Расскажу про личный опыт создания службы внутреннего контроля и аудита с нуля, уверен, что эта тема будет интересна как собственникам бизнеса, которые уже задумывались о создании такой службы, но по каким-то причинам откладывают такое решение, так и внутренним аудиторам, которые могут столкнуться в своей карьере с такими вызовами.
Хочу сразу отметить, что в компании, о которой пойдет речь, никогда не было ни функции внутреннего аудита, ни функции контроля. Когда меня пригласили на интервью с акционерами компании и мы начали обсуждать цель создания службы, я понял, что акционерам нужна прежде всего независимая оценка того, что же происходит с их бизнесом на самом деле, насколько достоверны те отчеты – по продажам, исполнению бюджета, инвестициям, – которые им предоставляет операционный менеджмент.
Компания на тот момент как раз находилась в стадии роста, и для того, чтобы поддерживать его и не перейти в стадию зрелости, компании был нужен новый импульс – кардинальные изменения как в реструктуризации процессов, так и в привлечении новых инвестиций. Одним из таких импульсов и должна была стать служба внутреннего контроля и аудита (далее СВКиА). Основная задача, стоявшая передо мной, – выстроить в компании функцию внутреннего аудита и систему внутреннего контроля (далее СВК).
Международный Институт внутренних аудиторов (IIA) дает следующее определение внутреннего аудита:
Внутренний аудит является деятельностью по предоставлению независимых и объективных гарантий и консультаций, направленных на совершенствование деятельности организации. Внутренний аудит помогает организации достичь поставленных целей, используя систематизированный и последовательный подход к оценке и повышению эффективности процессов управления рисками, контроля и корпоративного управления.
СOSO IC
Внутренний контроль — это процесс, осуществляемый советом директоров, менеджментом и сотрудниками, направленный на обеспечение разумной уверенности в достижении целей компании, связанных с операционной деятельностью, подготовкой отчетности и соблюдением законодательства и нормативных актов.
По сути, была поставлена задача создать в рамках одного подразделения две конфликтующие между собой функции (контроль и аудит).
В соответствии с моделью Трех линий [защиты]1, разработанной IIA в 2013 году, функция внутреннего контроля находится на второй линии защиты, а функция внутреннего аудита – на третьей, к тому же, в соответствии со Стандартом 1130.А1 Международных профессиональных стандартов внутреннего аудита, внутренние аудиторы должны воздерживаться от проведения оценки тех областей, за которые они раньше несли ответственность, а также предоставления гарантий в той области, за которую они отвечали в течение предшествующего года, поскольку иначе объективность и независимость подвергаются негативному воздействию.
Чтобы минимизировать этот конфликт, было принято решение о разделении функции внутри службы на ВА и ВК: внутренние аудиторы не могут учувствовать в осуществлении контрольных процедур, а специалисты по внутреннему контролю не могут проводить аудиторские проверки. По мере зрелости СВК данная функция перейдет во вторую линию защиты. Этот подход был утвержден советом директоров.
Стандарт 1100 – Независимость и объективность
Внутренний аудит должен быть независимым, а внутренние аудиторы должны быть объективными при выполнении своих обязанностей.
Примечание:
Объективность аудитора считается нарушенной, если аудитор разрабатывает, внедряет, проектирует контрольные процедуры для систем или управляет такими системами.
Первые шаги
На этапе зарождения функции внутреннего аудита важно строго руководствоваться Международными профессиональными стандартами внутреннего аудита и применять лучшие практики в области управления функцией внутреннего аудита, доводить их важность и значимость до акционеров и высшего руководства. Был случай, когда на очередной встрече с высшим руководством мне было предложено взять в подчинение операционную функцию, т.е. подразделение, которое непосредственно занимается операционной деятельностью. И здесь было важно довести до руководства свою принципиальную позицию о том, что если внутренний аудит будет руководить операционной функцией, тогда объективность и независимость внутреннего аудита подвергнутся отрицательному воздействию, а внутренние аудиторы не смогут выполнять свои обязанности объективно и независимо в отношении этого подразделения.
