Читать книгу Внутренний, внешний аудит компании и техника компьютерного аудита (CAAT) - Маргарита Акулич - Страница 4
I Внутренний аудит
Оглавление1.1 Понятие внутреннего аудита. Усиление стратегической роли внутреннего аудита
Понятие внутреннего аудита
Внутренний аудит (Internal audit – IA) рассматривается в качестве независимой, объективной деятельности, связанной с обеспечением консультирования и гарантий, нацеленной на решение проблем улучшения деятельности организации и добавления стоимости.
При упрощенном подходе под аудитом понимают ежегодную независимую проверку бухгалтерской отчетности компании в интересах ее акционеров и осуществление простых оценок элементов управления, а аудиторы рассматриваются в качестве бухгалтеров, играющих не особенно важную тактическую роль. В отечественной практике такой подход и по сей день в некоторых случаях имеет место.
В развитых странах роль внутренних аудиторов традиционно сводилась к контролирующей. Но в их профессии за последние годы произошел фундаментальный сдвиг, который позиционирует ее как играющую гораздо более стратегическую роль.
Благодаря IA организации добиваются достижения поставленных целей. При этом практикуется использование дисциплинированного, систематического подхода к оцениванию и повышению эффективности к ряду процессов (управление организацией, контроль, управление рисками). Достижение этого рассматриваемым аудитом происходит благодаря предоставлению понимания и рекомендаций, базирующихся на анализе и оценке данных и бизнес- процессов.
С обязательством ответственности и добросовестности IA обеспечивает предоставление ценности для руководящих органов и высшего руководства как объективный источник отличающихся независимостью рекомендаций.
Усиление стратегической роли внутреннего аудита
Стратегическая роль внутреннего аудита (Internal audit) предусматривает переход от несложных и во многих случаях достаточно редких оценок элементов управления к более важному обеспечению деятельности по управлению рисками и соблюдению соответствия правилам, требованиям, нормативам и т. д.
Сегодня, как и в последнее десятилетие, наблюдается все более активное подключение внутреннего аудита к управлению рисками. Pricewater-houseCoopers еще в 2011 году провела исследование состояния профессии внутренних аудиторов (исследование проводилось по всему миру) 79 процентов респондентов указали, что в течение ближайших лет на предприятиях в области аудита будет расти внимание к программам управления рисками. Семьдесят восемь процентов выразили мнение, что будет иметь место увеличение акцента на стратегические инициативы и программы [13].
Внутренние аудиторы сегодня имеют дело с беспрецедентным уровнем изменений, которые приводят к непредвиденному возникновению все большего числа рисков и соответствующих событий. Они провоцируют, в том числе, такие «черные» события, как разлив нефти в Мексиканском заливе 2010 году и взрыв на японской атомной станции в 2011 году. Изменения связаны к примеру с тем, что:
предприятия постоянно проводят реструктуризацию, слияния и приобретения;
поставки и распределение быстро распространяются на многие географические регионы;
облачные вычисления и визуализация растворяют границы сетей;
кибермошенничество становится все более сложным и выраженным; существует угроза терактов и природных катаклизмов.
С другой стороны, регулирующие органы и правительства выдвигают все новые требования, которые организациям приходится выполнять с подключением внутреннего аудита. Это делает внутренний аудит гораздо более сложным. Старые требования обеспечения контроля должны быть сбалансированы с новыми требованиями по управлению рисками. Множество рисков должны контролироваться и смягчаться. Мошенничеству следует предотвращаться или сдерживаться с помощью риск-разведки и проверок, осуществляемых в соответствии с бизнес-стратегией. Все эти инициативы должны быть проведены через сотни процессов, отделов, подразделений и рабочих мест с тысячами сотрудников. В довершение всего, поскольку ресурсы ограничены, внутренним аудиторам приходится делать больше с меньшими затратами.
Внутренний аудит как функция должен перестроиться, чтобы быть в курсе событий и иметь отношение к бизнесу. Аудит-отделам следует принять некоторые практические стратегии для выполнения своей новой роли в организации и своего значения.
