Institute Relations Committee

В глобальном Institute of Internal Auditors сформирован совет директоров, а также ряд комитетов, поддерживающих его работу. Institute Relations Committee работает над обеспечением устойчивого и плодотворного взаимодействия между разными национальными институтами и международным IIA, оценивает состояние и содействует в развитии национальных институтов. С этого года я вхожу в состав IR Committee. Помимо меня в комитет входят представители таких стран, как: ЮАР, Румыния, ОАЭ, Чили, Оман, Армения, Новая Зеландия, Сингапур, Канада, Япония, Гана, Марокко.

Годовые отчеты The IIA:
http://na.theiia.org/about-us/Pages/Annual-Reports.aspx

Сегодня The IIA – это одна из крупнейших международных профессиональных ассоциаций в сфере экономики, финансов и корпоративного управления, объединяющая более 185 тысяч специалистов из более, чем 100 стран мира. The IIA призван развивать профессию и поддерживать внутренних аудиторов во всем мире, формирует и поддерживает стандарты современного внутреннего аудита, играет большую роль в развитии практического корпоративного управления, внутреннего контроля и управления рисками. Российский Институт внутренних аудиторов (НП “Институт внутренних аудиторов”) на текущий момент имеет 11 региональных центров и объединяет более 4,5 тысячи активных членов.

Шейпинг талантов внутреннего аудита

Одна из характеристик развитого профессионального сообщества – наличие инструментов поиска и обмена ведущими практиками. В рамках исследования CBOK The Institute of Internal Auditors, основанного на результатах опросов практиков внутреннего аудита всего мира, готовятся методические документы по самым разным темам профессии.

Недавно была опубликована одна из таких “методичек“, посвященная вопросам мотивации и формирования аудиторской команды – Shaping an Audit Team that Adds Value and Inspires Business Improvement. Она охватывает следующие области, этапы процесса.

  • Постановка целей: соотнесение индивидуальных целей сотрудников внутреннего аудита c целями департамента внутреннего аудита и планами компании.
  • Удержание талантов: сохранение ценных кадров при изменяющихся потребностях внутреннего аудита и бизнеса.
  • Развитие сотрудников: формирование возможностей и развитие потенциала подразделения и содрудников внутреннего аудита.
  • Оценка работы: оценка внутренних аудиторов с учетом единых результатов департамента внутреннего аудита.
  • Закрепление успеха: выработка мотивационных и поощрительных механизмов.

Интересно также представление различных особенностей применения руководства в разрезе ‘теории поколений‘.

Доступ (ссылка).

В результате дефектов корпоративного управления

Интересная статья вышла в “Ведомостях” “Российские компании всё чаще ограничивают полномочия внутренних аудиторов (Это грозит плачевными последствиями для бизнеса)”. Как лет на семь назад вернулся. Только раньше про это не освещали, видимо, сейчас совсем угнетают.

  • Комитет по аудиту интересуют больше ключевые риски – техногенные, инвестиционные, рыночные. Операционный менеджмент больше интересует конкретика
  • В кризис интересны рекомендации аудиторов, позволяющие быстрооптимизировать затраты и оборотный капитал …
  • Компании пытаются исправить недостатки, выявленные аудиторами, но у них не всегда получается, потому что эти недостатки – следствие системных дефектов в корпоративном управлении
  • … внутренние аудиторы должны оценивать эффективность системы управления рисками, но раз за разом выясняется, что оценить эту систему невозможно, так как эти системы в компаниях либо по-прежнему отсутствуют, либо находятся в зачатке
  • … руководитель службы внутреннего контроля крупной международной фармацевтической компании, которая фактически выполняет в российском подразделении функцию аудитора, чуть не потеряла работу после детальной проверки подразделения по продажам своей компании. Против нее категорически выступал гендиректор российского подразделения. …
  • Внутренние расследования злоупотреблений обычно не входят в обязанности аудитора, для этого в компании есть служба безопасности …  При расследовании выясняется, что менеджмент заключил множество убыточных сделок и много украл.
  • Многим топ-менеджерам выгодна бесконфликтность внутреннего аудита … 27% российских топ-менеджеров параллельно с основной работой ведут личный бизнес. Причем почти половина менеджеров ведут бизнес в той же отрасли, где работают наемными руководителями, и не склонны это афишировать.
  • … в компании официально прописано подчинение службы внутреннего аудита совету директоров, а на деле ее полностью контролирует топ-менеджмент. У менеджмента много явных и неявных инструментов давления на внутренних аудиторов …
  • … внутренние аудиторы в ответ на претензии начальства нередко говорят: «Что вы от нас хотите? У нас всего четыре сотрудника из семи положенных по штату. На такую зарплату никто не идет работать» …

Источник:http://www.vedomosti.ru/management/articles/2016/02/16/629681-rossiiskie-kompanii-vse-chasche-ogranichivayut-polnomochiya-vnutrennih-auditorov

Другой CIA

Все знают … ну, может не все, но все, кто знает, тот знает, … что есть британская, а есть американская модели присуждения профессиональных квалификаций. Есть британские ACCA, CIMA, а есть американские CPA, CMA, ну, а также CFA, CFE, CIA и др. Притом чтобы британские получить, нужно ого-го как много сдать «бумаг», а с американскими как-то с виду попроще … 3-4, и часто только MSQ.

Что касается квалификаций в области внутреннего аудита, то здесь была своя история. Ведь the Institute of Internal Auditors хоть и зародился в США, на самом деле, уже давно себя очень активно позиционирует именно в качестве международного. И в названии ничего «американского» нет, как, например, у AICPA. Такой подход давал много преимуществ в содействии развития профессии. И честно говоря, в целом у IIA это получалось.

В то же время существовал так называемый IIA UK & Ireland, британо-ирландский институт (теперь CIIA). Он, несомненно, тоже часть единой, глобальной семьи — его члены автоматически включаются в состав сети IIA и получают все права и доступ к базам. Однако имеются некоторые особенности. Он крупный — второй по масштабу национальный институт в мире (хотя по численности членов, может, на текущий и Китай уже обогнал, но лет 10 назад точно был второй). Он зарождался и развивался в целом независимо, аутентично. И развился к 2000-м годам до такого уровня, что в целом качественно не уступал американскому внутреннеаудиторскому сообществу: красивыйсайт, управление, вклад в развитие профессии, свой журнал, своя система членства. И в середине 2000-х даже удалось ему получить статус «Chartered«, став Chartered Institute of Internal Auditors.

