Роль внутреннего аудита в компании
В тех случаях, когда собственники бизнеса являются менеджерами компании и сами полностью контролируют все аспекты бизнеса, в наличии функции внутреннего аудита может не быть надобности. Однако с ростом размеров компании и повышением сложности процессов управления у собственников-менеджеров может сложиться иллюзия контроля, когда создается впечатление, что бизнес не сильно меняется и все стороны деятельности компании находятся под контролем; но на самом деле у руководства уже не хватает физической возможности контролировать ситуацию во всей полноте. И тогда внутренний аудит может оказаться весьма полезен.
Внутренний аудит необходим не только собственникам, но и менеджменту компании. Задача менеджеров — управлять бизнесом, достигая поставленных целей наиболее эффективным образом. Успешность выполнения этой задачи зависит в значительной степени от двух факторов: 1) обладает ли менеджер информацией, необходимой для принятия правильных управленческих решений; 2) существует ли эффективная система контроля выполнения принятых решений.
Сами менеджеры, для которых управление бизнесом является частью повседневной работы, не всегда способны объективно оценить ситуацию. Даже если менеджер считает, что эффективно контролирует все процессы, у него, как правило, нет времени и специфических навыков для сбора и структурирования соответствующей информации.
Внутренний аудит, по сути своей работы, обладает информацией по всем аспектам деятельности компании и инструментарием для обобщения и анализа данных, поэтому тесное взаимодействие с внутренним аудитом повышает эффективность принятия решений менеджментом. Именно внутренний аудит является тем объективным источником информации, помогающим менеджеру по-новому, «не замыленным глазом» посмотреть на вещи и оценить качество выполнения принятых управленческих решений.
Но возникает вопрос: нужен ли собственникам и менеджменту компании именно внутренний аудит или более полезными являются функции, которые в российских компаниях традиционно выполняют службы внутреннего контроля (СВК) и контрольно-ревизионные управления (КРУ). (Заметим, что в современной практике западных компаний наибольшее распространение получили службы внутреннего аудита; службы внутреннего контроля встречаются значительно реже; и вовсе не распространены аналоги контрольно-ревизионных управлений.)
Сколько и какие органы контроля иметь в компании — определяется потребностью собственников и менеджмента. Немалую роль в принятии решения играет состояние контрольной среды в компании и, если говорить более широко, уровень развития корпоративной культуры. Если системы внутреннего контроля и управления рисками не выстроены или работают неэффективно, поле деятельности для внутреннего аудита очень сильно сужается, поскольку задача внутреннего аудита — оценить эффективность этих систем. В данном случае первоочередной задачей для менеджмента компании является проектирование и внедрение системы контроля — этим в российских компаниях традиционно занимаются службы внутреннего контроля.
Поскольку построение системы внутреннего контроля есть процесс трудоемкий и длительный, объективной необходимостью на определенном этапе (пока не выстроена эффективная система контроля) является наличие в компании отдельного подразделения — контрольно-ревизионного управления. (КРУ приобретает особую значимость, если у руководства компании нет возможности или желания строить эффективную систему контроля и создавать высокоразвитую корпоративную культуру.)
В данном случае КРУ будет фокусироваться на выявлении ошибок и злоупотреблений, выполняя роль корпоративного полицейского в «чистом виде». Но следует помнить, что ревизионная деятельность, по своей сути, направлена на ретроспективу, т. е. на уже произошедшие события и их последствия. Внутренний аудит ориентирован на перспективу, т. е. на анализ будущих событий, которые могут неблагоприятным образом сказаться на деятельности отдельных подразделений и/или компании в целом. Иначе говоря, ревизия оценивает последствия уже материализовавшихся рисков, в то время как внутренний аудит оценивает возможность и предлагает пути снижения рисков и/или негативных эффектов их воздействия. Наличие в компании контрольно-ревизионного управления ни в коей мере не означает ненадобности во внутреннем аудите — все определяется тем, на каком этапе своего развития находится компания и в каком направлении, с точки зрения внутренней корпоративной культуры, компания будет двигаться.
Следует также отметить, что решение о необходимости внутреннего аудита не должно определяться наличием у компании внешнего аудитора, поскольку внешний и внутренний аудиты выполняют разные функции.
