Внутренний аудитор · 2018-12-07 · Внутренний аудит как надежный партнер для бизнеса Внутренний контроль,

Внутренний аудитор

Аудит и оценка эффективности корпоративного управления рисками

Анна Сергеева: «Внутренний аудитор не должен поступаться своими принципами и отступать от стандартов внутреннего аудита»

Издание Некоммерческого партнерства «Институт внутренних аудиторов»

№ 2, 2018

Подготовка к экзамену Дипломированный внутренний аудитор (CIA). Личный опыт

ИССЛЕДОВАНИЕ:Аудит стратегических рисков: практические выводы руководителей внутреннего аудита

НОВОСТИ

COSO: Управление рисками организации. Интеграция со стратегией и эффективностью деятельности …………………………………………….…….……..... 5

ИССЛЕДОВАНИЕАудит стратегических рисков: практические выводы руководителей

внутреннего аудита ………………………………………………………………………..…..... 9

ПРАКТИКААудит и оценка эффективности корпоративного управления рисками

(авт. Алексей Сидоренко) ………………….………………………………………...……… 15

Роль внутреннего аудита в оценке готовности компании к работе в условиях ограничений (авт. Артем Сокольский) ………………...…………….. 18

Как успешно внедрить автоматизированную систему внутреннего аудита на предприятии масштаба Почты России. Пошаговое руководство (авт. Наталия Хмылова) ……………………….…….………………….. 23

ИНТЕРВЬЮ

Анна Сергеева, директор по внутреннему аудиту АО «Стройтрансгаз»: «Внутренний аудитор не должен поступаться своими принципами и отступать от стандартов внутреннего аудита» ……………………………..….. 27

МНЕНИЕ

Культурные стереотипы. Страхи руководителя (авт. Ара Чалабян) ..... 32

Внутренний контроль 2.0 (авт. Алексей Коряков) …………………………….. 34

Разрешение конфликтных ситуаций в аудиторской практике

(авт. Ольга Ярская) ……………………...……………………….................………………..... 38

CIAПодготовка к экзамену Дипломированный внутренний аудитор (CIA).

Личный опыт (авт. Алексей Дайбов) ………………….………………..…………… 40

2

В НОМЕРЕ

Внутренний аудитор, № 2, 2018

Содержание

«Внутренний аудитор», № 2, 2018Учредитель: Некоммерческое партнерство «Институт внутренних аудиторов»Директор: Алексей Сонин

Выпускающий редактор: Елена Фролова-Иванова

Над номером работали: Артём Горлов, Алексей Дайбов, Алексей Коряков, Анна Сергеева, Алексей Сидоренко, Артем Сокольский, Елена Фролова-Иванова, Наталия Хмылова, Ара Чалабян, Ольга Ярская

Адрес : Москва, Нарышкинская аллея, д. 5, строение 1Телефон: +7 (495) 748-05-32

Выпуск: сентябрь 2018 года. Полное или частичное использование материалов возможно только с письменного разрешения Института внутренних аудиторов.

Мнения, оценки и рекомендации в статьях, размещенных в издании, отражают точку зрения их авторов, не

являются обязательными к исполнению и могут не совпадать с позицией Института внутренних аудиторов. НП

«ИВА» и авторы материалов, опубликованных в издании, не несут ответственности за возможные последствия,

которые могут быть причинены в результате использования или невозможности использования ими

размещенных материалов. Читатель/ пользователь самостоятельно оценивает возможные риски совершения

юридически значимых действий на основе размещенной в издании информации и несет ответственность за их

неблагоприятные последствия.

