Внутренний аудит. Зачем?
Денис Свитенко
Внутренний аудит. Зачем?
По данным некоторых исследований на сегодняшний день в мире насчитывается порядка 1 миллиона специалистов, которые в том или ином виде занимаются внутренним аудитом. Какие цели преследует эта деятельность на наших предприятиях?
Понятие внутреннего контроля (который позже и преобразовался в форму проведения внутреннего аудита) появилось в лексиконе еще в начале XVIII века, оно эволюционировало со временем. Как система контроля деятельности предприятия это понятие сформировалось к началу ХХ столетия в виде совокупности трех элементов: разделение полномочий, ротация персонала, использование и анализ учетных записей.
Позже функции внутреннего аудита значительно расширились, преобразовавшись в организацию и координирование действий, направленных на обеспечение сохранности активов (в финансовой составляющей аудита), проверку надежности учетной информации, повышение эффективности операций и действий, следование предписанной политике и процедурам компании.
Интересно посмотреть значение термина, которое принято не для внутреннего аудита систем менеджмента качества (СМК), а определение, которое дают внутреннему аудиту профессиональные стандарты международного Института внутренних аудиторов (IIA). Внутренний аудит – это "независимая и объективная деятельность консультационного характера, обеспечивающая конкретные результаты, направленные на повышение стоимости и улучшение работы организации".
Существует мнение, что внутренний аудит – рентген производства. Он "высвечивает" сильные и слабые стороны деятельности предприятия, является источником его жизненной силы, заключает в себе тот потенциал, который дает возможность предприятию функционировать и выживать в условиях рынка.
С другой стороны сейчас можно видеть большое количество предприятий где имеет место мягко говоря скептическое отношение к деятельности внутренних аудиторов.
Данная статья – попытка разобраться – зачем предприятия вводят процедуру внутреннего аудита и какие цели при этом могут преследовать. А также попытка ответа на вопрос – как эти цели могут быть достигнуты наиболее эффективным способом.
Зачем высшее руководство вводит процедуры внутреннего аудита? Зачем оплачивает работу сотрудников, проводящих аудит, и время сотрудников, проходящих аудит? Следует отметить, что рассматривается именно внутренний аудит Системы менеджмента качества. Можно выделить 4 группы целей:
1) система предупреждения несоответствий при проведении внешних аудитов СМК
2) система предупреждения несоответствий, при проведении прочих проверок
3) система оценки выполнения внутренних регламентов деятельности, соблюдения «правил игры» самой организации, снижения рисков, улучшения деятельности
4) система оценки поставщиков.
Рассмотрим эти группы целей по порядку:
1 Первый, наиболее прямой и распространенный побуждающий фактор – введение процедуры аудита для того, чтобы пройти внешний сертификационный или наблюдательный аудит. В стандарте ИСО 9001:2000 в п. 8.2.2 сказано, что «организация должна проводить внутренние аудиты через запланированные интервалы времени, чтобы установить: соответствует ли система менеджмента качества запланированным мероприятиям, требованиям данного международного стандарта и требованиям к системе менеджмента качества, установленным организацией, а также результативно ли внедрена система менеджмента качества и поддерживается ли она в рабочем состоянии» [1].
Действительно внутренний аудит позволяет подготовиться к аудиту внешнему. Чем больше отклонений и несоответствий выявляется при проведении внутреннего аудита, тем меньше этих несоответствий остается для внешнего. Где аудиторы квалифицированы и проводят скрупулезный анализ деятельности с точки зрения выполнения внутренних регламентов и требований стандарта ИСО 9001, аудит УЖЕ ДОБАВЛЯЕТ ЦЕННОСТЬ. Хотя бы в том, что организация успешно проходит процедуру сертификации.
Что необходимо для эффективной реализации этой позиции:
- поддержка со стороны руководства. Она обычно есть. При подготовке организации к сертификации первые руководители говорят: «Слушайте этих людей [внутренних аудиторов], ведь то же будут спрашивать внешние аудиторы, мы должны быть готовы к этим вопросам»;
- достаточная квалификация аудиторов и наличие определенного рвения. Тоже обычно есть, особенно там, где аудит проводится в основном силами службы качества, а эта служба в первую очередь заинтересована в успешном прохождении процедуры сертификации;
- соответствие внутренних регламентов организации требованиям ИСО 9001. Это уже в большей степени зависит от консультантов организации, а следовательно, от правильного выбора организации при привлечении этих консультантов.
Итак, первый пункт есть на всех предприятиях, которые так или иначе внедряли у себя систему менеджмента качества или иную систему менеджмента.
