Риск-ориентированный подход к аудиту. Ключевым ограничением предыдущих четырех подходов является их тематическая и методологическая предопределенность. С одной стороны, это хорошо, так как узкоспециализированный подход позволяет повысить качество и увеличить объем выполняемой работы на единицу используемых ресурсов. С другой стороны, все эти подходы страдают ограничениями и не позволяют выполнять более приоритетные задачи, если они не попадают в поле экспертизы. Простой пример – с точки зрения бухгалтерского и даже налогового учета приобретение имущества по завышенной цене (при условии правильного и полного составления всех первичных документов и правильного и полного отражения операций в учете) не идентифицируется как проблема. При использовании риск-ориентированного подхода данная проблема с высокой вероятностью попадет в поле зрения команды внутренних аудиторов, так как, во-первых, изначально риск возникновения подобных ситуаций довольно высок, во-вторых, в большинстве случаев такие ситуации являются следствием пробелов в системе внутреннего контроля. Таким образом, риск-ориентированный подход позволяет избавиться от большинства ограничений других подходов и нацелен на выявление наиболее приоритетной тематики работы ПВА. При его использовании вся деятельность предприятия рассматривается с точки зрения рисков и возможностей. Как только риск обретает определенные параметры (в результате сочетания риск-образующих факторов), ключевым из которых является способность препятствовать достижению целей предприятия, он включается в тематику работы ПВА. К сожалению, риск-ориентированный подход не лишен собственных ограничений. Наиболее серьезным из них являются повышенные требования к составу и квалификации сотрудников ПВА, так как наиболее существенные риски могут быть связаны с разными аспектами деятельности предприятия и касаться разных бизнес-процессов. Хорошая новость заключается в том, что правильное использование методологии анализа и оценки бизнес-процессов и систем внутреннего контроля способно существенно нивелировать ключевое ограничение риск-ориентированного подхода. Более подробно нюансы риск-ориентированного подхода к аудиту представлены в следующей главе.
Мы рассмотрели влияние трех ключевых факторов – линий подчинения, локализации функции и подхода к аудиту – на место внутреннего аудита в управленческой иерархии предприятия. Вариации сочетаний данных факторов могут открывать перед командой внутренних аудиторов различные возможности по влиянию на процветание своей компании. Например, чем существеннее административная поддержка, чем более разветвленной является организационная структура ПВА и чем разнообразнее тематика работы, тем больше возможности ПВА по позитивному воздействию на реализацию целей компании. Однако расширение таких возможностей не может длительное время происходить в отрыве от качественных характеристик команды внутренних аудиторов. Здесь возможны два основных сценария развития событий. В первом случае ПВА изначально получает все требуемые ресурсы и карт-бланш от руководства. Однако этим еще нужно уметь воспользоваться. Попросту говоря, если ПВА не продемонстрирует адекватных результатов работы, его ресурсы и возможности могут быть существенно урезаны. Вернуть их будет непросто. Во втором случае ПВА сначала доказывает свою состоятельность и только потом получает доступ к ресурсам и поддержку руководства. Однако процесс расширения ПВА и расширения его сферы деятельности может протекать непросто и болезненно. Более детально эта ситуация рассмотрена в главе 5. В обоих сценариях есть свои плюсы и минусы. Тем не менее, если команда внутренних аудиторов высокопрофессиональна, для нее предпочтительнее первый сценарий – аудиторы, имеющие высокую квалификацию, должны найти способ достойно воспользоваться предоставленными возможностями.
Регламентация деятельности функции внутреннего аудита
Деятельность функции внутреннего аудита должна определенным образом регламентироваться[2]. Следует заметить, что слово «регламент» многие понимают как письменный свод неких правил и установок, регулирующих деятельность. Однако это заблуждение, ибо лексическое значение данного слова не уточняет способ представления.
Сложно представить успешное ПВА, большая часть процессов которого осуществлялась бы произвольно[3]. В практике чаще всего встречаются три вида регламентов:
• устав (положение о) подразделения внутреннего аудита;
• регламент взаимодействия с другими подразделениями;
• руководство по осуществлению проектов внутреннего аудита.
Устав (положение о) подразделения внутреннего аудита. Устав, по определению, представляет собой основополагающий документ для функции внутреннего аудита. Согласно Международным профессиональным стандартам внутреннего аудита положение о подразделении внутреннего аудита «…является внутренним документом, определяющим цели, полномочия и обязанности подразделения внутреннего аудита. В положении о внутреннем аудите определяются статус внутреннего аудита в организации, включая характер функциональной подотчетности руководителя внутреннего аудита совету; объем и содержание деятельности внутреннего аудита, закрепляется право доступа к документации, сотрудникам и материальным активам при выполнении соответствующих заданий». Мне всегда нравилась основная идея данного документа – снять раз и навсегда глобальные вопросы в отношении функции внутреннего аудита в компании (что должна делать, на что имеет право). Однако в российской реальности применение подобного положения имеет особенности. Во-первых, применять его в полной мере можно только в пределах того юридического лица, в котором оно было принято. Формально, если объект аудита не является с юридической точки зрения частью упомянутого юридического лица, то и следовать установкам положения о подразделении внутреннего аудита он не обязан. Во-вторых, положение во многих случаях содержит довольно общие формулировки, которые легко могут быть интерпретированы по-разному. В-третьих, подобные положения часто имеют ограниченную юридическую силу или не имеют ее вовсе, что затрудняет их использование. В основном это обусловлено несоблюдением норм российского законодательства, регулирующих деятельность акционерных обществ и обществ с ограниченной ответственностью. Например, в положении указывается, что ПВА подчиняется аудиторскому комитету. Однако такой комитет еще не создан, так как совет директоров либо еще не рассмотрел данный вопрос, либо не обладает полномочиями создавать подобные комитеты, либо не уполномочен утверждать никакие внутренние регламентирующие документы компании. Также не стоит забывать, что сам аудиторский комитет является в определенном смысле аморфной структурой – с точки зрения российского законодательства такой структуры вообще не существует, и, даже если такой комитет создается, он не имеет права самостоятельно принимать никаких решений, а должен транслировать информацию и свои оценки совету директоров. Это снижает эффективность работы аудиторских комитетов хотя бы потому, что окончательное мнение всегда за советом директоров.
Регламент взаимодействия с другими подразделениями. В данном регламенте можно прописать различные нюансы действий объекта аудита в ответ на действия ПВА. Например, можно определить следующие моменты:
• обязанности объекта аудита по обеспечению команды внутренних аудиторов рабочими местами установленного формата;
• обязанности объекта аудита по предоставлению информации в ответ на запрос ПВА в течение установленного времени;
• обязанность ПВА направлять запрос в соответствие с прописанной процедурой;
• обязанность ПВА предоставлять результаты проектов внутреннего аудита на рассмотрение руководства объектов аудита до их передачи другим адресатам;
• обязанность объекта аудита формировать план исправительных мероприятий по завершении проекта внутреннего аудита и согласовывать его с ПВА;