Среди докладчиков Конференции:

Павел Брянцев, заместитель директора по безопасности АО «Объединенная металлургическая компания»Сергей Бурков, член комитета по аудиту совета директоров АО «Скоростные магистрали»Виктор Голубев, директор по IT Governance | COBITЮлия Грачева, старший менеджер EYАндрей Дроздов, первый вице-президент московского отделения ISACAАлександр Лейфрид, вице-президент – руководитель Службы внутреннего аудита ПАО «ЛУКОЙЛ»Анна Лернер, главный аудитор ПАО «Ростелеком»Александр Локтев, директор по внутреннему контролю и аудиту - главный контролер Госкорпорации «Росатом»Максим Мамонов, директор по внутреннему контролю и аудиту ПАО «МТС»Олег Неелов, начальник отдела работы с централизованными данными Управления внутреннего аудита по Среднерусскому банку ПАО СбербанкМаксим Романов, главный аудитор отдела аудита корпоративного бизнеса Управления внутреннего аудита по Волго-Вятскому банку ПАО СбербанкСергей Степашин, член Совета директоров и председатель комитета Совета директоров по аудиту и рискам ОАО «РЖД»Алексей Чепайкин, директор по внутреннему контролю и аудиту АО «Концерн Росэнергоатом»Алексей Шиндин, президент московского отделения ISACA

3

IX Региональная конференция Института внутренних аудиторов«Внутренний аудит в России: развитие в цифровую эру»

18-19 октября, Казань

Членам НП «ИВА», ACFE, РИД, ISACA предоставляется скидка 10%

Темы обсуждений: ● Внутренний аудит как надежный партнер для бизнеса● Внутренний контроль, управление рисками, комплайенс – роль внутреннего аудита в эпоху автоматизации● Как цифровая эра меняет внутренний аудит● Передовые методы и подходы во внутреннем аудите● Внутренний аудит ИТ/ИС● Внутренний аудитор будущего

http://conf.iia-ru.ru/

http://conf.iia-ru.ru/

1 ноября начнётся приём заявок в рамках Национальной премии

«Внутренний аудитор года». Он продлится до 31 декабря 2018 года.

Премия была учреждена Институтом внутренних аудиторов в 2013

году в качестве профессиональной награды за вклад в развитие и

продвижение внутреннего аудита в России. Соорганизаторами

Премии выступают РСПП и Московская биржа.

Традиционно Национальная премия вручается в трех номинациях:

• Служба внутреннего аудита года

• Руководитель службы внутреннего аудита года

• Внутренний аудитор года

Участие бесплатное.

Церемония награждения победителей и лауреатов пройдет в первый

день Национальной конференции Института внутренних аудиторов

«Внутренний аудит в России», которая состоится в марте 2019 года в

Москве.

Положение о Премии: www.iva-ag.ru/files/IVA-Award-Regulations.pdf

Сайт: www.iva-ag.ru/

По всем вопросам, касающимся Премии, обращайтесь к Елене

Фроловой-Ивановой: [email protected] , тел.: (495) 748-05-32.

4

Премия «Внутренний аудитор года»

Институт внутренних аудиторов

НОВОСТИ

https://www.iva-ag.ru/files/IVA-Award-Regulations.pdf

http://www.iva-ag.ru/

mailto:[email protected]

В России опубликована концепция COSO «Управление рисками организации. Интеграция со стратегией и эффективностью деятельности» (COSO ERM) 2017 года на русском языке. Ее перевод и издание стали возможными благодаря совместным усилиям Института внутренних аудиторов и компании «Делойт», СНГ. 18 сентября в офисе компании «Делойт» состоялась презентация, на которой присутствовали представители Центрального Банка РФ, Минэкономразвития России, Московской биржи, а также руководители по внутреннему аудиту и управлению рисками крупнейших компании России.

5

COSO: Управление рисками организации. Интеграция со стратегией и эффективностью деятельности

НОВОСТИ. COSO ERM 2017


6

В 2004 г. совет директоров COSO впервые опубликовал документ «Управление рисками организаций. Интегрированная модель», и за последнее десятилетие он получил широкое признание среди профессионалов. Постоянное изменение сложности рисков, появление новых, а также повышение уровня осведомленности и контроля со стороны советов директоров и высшего исполнительного руководства в области управления рисками организации сделали необходимым его регулярное переиздание. В обновленном документе под названием «Управление рисками организации: интеграция со стратегией и эффективностью деятельности», который вышел в свет на английском языке в 2017 году, подчеркивается важность учета рисков как в процессе разработки стратегии, так и в ходе работы по повышению эффективности деятельности.