2 Второй и более расширенный побуждающий фактор содержания службы внутренних аудиторов – это исключение (или предупреждение) проблем при прохождении прочих проверок (не со стороны Органов по сертификации СМК).
Все организации кому-то подконтрольны: ростехнадзор, санэпидстанция, пожнадзор, кадровая, налоговая инспекции и т.д. Все виды контроля, которые нам необходимо пройти несут в себе определенные риски, связанные как минимум с предупреждениями, предписаниями и штрафами, как максимум с отзывом лицензии и уголовным преследованием. Задача любой организации – предупредить возможные потери (денег, имиджа, времени). Поэтому здесь расширяются функции внутреннего аудита от сверки выполнения не выполнения установленных в компании политик и процедур к проверке также всех вопросов, связанных с иными видами внешнего контроля.
При подобном расширении помимо вопросов, перечисленных в 1-й схеме, особое внимание требуется уделить квалификации аудиторов. Не всегда имеющиеся внутренние аудиторы по своим знаниям покрывают все требуемые области. Целесообразно предусмотреть привлечение технических экспертов, например, специалистов из других служб, компетентных в проверяемых вопросах.
Один пример: кадровые службы организации периодически подвергаются проверкам со стороны кадровой инспекции. И штрафы за невыполнение тех или иных требований Трудового Кодекса начисляются за КАЖДЫЙ случай нарушения. Другими словами, если допущена системная ошибка при оформлении кадровой документации, то законодательно установленный размер штрафа умножается на количество сотрудников в организации. А это большие потери для предприятия. Сомнительно, что специалист, проводящий внутренний аудит, в совершенстве знает требования ТК РФ (если он, конечно, раньше не работал в отделе кадров). В этом случае к проведению аудита в качестве технического эксперта целесообразно привлечь юрисконсульта организации, а цели аудита расширить от «проверки выполнения требований утвержденной документации СМК» до «проверки выполнения требований документации СМК и Трудового Кодекса РФ». Такой аудит выявит значительно большее количество несоответствий и предупредит серьезные штрафные санкции.
Хочется отметить, что там где выбраны первая и вторая стратегии от аудиторов не следует ждать ничего «волшебного». Внутренний аудитор лишь определяет выполняются ли «правила игры» или нет. И если правила «плохие», они выполняются, а эффекта от этого никакого нет, надо дополнительно обращать внимание на сами правила игры.
3 Внутренний аудит, как способ улучшения деятельности, определения потенциала улучшения и реализации этих улучшений. Третий путь потребует еще более высокой квалификации экспертов.
И здесь, возможно, потребуется и привлечение внешних специалистов. Ведь внутренний аудитор по сути осуществляет так называемый внутренний бенчмаркинг, т.е. перенос лучшего опыта одних подразделений на другие. Там где компания активная и «хорошая», этот опыт в любом случае переносится (если это, конечно, не мегакорпорация со слабыми связями между подразделениями), там где компания «плохая», этого аудитора все равно никто не услышит, тут работает схема «устранить хотя бы несоответствия, что говорить о каких-то улучшениях ». Аудитор высокой квалификации, привлеченный со стороны, обладает более широким кругозором, видит большое количество компаний, видит какие схемы работы зарекомендовали себя хорошо и какие из них действительно работают.
Кстати, на вопрос, как организовать службу внутреннего аудита в компании, западный опыт дает три варианта ответа:
- создать собственную службу;
- привлечь специалистов из головного офиса холдинговых компаний, если в холдинге уже создана служба внутреннего аудита;
- пригласить внешних специалистов.
Согласно исследованию Ernst & Young, в России и СНГ первый вариант выбирают около 70% крупных компаний, озадачившихся этой проблемой. Внутренних аудиторов головного офиса привлекают более 20% таких фирм, и лишь 3% респондентов функции внутреннего аудита полностью передали внешним подрядчикам [2].
Что касается эффективных шагов при проведении внутренних аудитов, то хотелось бы остановиться на некоторых из них. Здесь тезисно перечислены приемы, которые так или иначе улучшают процедуру проведения аудита:
- При попытке расширить цели аудита от автоматической сверки «выполняетсяне выполняется», совсем в другом свете предстает так называемый аудит процесса. Ведь одно дело, мы проверяем выполнение разрозненных требований стандарта (как в первом случае) или других дополнительных требований (как во втором), а другое дело – мы следуем по цепочке производства продукции услуги. Видна становится вся последовательная деятельность. В проведение аудита процесса имеет смысл привлекать наиболее активных специалистов из процессов потребителей, которые знают все слабые стороны своего процесса-поставщика и могут выделить наиболее критичные показатели этого процесса.
