Внутренний аудит: риски и бизнес-процессы или выдача желаемого за действительное?

Внутренний аудит: риски и бизнес-процессы или выдача желаемого за действительное?

Что такое внутренний аудит? О нём модно говорить, потому что это можно делать часами. Его модно внедрять, потому что тогда можно будет гордиться его наличием даже при его отсутствии. Однако многим по-прежнему непонятно, чем же занимаются аудиторы, а значит, эта тема всё ещё не раскрыта.

Третья древнейшая?

Кроме шуток: первые упоминания о некоем подобии контроля хозяйственной деятельности датируются примерно 4000 гг. до н.э., то есть прообраз аудита появился шесть тысяч лет назад. И это было абсолютно логичным: возникавшие в те времена государства должны были не только учитывать доходы и расходы, но и не допускать немотивированного уменьшения первых и необоснованного роста вторых. 

Вавилон, в котором, появились первые законы по соответствующей проблематике, Египет, Иудея, Китай, Древняя Греция и Древний Рим – проверки правильности ведения хозяйственной деятельности велись всюду. Кстати, именно римляне и подарили миру термин «аудит»: квесторы, проверявшие бухгалтеров на местах, докладывали о результатах своих изысканий специальным экзаменаторам – аудиторам, то есть «слушающим».

В европейской практике первые подтверждённые факты таких проверок относятся к XII столетию: в архиве Казначейства Англии и Шотландии сохранились датируемые 1130 годом результаты «Михайло-Архангельского аудита суммы шерифских счетов». Уже в то время слушания делились на две категории – подобные вышеупомянутому публичные отчёты казначеев, которые рассказывали горожанам о своей деятельности, и проверка деятельности по управлению крупными поместьями, о результатах которой аудиторы отчитывались перед собственниками и советом управляющих.

Вторая категория и стала прообразом современного внутреннего аудита: обычно аудитор входил в управляющий совет, то есть имел довольно полное представление о том, что конкретно он проверяет, и знал объект проверок изнутри. Впоследствии, при Эдуарде II, подобная практика распространилась на всю Великобританию: в 1324 году король назначил трёх государственных аудиторов, которые должны были проверять все счета в провинциях и докладывать о том, насколько правильно ведут себя его наместники.

Вообще именно туманный Альбион стал родиной аудита в его современном виде. Так, независимость проводящих такие проверки лиц впервые была узаконена в Шотландии ещё в конце XVII столетия, в 1805 году в Эдинбурге был издан первый справочник с перечнем из семнадцати профессиональных аудиторов, а ещё через полвека появилась первая ассоциация таких специалистов. В самой же Англии, начиная с 1844 года, был принят ряд законов, разделявших интересы управления компаний (их административного персонала) и вкладчиков, т. е. инвесторов, акционеров и собственников. Тогда-то и появился нынешний аудит – отрасль экономической деятельности, представляющая собой совокупность действий по независимой проверке и оценке деятельности организации, системы, процесса, проекта или продукта.

Что это вообще такое?

Говорить об аудите можно почти столько же, сколько смотреть на мерцающий огонь, льющуюся воду и работающего человека. Но, как правило, при слове «аудитор» у среднестатистического гражданина возникают ассоциации с бухгалтерами и проверками, то есть чем-то скучным, рутинным и непонятным, а оттого и не особо необходимым.

Однако это восприятие уже давно пора отправить на свалку истории: в настоящее время существует как минимум три трактовки этого термина, принятые в соответствующих цивилизационных моделях. Американцы полагают, что это системный процесс, в результате которого устанавливается соответствие объективных данных об экономическом состоянии исследуемого предприятия и неких заданных заинтересованными лицами критериев. По мнению европейских специалистов, аудит – это тоже процесс, но имеющий целью снижение информационного риска до определённого уровня, а в российской традиции под аудитом понимается предпринимательская деятельность специалистов соответствующего профиля по осуществлению независимых проверок финансовой документации экономических субъектов в части обязательств и требований и определению достоверности полученных данных.

Последнее толкование закреплено на законодательном уровне, что значительно снижает возможность использования и американской, и в особенности европейской трактовки термина «аудит». Противоречит ему и набирающее в последнее время обороты заимствованное из мировой практики разделение последнего на чисто финансовый и промышленный – аудит технический, IT-безопасности, экологический, а также специализированные аудиты качества, PR, ESO и т. п. Это разделение ещё не легитимировано, но де-факто уже работает, хотя до принятия соответствующих нормативно-правовых актов к его эффективности есть целый ряд вопросов.

Это ограничение связано с однобоким пониманием сути термина «аудит»: во всей российской истории, включая времена СССР, исследовались исключительно результаты финансовой деятельности предприятия, учреждения или организации, то есть упор делался на ревизию. Более того, первыми независимыми аудиторами России были как раз те самые ревизоры, которые проверяли ещё советские заводы и фабрики.

Они же создавали и правовую основу для своей последующей работы, готовя почву для Временных правил аудиторской деятельности 1993 года и федерального закона 2001 года. В защиту этих «сырых» и явно отстававших от эпохи документов можно сказать только одно: они были лучше, чем ничего и то, что принятие нового документа (Федеральный Закон «Об аудиторской деятельности» от 30.12.2008 №307-ФЗ) затянулось на целых восемь лет, свидетельствует как раз о столкновении консервативного и новаторского подходов к аудиту.

