Как повысить эффективность работы службы внутреннего аудита
Никулина Анна Григорьевна, заместитель начальника Управления внутреннего аудита и риск–менеджмента ОАО «Северсталь», Certified Internal Auditor (CIA), обладатель сертификата ССSA – Certified in Control Self–Assessment
Внутренний аудит в России — одна из активно развивающихся профессий. Несмотря на то, что стадии развития функции и ее роль по-прежнему сильно варьируются от компании к компании, сегодня профессиональное сообщество внутренних аудиторов активно обсуждает такие зрелые и важные вопросы, как измерение эффективности работы аудита, оценка качества, бизнес-партнерство с менеджментом. Обращаясь к подобным глобальным проблемам, иногда можно забыть о более очевидных, но не менее важных составляющих работы внутренних аудиторов. Об одной из них — коммуникации с управленческой командой — хотелось бы поговорить сегодня. Продуманная, проактивная коммуникация способствует правильному выстраиванию репутации функции, формированию адекватного мнения о ней, усилению позиций внутреннего аудита, и наоборот, недоработки в этом направлении, к сожалению, могут испортить даже самые хорошие результаты работы.
Данная статья написана на основе практического опыта, это возможность и желание поделиться тем, какие аспекты коммуникации играют положительную роль, и рассказать о том, какие недоработки могут негативно сказаться на результатах работы подразделения внутреннего аудита. Говоря о коммуникации, мы будем рассматривать не только письменный или устный информационный продукт, который внутренний аудит предоставляет менеджменту по итогам проверок, но и то, как на основе коммуникации строится репутация функции.
Для того чтобы структурировать тему, мы разобьем вопрос коммуникации на два блока — информационные потоки в рамках аудиторских проверок и коммуникацию при общении с ключевыми клиентами. Эти области, безусловно, взаимосвязаны, но такое деление все же правомерно, поскольку в каждом случае затрагиваются разные аспекты работы внутреннего аудита.
Коммуникация в рамках аудиторской проверки
Основным письменным «продуктом» подразделения внутреннего аудита является отчет по итогам проверки. К сожалению, иногда на согласование отчетов и разъяснение замечаний аудиторов могут уходить дни и даже недели, потому что менеджмент активно высказывает возражения против информации, содержащейся в аудиторском отчете. Конечно, такая ситуация может быть следствием сложных персональных качеств конкретного менеджера или скрываемого мошенничества, но гораздо чаще данная проблема возникает из-за недоработок внутренних аудиторов в ходе проверки. Поговорим о некоторых аспектах, которые могут помочь избежать подобных сложностей.
Для начала хотелось бы обратиться к одному моменту, выходящему за рамки конкретного аудита. Сегодня во многих компаниях существует документ, регламентирующий взаимодействие подразделения внутреннего аудита и менеджмента в рамках проверок, разъясняющий смысл функции и ход проверки, описывающий обязанности и права аудитора и клиента аудита. Наличие такого документа очень желательно, поскольку он позволяет четко структурировать обязанности и полномочия каждой из сторон. Степень детализации и общий вид зависят от принятого стиля коммуникации в компании, однако подобный регламент должен быть ясным и понятным, поскольку его основная цель — разъяснить ход работы аудиторов для управленческой команды. Обязательно утверждение этого документа генеральным директором компании, только такой уровень может обеспечить выполнение данного регламента со стороны менеджмента. Этот документ аудитор должен направлять клиенту аудита (или, как минимум, ссылаться на него) вместе с официальным письмом о начале проверки.
Однако наличие письменного уведомления не отменяет необходимости личной коммуникации. К сожалению, практический опыт говорит о том, что часто аудиторы ограничиваются формальным письмом или, в крайнем случае, разговором по телефону, что не является правильным и достаточным. Аудит всегда должен занимать проактивную позицию в коммуникации, инициировать разговоры с командой менеджмента, воспринимать подобные задачи как один из неотъемлемых моментов своей работы. В начале проверки крайне важно потратить время и усилия на разъяснение клиенту аудита причин и целей проверки, процесса работы, добиться готовности менеджмента взаимодействовать с аудиторами. Часто сотрудники воспринимают аудит как выражение недоверия к их компетенции или как несвоевременное отвлечение ресурсов, поэтому изменение этого мнения и создание атмосферы взаимодействия с самого начала проверки очень важны. Если корпоративная культура в компании достаточно зрелая, то, как правило, это не требует особых усилий, и менеджмент может открыто идти на взаимодействие, воспринимая аудит как возможность взглянуть свежим взглядом на работу в поисках возможных улучшений. В реальности такая благоприятная ситуация складывается далеко не всегда, однако усилия, потраченные на этой стадии проверки, могут способствовать не только более качественному выполнению работы в рамках проверки, но и позитивному восприятию роли аудиторов в целом.
