Не СМК единым

Зачем все это?

Руководство и собственники организации хотят быть уверенными в том, что поставленные цели будут достигнуты, а плановые показатели будут выполнены. При этом деятельность организации и действия сотрудников должны соответствовать действующему законодательству, установленным технологиям, принятым принципам, правилам и т.п. Для этого в организации внедряется система внутреннего контроля и аудита. Соответственно,  объектом работы подразделения  внутреннего аудита может стать любой процесс, функциональное направление и система в деятельности организации, например: снабжение товарно-материальными запасами, управление персоналом, процесс подготовки финансовой (бухгалтерской), управленческой отчетности, информационные технологии, корпоративная культура и пр.

Согласно общепринятому  определению , внутренний аудит — это деятельность по предоставлению независимых и объективных гарантий и консультаций, направленных на совершенствование деятельности организаций. Иными словами, аудиторы внутри организации, которые не участвуют в операционной деятельности и не подчинены руководителям процессов, готовы предоставить независимый, беспристрастный и объективный взгляд на процессы, в то время как другие подразделения и функции организации не всегда могут проверить свою собственную работу без определенного конфликта интересов.

Надлежащий статус подразделения внутреннего аудита в организации играет важную роль в успешной работе внутренних аудиторов. Идеально, если руководитель этого отдела административно подотчетен исполнительному руководителю организации и функционально — комитету по аудиту при совете директоров, совету директоров и/или акционерам, т.е. независим от менеджмента компании.

К нам едет…

Многие люди представляют внутренних аудиторов как ревизоров или классических внешних аудиторов, которые занимаются проверкой финансово-хозяйственной деятельности предприятий, финансовой отчетности и процесса ее  формирования . Кто-то может путать внутренних аудиторов с аудиторами системы менеджмента качества, которые занимаются проверками на соответствие требований отраслевых и внутренних стандартов и нормативных документов. Другие считают, что обязанности проверяющих внутри компании ограничиваются финансовым контролем либо схожи с функцией службы безопасности (проведение служебных расследований, поиск мошеннических действий и т.д.).

Они могут выполнять:

• операционные аудиты — анализ эффективности бизнес-процессов (например, аудит управления производством или проверку процесса управления закупками);

• аудиты на соответствие требованиям законодательства и внутренних нормативных документов, compliance-аудиты (например, проверку соответствия требованиям биржи, аудит корпоративного управления);

• расследования мошенничеств, финансовых и иных злоупотреблений;

• контроль рисков и оценку надежности элементов системы внутреннего контроля;

• финансовые аудиты;

• проекты по предоставлению консультаций и рекомендаций;

• IT-аудиты, и т.д.

Другим отличием внутренних аудиторов является способность действовать превентивно, выявлять недостатки и узкие места процессов и снижать риски до того, как компания понесла убытки. Те же ревизоры и большинство внешних аудиторов выявляют ошибки лишь по факту.

Свежий взгляд

Сотрудник, проводящий внутреннюю проверку, обладает доступом к информации по широкому кругу вопросов, что помогает смотреть на ситуацию всесторонне, учитывая связанные процессы, но в то же время непредвзято.

Вопреки сложившемуся мнению, цель внутренних аудиторов не выявление нарушений и злоупотреблений для наказания сотрудников. Внутренние аудиторы стремятся понять причины, способствующие ошибкам, и устранить возможность их совершения в дальнейшем. Речь идет не только об усилении контрольных процедур в процессах, но и их реинжиниринге или предложении альтернатив, что хорошо иллюстрирует следующий пример:

Пример: Разграничение прав доступа

В ходе аудита дебиторской задолженности крупного автомобильного дилера внутренние аудиторы выявили, что из-за недосмотра IT-специалистов руководитель регионального салона также имел права бухгалтера/казначея в информационной системе. Это позволяло ему самому вручную подтверждать оплату в системе и отгружать автомобиль без фактического поступления денежных средств. Из-за злоупотреблений руководителя салона компании был причинен крупный ущерб.

Несмотря на формальное наличие в компании матрицы ролей и разграничения прав, по факту в системе был нарушен принцип разделения критичных ролей. Внутренние аудиторы рекомендовали проводить силами службы безопасности центрального офиса компании дополнительную контрольную проверку — ежеквартальный детальный анализ соответствия прав всех пользователей системы функционалу сотрудников.

Для осуществления столь широкого диапазона задач внутренним аудиторам приходится иметь знания во многих отраслях — бухгалтерский учет, финансовый анализ, информационные технологии, корпоративное управление, бизнес-процессы — что требует постоянного совершенствования. Вместе с этим внутренний аудитор может не быть квалифицированным экспертом во всех процессах и областях, но его навыки и знания должны позволить ему погрузиться в процесс/область, увидеть слабые и сильные стороны, работать с сутью проблемы. Так, внутренний аудитор должен при необходимости:

• разложить процесс на ключевые составляющие;

• выявить недостатки и уязвимые места, установить причинно-следственные связи;

• провести независимый анализ и дать оценку имеющимся контролям;

• предложить точки контроля и контрольные процедуры для выявленных рисков.

Из примера ниже видно, что, не являясь экспертами в отрасли, внутренние аудиторы смогли найти уязвимое место в проекте компании и дать обоснованные рекомендации во избежание проблемы в будущем.

Пример: Пересмотр критериев закупки спецтехники

В ходе аудита проекта в строительной компании внутренние аудиторы определили, что одной из причин удорожания стоимости проекта и сдвига сроков выполнения является простой спецтехники (экскаваторов, тракторов) одной из марок.

