С 1 января 2021 г. в России вступаило в силу требование Закона № 208-ФЗ «Об акционерных обществах», которое звучит так: «Для оценки надежности и эффективности управления рисками и внутреннего контроля в публичном обществе должен осуществляться внутренний аудит». В связи с этим возникают вопросы к понятию внутреннего аудита, необходимости внутреннего аудита (далее ВА) и перспективах развития, которые мы затронем в этой статье.
Что такое внутренний аудит?
Если компанию сравнить с человеческим организмом, то внутренний контроль или управление рисками компаний похожи на здоровье или иммунную систему человека, защищающие организм от опасных внешних воздействий, позволяющие успешно и качественно жить и трудиться, а не выживать и существовать. Точно так же, как человеку свойственны хронические болезни, в компаниях могут быть широко распространены проблемы с отчетностью, типичными ошибками принятия решений и работа в режиме хронических авралов. Так же как среди людей встречается преждевременная смерть, так и среди компаний происходят банкротства, обходящиеся инвесторам в миллиарды рублей, € и $.
Внутренний аудит компании при таком сравнении – это как спасающие жизни медицинские тесты для людей, на ранних стадиях диагностирующие проблемы и болезни, а также медицинские рецепты и рекомендации, позволяющие не только дать своевременное лечение, но и предотвратить от повторения первопричины проблем. Не использовать в компаниях современные методы внутреннего контроля, управления рисками и внутреннего аудита – все равно, что в медицине возвращаться к устаревшим методам Средневековья.
Именно поэтому внутренний аудит становится все более актуальным не только для компаний, котирующихся на бирже, не только для публичных акционерных обществ, но и для абсолютно любых компаний, заинтересованных в повышении эффективности своей операционной деятельности и информированном управлении рисками.
Зарождение профессии внутреннего аудитора
Основоположником профессии внутреннего аудита считается Международный институт внутренних аудиторов (the Institute of Internal Auditors) (далее ”The IIA”), существующий с 1941 г. и объединяющий более 200 000 человек из более чем 170 стран мира.
За 90 лет существования The IIA накоплена колоссальная теоретическая база и практический опыт, объединенные в Международных основах профессиональной практики (МОПП).
МОПП включает:
1. Миссию ВА,
2. Обязательные руководства: определение содержания деятельности ВА, принципы ВА, кодекс этики ВА и стандарты, как критерии качества организации служб ВА и профессиональной деятельности ВА, и
3. Рекомендуемые руководства: 56 Руководств по применению и >59 дополнительных руководств.
Официальные миссия и определение ВА сформулированы ИВА следующим образом:
Миссия ВА:
Сохранение и повышение стоимости организации посредством:
• проведения объективных внутренних аудиторских проверок на основе риск-ориентированного подхода (assurance),
• предоставления консультационных услуг (advice) и
• понимания сущностных причин и взаимосвязей (insight).
Определение ВА: «Внутренний аудит является деятельностью по предоставлению независимых и объективных гарантий и консультаций, направленных на совершенствование деятельности организации. Внутренний аудит помогает организации достичь поставленных целей, используя систематизированный и последовательный подход к оценке и повышению эффективности процессов управления рисками, контроля и корпоративного управления.»
Согласно 7му Изданию Внутренний аудит по Сойеру, роли и виды услуг, оказываемых внутренними аудиторами, могут различаться. Они зависят как от зрелости самих организаций, так и зрелости внутреннего аудита:
Уровень Зрелости |
Виды услуг ВА (Type of Services) |
Роль Аудитора |
Требующиеся Ресурсы (Resources Required) |
Результат (Type of Products) |
Профессиональные сертификации |
Уровень 5 – Оптимизированный (Optimizing) |
1. ВА признается в качестве ключевого партнера и агента изменений. 2. Прикладывает усилия по управлению рисками в контексте конкретных бизнес-целей под риском. Базируется на предыдущих уровнях. |
Аудитор, ориентированный на достижение целей
Objective-Based Auditor |
Навыки: Способность дейстовать как катализатор перемен, внедрять управление изменениями, приводить внутренний аудит в соответствие с корпоративным управлением, рекомендации по ключевым решениям, глубокое знание разработки бизнес-целей, навыки измерения и распространения, проницательность в корпоративном управлении и управлении рисками.