Компаниям следует концентрироваться на своих целях, принимая во внимание важность внутреннего аудита как функции. При этом нужно считаться и с требованием использования риск-аудита. Однако в этом аспекте необходимо пересматривать распространенные подходы к риск-аудиту. Согласно одному из подходов риски подразделяются на более и менее приоритетные в зависимости от вероятности их появления и степени воздействия. Первоочередные риски получают максимум внимания, в то время как низкоприоритетные, как правило, игнорируются. В то же время опыт показывает, что оценки риска могут иметь очень субъективный характер, и некоторые риски, которые, как считается, имеют низкую вероятность возникновения, рассматриваются как низкоприоритетные. Тем не менее практика показывает, что зачастую события происходят как неприятные и даже горестные сюрпризы, и вероятность их возникновения заранее не просчитывается, а соответствующие риски не рассматриваются в качестве приоритетных.
В ответ на эти сюрпризы, специалисты аудита быстро отходят от традиционных подходов к рискам к подходу, при котором в центре внимания аудита становятся цели компании в целом. Такой подход считается объективным. Главным преимуществом объективного подхода является то, что он позволяет достичь большей целенаправленности аудита, сосредоточив ресурсы аудита только на рисках, которые действительно имеют значение для стратегий и целей организации. Он также повышает способность внутреннего аудита достигать своих целей.
1.2 Условия реализации целевого подхода
Реализация целевого подхода включает в себя следующие условия.
Условие опоры на взаимодействие людей
Менеджеры организации ежедневно совершают сделки с рисками. Поскольку они понимают свои цели, они, как правило, инстинктивно знают, какие риски могут повлиять на эти цели, что создает возможности для оказания помощи аудиторам в понимании взаимосвязи между целями компании и ее рисками.
Условие использования взаимосвязи между рисками и целями
Внутренние аудиторы могут использовать ответы менеджеров (полученные в ходе опросов) по поводу наличия количественной взаимосвязи между рисками и целями. Применение этого метода позволяет обнаружить те риски, которые в противном случае могут не обнаружиться.
Условие выявления моделей рисков
Риски взаимодействуют друг с другом и с целями и находятся в сложных отношениях. Аудиторы должны понять эти взаимодействия и уметь их моделировать, а не смотреть на обособленные риски. Целое зачастую более опасно, чем сумма его частей.
Условие фокусировки управления рисками на наиболее важных целях
Поставив цели прежде, чем возникнут риски, аудиторы могут снизить риски, препятствующие достижению целей, и использовать риски, которые способствуют созданию стоимости. Это может служить залогом того, что внутренние аудиторы будут эффективно использовать ресурсы аудита, повышать транспарентность и согласовывать управление рисками с бизнес-стратегией.
1.3 Усиливающееся давление на усиление актуальности аудита и повышение эффективности внутренних аудиторов. Необходимость смещения аудиторов в сторону непрерывного аудита
Усиливающееся давление на усиление актуальности аудита и повышение эффективности внутренних аудиторов
Усиление актуальности аудита и повышение эффективности внутренних аудиторов находятся под усиливающимся давлением, так как аудиторы должны обеспечивать гарантии, связанные с организационными рисками устойчивости, определять области, которые могут способствовать снижению рисков, а также обеспечивать управление текущей информацией. При этом им следует демонстрировать скорость, маневренность и эффективность. В сложных условиях традиционные циклические и специальные аудиты не являются достаточными, чтобы не отставать от темпов изменения бизнеса.
Необходимость смещения аудиторов в сторону непрерывного аудита
Аудиторы должны «смещаться» в сторону непрерывного аудита, и проводить анализ данных на постоянной основе. Это очень важно для раннего выявления рисков, тенденций, ошибок, мошенничества, расточительства, а также областей для улучшения.
Непрерывный аудит предусматривает фокусирование на стопроцентных данных (сплошное обследование), а не на случайной выборке, что обеспечивает более тщательную и всестороннюю проверку рисков и управления. Это сложнейшая задача – собрать и изучить все данные аудита в различных процессах, функциях и бизнес-единицах.