Наконец, оказалось, что CIIA расположен в той же стране, откуда «пошла есть» развиваться и международно проявляться легендарная ACCA. А the IIA оказался заинтересованным в партнерских отношениях с ACCA, рассматривая её как международную организацию (кстати, самую крупную). C AICPA the IIA тоже дружит — не просто ведь так в COSOвместе что-то постоянно творят. В итоге CIIA оказался ещё более (чем был) стратегически важен. Для развития именно международной составляющей, ведь налаживая партнерские отношения, the IIA стал таким объединителем крупнейших аудиторских профессиональных сообществ мира.

Но вот, была одна загвоздка постоянно. Свой журнал у CIIA, красивый сайт, много членов — это еще можно стерпеть. Но вот своя квалификация, это как-то не по-международному. Да, у CIIAбыла своя квалификация — своя система дипломов, которая по своей логике была ближе к ACCA/CIMA, чем к утилитарному «Certified Internal Auditor«. Получив международно-американский CIA можно было достичь только одно уровня в системе квалификаций CIIA, так же, как и для ACCA/CIMA можно получить несколько ощутимых зачетов «автоматом», сдав «американские» CPA/CMA.

Другой CIA

Конечно, в итоге они договорились. И случилось необычное. С одной стороны, CIIA, в каком-то смысле, отказался от своих квалификаций, точнее от их названий  в пользу CIA (Certified Internal Auditor). Объявил о  конвергенции сертификатов и системы тестов. А с другой, IIA расширил набор своих квалификаций и совершил переход к системе, которая теперь скорее напоминаем британскую: появился «следующий уровень» — QIAL (Qualification in Internal Audit Leadership).

В то же время CIIA всё же кое-что да сохранил. А именно оставил за собой право называть Chartered Internal Auditor. Опять «CIA», но другой «CIA», повыше, соответствующий уровню QIAL. Это интересный ход, поскольку, следуя названию, вовсе не обязательно рассуждать, есть у вас или нет формально «leadership» во внутреннем аудита, чтобы стать «chartered» («королевский статус»). Все члены CIIA, кто получат QIAL, могут запросить автоматическое присуждение “Chartered Internal Auditor”. Ну, и наоборот. Таким образом, квалификации на уровне QIAL и Chartered IA тождественны. Но только в Великобритании даётся статус «chartered«. То есть теперь в CIIA можно сначала получить CIA, который “Certified Internal Auditor”, а потом CIA, который “Chartered Internal Auditor”.

Про квалификации можно здесь почитать: http://iia.org.uk/qualifications/

Кто захочет вступить в CIIA, и если имеются вопросы, могу дать консультации. В целом это не очень сложно.

Про аудит стратегии и долгосрочных программ развития

У многих компаний стоит задача конкретизации стратегии и выработки долгосрочной программы развития (ДПР), центровым элементом которой являются ключевые показатели эффективности (КПЭ).  А для самых крупных компаний определена необходимость проведения внешнего ежегодного «аудита» ДПР с выдачей экспертного заключения о выполнении данных КПЭ. И даже было опубликовано типовое техническое задание для данного вида проверки. Оно, правда, вызвало много дискуссий и непонимания в профессиональных сообществах. Но аудиторы, финансисты и специалисты по корпоративному управлению в итоге справились.

Для проведения такой проверки нам пришлось разработать отдельную, содержательную методологию «комбинированного аудита», которая совмещает в себе как оценку системы внутреннего контроля, так и проверки по существу, а также охватывает отдельные частные аспекты, включенные в типовое техническое задание: качество готовой продукции, эффективность использования бюджетных средств, управленческая отчетность, нефинансовые показатели. В качестве источников для разработки брались подходы, описанные в МСА, а также других аудиторских стандартах, например, 5-й стандарт PCAOB (который про «integrated audit«), «performance audit«, а также руководства по оценкам внутреннего контроля, выработанные в рамках работы профессиональных сообществ Institute of Internal Auditors.

Кратко методологию можно описать следующими этапами и стадиями.

  • Определение объёма проверки: представления о целях ДПР; показателях с ней связанных; анализ общих рисков ДПР; анализ модели корпоративного управления; формирование общего плана проверки;
  • Оценка рисков и планирование: анализ рисков в процессах, связанных с мероприятиями ДПР;  анализ общей системы управления рисками ДПР; рассмотрение системы учёта и документооборота; изучение системы мониторинга финансовых потоков, связанных с ДПР; детальное планирование проверки;
  • Диагностика внутреннего контроля: оценка дизайна контроля над реализацией мероприятий ДПР; оценка дизайна контроля в отношении финансовой информации; оценка эффективности средств контроля и мониторинга; анализ причин выявленных недостатков; рассмотрение работы других аудиторов;
  • Проверка по существу: проведение аналитических процедур; подготовка и выполнение тестов по существу по финансовым и нефинансовым показателям; оценка степени достижения показателей ДПР;
  • Завершение проверки: анализ и исследование причин отклонений; подготовка первоначальных выводов и рекомендаций и их обсуждение с руководством; предоставление финального отчёта в соответствии о форматом, окончательных выводов и рекомендаций; подведение итогов проверки.

Подход риск-сфокусированный, это позволяет лучшим образом спланировать ключевые — ревизионные, детальные — процедуры, направленные на подтверждение фактов выполнения КПЭ. Подход может быть полезен для ежегодного «среза» выполнения стратегических или долгосрочных планов, для оценки эффективности работы крупных компаний (не только государственных), для выработки методологии систематизированных и последовательных общекорпоративных проверок, для работы ревизионных комиссий.


Требуется аудит стратегии или долгосрочной программы развития? Контакты: здесь.

«Культурный аудит»: об аудите организационной культуры

В теории рисков и контроля корпоративную культуру рассматривают как важную часть контрольной среды. Сегодня на профессиональных конференциях всё чаще звучат высказывания о необходимости оценки контрольной среды с фокусом на аспекты корпоративной культуры. Это, несомненно, правильная рекомендация для тех случаев, когда есть задача оценки, распространяющейся на всю компанию. Ведь такой срез позволяется глубже понять ценности, убеждения, стимулы поведения людей, и насколько эти стимулы сопоставимы с видением и ценностями организации.

