Внутренний аудит в крупных компаниях

Свое место

Подразделение должно предоставлять объективную, непредвзятую информацию о сложившихся практиках в компании и дипломатично предлагать пути повышения эффективности бизнес-процессов. Зачастую внутренним аудиторам приходится сообщать не очень приятные новости, при этом важно суметь выстроить и сохранить продуктивные партнерские взаимоотношения с бизнес-подразделениями. Таким образом, внутренний аудитор должен обладать не только технической экспертизой и глубокими знаниями бизнес-процессов, но и прекрасными коммуникационными навыками и умением вести сложные переговоры.

Какие действия необходимо предпринять для построения эффективной службы внутреннего аудита? Во-первых, требуется понять, кто является вашими основными заинтересованными сторонами, и определить свое место в организационной структуре компании. Заинтересованные стороны могут быть внутренние (в лице аудиторского комитета, совета директоров, топ-менеджмента и сотрудников компании) и внешние (в лице внешнего аудитора, клиентов, регуляторных органов).

Совершенно очевидно, что для сохранения независимости функционально внутренний аудит не должен подчиняться менеджменту компании. Правильное функциональное подчинение — совету директоров и аудиторскому комитету.

Как работать

Если вы уже заняли правильное место в иерархии компании и определили ваши основные заинтересованные стороны, необходимо понять главные задачи, которые они перед вами ставят, и ожидания.

Будьте активным

Не стоит занимать пассивно-реактивную позицию, вы можете сформулировать задачи сами.

Подобная позиция более выигрышная, так как зачастую ключевые заинтересованные стороны могут не до конца понимать все аспекты работы внутреннего аудита, последние тренды и методологию. Если вам удастся согласовать свой подход, у вас не будет внутреннего конфликта и вы будете делать то, во что верите.

Знайте стратегию

Затем, чтобы выбранный вами подход сработал, необходимо ознакомиться со стратегией компании. Все, что вы предлагаете, должно соответствовать стратегии и помогать компании достигать ее целей. Например, если компания планирует переход на новую ИТ-систему, необходимо оценить связанные с этим риски и учесть их при разработке тактического и стратегического планов аудита.

Просчитывайте ресурсы

После того как вы сформулировали свои цели, необходимо подумать о ресурсах для их достижения: о необходимых компетенциях и размере команды. Часть компетенций можно отдать на аутсорсинг. Оптимальный подход — нанимать специалиста с нужными компетенциями на постоянной основе и отдавать на аутсорсинг узкоспециализированных и необходимых только под конкретные проекты аудиторов.

Например, для проведения аудита информационной безопасности, если соответствующие риски не являются для вас критичными, имеет смысл привлекать консультантов. Держать таких специалистов в штате, если вы не планируете постоянно их использовать, слишком дорого и неэффективно. При этом цены на подобный консалтинговый проект довольно умеренные, и качество работы внешних консультантов в данном случае, скорее всего, будет выше.

Структура внутреннего аудита

Если мы говорим о крупной компании, то следующий вопрос, который у вас возникнет, — выстраивать ли  централизованную структуру внутреннего аудита ,  региональную или использовать  комбинированный подход . Здесь нет однозначно правильного ответа. Все зависит прежде всего от ваших целей и задач. Из моего опыта, любой из этих подходов может быть эффективным.

Региональная структура

Ее логично будет использовать в случае большой частоты проверок, необходимости быстрого реагирования, большого количества филиалов. В этом случае можно также использовать комбинированный подход, выделив несколько региональных «хабов» (филиалов), и сгруппировать в них региональные команды.

Основные минусы:

• риски потери независимости и разрыва коммуникаций;

• такой командой сложнее управлять и проводить общие мероприятия (например обучающие семинары и т.д.)

Главные плюсы:

• самая высокая скорость реагирования;

• экономия на транспортных расходах.

Комбинированный подход 

Основные минусы:

• существенной экономии на транспортных расходах получить не удастся, (в некоторых случаях билеты из Москвы будут даже дешевле).

Главные плюсы:

• значительно нивелирует указанные в региональной структуре недостатки;

• сохраняет при этом довольно высокую скорость реагирования.

Централизованная структура 

Эффективна, когда команда относительно небольшая, проверок сравнительно немного, при этом они более глубокие и длительные по времени.

Основные минусы:

• существенно возрастают расходы на персонал и командировки;

• более низкая скорость реагирования.

Главные плюсы:

• такой командой легче управлять;

• нет риска потери независимости;

• легко проводить командообразующие и обучающие мероприятия;

• проще найти необходимые компетенции и высококвалифицированный персонал.

План развития

Наконец, вам необходимо подумать, как вы будете развивать людей, и заложить необходимый бюджет на обучение. Не стоит формально подходить к данному вопросу, ограничиваясь посещением тренингов и семинаров. Нужно понять области для улучшения каждого члена команды и составить индивидуальный план развития. Грамотно составленный план развития и обучения персонала также является хорошим мотиватором и поможет вам дольше удерживать людей.

Все эти шаги принесут пользу в том случае, если вы не будете забывать про современные тенденции в бизнесе и во внутреннем аудите. Цифровизация, быстрота изменений, гибкость бизнеса, внедрение инноваций требуют от внутреннего аудита высокой скорости реагирования, гибкости, нестандартного мышления и готовности корректировать планы на лету, желания помогать компании меняться и выступать в роли драйвера перемен. В этом случае функция внутреннего аудита может принести максимальную ценность для бизнеса и станет его стратегическим партнером.