1.1 Понятие внутреннего аудита. Усиление стратегической роли внутреннего аудита
Понятие внутреннего аудита
Внутренний аудит (Internal audit – IA) рассматривается в качестве независимой, объективной деятельности, связанной с обеспечением консультирования и гарантий, нацеленной на решение проблем улучшения деятельности организации и добавления стоимости.
При упрощенном подходе под аудитом понимают ежегодную независимую проверку бухгалтерской отчетности компании в интересах ее акционеров и осуществление простых оценок элементов управления, а аудиторы рассматриваются в качестве бухгалтеров, играющих не особенно важную тактическую роль. В отечественной практике такой подход и по сей день в некоторых случаях имеет место.
В развитых странах роль внутренних аудиторов традиционно сводилась к контролирующей. Но в их профессии за последние годы произошел фундаментальный сдвиг, который позиционирует ее как играющую гораздо более стратегическую роль.
Благодаря IA организации добиваются достижения поставленных целей. При этом практикуется использование дисциплинированного, систематического подхода к оцениванию и повышению эффективности к ряду процессов (управление организацией, контроль, управление рисками). Достижение этого рассматриваемым аудитом происходит благодаря предоставлению понимания и рекомендаций, базирующихся на анализе и оценке данных и бизнес- процессов.
С обязательством ответственности и добросовестности IA обеспечивает предоставление ценности для руководящих органов и высшего руководства как объективный источник отличающихся независимостью рекомендаций.
Усиление стратегической роли внутреннего аудита
Стратегическая роль внутреннего аудита (Internal audit) предусматривает переход от несложных и во многих случаях достаточно редких оценок элементов управления к более важному обеспечению деятельности по управлению рисками и соблюдению соответствия правилам, требованиям, нормативам и т. д.
Сегодня, как и в последнее десятилетие, наблюдается все более активное подключение внутреннего аудита к управлению рисками. Pricewater-houseCoopers еще в 2011 году провела исследование состояния профессии внутренних аудиторов (исследование проводилось по всему миру) 79 процентов респондентов указали, что в течение ближайших лет на предприятиях в области аудита будет расти внимание к программам управления рисками. Семьдесят восемь процентов выразили мнение, что будет иметь место увеличение акцента на стратегические инициативы и программы [13].
Внутренние аудиторы сегодня имеют дело с беспрецедентным уровнем изменений, которые приводят к непредвиденному возникновению все большего числа рисков и соответствующих событий. Они провоцируют, в том числе, такие «черные» события, как разлив нефти в Мексиканском заливе 2010 году и взрыв на японской атомной станции в 2011 году. Изменения связаны к примеру с тем, что:
предприятия постоянно проводят реструктуризацию, слияния и приобретения;
поставки и распределение быстро распространяются на многие географические регионы;
облачные вычисления и визуализация растворяют границы сетей;
кибермошенничество становится все более сложным и выраженным; существует угроза терактов и природных катаклизмов.
С другой стороны, регулирующие органы и правительства выдвигают все новые требования, которые организациям приходится выполнять с подключением внутреннего аудита. Это делает внутренний аудит гораздо более сложным. Старые требования обеспечения контроля должны быть сбалансированы с новыми требованиями по управлению рисками. Множество рисков должны контролироваться и смягчаться. Мошенничеству следует предотвращаться или сдерживаться с помощью риск-разведки и проверок, осуществляемых в соответствии с бизнес-стратегией. Все эти инициативы должны быть проведены через сотни процессов, отделов, подразделений и рабочих мест с тысячами сотрудников. В довершение всего, поскольку ресурсы ограничены, внутренним аудиторам приходится делать больше с меньшими затратами.
Внутренний аудит как функция должен перестроиться, чтобы быть в курсе событий и иметь отношение к бизнесу. Аудит-отделам следует принять некоторые практические стратегии для выполнения своей новой роли в организации и своего значения.
Компаниям следует концентрироваться на своих целях, принимая во внимание важность внутреннего аудита как функции. При этом нужно считаться и с требованием использования риск-аудита. Однако в этом аспекте необходимо пересматривать распространенные подходы к риск-аудиту. Согласно одному из подходов риски подразделяются на более и менее приоритетные в зависимости от вероятности их появления и степени воздействия. Первоочередные риски получают максимум внимания, в то время как низкоприоритетные, как правило, игнорируются. В то же время опыт показывает, что оценки риска могут иметь очень субъективный характер, и некоторые риски, которые, как считается, имеют низкую вероятность возникновения, рассматриваются как низкоприоритетные. Тем не менее практика показывает, что зачастую события происходят как неприятные и даже горестные сюрпризы, и вероятность их возникновения заранее не просчитывается, а соответствующие риски не рассматриваются в качестве приоритетных.
В ответ на эти сюрпризы, специалисты аудита быстро отходят от традиционных подходов к рискам к подходу, при котором в центре внимания аудита становятся цели компании в целом. Такой подход считается объективным. Главным преимуществом объективного подхода является то, что он позволяет достичь большей целенаправленности аудита, сосредоточив ресурсы аудита только на рисках, которые действительно имеют значение для стратегий и целей организации. Он также повышает способность внутреннего аудита достигать своих целей.
1.2 Условия реализации целевого подхода
Реализация целевого подхода включает в себя следующие условия.
Условие опоры на взаимодействие людей
Менеджеры организации ежедневно совершают сделки с рисками. Поскольку они понимают свои цели, они, как правило, инстинктивно знают, какие риски могут повлиять на эти цели, что создает возможности для оказания помощи аудиторам в понимании взаимосвязи между целями компании и ее рисками.
Условие использования взаимосвязи между рисками и целями
Внутренние аудиторы могут использовать ответы менеджеров (полученные в ходе опросов) по поводу наличия количественной взаимосвязи между рисками и целями. Применение этого метода позволяет обнаружить те риски, которые в противном случае могут не обнаружиться.