Во второй половине 2000-х я участвовал в проекте, посвященном выработке подхода и методологии аудита корпоративной культуры. На фоне других консультационных проектов, типичных для того времени, данное задание выглядело необычно. Тогда я исследовал много информации по теме, однако какого-то конкретного руководства (инструкции, программы, практических примеров) найти не удавалось. Большинство похожих методик касалось вопросов корпоративного управления, бизнес-этики, вопросов противодействия мошенничеству, стратегии, управления человеческими ресурсами. В любом случае наработки по этим темам смогли дать лишь определенные подсказки — пришлось много обсуждать и дискутировать. Также у клиента было свое строгое профессиональное видение по этому вопросу. В итоге получился очень интересный документ — и полученный опыт пригодился для многих других проектов и заданий в будущем.

Данная тема потом стала развиваться, и всё больше компаний стало вовлекаться в подобные «упражнения» и (даже) извлекать пользу из такого или почти такого аудита. А недавно Chartered Institute of Internal Auditors (CIIA, Великобритания и Ирландия), выпустил брошюру, посвященную вопросам корпоративной культуры и подходам к аудиту корпоративной (организационной) культуры (скачать). Поскольку эта ‘методичка‘ всё же для внутренних аудиторов, она во многом даёт видение этого вопроса через понимание ‘риск-культуры’ (risk culture). В ней приводится и ряд ссылок на корпоративные примеры рассмотрения и оценки корпоративной культуры аудиторами. Также институтом CIIA проводится исследование ‘Аудит культуры‘ о том, как это делается такой аудит в разных компаниях, в котором может поучаствовать каждый.

Внутренний аудит и новый социализм

Интересная статья по теме ‘Внутренний аудит и социальные медиа‘. Интересно именно то, что опять подается с точки зрения традиционного внутреннего аудитора, оставшегося где-то в прошлом веке. Уже года 3-4, как в сообществе начали выходить статьи о роли ВА в отношении соцсетей, но пока ничего не сдвинулось в части восприятия этих тенденций.

Источники: HighBeam | Internal Auditor

Социальные сети, определяющие сегодня форматы массовых коммуникаций, уже серьезно влияют на бизнес, и даже традиционные, базовые, а не только технологические отрасли. Они начинают трансформировать финансовые рынки. И скоро даже будут трансформировать денежные отношения / системы.

Cоответственно, уже в недалеком будущем могут полностью изменить формат Управления Организацией (Governance), осуществив переход от современных форматов Corporate Governance к форматам Social Governance: прямое управление (“прямая демократия”), “обыгрывание” бизнес-процессов, командная конкуренция, flash-отчетность, краудфандинг-краудинвестинг, онлайн-публичность и т.п.

И это, соответственно, может сильно повлиять на сам “внутренний аудит”, изменив его до неузнаваемости, возможно, со временем прекратив его существование в том виде, в котором он представлен сегодня.

Internal audit of a freight company (Внутренний аудит грузовой компании)

Theme: Internal Audit Function Development Strategy Тема: Стратегия развития функции внутреннего аудита
Company: Large Freight Company (rail-road) Компания: Крупная грузовая компания (железнодорожные перевозки)
Date: November 18, 2012 Дата: 18 ноября 2012 года
Structure: Vision, strategy and time plan of development for the internal audit function of large freight company (rail-road logistics operations). Структура: Видение, стратегия и примерный план развития функции внутреннего аудита для крупной грузовой компании (работающей в области железнодорожной логистики).
  • Main goal and key aspects of internal audit activity.
  • General strategical initiatives.
  • Plan of activities to support the initiatives.
  • Vision on tasks and organisation of the company’s internal audit.
  • Основная цель и ключевые аспекты деятельности внутреннего аудита.
  • Главные инициативы стратегии.
  • План мероприятий к главным инициативам.
  • Целевой функционал и организационная структура подразделения внутреннего аудита.

Internal audit enhancing business (Внутренний аудит, совершенствующий бизнес)

Vasily Kudrin. Modern role of internal audit in supporting and enhancing business. // Василий Кудрин. Современная роль внутреннего аудита в поддержке и совершенствовании бизнеса.
Author: Vasily V. KudrinTheme: Modern role of internal audit in supporting and enhancing business Автор: Василий В. КудринТема: Современная роль внутреннего аудита в поддержке и совершенствовании бизнеса
Conference: “Intra-corporate control and audit: principles, approaches, problems and solutions”, ADK Group Конференция: “Внутрикорпоративный контроль и аудит: принципы, подходы, проблемы и решения”, ADK Group
Date: February 25, 2010 Дата: 25 февраля 2010 года
  • Reviewing approach to governance over risk management practice;
  • Risk management as a business tool: downside risks (losses, dangers) and upside risks (missed opportunities);
  • Systemic approach to risk assessment for purpose of business improvment and enhancement;
  • Assessment of the components and improvement of the risk management model;
  • Balancing better control and process improvement;
  • Current role of internal audit in corporate risk management.
  • Пересмотр подхода к надзору за практиками управления рисками;
  • Риск-менеджмент как бизнес-инструмент: риски “опасности” и риски “упущенные возможности”;
  • Систематизированный подход к оценке рисков для целей совершенствования и развития бизнеса;
  • Оценка компонентов и совершенствование модели управления рисками;
  • Балансирование между “усилением контроля” и “улучшением процесса”;
  • Современная роль внутреннего аудита в вопросах корпоративного управления рисками.
Link: look-up [rus] Ссылка: смотреть [рус]

Look for a transformation of internal audit to promote business growth? | Необходим план трансформации внутреннего аудита, направленный на содействие развитию бизнеса?


Аудит внутреннего контроля над подготовкой финансовой отчётности, роль внутреннего аудита

Аудит внутреннего контроля над подготовкой финансовой отчетности

Тема: Аудит внутреннего контроля над подготовкой финансовой отчётности, роль внутреннего аудита. Презентация состоялась 15 сентября 2009 года на встрече российского Института внутренних аудиторов в Москве.