Особенно это касается аудита внутреннего, который с середины прошлого столетия перестал быть просто частью системы аудита и превратился в самостоятельную корпоративную дисциплину. Тем не менее даже после имплементации Международных стандартов аудиторской деятельности в России он понимается как «… организованная на экономическом субъекте в интересах его собственников и регламентированная его внутренними документами система контроля над соблюдением установленного порядка ведения бухгалтерского учёта и надёжности функционирования системы внутреннего контроля».

Между тем, во всём мире внутренний аудит давно вышел за рамки чисто финансовых проверок и понимается как независимая деятельность соответствующих специалистов предприятия или организации, направленная на проверку и оценку её работы и проводимая в её интересах. Чувствуете разницу? Внутренний аудит в таком понимании помогает обнаруживать, рассчитывать и описывать риски, то есть эффективно управлять ими и тем самым добиваться поставленных целей. При этом задействуется не только финансовая сторона, но и другие аспекты функционирования компании: и бизнес-процессы, и сохранность активов, и комплаенс, то есть внешние и внутренние документы, регламентирующие деятельность компании, и человеческие ресурсы и т. д.

А что у нас?

К сожалению, приходится констатировать, что на российской почве это не взрастает. И если производственные или торговые предприятия ещё худо-бедно могут варьировать подходы к внутреннему аудиту и лавировать между закоснелой незыблемостью российских традиций и свежим ветром перемен с Запада, то в кредитно-банковской сфере с этим совсем беда. Дело в том, что, согласно постановлению Правительства РФ, проведение внутреннего аудита является для всех субъектов экономической деятельности сугубо добровольным, однако при этом ЦБ РФ предписывает всем без исключения банковским учреждениям иметь подразделения, осуществляющие внутренний контроль, и это нормативное противоречие до сих пор не ликвидировано.

Кроме того, в нормативных документах Центробанка подробно прописаны структура, цели, задачи, направления, регламент работы и прочие нюансы деятельности службы внутреннего аудита. После знакомства с пакетом этих инструкций создаётся впечатление, что эта служба в любом банке России должна представлять собой некую причудливую помесь бухгалтера, контролёра пенитенциарного учреждения и дрессированной собачки.  

С одной стороны, такая зарегулированность помогает организовать видимость процесса, но с другой, нивелирует значимость результата. Этим создаётся невероятно широкое поле не совсем легитимных возможностей для всех его участников: невозможно получать зарплату и быть объективным с теми, кто её выплачивает, поэтому в такой ситуации каждый будет стремиться выжать из неё максимум при минимуме усилий. Причина тому – не только вышеуказанные догмы ЦБ, но и традиционная управленческая иерархия российских банков, которая подразумевает безусловное функциональное и административное подчинение подразделения внутреннего аудита руководству учреждения.

Это по умолчанию лишает первое независимости и даёт второму мощный рычаг воздействия на аудиторов: они попросту обречены на то, чтобы иметь дело с довольно узким кругом вопросов, который очерчен их непосредственным руководством. Отсюда вытекают потеря интереса к работе, прекращение профессионального развития и эмоциональное выгорание. Требование давать результаты неизбежно влечёт за собой пристальное внимание аудиторов к работе остальных сотрудников и вполне естественное недовольство последних. Одновременно с этим отсутствие у аудиторов доступа к «неудобным» местам не позволяет своевременно обнаружить пресловутые риски, что в конечном итоге может привести финансовое учреждение к критичным и даже непоправимым последствиям.

Казалось бы, всего один пример того, как работают внутренние аудиторы в российском банке, а сколько выводов можно из этого сделать, да каких выводов! А в реальности вообще доходило до смешного: в одном банковском учреждении для проведения внутренних проверок были разработаны типовые схемы с выбором одного из двух вариантов ответа. Так вот, некоторые тамошние аудиторы – по дружбе ли, по доброте ли душевной, а может, и из корысти – отправляли такие таблички отдельным руководителям отдельных подразделений: мол, ты сама всё заполни, а я потом в отчёт данные перенесу и все цифры под нужные подгоню. Всё равно документ по итогам проверки никто, кроме составителя и непосредственного руководителя, не увидит.

И как же быть?

Прежде всего, сделать волевое усилие и изменить саму иерархическую модель. Внутренний аудит в любой компании и, прежде всего, в банке, должен иметь хотя бы две линии подчинения. Если административно им может руководить директор или заместитель директора, то функционально эта служба должна напрямую подчиняться акционерам, а если это невозможно, то хотя бы высшему коллегиальному органу – тому же совету директоров. В случае конфликта интересов это позволит вынести его на обсуждение широкого круга лиц, участвующих в принятии решений, и тем самым минимизировать последствия.

Далее желательно децентрализовать внутренний аудит и обеспечить работу соответствующих подразделений в перекрёстном режиме. Это касается в первую очередь системных банков, в которых региональные подразделения внутреннего аудита должны работать исключительно вне «своего» региона – так будет обеспечена максимальная объективность как аудиторов, так и результатов их работы.

Ну и, главное, и вместе с тем, самое трудное – поменять подход к внутреннему аудиту, воспринять его по-другому. Он должен перестать быть чисто бухгалтерской работой по перепроверке документации и превратиться в полноценный процесс создания системы управления рисками, сочетающей в себе построение бизнес-процессов и внутренние контрольные мероприятия. Фактически целью работы внутренних аудиторов должен стать не перечень ошибок и нарушений, а поиск путей их предотвращения, оптимизация деятельности компании. Это касается не только банков: производство, продажи, консалтинг – современные принципы внутреннего аудита будут результативно работать вне зависимости от отрасли, не требуя при этом сверхнормативных затрат. Осталось только дождаться, когда всё это поймут те, кто отвечает за принятие соответствующих решений…

Сообщите нам!

Ваше сообщение получено!