Первая часть обновленной публикации содержит обзор текущих и развивающихся концепций и областей применения управления рисками организации. Вторая часть, Концептуальные основы, включает пять компонентов, которые учитывают различные точки зрения и операционные структуры и способствуют улучшению стратегии и процесса принятия решений.

Это обновление:• обеспечивает более глубокое понимание пользы от управления рисками организации при разработке и реализации стратегии;• повышает степень согласованности между управлением эффективностью деятельности иуправлением рисками организации для улучшения процесса установления целевых показателей и понимания влияния риска на эффективность деятельности;• учитывает ожидания в отношении корпоративного управления и надзора;• принимает во внимание глобализацию рынков и деятельности и потребность в применении общего, хотя и адаптированного подхода в разных географических регионах;• представляет новые способы рассмотрения риска для постановки и достижения целей в контексте более высокой сложности бизнеса;• расширяет содержание отчетности для соответствия ожиданиям заинтересованных сторон в отношении большей прозрачности;• учитывает развивающиеся технологии и быстрый рост объемов данных и аналитики, используемых для поддержки принятия решений;

• устанавливает основные определения, компоненты и принципы для всех уровнейуправления, задействованных в процессе разработки, внедрения и применения практики управления рисками организации.

В своем выступлении на презентации обновленной концепции Алексей Сонин, директор Института внутренних аудиторов, подчеркнул важность риск-менеджмента в деятельности внутреннего аудита: «В 2004 году была переведена на русский язык первая концепция «COSO: Управление рисками». И сейчас мы рады представить обновленное издание COSO «Управление рисками организации. Интеграция со стратегией и эффективностью деятельности» 2017 года на русском языке.Несомненно, это важнейшее профессиональное событие, ведь риск-менеджмент не является обособленным видом деятельности – это неотъемлемая часть управления в целом. Как связаны управление рисками и внутренний аудит? Во-первых, внутренний аудит не должен оставлять вне своего охвата такую область как управление рисками, только на основании того, что в компании, например, нет системы управления рисками как таковой. В конце концов, в определении внутреннего аудита говорится об управлении рисками как о процессе.Во-вторых, когда внутренние аудиторы делают аудит управления рисками, они оценивают не деятельность подразделения по управлению рисками или риск-менеджера (CRO), а то, как организация управляет своими рисками.В-третьих, что бы ни являлось объектом аудита, какой бы внутренний аудит вы ни делали – аудит бизнес-процесса, функционального подразделения,



7

структурного подразделения, проекта илипрограммы – прежде всего, надо задать вопрос, а какие здесь есть риски, которые могут повлиять на выполнение стратегии компании? И идти от этих рисков к дизайну и тестированию контролей.В-четвертых, нужно помнить, что управление рисками — это не о том, как избежать неприятностей, а о том, как эффективно достичь целей или результатов. А для того, чтобы чего-то достичь, надо идти на риск. Идти на риск – это нормально. Но организациям следует просчитывать, что достижение такой-то цели сопряжено с такими-то рисками, а достижение немного другой цели или, иными словами, некоторое отклонение от первоначальной цели, связано с такими-то рисками».

«За прошедшие десятилетия российский бизнес прошел большой путь — от полного игнорирования рисков до внедрения риск-ориентированного управления, — отметил директор Департамента по управлению рисками компании «Делойт», СНГ Сергей Кудряшов. —По нашим данным, сегодня многие российские компании анализируют риски и считают, что управление рисками создает дополнительную стоимость, способствует операционной устойчивости, а в ближайшем будущем даст толчок внедрению новых технологий и реализации новых бизнес-возможностей».