Тезисы: Суть и цель аудита системы внутреннего контроля над подготовкой финансовой отчетности (СВКФО), стандарты и методология. Практические примеры (существенных) недостатков, «слабых сторон» и отчётных документов. Координация между внутренними и внешними аудиторами. Исследование факторов рисков существенных искажений отчетности. Подход к общим ИТ- и другим контролям. Профессиональные компетенции аудиторов СВКФО.

SlideShare: смотреть.

Topic: Internal Control over Financial Reporting Audit (ICOFR), Role of Internal Audit. The report was made at Russian Institute of Internal Auditors meeting in Moscow on September 15th, 2009.

Nature and purpose of ICOFR auditing, standards and methodology. Practical examples of (significant) deficiencies, weaknesses, and reporting statements. Coordination between internal and external auditors. Uncovering risk factors of material misstatements. Approach for general IT and other controls. Professional competencies of ICOFR auditors.

SlideShare: look-up.

Руководство COSO по мониторингу систем внутреннего контроля

Комитет спонсорских организаций Комиссии Тредуэя (COSO) после долгого периода разработки выпустил окончательную версию Руководства по мониторингу систем внутреннего контроля.

Организации могут использовать широкий набор процедур мониторинга, включая, но не ограничиваясь этим:

  • Периодические оценки и тестирование контролей внутренним аудитом,
  • Программы постоянного мониторинга, интегрированные в информационные системы,
  • Анализ (и соответствующее исследование) оперативных отчетов и показателей, которые могут выявлять отклонения, указывающие на недостатки в контроле,
  • Управленческие обзоры контролей, такие как сопоставительные сверки в рамках обычного проведения процессов,
  • Самооценки, проводимые советом директоров и менеджментом касательно эффективности выполнения своих контрольных функций и общей корпоративной дисциплины,
  • Специальные запросы комитета по аудиту к внутренним и внешним аудиторов,
  • Оценки качества работы служб внутреннего аудита.

Введение (краткое изложение): посмотреть.

Формирование службы внутреннего аудита

Газета, стр. 15, 9 июля 2008 – Василий Кудрин, CIA, CFE, CCSA, старший менеджер, руководитель направления услуг в области внутреннего аудита компании “Эрнст энд Янг”.

В настоящее время эффективная служба внутреннего аудита (СВА) приобретает все большее значение для успешного ведения бизнеса. Основные ожидания от СВА со стороны комитета по аудиту и менеджмента включают оценку и отчет о недостатках в системе внутреннего контроля, информирование об основных рисках компании и рекомендации по совершенствованию процессов контроля и бизнес-процессов.

При формировании СВА необходимо, во-первых, уделить внимание должному тону сверху. Необходимо помнить, что внутренний аудит – это не просто инструмент собственника, с помощью которого осуществляется проверка работы менеджмента.

Внутренний аудит – это функция, созданная для предприятия, которая помогает ему достичь поставленные цели. Но при этом она должна быть организационно независимой и объективной, следовательно, быть функционально, по всем основным вопросам подотчетной совету директоров / комитету по аудиту.

Подотчетность внутреннего аудита именно комитету по аудиту в составе совета директоров имеет определенный смысл, поскольку комитеты по аудиту, особенно в публичных компаниях, состоят в основном или полностью из независимых директоров. При такой системе повышается независимость внутреннего аудита не только от менеджмента, но и от отдельных крупных акционеров / владельцев компании, имеющих больший контроль над бизнесом, нежели миноритарии и другие заинтересованные стороны.

Компаниям рекомендуется разработать стратегию внутреннего аудита. Стратегия, как правило, представляет собой краткую презентацию, в которой изложено видение руководителя СВА того, какие цели и задачи будет выполнять СВА, какая политика мотивации и развития персонала необходима в СВА и т. п.

Стратегия представляется и согласуется с советом директоров и высшим руководством компании. На этом же этапе руководителю внутреннего аудита рекомендуется получить и оценить положение о комитете по аудиту на предмет того, как комитет по аудиту осуществляет свои надзорные функции над СВА, а также выработать положение о СВА.

Следующая стадия – определение фронта работ СВА в рамках годового плана. Планирование работы внутреннего аудита следует основывать на общекорпоративной оценке рисков. Если в компании не проводятся процедуры оценки рисков, СВА может взять на себя процесс сбора информации о рисках. Таким образом, СВА, с одной стороны, проводит свою “независимую” оценку рисков, а с другой, показывает руководству на практическом примере, как эти процедуры оценки рисков можно осуществлять. Поняв, какие ключевые риски свойственны бизнесу компании, СВА определяет, в каких процессах, функциональных и бизнес подразделениях, проектах, корпоративных инициативах они проявляются. Так выбираются объекты для аудита и формируется план работы СВА. Необходимо помнить, что при этом рассматривается весь набор бизнес-процессов компании и, следовательно, весь спектр рисков, а не только риски в области учета и отчетности. Налоговые и нормативные, правовые риски в современной российской действительности являются критичными. Так же, как правило, очень существенны риски мошенничества, риски в области управления инвестициями и проектами капитального строительства, риски в закупках и снабжении, риски в продажах и маркетинге, риски в управлении крупными контрактами.

Только потом детально прорабатываются вопросы ресурсообеспечения – кадрового (штатные сотрудники или аутсорсинг), материально-технического, финансового, а также определяется, какое методологическое и (впоследствии) программное обеспечение необходимо.

Модель компетенций внутреннего аудита

Theme:  Effective Internal Audit Competency Framework Тема: Эффективная модель компетенций внутреннего аудита
Master Class: Large Oil Company Мастер-класс: Крупная нефтяная компания
Date: April 29, 2008 Дата: 29 апреля 2008 года
Approach of development of effective internal audit competency framework integrated with current company’s human resourse management procedures. Подходы к построению эффективной модели компетенций внутреннего аудита с учетом принятых в компании процедур управления кадрами.
  • Components of Internal Audit people model.
  • Competency development approach.
  • Assessement tools.
  • Competency development program.
  • Integration with human resourse procedures.
  • Internal audit competency model.
  • Компоненты кадровой модели внутреннего аудита.
  • Подход к развитию компетенций.
  • Инструменты оценки.
  • Подготовка программы улучшения и развития компетенций.
  • Интеграция с процедурами управления кадрами.
  • Модель компетенций внутренний аудиторов.