Практическое указание 1130.A2-1: Ответственность внутреннего аудита за другие (неаудиторские) функции
Соответствующий исходный Стандарт 1130.A2 – Выполнение аудиторских заданий по предоставлению гарантий в тех областях, за которые отвечает руководитель внутреннего аудита, должно осуществляться под надзором стороны, независимой по отношению к внутреннему аудиту.
Внутренние аудиторы не должны брать на себя ответственность за неаудиторские функции или обязанности, которые подлежат периодическим оценкам внутреннего аудита. Если на них лежит такая ответственность, они не работают как внутренние аудиторы.
Итак, первыми шагами для создания СВКиА стали следующие действия:
В течение первых трех месяцев были проведены мероприятия, закрепляющие статус и независимость службы и заложен фундамент для дальнейшей эффективной работы:
- Проведены установочные встречи с высшим руководством и советом директоров, на которых были сформулированы ожидания от СВКиА и определены задачи и меры поддержки.
- Подготовлены и утверждены советом директоров и генеральным директором основополагающие документы (положение о СВКиА, методика проведения внутренних аудитов).
Цели, полномочия и ответственность подразделения внутреннего аудита должны быть определены во внутреннем документе организации (Положение о внутреннем аудите), соответствующем определению внутреннего аудита, Кодексу этики и Стандартам. Руководитель внутреннего аудита должен периодически рассматривать вопрос о необходимости внесения изменений в Положение о внутреннем аудите и представлять Положение на одобрение высшему исполнительному руководству и Совету.
- Для понимания уровня зрелости компании в области внутреннего контроля и управления рисками, а также для формирования перечня бизнес-процессов наиболее подверженных рискам, были проведены интервью со всеми ключевыми владельцами бизнес-процессов. По результатам интервью была сформирована карта корпоративных рисков компании, которая легла в основу формирования риск-ориентированного годового плана аудита; был разработан перечень бизнес-процессов в детализации до 3-х уровней (корпоративный, операционный, транзакционный) как основа для формирования СВК.
- Параллельно была проведена работа по созданию и утверждению организационной структуры службы. Для обоснования и расчета количества сотрудников структуры были использованы инструменты из ранее полученного практического опыта: количество плановых аудитов за год в соотношении времени, затрачиваемого на выполнение одного аудита, а также аналогичный расчет в отношении отработки одного бизнес-процесса специалистом в единицу времени.
- Для усиления позиции и придания уверенности в достижении цели создания СВК, был разработан Устав проекта по созданию СВК, где основными заказчиками выступили акционеры. Устав был согласован с менеджментом и утвержден СЕО; документ был проработан до мелочей: были прописаны все риски, с которыми могла столкнуться команда, и меры их снижения; обозначены все роли, ответственные; формы и правила коммуникации с менеджментом; сроки и контрольные точки по этапам проекта были прописаны в план-графике.
- По истечении 3-х месяцев была разработана и утверждена на совете директоров стратегия создания и развития функции ВК и ВА на краткосрочный (1 год) и долгосрочный (3 года) периоды, утверждено положение о СВКиА, план аудитов на год, структура и бюджет СВКиА, методика проведения внутренних аудитов, устав создания СВК, положение о владельцах бизнес-процессов. Осталось главное – сформировать команду, которая смогла бы достичь поставленной цели.
Система внутреннего контроля — это комплекс мер, принимаемых руководством компании для своевременного выявления рисков и управления ими.
Команда – основной ресурс для достижения любой цели
Сразу скажу, что на формирование полноценной команды ушло около полугода. Команда формировалась постепенно, не было цели сразу набрать полный штат высококлассных специалистов, поскольку, во-первых, это могло оказаться неоправданной нагрузкой на бизнес (с точки зрения как дополнительных расходов на ФОТ, так и нерационального распределения задач ввиду неготовности менеджмента к резким изменениям, что могло бы привести к скрытому бойкоту создания функций). Во-вторых, что крайне важно, нужно было начать работу небольшим составом, чтобы на первых шагах понять, какие ошибки могут возникнуть на начальной стадии и сколько фактически времени уходит на выполнение одного аудиторского задания или обработку одного процесса; и только после этого определиться с количеством членов команды. В-третьих, специалистов подобного уровня очень трудно найти на рынке по причине узкой специализации.