Это подтвердил и Сергей Демидов, директор департамента операционных рисков, информационной безопасности и непрерывности бизнеса, Группа «Московская Биржа», отметив, что для инфраструктуры финансового рынка очень важно следовать ведущим международным стандартам в области управления рисками, поскольку это дает возможность избежать негативного влияния на финансовый рынок и повысить его привлекательность для инвесторов. Следование стандартам также улучшает прозрачность системы управления компании в глазах ее акционеров и инвесторов. Московская Биржа надеется, что вслед за ней и другие участники рынка будут стремиться улучшить свои системы управления рисками в соответствии с международными стандартами, поскольку инфраструктура финансового рынка является ориентиром для других участников.



8

Нет сомнений в том, что и в будущем организациям придется по-прежнему сталкиваться с изменчивостью, сложностью и неоднозначностью мира, поэтому управление рисками будет играть важную роль в процветании компаний. Независимо от вида и размера организации, стратегии должны оставаться соответствующими ее задаче. И всем организациям необходимо проявлять качества, которые способствуют эффективному реагированию на изменения, включая быстрое принятие решений, способность сплоченно реагировать и способность адаптироваться, чтобы при необходимости быстро сделать разворот и изменить позицию, сохранив при этом высокий уровень доверия заинтересованных сторон.Авторы COSO «Управление рисками организации. Интеграция со стратегией и эффективностью деятельности» видят несколько тенденций в будущем, которые повлияют на управление рисками организации. Четыре из них выражаются в следующем:

• Решение проблем, связанных с быстрым ростом объемов данных. По мере увеличения объема доступных данных и скорости анализа новых данных управление рисками организации должно будет адаптироваться к этим явлениям. Данные будут поступать как из внутренних, так и из внешних источников, и структурироваться по-иному. Инструменты углубленной аналитики и визуализации данных будут развиваться и станут очень полезными для понимания рисков и их влияния – как положительного, так и отрицательного.

• Максимальное использование искусственного интеллекта и автоматизации. Многие считают, что мы вступили в эпоху автоматизированных процессов и искусственного интеллекта. Независимо от личных убеждений важно, чтобы в рамках практики управления рисками организации учитывалось влияние существующих и будущихтехнологий и максимально использовались их возможности. Взаимосвязи, тенденции и закономерности, которые ранее нельзя было распознать, теперь могут быть выявлены и стать богатым источником информации, чрезвычайно важной для управления рисками.

• Управление затратами на риск-менеджмент. Руководство компаний часто выражает озабоченность относительно затрат на управление

рисками, соблюдение требований и контрольные мероприятия в сравнении с получаемой пользой. По мере развития практики управления рисками организации станет важным, чтобы мероприятия, охватывающие риски, соблюдение требований, контроль и даже корпоративное управление, были эффективно скоординированы для того, чтобы они приносили максимальную выгоду для организации. Это может представлять собой одну из лучших возможностей для переосмысления важности управления рисками для организации.

• Создание более сильных организаций. По мере освоения организациями навыков интеграции управления рисками организации со стратегией и эффективностью деятельности им представится возможность повысить свою устойчивость. Зная риски, которые окажут наибольшее влияние на организацию, организации могут использовать управление рисками для внедрения возможностей, которые позволят им действовать на опережение. Это откроет новые возможности.

Итак, управление рисками организации должно будет измениться и адаптироваться к грядущим условиям для того, чтобы постоянно приносить выгоды, изложенные в Концептуальных основах. При правильной постановке дела выгоды, получаемые от управления рисками организации, значительно перевесят затраты и дадут организациям уверенность в их способности управлять будущим.

Издание COSO «Управление рисками организации. Интеграция со стратегией и эффективностью деятельности» можно приобрести в книжном интернет-магазине Totbook.ru.

Институт внутренних аудиторов благодарит компанию Deloitte, СНГ, за участие в издании COSO «Управление рисками организации. Интеграция со стратегией и эффективностью деятельности» на русском языке.