Понятие внутреннего контроля и управление рисками (мастер-класс)

Theme: Internal Control and Risk Management Concept (Internal Audit Engagement Methodology: part 2) Тема: Понятие внутреннего контроля и управление рисками (Методология проекта внутреннего аудита: часть 1)
Project: CAE and Leadership Strategical Competence Проект: Развитие стратегических компетенций руководства внутреннего аудита
Dates, duration: July 5, 2007, 8 hours Даты, продолжительность: 5 июля 2007, 8 часов
Program: Effective practical approach to internal control and risk management implementation. Программа: Практика построения эффективной системы внутреннего контроля и управления рисками.
  • Definitions of internal control and risk management.
  • Conceptual frameworks for internal control and risk management integrated systems. COSO models and others.
  • Three-line defence model.
  • Practical approach to internal control system improvement.
  • Requirements of corporate governance regulation.
  • Определения внутреннего контроля и управления рисками.
  • Концептуальные модели интегрированных систем внутреннего контроля и риск менеджмента. Модели COSO и другие.
  • Модель “трёх линий защиты”.
  • Практичный подход к построению системы внутреннего контроля.
  • Требования регуляторов корпоративного управления.

Понятие внутреннего аудита (мастер-класс)

Theme: Internal Audit Concept (Internal Audit Engagement Methodology: part 1) Тема: Понятие внутреннего аудита (Методология проекта внутреннего аудита: часть 1)
Project: CAE and Leadership Strategical Competence Проект: Развитие стратегических компетенций руководства внутреннего аудита
Dates, duration: July 3-4, 2007, 12 hours Даты, продолжительность: 3-4 июля 2007, 12 часов
Program: Internal audit role: practical implication, standards of internal audit profession. Программа: Роль внутреннего аудита: практическое понимание, стандарты профессии “Внутренний аудит”.
  • Modern role and definition of internal auditing.
  • Independence and objectivity concepts. Assurance and consulting services of internal audit. Essence of systemic and disciplined approach.
  • Internal audit role in management of risk. Connection to internal control and risk management, conceptual frameworks.
  • Internal control and risk management  development program design.
  • The Standards of the Institute of Internal Auditors.
  • Современная роль и определение внутреннего аудита.
  • Концепция независимости и объективности. “Гарантии” и консультационные услуги внутреннего аудита. Cуть систематизированного и последовательного подхода.
  • Роль внутреннего аудита в управлении рисками. Взаимосвязь внутреннего аудита с внутренним контролем и управлением рисками. Концептуальные модели.
  • Стандарты международного Института внутренних аудиторов.

Combination: internal audit and fraud prevention (Комбинация: внутренний аудит и противодействие мошенничеству)

Master class: Internal Audit Function, Fraud Prevention and Investigation  Мастер-класс: Функция внутреннего аудита, предотвращение и расследование мошенничества
Project: Internal Control System Improvement (Coal Mining Enterprise) Проект: Совершенствование системы внутреннего контроля (предприятие угольной промышленности)
Date: January 18, 2007 Дата: 18 января 2007 года
Establishment of effective internal audit function as well as fraud prevention and investigation practice. Формирование эффективной службы внутреннего аудита и практики предотвращения и расследования мошенничества.
  • Combination of internal audit and anti-fraud practice.
  • Four lines of defense in anti-fraud.
  • Evolution of internal auditing.
  • Solution to develop integrated practice.
  • Комбинация работы функции внутреннего аудита и практики противодействия мошенничеству.
  • Четыре линии защиты в противодействии мошенничеству.
  • Развитие функции внутреннего аудита.
  • Решение и подход по построению комбинированной практики.
Link: presentation Ссылка: презентация (EN)

Внутренний аудит: перестройка имиджа

О развитии профессиональной услуги “Внутренний аудит”, которая приобрела огромный интерес в последние годы как в международном, так и (теперь) в российском бизнесе – в статье Василия Кудрина, CIA, “Внутренний аудит: перестройка имиджа”. Статья (с небольшими изменениями) впервые была опубликована в корпоративном журнале “ЮКОС-Ревю” № 4 (октябрь 2004 г.).

Что такое внутренний аудит?

Это «… деятельность по предоставлению независимых и объективных гарантий и консультаций, направленных на создание добавленной стоимости и совершенствование хозяйственной деятельности компании» (из Стандартов профессиональной практики внутреннего аудита). Гарантии и консультации – два продукта аудита. В одних аудиторских проектах (assurance) внутренние аудиторы дают разумные гарантии – ответ на вопрос, работает ли система внутреннего контроля, требует ли она улучшений. В других проектах (consulting) внутренние аудиторы могут работать как фасилитаторы, содействующие менеджерам в процессе принятия управленческих решений … при этом вовсе не участвуя в самом процессе принятия решений роли не участвуют.

Внутренний аудит развивается и эволюционирует. В настоящее время выделяется 4 роли внутреннего аудита в компаниях: (1) оценка соблюдения процедур, (2) оценка составляющих внутреннего контроля, (3) содействие менеджменту в совершенствовании и ре-инжиниринге бизнес-процессов (performance improvement), (4) в реализации принятой стратегии бизнеса.

«Внутренний аудит помогает компании достичь поставленные цели, используя систематизированный и последовательный подход к оценке и повышению эффективности управления рисками, контроля и системы корпоративного управления». Так понимается внутренний аудит в лучшей международной практике. Именно с таким пониманием сегодня работают уже многие внутренние аудиторы, практикующие в России.

Внутренний аудит – это искусство, наука и техника одновременно. Современный внутренний аудит – это не просто проверка соблюдения регламентов. Это скорее похоже на творческий изыскательский проект, где каждый пласт информации требует нового осмысления, объяснения, дополнительного анализа. Потребности современного бизнеса усложняются и изменяются. Сам бизнес это и есть перемены, движение вперед, а внутренний аудит – услуга, которая всецело этому содействует. Перемены неизбежны! Мы всегда живем в период перемен – и очень часто почему-то этому удивляемся! Вместо того, чтобы пассивно наблюдать, как они на нас влияют, нам необходимо уметь их предвидеть, предпринимать инициативу и помогать Компании извлекать преимущества из данных перемен.