- Имеет смысл приглашать аудиторов из родственных по сфере деятельности компаний (в случае, конечно, если они не являются прямыми конкурентами). Мы приобретаем и свежий взгляд профессионалов на нашу деятельность и можем перенять опыт родственных организаций;
- Имеет смысл привлекать (хоть иногда) к проведению аудитов представителя по СМК со стороны руководства (таким образом сразу усиливается статус проведения внутреннего аудита);
- Имеет смысл не использовать административные меры взыскания к специалистам, по вине которых произошли несоответствия (сотрудник, наказанный за ошибку, в следующий раз будет стремиться ее скрыть). Однако имеет смысл применять эти взыскания, если по результатам выявленных несоответствий не предпринимается никаких действий по их устранению;
- В протоколе корректирующих действий имеет смысл отдельно выделять графу «причина несоответствия». Эта графа лишний раз напомнит аудитируемому, что необходимо разрабатывать именно корректирующие действия, а не коррекцию. По тем же причинам необходимо вводить согласование разработанных корректирующих действий с аудитором;
- Имеет смысл копировать успешный опыт проведения аудитов авторитетных Органов по сертификации, обращать внимание на формы документов, методы проведения аудитов, методы подготовки и поддержания компетенции аудиторов и т.д., т.е. все приемы, культивируемые этими организациями;
- Имеет смысл использовать вопросники при провдении внутренних аудитов. С одной стороны это помощник аудитируемому – прозрачней становится процедура аудита, заранее становится известно что, где и как будет проверяться. С другой стороны – это план, менеджер времени, маршрутная карта для аудитора;
- Имеет смысл при проведении аудита использовать русскую речь (или тот язык, на котором принято общаться в организации). Имеется ввиду то, что аудитор не должен использовать специфические термины стандарта (например, верификация и валидация), а должен стремиться перевести терминологию на привычный язык организации;
- Имеет смысл обратить внимание на тот аспект, что внутренний аудит процедура выборочная, которая позволяет лишь СНИЖАТЬ риски, а не ИСКЛЮЧАТЬ их. И это необходимо понимать в первую очередь высшему руководству. Цель эффективной системы внутренних аудитов - создать процедуры, которые помогут своевременно выявлять и устранять ошибки и несоответствия, способствуя повышению эффективности работы;
- Имеет смысл автоматизировать деятельность по внутреннему аудиту. Специалисты многих предприятий при проведении внутреннего аудита жалуются на достаточно большую забюррократизированность выполнения этой работы. Причем максимальное время тратится на оформление документов, а не собственно на деятельность. Действительно, необходимо составить план аудита, по факту проведения аудита необходимо составить отчет и протоколы несоответствий (если они есть), кроме того по каждому выявленному несоответствию обычно создается отдельный протокол. Для сокращения временных затрат на оформление документации по проведению внутренних аудитов целесообразно использовать программные продукты, позволяющие максимально автоматизировать процесс документирования поведения внутренних проверок.
Пример: Программный продукт расположен на корпоративном сервере организации. Права доступа к указанной программе решены программно-аппаратным способом и разрешены только для внутренних аудиторов.
При планировании внутренних поверок аудитор заполняет поля диалогового окна «Планирование аудита», указывая только номер проверяемого процесса в соответствии с процессным ландшафтом организации. Программа автоматически присваивает проверке очередной номер и предлагает аудитору указать из «выпадающих списков» необходимую информацию: даты поведения проверки, задействованные подразделения, проверяемые документы СМК и т.д.
По заполнении всех граф формы и выполнении команды «Сформировать отчет» программа автоматически создает файл в текстовом редакторе по форме, утвержденной в организации. Аудитору остается отправить файл на печать, подписать его и передать в проверяемое подразделение. Причем файл кодируется и записывается на сервер организации, что позволяет при необходимости вернуться к нему позднее.
Аналогичным образом составляются протоколы несоответствий и отчет по проведению внутренней проверки. Причем часть информации нет необходимости вводить через диалоговое окно – программа автоматически переносит часть данных из плана проверки (хотя, при необходимости, аудитор может их редактировать): дату проведения проверки, проверяемые подразделения, фамилии аудиторов и т.д.
Указанная схема позволяет экономить время при оформлении документов по внутренних проверкам, но дополнительная ее ценность заключается в том, что создается электронный банк данных по проведенным внутренним аудитам, что позволяет автоматически формировать отчеты в заданных временных рамках: по количеству и содержанию несоответствий по определенному подразделению, по определенному разделу стандарта, по определенному аудитору и т.д. Впоследствии полученная информация может представляться в виде диаграмм и создавать базу для проведения анализа по результатам внутренних аудитов в организации.