Презентацию компании «Делойт», посвященную подробному анализу COSO ERM 2017, а также презентацию Сергея Демидова (Московская биржа) о практических аспектах работы с нефинансовыми рисками можно найти в области Личный кабинет на сайте Института внутренних аудиторов (в разделе «Материалы и информация» → «Материалы встреч, круглых столов, мастер-классов»). ∞



https://totbook.ru/catalog/345/1136970/

В мае 2018 года исследовательское подразделение международного Института внутренних аудиторов (IIA) CBOK (Common Body of Knowledge) выпустило отчет о методах аудита стратегических рисков. Отчет был сделан по результатам опроса руководителей по внутреннему аудиту* из 23 стран (Австралия, Бразилия, Великобритания, Германия, Гонконг, Индия, Испания, Италия, Канада, Китай, Малайзия, Мексика, Нидерланды, ОАЭ, Польша, Россия, Сингапур, США, Тайвань, Турция, Франция, Южная Африка, Япония). Один из главных выводов заключается в том, что почти 2/3 (64%) заказчиков (стейкхолдеров) внутреннего аудита (далее – ВА) ожидают от внутренних аудиторов более активных действий в области стратегических рисков. В отчете обсуждаются передовые подходы, позволяющие внутренним аудиторам ориентироваться в важных для ВА областях – кибербезопасности, ИТ и капитальных проектах (capital projects). Но, несмотря на широту консультативных услуг, которые могут предоставлять функции ВА, чтобы помочь организации решить стратегические риски, работа по предоставлению гарантий всегда будет на первом месте.

9

Аудит стратегических рисков: практические выводыруководителей внутреннего аудита

Результаты исследования «Аудит стратегических рисков. Практический опыт» (Auditing Strategic Risks: Practical Insights from Internal Audit Leaders)

ИССЛЕДОВАНИЕ


* Количество участников – 1124 (члены советов директоров - 34%, СЕО - 15%, СFO - 18%, Другие руководящие должности - 33%). Количество участников интервью - 112

10

Руководители по внутреннему аудиту (CAE; от англ. Chief Audit Executive) указывают на ценность раннего участия ВА в стратегических инициативах; подхода, основанного на учете рисков; доверия к ВА в глазах в бизнес-партнеров и способности функции развиваться в сторону консультирования. Описывая, как они решают проблемы аудита стратегических рисков, руководители ВА подчеркивали, каким образом они укрепляют роль функции в качестве стратегического партнера бизнеса, не ставя под угрозу, в первую очередь, их ориентацию на соблюдение обязательств и обеспечение гарантий.

Кибербезопасность не существует в вакууме

Комитеты по аудиту требуют регулярного обновления информации о способности организации решать проблемы кибербезопасности, представляющей собой огромный стратегический риск. Руководители ВА реагируют по нескольким направлениям, таким как: • увеличение фокуса на кибербезопасность компании в формальных оценках рисков. Максим Козлов, начальник отдела ИТ аудитов Блока внутреннего контроля и аудита ПАО «МТС», отмечает, что менеджмент компании, также, как и комитет по аудиту, акцентирует свое внимание на тематике кибербезопасности, и, кроме того, данная проблематика относится и к дочерним организациям, которые имеют тесные взаимодействия с материнской компанией. А введение в действие 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации» будет являться одним из драйверов при планировании аудитов кибербезопасности для служб ВА в России. • непосредственное участие в руководящих комитетах и обучении по кибербезопасности; • увеличение и расширение областей, связанных с кибербезопасностью, в планах аудита; • согласование и приведение деятельности ВА по управлению рисками к единому знаменателю с деятельностью функций ИТ, ИБ и корпоративного управления рисками (ERM).

В целом, опрошенные руководители ВА чаще всего ссылались на следующие лучшие практики, которые позволяют им быть эффективными в аудите кибербезопасности:

● Взаимодействовать с теми, кто разрабатывает и определяет стратегию по кибербезопасности.Один из возможных вариантов: инициирование создания специального подкомитета по кибербезопасности, подотчетного комитету по аудиту и включающего внешних экспертов.