Управление рисками и внутренний аудит.

Лучшая практика внутреннего аудита ориентирована на поиск эффективных методов управления рисками. Под бизнес-риском мы понимаем вероятность того, что событие или действие при своем наступлении повлияют на способность достижения целей либо приведут к убыткам, ущербу для Компании. По сути это то, что препятствует нашей качественной работе, удовлетворенности клиентов и мотивации сотрудников, – то, что препятствует достижению наших бизнес-целей. Значит, соответствующее построение риск-менеджмента – это главная предпосылка корректного, должного функционирования функции «Внутренний аудит» в Компании. Именно коренные изменения в управлении рисками (risk management), революция в некотором смысле, сделают возможным полноценное использование внутреннего аудита в компаниях.

Однако в России внутренний аудит исторически, по инерции воспринимается как контрольно-ревизионная работа. Именно поэтому сегодня внутренний аудит сталкивается с трудностями. Даже в тех компаниях, где функция «Внутренний аудит» развивается по международных примерам, один из существенных рисков аудиторского проекта – это предвзятое восприятие  работы внутренних аудиторов.

В чем перемены?

Первые задачи, связанные с построением службы внутреннего аудита во многих крупных компаниях, уже решены. Какие-то компании, чьи акции котируются в Нью-Йоркской фондовой бирже, к этому подтолкнули требования акта Сарабенса-Оксли (SOA, Sarbanes-Oxley Act); кто-то сам пришел к необходимости комплексной перестройки. Разработаны политики в области внутреннего аудита, приняты положения о внутреннем аудите, главное – выстроены организационные связи: в лучших практиках, а для кого-то по требованиям законодательства, внутренний аудит должен быть функционально подотчетен аудиторскому комитету совета директоров. Так обеспечивается независимость службы внутреннего аудита, а также формируется возможность постоянного контакта и конструктивном взаимодействия как с менеджментом, так и с советом директоров.

Проект внутреннего аудита можно рассмотреть как проект, задание (engagement), включающее 4 фазы:

  1. Определение предметной области и объема аудита (engagement scope);
  2. Планирование (engagement plan), в основном связанное с составлением программы проекта и планирование ресурсов;
  3. Выполнение (execute), или «полевые работы» (field work);
  4. Завершение (conclude), результатом которого является отчет (report). Отчет по результатам аудиторского проекта включает также план действий (action plan), разработанный менеджментом по результатам согласованных рекомендаций.

Определение предметной области.

    • Проект открывается (инициируется) – как на основе годового плана (annual plan / program) внутреннего аудита, утверждаемого советом директоров, так и по согласованию с топ-менеджментом компании.
    • Осуществляется сбор и анализ информации из различных источников, в том числе путем проведения интервью, составления опросников (questionnaires), организации выездов на объекты, «в поля» (preliminary surveys).

Важный шаг в аудиторском проекте – это встречи с клиентом. Аудиторы исходят из того, что встреча с клиентом должна быть тщательно подготовлена и проведена в конструктивной атмосфере. Ключевой фактор здесь – это всесторонняя подготовка встречи и профессионализм аудитора (due diligence).

Аудитор должен быть уверен, что работа, которую он делает, приносит пользу Компании и ее акционерам. Он должен понимать и уметь объяснять клиенту, в чем польза внутреннего аудита, почему и как им добавляется стоимость (“add value” approach).

На этом же этапе совместно с клиентом рассматривается схема бизнес-процесса, определяются и оцениваются на SMART бизнес-цели, обсуждается с клиентом список бизнес-рисков, оценивается их «вероятность» и «значимость», то есть составляется карта, или профиль / матрица, бизнес-рисков (risk profile / matrix).

Принцип SMART (SMART, Specific, Measurable, Agreed to, Realistic, Time-bound) – специфично, измеримо, согласованно, реалистично, своевременно. Критерий или стандарт, в соответствии с которым измеряются бизнес-цели и управленческие планы действий.

  • Далее организуется встреча с куратором проекта со стороны клиента, где аудиторами добывается новая информация, и собирается информация, которая ранее не могла быть получена по различным причинам. На основе обсуждений, встреч, анализа информации формируется “техническое задание” (engagementproposal), необходимое для определения предметной области, или фронта и объема работ (engagementscope).

Планирование. В рамках «Планирования» аудиторы готовят программу внутреннего аудита и формируют команду аудиторов в соответствии с их компетенциями – знаниями, навыками и опытом. Далее организуется встреча аудиторов и менеджеров, на которую аудиторы приходит не только с концепцией аудиторского проекта, но и с программой проекта – графиком работ и конкретной аудиторской командой. По результатам такой встречи появляется письмо о взаимодействии, т.е. письма-обязательства (аналог engagement letter), которое является стандартом аудиторской практики. Данное письмо – есть договоренность между аудиторами и менеджерами о том, кто и что делает для того, чтобы на выходе получить результат в виде отчета внутренних аудиторов, включая разработанный менеджментом необходимый план действий.

Выполнение. После вступительной встречи стартует фаза «Выполнение». Некоторые аудиторские проекты теперь все больше охватывают всю Компанию, ведь бизнес в Компании все больше интегрируется, а с ним и система внутреннего контроля, и система управления рисками. При этом внутри стадии «Выполнение», как правило, организуются «полевые работы», выезды, особенно там, где необходимо понять, как система контролей выстроена на уровне бизнес-подразделений (business units).

«Выполнение» делится на 2 этапа – 2 части оценки системы внутреннего контроля: оценка дизайна контроля (control design evaluation) и тестирование контролей (testing). Цель оценки дизайна контроля – понять, насколько менеджмент при построении системы внутреннего контроля учел все необходимые критерии и цели контроля (control objectives, control criteria).