На этапе предварительного анализа и тестирования контрольной среды открытость и активность коммуникации с обеих сторон позволяет существенно сэкономить ресурсы как внутреннему аудиту, так и менеджменту. Чем проще и раньше обговариваются возникающие вопросы и обсуждаются результаты тестов, тем меньше времени аудиторы тратят на анализ «пустых» направлений, и тем меньше в ходе проверки отвлекаются ресурсы менеджмента. В результате выводы аудиторов становятся более конструктивными и проще воспринимаются. Если в ходе тестирования возникают какие-то промежуточные выводы, нет необходимости их накапливать, отражать в отчете и только потом обсуждать с менеджментом. Всегда лучше это делать по мере обработки информации.
Иногда из-за сжатых сроков и больших объемов проверки аудиторам не хватает времени на своевременную обработку информации, и какие-то выводы и замечания формируются уже в процессе подготовки отчета. Однако и в этом случае имеет смысл потратить время на предварительное обсуждение текста, иначе сложности неизбежно возникнут на этапе официального согласования отчета. Идеальной является ситуация, когда к моменту подготовки отчета все замечания уже обсуждены, и он представляет собой всего лишь формальный суммирующий документ. Если отчет воспринимается менеджментом как «новость» и требует длительного обсуждения и доказательств, это свидетельствует о том, что в процессе аудита взаимодействие явно было не на должном уровне.
Стандарты профессиональной практики внутреннего аудита рекомендуют отражать в отчете и положительные моменты, если таковые были отмечены в ходе проверки. Эти рекомендации часто не воплощаются в жизнь, однако это очень важно — отсутствие положительных комментариев, для которых есть повод, создает у клиента аудита чувство, что положительные стороны намеренно игнорируются, тогда как «негатив» преувеличен. Помимо чисто психологического эффекта, в отражении таких сторон есть практическая польза: подобная информация может быть использована другими подразделениями компании как положительный опыт в работе.
Форматы отчетов, способ изложения результатов проверок варьируются в разных компаниях, однако в любом случае рекомендуется выявить причинно-следственные связи: «текущая ситуация — ее причины — возможные последствия». На практике установление причин часто является наиболее сложной частью работы для аудитора, настоящим экзаменом для профессионализма и профессионального отношения к работе. Далеко не всегда причины лежат на поверхности, и дойти до сути проблемы бывает непросто. Тем не менее, выявление причин и выстраивание ясных причинно-следственных связей в тексте отчета является критически важным фактором для конструктивного восприятия замечаний и последующего воплощения рекомендаций в жизнь.
Также очень важным моментом является корректная оценка выявленных рисков. Там, где это возможно, риски стоит оценивать в денежном выражении. Денежный эквивалент является неким общим знаменателем, позволяющим сравнивать потенциальный риск от выявленных недостатков контрольной среды и определять приоритетные направления работы в условиях ограниченности ресурсов.
Отчет должен быть не только согласован и направлен клиенту аудита – руководителю, к компетенции которого относится объект проверки, но и доведен до определенного круга менеджмента в компании. Список рассылки отчета часто зависит от корпоративной культуры и степени открытости коммуникаций. Как минимум, отчет должен быть направлен руководителю, обладающему полномочиями принимать решения о возможных корректирующих мероприятиях. Также может быть принято решение о рассылке отчета руководителям других аналогичных подразделений (что особенно актуально для крупных компаний) для проведения самостоятельного анализа на предмет выявления наличия сходных проблем. Рассылка отчета обязательно должна сопровождаться разъяснением, с какой целью он направляется, и желательно звонком или личным разговором для обсуждения итогов аудита, в противном случае существует риск, что документ так и не будет прочитан и останется в почте руководителей среди других многочисленных и не менее важных сообщений.
Разработка планов мероприятий для внедрения рекомендаций, сформулированных внутренним аудитом по результатам проверки, без сомнения, является задачей менеджмента. Аудиторы не должны проводить эту работу вместо менеджмента, однако должны играть активную роль в данном процессе. Разработка планов мероприятий может продвигаться очень медленно, поскольку из-за обычной ежедневной нагрузки, отсутствия ресурсов, а иногда из-за сопротивления изменениям менеджмент откладывает данную работу. В случае, если для решения выявленных проблем требуется межфункциональная команда, задача еще более усложняется. Аудит может быть именно тем недостающим организационным звеном, которое такую команду позволит создать. Поэтому не просто напоминание о сроке разработки корректирующих мероприятий, но предложение и оказание помощи должно быть обязательным, и менеджмент вправе на это рассчитывать.