Также, там где инфраструктура организации позволяет это сделать – возможно установление системы оповещения по электронной почте о истечении сроков разработки и реализации корректирующих действий как для аудитируемых, так и для аудиторов.
4 И четвертый подход, который может выполняться параллельно с первыми тремя на предприятии. Речь идет о проведении аудитов в компаниях поставщиках. Этот аспект приобретает в последнее время все более распространенный характер. Очевидно, что не в каждом случае, не для проведения каждой закупки материалов или услуг подрядчиков следует прибегать к этой процедуре, но в случае ключевых закупок – это процедура достаточно эффективна. Проведение аудитов второй стороны – как раз и есть в этом случае предупреждающее действие. Здесь значительно проще могут быть решены вопросы квалификации специалистов, проводящих аудит (в качестве руководителя команды - профессиональный внутренний аудитор организации, который знает процедуры аудита и может эффективно организовать эту деятельность; в качестве технических экспертов – специалисты, которые могут оценить качество работы поставщика, т.е. специалисты производственных отделов, причем специалист по аудиту не должен играть тут первую скрипку, лишь организуя проведение самого аудита).
Что касается дальнейших перспектив развития процедуры внутреннего аудита, то по уже упоминавшемуся исследованию компании Ernst & Young большое число респондентов хотели бы, чтобы их службы внутреннего аудита уделяли больше внимания таким задачам, как оценка бизнес-рисков, эффективности деятельности, бизнес-процессов и факторов, связанных с информационными технологиями.
По данным опроса, проведенного Институтом внутренних аудиторов, вот на что, по мнению респондентов, будет распространяться дальнейшее развитие служб внутреннего аудита (на рисунке – СВА) [3]:
Как можем увидеть – «поддержка внешнего аудита» и «содействие менеджменту в создании системы внутреннего контроля» - далеко не все рассматриваемые здесь вопросы.
Хочется также отметить, что там, где есть ИСО 9001, или другие родственные системы менеджмента процедура внутреннего аудита ОБЯЗАТЕЛЬНА. Следовательно мы в любом случае тратим времяденьги на эти процедуры. Вопрос, какую выгоду мы можем получить от этих инвестиций. Как минимум – безболезненное прохождение процедуры внешнего аудита. Как максимум – действительное улучшение деятельности организации. А значит, имеет смысл расширять функции внутреннего аудита, избрать для себя третью стратегию. Построение системы аудита в соответствии с методологией ИСО 19011 представляет достаточно продуманный и эффективный инструмент при проведении внутренних аудитов. (кстати, и в самом этом стандарте сказано: «Несмотря на то, что настоящий международный стандарт применим для аудитов систем менеджмента качества и/или менеджмента окружающей среды, его пользователи могут рассмотреть возможность адаптации или распространения содержащегося в нем руководства [указаний] на другие типы аудитов, включая аудиты других систем менеджмента.», а также: «Кроме того, любые другие лица или организации, заинтересованные в мониторинге соответствия требованиям, например, спецификациям (техническим требованиям к продукции) или законодательным и нормативным требованиям (предписаниям), могут найти для себя полезными руководство [указания], содержащееся в настоящем международном стандарте») [4].
Сегодня наличие внутреннего аудита в организациях рассматривается как важный фактор эффективности вне зависимости от того, есть в организации внедренная система менеджмента качества (экологии и т.д.) или нет. Наличие системы внутреннего аудита повышает доверие инвесторов и других заинтересованных сторон, повышает их уверенность в рациональном использовании компанией ресурсов, сохранности активов, оптимизации компанией рисков деятельности, прозрачности компании, а также в соответствии организации деятельности компании лучшим практикам корпоративного управления. А в пределе мы получаем эволюцию от классического аудита СМК к объединению внутреннего аудита системы, бизнес-процессов организации с внутренним аудитом всех видов деятельности (в том числе финансовых). И вектор развития, как нам кажется, в ближайшее время будет направлен именно в эту сторону.
Список использованной литературы
1. ИСО 9001:2000 Системы менеджмента качества. Требования
2. Компания "Эрнст энд Янг" представляет результаты своего первого исследования состояния внутреннего аудита в России и СНГ // www.ey.com
3. В. Петров, А.Алексеева, А. Головач Внутренний аудит в российских компаниях // www.fd.ru
4. ИСО 19011:2002 Руководящие указания по проведению аудитов систем менеджмента качества и/или систем менеджмента окружающей среды