В мире существует несколько общепринятых принципов при построении системы внутреннего контроля. Наибольшую известность имеет модель, разработанная Комитетом спонсорских организаций – COSO (в которую входят такие организации, как AICPA, IIA, IMA, FEIAAA. Именно на эту модель дана прямая ссылка в 404-й статье акта Сарбанеса-Оксли. По модели COSO Internal Control – Integrated Framework система внутреннего контроля состоит из 5 взаимосвязанных компонентов, каждый из которых имеет отношение ко всем категориям бизнес-целей (стратегическим, операционным, целям отчетности и соответствия требованиям законодательства):

  • Контрольная среда – Control Environment;
  • Система выявления и оценки рисков – Risk Assessment;
  • Контрольные процедуры – Control Activities;
  • Информационная среда и система коммуникаций – Information and Communicatoin;
  • Мониторинг СВК – Monitoring.

В октября 2004 года издана новая разработка COSO – модель COSO ERM – Integrated Framework (ERM – enterprise risk model), которая объединила в себе как компоненты системы внутреннего контроля, так и компоненты системы управления рисками.

В настоящее время во многих крупных компаниях уже идет работа по формированию единого подхода к системе внутреннего контроля (internal control system) и оценке ее функционирования менеджментом (management assessment of controls). Внутренний аудит со своей риск-ориентированной методологией (risk – based approach) играет при этом важную роль в формировании эффективной системы внутреннего контроля, включая процесс управления рисками. В некоторых компаниях внутренний аудит даже берет на себя роль инициатора (trigger) этого процесса, без дальнейшего участия в формировании самой системы внутреннего контроля, т.к. это могло бы повлечь за собой нежелательное воздействие на независимость внутреннего аудита в компании.

Завершение. Завершается проект формированием отчета, который направляется ответственным менеджерам для обсуждения и согласования. По результатам согласования рекомендаций менеджмент составляет план действий (action plan), который становится неотъемлемой частью окончательного отчета (final report) аудитора.

Развитие внутреннего аудита.

Внутренний аудит развивается в 3-х взаимосвязанных составляющих: технология, люди и управление знаниями.

Технология. Сегодня о развитии внутреннего аудита можно говорить, если осваивается специализированное аудиторское программное обеспечение (ПО), в дальнейшем интегрированное с единым ПО в области управления рисками, а также прочими программными продуктами, имеющими общекорпоративный масштаб.

Людиосновной капитал любой службы внутреннего аудита. Их знания, навыки, опыт, профессионализм и креативность. Эффективная аудиторская команда включает специалистов в разных областях. Отдельный внутренний аудитор не обязан быть специалистом во всех направлениях. Но в совокупности команда должна обладать набором знаний и навыков, достаточным для реализации эффективного аудиторского проекта. Если во внутреннем аудите нет таких людей, то есть 2 выхода.

Первый – нанять человека извне, но, как правило, не из самой компании, т.к. по Стандартам в целях объективности и независимости аудитор не может оценивать контроли в тех процессах, где он был исполнителем, собственником в недавнем прошлом.

Другие решение – аутсорсинг внутреннего аудита – услуга, которую в России предлагают сегодня некоторые консультационные компании. Аутсорсинг, кроме того, может быть общим решением по компании.

Настоящий аудитор обладает 3 видами знаний:

  • профессиональное знание аудиторских принципов, подходов и процедур;
  • хорошее знание принципов управления, в том числе корпоративного управления;
  • специальное знание в одной из областей, например финансы, право, ИТ, учет, логистика, закупки, производство и др.

Часто можно услышать, что аудиторы – дженералисты (от «general» – «общий», «общего характера»), ведь в своих проектах аудиторам приходится осваивать самые разные области деятельности. В дальнейшем из аудиторов получаются хорошие руководители высшего звена.

Одно из требований, предъявляемое к практикующим внутренним аудиторам, – это постоянное развитие, обучение. Во-первых, оно достигается само собой: аудиторы постоянно переключаются с одного проекта на другой – с одной области знаний на другую. Во-вторых, для внутренних аудиторов должны проводиться тренинги 2-х планов: на «аудиторскую» тематику и тренинги на развитие гибких навыков (soft skills) – коммуникационные, презентационные, управление проектами. В-третьих, аудиторы проходят профессиональное обучение и сдают экзамены на степень CIA (Certified Internal Auditor), поддерживаемую Институтом внутренних аудиторов (IIA, Institute of Internal Auditors).

Система управления знаниями (knowledge management). Управление знаниями – основа роста внутреннего аудита. Эта задача представляется особенно важной, т.к. внутреннему аудиту свойственна текучка, а знания должны оставаться именно там, где «проживает» внутренний аудит.

Итак, внутренний аудит развивается – в России и во всем мире. Но каждый продукт ценен благодаря его оценке своим потребителям. Клиенты – это прежде всего менеджеры Компании – люди, принимающие решения. Надо понимать, что высокоэффективный внутренний аудит – это уже не просто миф в российской деловой практике, а выраженная потребность. Сегодня нашим внутренним аудиторам остается сделать важный шаг – на деле подтвердить свою роль и подкрепить имидж. Наградой за это будут более эффективные аудиторские проекты и возросшая оценка услуги «внутренний аудит» со стороны акционеров и топ-менеджеров.

Риск-ориентированный аудит

Институт внутренних аудиторов (Великобритания и Ирландия), август 2003
Профессиональная позиция. Источник: www.iia.org.uk. Перевод: Василий Кудрин.

Введение


Фокус работы внутреннего аудита за последние годы значительно изменился. Произошло смещение от системно-ориентированного аудита к процессно-ориентированному аудиту, и акцент в настоящее время делается на риск-ориентированный внутренний аудит.

Риск-ориентированный аудит – широко используемый, но часто не понимаемый термин. Данный документ имеет целью довести определенную точку зрения (позицию) относительно риск-ориентированного внутреннего аудита и предложить Вашему вниманию высококачественный подход его достижения.

Описание ситуации


Сегодня под внутренним аудитом понимается следующее.

«Внутренний аудит есть деятельность по предоставлению независимых и объективных гарантий и консультаций, направленных на создание добавленной стоимости и совершенствование хозяйственной деятельности компании. Внутренний аудит помогает компании достичь поставленные цели, используя систематизированный и последовательный подход к оценке и повышению эффективности управления рисками, контроля и системы корпоративного управления.»

Риск-ориентированный внутренний аудит – подход, способствующий достижению указанных требований. Стандарты профессиональной практики внутреннего аудита и связанные с ними Практические советы уделяют особое значение внедрению риск-ориентированного подхода во внутреннем аудите.