Подбор команды осуществлялся, как правило, мною лично совместно функцией HR. Были заранее проработаны профили кандидатов с необходимым набором качеств и компетенций, основные – это коммуникабельность, проактивность, клиентоориентированность и настойчивость, компетенции и опыт во внутреннем контроле или аудите, понимание структуры бизнес-процессов и главное – желание создавать что-то новое и совершенствоваться. Кандидатов искали внешних, поскольку нужны были независимая оценка и взгляд со стороны, а с новыми людьми, как правило, приходят и новые идеи.
Итак, в течение полугода с момента утверждения структуры СВКиА команда была полностью сформирована. Здесь важно отметить, что при создании функции ВА и/или СВК, особенно на начальных этапах, необходимо привлекать профессионалов высокого уровня или специалистов с очень хорошим базовым образованием. В нашем случае именно из таких людей и сформировалась команда; если брать в пропорции, то примерно 50/50.
Не буду дальше вдаваться в детали осуществления проекта СВК и становления функции внутреннего аудита (оставлю эту тему для следующей статьи), скажу лишь, что проект по созданию СВК был успешно реализован в течение 1,5 лет и передан в бизнес-подразделения компании, а становление функции внутреннего аудита было реализовано в течение 3 месяцев с момента моего прихода в компанию и до начала первой аудиторской проверки.
Основные трудности, с которыми пришлось столкнуться, и пути решения
В процессе создания СВКиА ожидаемо возникли трудности и проблемы, в основном лежащие в плоскостях организации процесса и недопонимания операционным менеджментом роли внутреннего контроля и аудита в организации. В компании, в которой никогда не было подобных функций, менеджмент реагировал по-разному: те, кто ранее сталкивались с аудитом или контролем, понимали, что эти функции нацелены на помощь акционерам и менеджменту в достижении основных целей компании, и сразу включались в процессы; некоторые же не видели смысла в новом подразделении, думая, что компания хорошо развивалась и без этих функций.
Основные пути решения этих трудностей заключаются в качественном подборе команды внутренних аудиторов и специалистов по внутреннему контролю, высокой частоте коммуникаций на всех уровнях взаимодействия между сотрудниками СВКиА и операционным менеджментом с целью объяснения пользы от совместной работы и демонстрации результатов службы высшему руководству и акционерам.
Трудности
Пути решения
Сложности в формировании команды аудиторов и специалистов по внутреннему контролю в СВКиА :- Непонимание менеджментом целей и задач СВКиА -Подбор специалистов с хорошим опытом работы в сфере аудита и контроля и хорошим базовым образованием
- Закрытость менеджмента и сотрудников, недоверие к внутренним аудиторам при первых проверках - Проведение постоянных встреч и тренингов для объяснения пользы внутреннего аудита и контроля . Объяснение и демонстрация менеджменту и сотрудникам, что аудиторские проверки нацелены на помощь бизнесу в совершенствовании процессов и улучшении деятельности компании, а не с целью выявления и наказания виновных.
- Непонимание менеджментом своей роли в управлении контрольными процедурами всвоих процессах - Проведение встреч с менеджментом, выпуск статей в корпоративном журнале с разъяснениями управления контрольными процедурами
- Непринятие менеджментом изменений, связанных с внедрением СВК - Формирование тона сверху у руководителей всех уровней
В заключение хотел бы сказать, что основными факторами для успешного создания функций внутреннего контроля и аудита, на мой взгляд, являются:
1. Наверное, самый важный фактор – желание и поддержка акционеров и высшего руководства на всех этапах создания и развития функций. Здесь многое может зависеть от ваших презентационных навыков, поскольку акционеры и высшее руководство могли ранее не сталкиваться с подобными функциями, и важно убедить их в полезности ВА и ВК для бизнеса.
2. Планирование создания и развития функции в строгом соответствии с Международными профессиональными стандартами внутреннего аудита на 3-хлетний период, детальное – на 1 год.
3. Команда, которая не подведет и достигнет результата.
4. Проактивная, последовательная и настойчивая реализация плана по созданию и развитию функций.
5. Создание атмосферы взаимопонимания и поддержки внутри коллектива, мотивированного на получение результата.
Результатом синергии этих пяти основных факторов стала успешная реализации проекта по созданию службы внутреннего контроля и аудита.
Источник: https://www.audit-it.ru