Ресурсы: Бизнес-модели, обучение по согласованию управления рисками с надзором за бизнесом, развитием операционной деятельности. |
Усилия в управлении рисками помещаются в контекст конкретных бизнес целей под риском.
Оценки рисков интегрированы с усилиями по управлению рисками. Аудиторские проверки и консультационные услуги нацелены на оказание помощи в успешной реализации бизнес-целей путем совершенстовавания управления рисками как на первой, так и на второй линии защиты. |
Сертификация в области корпоративного управления и в других специальных отраслях. |
Уровень 4 – Управляемый (Managed) |
1. ВА предоставляет общие гарантии в отношении внутреннего контроля, управления рисками и корпоративного управления (GRC). 2. Оценка ожиданий от управлении рисками первоначально проводится при оценке рисков и разработке программ аудитов, ориентированных на усиление контроля по принципу сверху вниз «top down». |
Аудитор, ориентированный на управление рисками Risk Management-Based Auditor |
Навыки: Осведомленность о развитии структуры корпоративного управления, управления рисками предприятия, как контроли разрабатываются и внедряются в естественном ходе ведения хозяйственной деятельности.
Разработка структуры корпоративного управления (governance), управления рисками предприятия,
Ресурсы: Концепции управления рисками (ERM), контроля, управления рисками и корпоративное управления (GRC). |
Оценки рисков сфокусированы на топ стратегических и операционных рисках.
Аудиторские проверки и консультационные услуги фокусируются на ожидания в управлении рисками и внутреннем контроле по принципу сверху вниз «top down». |
Отраслевая сертификация |
Уровень 3 – Определенный (Defined) |
1. ВА выполняет проверки и оказывает консультационные услуги. 2. Оценка рисков проводится как минимум 1 раз в год. 3. Задания планируются и недостатки выявляются с учетом вероятности и воздействия рисков. |
Риск-ориентированный аудитор/ Risk-Based Auditor |
Навыки: Хорошее понимание оценки рисков, ранжирования рисков и операционной деятельности.
Ресурсы: Концепции управления рисками, примеры и инструменты анализа рисков. |
Оценки рисков включают важные операционные области. Риск-ориентированные отчеты ВА с ранжированием недостатков. Консультационные услуги. |
QIAL, ученая степень, CRMA, CISA, CGAP, EHS, CFSA и другие соответсвующие профессиональные сертификаты |
Уровень 2 – Повторяющийся (Repeatable) |
ВА проводит оценки финансовых и важных операционных контролей уровня бизнес-процессов. |
Аудитор внутреннего контроля (уровень бизнес-процессов)/ Internal Control Process Auditor
|
Навыки: Описания процессов / Блок-схем процессов, матриц рисков и контрольных процедур (МРиКП).
Ресурсы: блок схемы и описания процессов, матрицы рисков и контрольных процедур (МРиКП). |
Отчеты ВА больше фокусируются на анализе первопричин недостатков, в том числе недостатков процессов в части: 1.Достоверности финансовой отчетности и данных для принятия управленческих решений 2.Операционной эффективности.
|
CIA, CРA, CFE |
Уровень 1 – Первоначальный (Initial) |
ВА осуществляют подтверждение: 1. Достоверности фин. отчетности. 2. Соблюдения стандартов/ норм. требований. 3. Соблюдения внутренних политик и процедур. |
Финансовый и комплаенс аудитор / Internal – External Auditor
|
Навыки: Финансовый учет, внутренний контроль, нормативные документы, регламенты, политики.
Ресурсы: Стандарты бухгалтерского учета, регламенты, политики. |
Отчеты ВА сфокусированы на замечаниях связанных с нарушениями: 1.Искажениями финансовой отчетности. 2. Нарушениями законодательства и внутренних нормативных документов. |
Без сертификации |
Зачем нужен внутренний аудит
Единственный шанс избежать ошибок в будущем — это учить историю и усваивать ее уроки. (Кармен Рейнхарт, Кеннет Рогофф. "На этот раз все будет иначе. Восемь веков финансового безрассудства")
Главные уроки многократно подтверждены:
• Международной историей скандалов и банкротств, в том числе: Enron - $65 млрд., Wordcom - $180 млрд., Wirecard (2020) - €24 млрд.;
• Трижды доказаны нобелевскими премиями по нейроэкономике – иррациональным механизмам принятия управленческих решений:
2017 Richard Thaler, 2002 Daniel Kahneman, 1978 Herbert Simon;
• Ежегодно подтверждаются статистикой исследований ACFE, Ассоциация "Объединение сертифицированных специалистов по расследованию хищений" из 125 стран мира.
