания, Австралия и ЮАР, так уж сложилось исторически, имеет уважительную многолетнюю историю. Что касается США, то особую популярность парадигма приобрела лишь в последние годы.

Например, это следует из относительно недавнего консультационного документа, представленного руководством американского Института внутренних аудиторов: о «линиях защиты» прозрачно говорит уже его название, «The Three Lines of Defense in Effective Risk Management and Control: Is Your Organization Positioned for Success?»

Модель трех линий защиты проводит четкое различие между трема отдельными функциями, а именно: менеджментом, рисками и контролем (надзорными функциями, такими как риск-менеджмент и комплайенс, например) и, собственно, внутренним аудитом («последняя линия защиты»). Кто-то, впрочем, считает четвертой линией защиты внешний аудит, и это их право. Таким образом, модель описывает отношения между теми, кто несет на себе и управляет рисками (первая линия), теми, кто осуществляет надзор (вторая линия), наконец, теми, кто предоставляет независимую гарантию (третья линия).

Внутренний аудит не только предоставляет независимую гарантию того, что риски достижения поставленных ключевых задач управляются и находятся на приемлемом уровне, то также и того, что надзор в компании функционирует как надо.

Однако, будучи третьей линией защиты, внутренний аудит должен по возможности избегать некоторых очень нежелательных проявлений – например, дупликации функций контроля и надзора. ВА следует по возможности воспитывать внутрикорпоративное доверие к работе, которую он делает. Это можно обеспечить за счет систематической проверки процессов, разработки и внедрения моделей отчетности и оценки персонала. В принципе, этот процесс схожий с тем, который используют внешние аудиторы для оценки внутреннего аудита, прежде чем принять решение относительно степени своего доверия к нему.

Но с моделью трех линий защиты, сколь бы логичной она ни выглядела на первый взгляд , есть и свои проблемы – прежде всего с ключевыми понятиями, которыми она оперирует. Например, риск-менеджмент тут воспринимается исключительно с позиции «защиты», но ведь этим нельзя ограничиваться.

Фото: www.pressfoto.ru

Консалтинг и гарантия, которые несут элемент «нападения»

Чтобы управлять бизнесом и оптимизировать рентабельность, организациям придется брать на себя определенные риски. Чтобы расти и создавать стоимость, организациям необходимо принимать осознанные, разумные решения, основанные на четком понимании того, с какими рисками они ассоциируются.

Представления о риске как о чем-то априори негативном стоит избегать, ибо в противном случае излишняя осторожность, игнорирование перспективных инвестиционных возможностей (пусть и с определенным уровнем риска) не позволит компании нормально развиваться. Аудит в этой связи может оказаться очень полезным, служа гарантией того, что менеджерские процессы обеспечивают управление рисками, адекватное поставленным задачам. Иначе говоря, именно внутренние аудиторы могут сказать, что, мол, да – линии защиты организации надежны.

Но только защитой дело не ограничивается. Равным образом аудит может помочь с гарантией того, что работающие в компании люди, текущие процессы, использующиеся системы и так далее помогают принимать осознанные решения на будущее с четким осознанием всех положительных и отрицательных результатов этих решений.

Кроме того, также через консалтинг СВА может обеспечить успешность реформ в компании, пусть даже относительно небольших типа установки новых компьютерных систем. Если рассматривать внутренний аудит с этой точки зрения, то это, безусловно, элемент активности – элемент «нападения».

Ключом к эффективности оказываемых СВА консалтинговых услуг, которые действительно гарантируют, что компания на своем пути развития берет на себя только необходимые риски, является отнюдь не ретроспективный анализ того, что уже случилось. Напротив, внутренний аудит должен акцентироваться на рисках, которые связаны с достижением будущих целей. А в некоторых случаях эти риски даже еще не реализовались, а появятся в будущем!

Но больше всего рисков, по традиции, там, где имеют место перемены, поэтому очевидно, что аудит должен сосредоточиться на областях, где перемены имеют место. Был такой выдающийся канадский хоккеист, Уэйн Гретцки. Как-то он признался, что секрет его успеха прост: скользить туда, где должна оказаться шайба. Так, может, наиболее успешный аудит будет тогда, когда он сосредоточится на областях, где возникнут риски в будущем, а не там, где они есть сейчас?

Недавнее исследование от KPMG («2014 Global Audit Committee Survey») среди 1500 членов аудиторских комиссий в мировых компаниях показало, что роль внутреннего аудита должна простираться дальше проверки финансовой отчетности и контроля – она должна принимать в расчет и другие ключевые риски, которые берет на себя бизнес. Другое исследование от PwC («2014 state of the internal audit profession study») показало, что, по мнению ключевых участников процесса, пока что внутренний аудит их ожиданиям не соответствует. Менее половины старших управляющих компании считает, что ВА добавляет компании ощутимую добавочную стоимость.

Президент и исполнительный директор Института Внутренних Аудиторов Ричард Чамберс (Richard Chambers) подчеркнул, что компаниям необходим динамический план аудита, который постоянно пересматривается – ежеквартально, если не ежемесячно. Об этом он пишет в своей книге «Уроки, усвоенные на аудиторском пути» («Lessons Learned on the Audit Trail»). В идеальном варианте это включило бы в себя элементы непрерывного аудита. Кроме того, Ричард Чамберс напоминает о важности эффективной коммуникации с ключевыми сторонами процесса!

По материалам: Accounting Today