Данный подход также соответствует общеизвестному руководству Тернбулла (Turnbull) «Внутренний контроль: Руководство для директоров по корпоративному кодексу», которое требует от руководства применения «риск-ориентированного подхода в создании надежной системы внутреннего аудита и мониторинга ее эффективности» и внедрение риск-менеджмента и системы внутреннего контроля в корпоративную культуру.

Внутренним аудиторам следует внедрять риск-ориентированный подход в соответствии с тем, что уже применяется в компании. Имеется много подходов, которые могут быть применимы внутренним аудитом в зависимости от степени надежности процессов риск-менеджмента, используемых в компании, на которые внутренний аудит может полагаться. Это позволяет аудиторам избегать дублирования процессов, уже исполняемых менеджментом, и исследовать эти процессы и результаты.

Возможно, можно сказать, что внутренние аудиторы, итак, всегда концентрировали свои усилия на наиболее рисковых областях компании. Однако, такой подход исторически нацелен на оценку рисков, сделанную собственно внутренним аудитом. Ключевое отличие риск-ориентированного внутреннего аудита в том, что фокус должен быть нацелен на то, чтобы понять и проанализировать оценку рисков, сделанную самим руководством, и чтобы сосредоточить все усилия аудиторов вокруг этого процесса.

Что же такое риск-ориентированный внутренний аудит?

Цель риск-ориентированного внутреннего аудита состоит в том, чтобы дать независимые гарантии совету директоров в том, что:

  • Процессы риск-менеджмента, которые внедрены руководством в компании, а именно все процессы риск-менеджмента на уровне всей компании, отдельных подразделений, бизнес-единиц, бизнес-процессов и т.п., – работают должным образом.
  • Данные процессы риск-менеджмента надежно спланированы.
  • Менеджмент адекватно и эффективно реагирует на принятые к управлению риски в плане их уменьшения до уровня, приемлемого для совета директоров.
  • Также внедрена система контроля, достаточно надежно смягчающая риски, которые приняты к управлению.

Риск-ориентированный внутренний аудит начинается с бизнес-целей и, далее, фокусируется на тех рисках, которые выделяются самим руководством и которые могут препятствовать достижению целей.

Роль внутреннего аудита состоит в том, чтобы определить области, которые охвачены процессами риск-менеджмента, исполняемыми самим руководством в целях сокращения рисков до уровня, приемлемого для совета директоров (риск-«аппетита»).

В то время, как основной вклад внутреннего аудита в том, чтобы дать менеджменту гарантии качества работы с рисками, осуществляемой посредством процессов корпоративного управления и внутреннего контроля, он также может консультировать менеджмент по вопросам реагирования на риски, состоящим в решениях по ограничению, передаче или допущению рисков.

Риск-ориентированный подход во внутреннем аудите приведен схематично ниже:

rbia2

Практика риск-ориентированного подхода во внутреннем аудите


Общая информация:

  • Объем риск-ориентированного аудита, включает стратегические риски и бизнес-риски.
  • Ключевая начальная точка – определение, установлены ли компанией соответствующие бизнес-цели и, далее, определение, есть ли у бизнеса адекватный процесс выявления (идентификации), оценки и управления рисками, который воздействует на достижение этих целей.
  • В устоявшейся среде риск-менеджмента внутренний аудит может быть сосредоточен на:

– аудите инфраструктуры риск-менеджмента, например: ресурсах, документации, методах, отчетности;

аудите всей системы внутреннего контроля всей организации и отдельных подразделений;

проведении отдельных аудиторских заданий, которые преимущественно посвящены специфическим рискам. Там, где набор рисков контролируется посредством обычной системы или процесса, может быть правильнее проводить совмещенный аудит этой системы или процесса.

  • В менее устоявшейся среде риск-менеджмента, там, где отдельные аудиторские задания преимущественно сфокусированы на законченных системах, процессах или бизнес-единицах, внутренний аудит включает обзор бизнес-целей и процессов риск-менеджмента в рамках каждой данной аудируемой единицы.
  • Там, где процессы риск-менеджмента адекватны и внедрены, внутренний аудит, где это возможно, полагается на представление (видение) самой компании о рисках для того, чтобы определить объем необходимой аудиторской работы.
  • Там, где на процессы риск-менеджмента нельзя положиться, внутренний аудит берет на себя оценку рисков (действуя вместе с руководством), чтобы определить точный необходимый объем работ и только после этого сфокусироваться на том, а как же руководство удостоверяется в том, что процессы риск-менеджмента работают должным образом.
  • Конечный результат каждого аудиторского задания состоит в том, чтобы подтвердить, что риски управляются на приемлемом уровне (как определено риск-«аппетитом») или в том, чтобы содействовать необходимым улучшениям или договориться о них.

Диапазон риск-менеджмента


Очень важно понимать, что не все организации находятся на одной и той же стадии внедрения риск-менеджмента. Нижеприведенная диаграмма показывает стадии завершенности управления рисками и подход внутреннего аудита, который может быть применен на каждой стадии.

rbia3

Каждая компания должна сама определить, как внедрять риск-менеджмент. Это поможет определить ее риск-«аппетит» и стадию развития риск-менеджмента. Например, не все компании будут стремиться быть полностью приспособленными к рискам, так как требуется сопоставлять затраты с предполагаемыми потенциальными выгодами. Диапазон риск-менеджмента – это прерогатива совета директоров и высшего руководства.

В дополнение к завершенности риск-менеджмента внутри компании масштаб (объем) области, к которой внутреннему аудиту нужно предпринять собственную оценку рисков, зависит от степени и скорости стратегических и организационных преобразований.

При аудите какого-либо проекта также должны быть охвачены процедуры риск-менеджмента, как покрывающие проекты в общем, так и касающиеся конкретно данного проекта.

Выводы


Риск-ориентированный аудит не препятствует использованию системно-ориентированных или процессно-ориентированных аудиторских процедур в случае необходимости. Однако, это все же подход, который сосредоточен на вопросах, имеющих отношение к компании, и на предоставлении гарантий в рамках системы риск-менеджмента, внедренного в компании. Риск-ориентированный аудит позволяет внутреннему аудиту быть непосредственно связанным со структурой риск-менеджмента, таким образом создавая синергетический эффект.