Компании, не обеспечивающие надежных функций внутреннего контроля, риск-информированного принятия решений и внутреннего аудита, остаются беззащитными перед:
1. искажениями финансовой и управленческой отчетности,
2. обманом инвесторов и кредиторов,
3. ошибками принятия решений и злоупотреблениями сотрудников,
4. банальной низкой эффективностью и результативностью операционной деятельности.
Именно поэтому, более 30 последних лет в мире (более 7 последних лет в России) мега трендом являются внутренний контроль, управление рисками и внутренний аудит, как средства для: защиты инвесторов от обмана и злоупотреблений, и повышения вероятности достижения поставленных целей.
Развитие требований регуляторов и расширяющаяся практика использования внутреннего аудита подтверждают этот тренд:
Источник: Вебинар по внутреннему контролю, управлению рисками и внутреннему аудиту на тему «Взгляд Председателя комитета по аудиту при совете директоров» с Евгением Плаксенковым, профессором Московской школы управления СКОЛКОВО, независимым директором в составе Советов директоров российских и международных компаний, председателем комитетов по аудиту. https://bit.ly/37Y84eS
Рекомендации новичкам во внутреннем аудите
Как мы разобрали выше, внутренний аудит – уже давно обязательный элемент защиты компаний, котирующихся на биржах. Мы ожидаем, что изменения п.87.2 статьи Закона 208-ФЗ «Об акционерных обществах», вступающие 1 января 2021 г. в силу для публичных акционерных обществ (ПАО) повысят востребованность профессии внутреннего аудита на российском рынке труда. Также предполагаем, что самые прогрессивные и передовые компании, заинтересованные в эффективном функционировании управления рисками и непрерывных изменениях будут инициативно внедрять внутренний аудит, как инструмент повышения эффективности деятельности.
Внутренних аудиторов в России и в мире будут объединять несколько условий: для того, чтобы выполнять внутренний аудит качественно и профессионально, нужно уметь пользоваться стандартами внутреннего аудита и Международными основами профессиональной практики.
Как указано в 7м Издании Внутреннего аудита по Сойеру, для того, чтобы служба внутреннего аудита могла подняться в уровне своего развития выше низшего уровня зрелости (Уровень 1 – Первоначальный/ Initial) критично наличие сертификации Дипломированный внутренний аудитор (CIA), признаваемой в >10 странах мира.
Из собственного опыта скажу, что профессия внутреннего аудитора является прекрасным продолжением карьеры для внешних аудиторов, финансовых специалистов и бухгалтеров. В профессию ВА также сравнительно легко прийти из внутреннего контроля и управления рисками. Сертификация во ВА, безусловно, будет полезна для специалистов по менеджменту качества (СМК) и специалистов LEAN.
В России одним из первых учебных провайдеров, занимающихся подготовкой к сдаче экзамена CIA, является учебный центр HOCK Training. С 2002 года благодаря высоким стандартам обучения, высококлассному преподавательскому составу с большим практическим опытом слушатели программы CIA сдают экзамены на внутреннего аудитора с первого раза.
Более подробно с программами обучения CIA, которые включают в себя очные, онлайн и дистанционные курсы, вы можете ознакомиться по ссылке.
Если Вас заинтересует консультационное направление деятельности внутреннего аудита по развитию внутреннего контроля также рекомендуем углубленный практикум DEEP DIVE по «Системе внутреннего контроля»:
Автор: Павел Викторов, к.э.н., CIA
Консультант председателей комитетов по аудиту, СД и руководителей СВК в АО и ПАО
Ведущий преподаватель курса Дипломированный внутренний аудитор (CIA) в HOCK Training
Разработчик углубленного практикума DEEP DIVE по «Системе внутреннего контроля»: Как своими руками сделать 80% работы за консультантов и сэкономить десятки миллионов рублей
Приходите на бесплатную презентацию программы подготовки к экзамену CIA (Сертификат «Дипломированный внутренний аудитор») и запишитесь на подготовку к экзаменам весенней сессии 2021 в HOCK Training.
Записаться на курс!