● Уточнение и координация с другими подразделениями в отношении ответственности за риски кибербезопасности. Руководители ВА тесно сотрудничают с другими подразделениями (ИТ, ИБ и ERM) для определения конкретных мероприятий по кибербезопасности, которые проводит каждая группа. Эта координация помогает синхронизировать все усилия в отношении кибербезопасности, одновременно усиливая роль ВА в обеспечении объективной, независимой гарантии оценки риска кибербезопасности. Например, в некоторых компаниях существует практика совместной (CAE и CIO) презентации рисков кибербезопасности в комитете по аудиту, чтобы продемонстрировать скоординированную работу, основанную на общем подходе к оценке рисков.

● Проведение формальной оценки риска внутренним аудитом или сторонними экспертами. Эти оценки выявляют пробелы, уточняют приоритеты в области совершенствования и исправления (например, решение проблемы значительного увеличения числа фишинговых е-мейлов), помогают определить аспекты кибербезопасности в плане аудита, влияют на консультативную работу по кибербезопасности и помогают компании согласовать свои риски кибербезопасности с целями по улучшению. Максим Козлов, ПАО «МТС», уточняет, что для проведения формальной оценки рисков может быть полезно изучение актуальной модели угроз ИБ компании, что помогает аудитору понимать угрозы, с которыми сталкивается бизнес, а также предпринятые меры по управлению данными угрозами.

● Консультирование по основам кибербезопасности, стандартам и руководству. Каждый CAE упомянул один или несколько наборов стандартов по кибербезопасности, которые использует их организация, чтобы помочь структурировать общую программу кибербезопасности и связанные с ней мероприятия



11

по обеспечению безопасности. Эти стандарты включают NIST Cybersecurity Framework, ERM, HITRUST, COBIT, ISO, The IIA’s Global Technology Audit Guide (GTAG): Assessing Cybersecurity Risk: Roles of the Three Lines of Defense, CSC20, FFIEC и другие. Руководители ВА советуют принимать непосредственное участие в обсуждении и оценке каждой из потенциальных основ системы кибербезопасности, их преимуществ и недостатков.

● Оценка киберустойчивости. Принимая тот факт, что в современных условиях нарушение неизбежно, CAE должен оценивать способность организации реагировать, общаться и восстанавливаться при возникновении такого нарушения. Области, которые необходимо рассмотреть, включают не только процедуры обеспечения непрерывности деятельности, но также связь и планы кризисного управления. По мнению Максима Козлова, ПАО «МТС», в оценке киберустойчивости немаловажное значение играет тестирование реального уровня информационной безопасности компании: «Для данных задач на регулярной основе может производиться внешнее тестирование уровня ИБ компании-заказчика независимыми компаниями. Для выполнения данного мероприятия может привлекаться и подразделение ИБ самой компании. Также тестирование может происходить без первоначального оповещения функции ИБ с целью проверки возможностей компании противодействовать внешнему (в зависимости от сценария тестирования) атакующему».

● Постоянное обучение. Знания – о внешних угрозах, новых стандартах, новых требованиях к соответствию и даже о составлении «психологических портретов» – являются решающим фактором успеха аудита кибербезопасности. Команда ВА должна понимать мышление широкого круга заинтересованных сторон, которые могут сознательно или невольно подвергнуть свою компанию киберугрозе. ВА должен понимать мыслительный процесс и методологию хакера. Максим Козлов отмечает, что особенно важно в данном контексте наличия у ВА технических компетенций/знаний (например, по моделям управления доступом, организации сетевого взаимодействия, установки обновлений в информационных системах компании). Но также важно уметь мыслить как бухгалтер, инвестор, юрист, специалист по комплаенсу, продавец, руководитель отдела кадров – любой, кто может подвергнуть компанию киберриску. И часть работы функции по обеспечению безопасности связана с

эффективностью обучения кибербезопасности, проводимого в рамках всей организации, и осведомленности сотрудников. Максим Козлов советует внедрить контроли по управлению доступами в наиболее критичные информационные системы (наладить регулярный аудит учетных записей, составить и применять при предоставлении доступов матрицу конфликтных ролей, использовать несколько уровней согласования в наиболее критичных бизнес-процессах компании).