Для упрощения этого процесса специалисты реализовали несколько практических стратегий, которые могут быть взяты на вооружение организациями. Например, данные аудита могут иметь приоритеты, чтобы специалисты могли сосредоточиться на наиболее важных данных. Кроме того, могут быть реализованы централизованные аудит-системы управления данными, чтобы можно было извлечь необходимую информацию аудита из больших объемов корпоративных данных. И также можно с помощью максимизации и эффективности усилий аудита избавиться от недостоверной и чрезмерной информации. Можно использовать технологии автоматизации тестирования, контроля и интеграции сбора информации, а также содействовать сотрудничеству аудит-подразделений с централизованным аудитом организации.
Такой подход имеет решающее значение, потому что «риск-пейзаж» постоянно меняется. Перманентно развиваются старые риски и появляются новые. Вместо того, чтобы не быть готовыми справиться с этими рисками, компании стараются их предвидеть и лучше на них реагировать. Они полагаются на рекомендации внутренних аудиторов в отношении рисков, которые могут обеспечивать позитивные изменения.
1.4 Важность связи внутренних аудиторов с топ-менеджерами компании. Внутреннему аудиту не положено являться обособленной группой
Важность связи внутренних аудиторов с топ-менеджерами компании и интегрирование усилий аудиторов и руководства в вопросах оценки рисков и управления
Весьма важной является связь внутренних аудиторов с топ-менеджерами компании и интегрирование усилий аудиторов и руководства в вопросах оценки рисков и управления. Для руководства важно полагаться на внутренних аудиторов, чтобы риски рассматривались в контексте соблюдения принципов, процедур и стандартов на должном уровне. Это означает, что внутренние аудиторы должны быть в курсе бизнес-планов, мероприятий, событий и новых инициатив.
Например, аудиторы должны быть вовлечены в стратегические проекты, такие скажем, как новый рост на развивающихся рынках. Потому что новые рынки приходят с целым рядом новых правил соответствия и рисков, к которым относятся: политическая нестабильность, культурные различия, и нехватка ресурсов. Внутренние аудиторы могут играть ключевую роль в консультировании высшего руководства в отношении понимания и управления рисками, графиков планов для соответствующего контроля окружающей среды, изучения регуляторных норм на новом рынке. Аудиторы могут способствовать созданию стоимости для всей организации.
Внутреннему аудиту не положено являться обособленной группой
Внутреннему аудиту не положено являться обособленной группой, работающей независимо от других функций. Он должен быть согласован с другими функциями обеспечения, такими как управление рисками, соблюдение технологии, безопасности и контроль качества, для лучшего понимания деятельности компании в области рисков.
1.5 Современные тенденции внутреннего аудита. Необходимость большего проведения ИТ-аудита
Современные тенденции внутреннего аудита
Учитывая сложности регулирования сложных процессов, происходящих в бизнесе, на сегодняшний день необходимость проведения внутреннего аудита становится весьма очевидной. Поскольку требования к традиционным обязанностям людей, проводящих аудиторские проверки, ужесточаются, и растет бремя информационной безопасности, во многих организациях четко проявляются новые тенденции в области внутреннего аудита.
Два обследования, проведенные по всему миру специалистами Protiviti (солидной глобальной консалтинговой компании США в области внутреннего аудита и управления рисками) показали, что проявляются новые тенденции в области внутреннего аудита [12]. В первом исследовании проводилась оценка компетентности специалистов, она указала на необходимость улучшений в трех ключевых областях: общие технические знания, знания процесса аудита и личные навыки и способности. Кроме того, специалисты Protiviti выявили, что организации переходят от выполнения обязанностей внутреннего аудита, предусматривающих основное акцентирование на законе Сарбейнса-Оксли 2002 года, требующее улучшения внутреннего контроля государственных корпораций США, к более широкой деятельности. Закон Сарбейнса-Оксли 2002 года является законом, требующим улучшения внутреннего контроля государственных корпораций США (подобные законы были впоследствии приняты в Японии, Германии, Франции, Италии, Австралии, Индии, Южной Африке и Турции).