Изучив статистику поломок, проанализировав количество отработанного времени и виды выполненных работ, внутренние аудиторы установили, что при идентичных условиях и одинаковом времени работы техника данной марки выходила из строя чаще, нежели имеющаяся на предприятии аналогичная техника других марок. Кроме того, по результатам анализа технической документации спецтехники разных марок было выявлено, что межсервисный интервал у данной марки меньше, а расход дизельного топлива выше.

В конечном итоге внутренние аудиторы обнаружили, что общая стоимость владения спецтехникой данной марки, включая расходы на  ГСМ  и техобслуживание, выше аналогичной стоимости владения спецтехникой других марок с первоначально более дорогой стоимостью закупки. Внутренними аудиторами было рекомендовано пересмотреть критерии закупки спецтехники при последующих закупках.

IT для аудита

Говоря о пользе функции внутреннего аудита для бизнеса, нельзя не упомянуть о возможностях внутренних аудиторов в части использования информационных технологий. В бурный век развития искусственного интеллекта и машинного обучения внутренний аудитор, используя свои навыки и опыт, способен стать одним из драйверов технологических изменений в компаниях. Ниже представлен  пример , который описывает такие возможности:

Пример: Машинное обучение машин

Перед внутренними аудиторами лесопромышленного холдинга стояла задача борьбы с обрывами бумажного полотна на бумагоделательной машине (далее – БДМ) на целлюлозно-бумажном комбинате. Каждый обрыв приводил к остановке БДМ и необходимости ее переналадки, что, в свою очередь, приводило к недовыпуску высокомаржинальной продукции и упущенной выгоде.

Изучив кейс, внутренние аудиторы пришли к выводу, что ключевая причина обрывов — сложность БДМ и множество параметров работы ее элементов. Ответственные сотрудники, управляющие и обслуживающие БДМ, были физически не в состоянии в режиме реального времени анализировать показания множества датчиков и, устанавливая корреляцию между потоками данных, предсказывать новый обрыв.

Смогла это сделать математическая модель, разработанная на основе машинного обучения. Первоначально в нее подгрузили массив исторических данных с 410 датчиков БДМ о параметрах работы машины и ранее произошедших обрывах. Анализ этой информации позволил модели определить закономерности в работе БДМ до и в момент обрывов. По итогам первого месяца окупились все затраты на проект, а модель предсказала 68% обрывов.

Такие современные технологии, как искусственный интеллект, машинное обучение, Big Data, прогнозная аналитика, в работе внутренних аудиторов могут применяться не только для повышения эффективности бизнес-процессов при оказании консультационных услуг, но и при предоставлении гарантий (непрерывный аудит) и рекомендаций на этапе разработки системы внутреннего контроля.  Пример  ниже описывает дизайн внутреннего контроля, в основе которого лежит технология искусственного интеллекта:

Пример: Применение нейросетей при учете МПЗ

В лесопромышленном холдинге внутренние аудиторы столкнулись с проблемой: нет доказательств факта измерения объема и качества древесины при ее сдаче-приемке на складе. Это — риск злоупотреблений. При приемке грузового автомобиля с древесиной ответственный сотрудник проводит замеры, оформляет акт сдачи-приемки, после чего древесина сгружается в общий штабель на складе. Качество и количество поступившей древесины документально подтвердить ничем, кроме акта, нельзя.

Внутренние аудиторы предложили использовать при приемке древесины мобильное приложение с математической моделью на основе нейросети, которое позволяет:

• замерить объем древесины, количество и диаметр каждого бревна (построение 3D по нескольким фотографиям);

• оценить сорт каждого бревна (нейросеть с самообучением);

• связать результаты замеров древесины с номером автомобиля, на который или с которого велась разгрузка (распознавание номеров по фото);

• проводить инвентаризацию древесины на складах (построение 3D-модели по нескольким фотографиям, в том числе с использованием дронов).

Приложение сохраняет результаты и фотографии каждого замера древесины на сервере как аудиторский след. Таким образом, внутренними аудиторами рекомендован к внедрению надежный инструмент контроля, который помогает снизить риск злоупотреблений.

Не панацея

Наличие внутренних проверок в компании укрепляет уверенность собственников и менеджмента, является положительным сигналом для потенциальных инвесторов и кредиторов, повышает инвестиционную привлекательность. Внутренний аудитор имеет большой потенциал как действенный инструмент и полезный ресурс, который может повысить эффективность компании.

Вместе с этим надо подчеркнуть, что аудит внутри организации не является панацеей, не избавит от всех проблем разом. Аудитор физически не в состоянии охватить своим вниманием всю деятельность организации, поэтому проверки носят выборочный характер, а мнение по их итогам не может быть на 100% верным. Проводя проверки, оценивая систему внутреннего контроля в компании и предлагая рекомендации по повышению ее эффективности, внутренние аудиторы помогают собственникам и менеджменту устанавливать приоритеты, исходя из наиболее вероятных рисков и тех рисков, которые необходимо минимизировать.

Также верно и то, что внутренние аудиторы не могут предоставлять гарантии и оказывать консультационные услуги без поддержки и спроса на их работу со стороны собственников и акционеров. Ведь именно они в конечном итоге являются главными заинтересованными сторонами и сами принимают решение, нужна им или не нужна эффективная функция проверяющего в компании.