Во-первых, внешний аудит традиционно занимается подтверждением достоверности финансовой отчетности компании и фокусируется на операциях и событиях, могущих оказать материальное воздействие на финансовую отчетность компании. Внутренний аудит направлен, прежде всего, на оценку существующих систем контроля и управления рисками компании и фокусируется на операциях и событиях, препятствующих эффективному достижению компанией поставленных целей. (Заметим, однако, что последние изменения в законодательстве некоторых стран (прежде всего, США) делают оценку надежности системы контроля за финансово-бухгалтерской отчетностью компаний задачей такой же значимой для внешнего аудита, как и подтверждение достоверности отчетности.)
Во-вторых, внешний аудит, в рамках оказания аудиторских услуг, не делает оценку экономической обоснованности управленческих решений и эффективности деятельности подразделений компании, что обычно является одной из задач аудита внутреннего.
В-третьих, внешний аудит служит, в первую очередь, интересам внешних заинтересованных сторон — потенциальных инвесторов, кредиторов и др., в то время как внутренний аудит служит, прежде всего, интересам советов директоров и менеджеров компании.
Какие задачи решает внутренний аудит
Современный внутренний аудит способен и должен выполнять разнообразные и масштабные задачи. Во-первых, оценивает систему внутреннего контроля в части достоверности информации, соблюдения законодательства, сохранности активов, эффективности и результативности деятельности отдельных операционных и структурных подразделений. Во-вторых, проводит анализ и оценку эффективности системы управления рисками и предлагает методы снижения рисков. В-третьих, оценивает соответствие системы корпоративного управления компании принципам корпоративного управления.
Одним из важнейших направлений деятельности внутреннего аудита становится аудит информационных систем (информационных технологий). Высокая уязвимость компаний в этой области была не раз продемонстрирована в последние годы и, как показывают многочисленные опросы, безопасность информационных систем вызывает сегодня наибольшую озабоченность у руководства иностранных компаний.
Внутренний аудит может многое, но не является универсальным решением всех проблем компании. Например: 1) внутренний аудит не может ликвидировать или идентифицировать все случаи человеческих ошибок или злоупотреблений, но может минимизировать их вероятность и увеличить вероятность их скорого обнаружения посредством аудита систем/процедур; 2) внутренний аудит не может аудировать каждый бизнес-процесс каждый год, но может оптимизировать выбор проверяемых областей/подразделений на основе проведения предварительного риск-анализа; 3) внутренний аудит не должен разрабатывать процедуры для подразделений/отделов компании, поскольку это отрицательно влияет на независимость внутреннего аудита, но может анализировать процедуры, разработанные другими подразделениями/отделами, на предмет их эффективности в рамках системы внутреннего контроля компании.
Хотелось бы заметить, что во многих случаях исполнительное руководство склонно рассматривать внутренний аудит как ресурс, решающий управленческие задачи по построению системы контроля. Это не может не вызывать опасений по поводу объективности внутреннего аудита, поскольку в этом случае внутренним аудиторам предстоит фактически оценивать то, что они сами разрабатывают и внедряют. Подчеркнем еще раз, что построение системы внутреннего контроля не является задачей внутреннего аудита, а является прямой и непосредственной задачей менеджмента. Внутренний аудит может оказывать консультационную поддержку на этапе разработки систем/процедур и этим приносить неоценимую пользу компании, но не должен нести ответственность за создание и поддержание системы контроля.
Сегодня происходит трансформация внутреннего аудита в инструмент оценки рисков, наблюдается смещение акцентов от оценки отдельных операций к оценке рисков в деятельности организации в целом. Какие задачи решает внутренний аудит в области управления рисками?
Во-первых, внутренние аудиторы в ходе различных видов аудитов предоставляют аудиторские рекомендации, позволяющие предотвратить риск или снизить его до приемлемого уровня. Во-вторых, внутренние аудиторы проводят оценку надежности и эффективности системы управления рисками. В-третьих, внутренние аудиторы, при соблюдении определенных условий, могут помогать менеджменту в разработке и внедрении системы управления рисками компании. Однако здесь, как и в случае с системой внутреннего контроля, следует иметь в виду, что анализ и управление рисками — это задача менеджмента компании, в решении которой внутренний аудит оказывает менеджменту содействие.
Подытоживая, отметим, что для внутреннего аудита на сегодняшний день складываются благоприятные условия, чтобы продемонстрировать свои широкие возможности и доказать свою необходимость как для собственников, так и для менеджмента компаний.
А у собственников и менеджмента компаний может появиться мощный инструмент повышения эффективности бизнеса.
По материалу статьи «Зачем компании нужен внутренний аудит?» Алексея Сонина, дипломированного внутреннего аудитора, Председателя Совета российского Института внутренних аудиторов (ИВА), члена Экспертного совета при ФСФР РФ.