● Владение навыками кибербезопасности и экспертными знаниями. Большинство CAE подтверждают, что наём и удержание внутренних аудиторов с ИТ-экспертизой и экспертизой в области кибербезопасности является проблемой. С этим помогают справиться стратегии и тактики управления талантами, включая инвестиции в обучение и развитие, использование внешних экспертов и тесное сотрудничество с коллегами по персоналу для разработки стимулов для найма, работы и удержания персонала. Опыт ПАО «МТС» показывает, что также необходимо наличие матрицы компетенций сотрудников и плана по развитию профессиональных компетенций, инвестирование во внешнее обучение сотрудников ВА (включая дорогостоящее).

ИТ-проекты: анализ данных, разработка и возможности

По мере того, как все больше компаний начинают заниматься цифровой трансформацией и все больше ИТ-систем и приложений мигрируют в облако, все больше разновидностей ИТ-проектов разных размеров и масштабов квалифицируется как стратегический риск. В результате, гораздо более широкий спектр ИТ-проектов и мероприятий по разработке приложений требует аудита. Максим Козлов отмечает, что вместе с цифровой трансформацией компании также должна произойти и трансформация службы ВА, которая должна включать в себя развития новых компетенций по аналитике данных, ИТ (например, начальные навыки программирования для автоматизации рутинных операций).

Детальное изучение и опора на факты – движущая сила эффективности аудита ИТ-проектов:

● Разработка структурированного, многоэтапного процесса оценки. Руководители ВА



12

подчеркивают ценность разработки и совершенствования структурированных оценок для каждого этапа ИТ-проекта. Учитывая растущий объем, ценность и важность данных, участвующих в новых реализациях и преобразованиях системы, безопасность часто определяется в качестве отправной точки для оценки проекта.

● Устранение поведенческих барьеров. Иногда ИТ-аудиторы обнаруживают, что команды ИТ-проектов преуменьшают или полностью скрывают возникшие проблемы, и такое повторяется из раза в раз. В этом случае ВА стоит приглядеться к коммуникационной составляющей. Как только ВА видит, что ИТ-команда не желает поднимать важные вопросы, нужно работать над тем, чтобы у нее была комфортная возможность их озвучивать. ВА должен делать четкий акцент на преимуществах максимально раннего выявления и исправления проблем в жизненном цикле проекта, а не позднего, когда воздействие и затраты на решение небольших вопросов могут существенно возрасти.

● Создание консультативных предложений для дополнения работы по обеспечению. Например, группа ИТ-аудита может разработать консультативное предложение, состоящее из критериев более высокого уровня, которые ИТ-аудиторы оценивают при проведении официального аудита ИТ-проекта (например: Есть ли у нас стратегия реализации? Кто наш спонсор? Утверждено ли финансирование? Каковы риски проекта? Какое планирование необходимо?). После того, как ИТ-аудиторы и группы ИТ-проектов совместно работают над перечнем таких вопросов, ИТ-аудиторы смогут предоставить по-настоящему стоящие рекомендации, а не формальные планы действий. Одна из компаний, которая ввела подобную практику, отмечает, что теперь команды ИТ-проектов почти не прибегают к такой услуге ВА, поскольку все делают самостоятельно через шаги, которые для них ранее разработал и задокументировал ВА.

● Признание необходимости использования Agile-разработки. Многие руководители ВА в настоящее время определяют, как устранять риски, связанные с методологиями Agile-разработки, которые охватывают все больше ИТ-функций. Хотя такой подход к разработке программного обеспечения, основанный на сотрудничестве, итерации и оптимизации, значительно сокращает время, необходимое для создания новых

приложений, и косвенно повышает организационную гибкость и скорость вывода на рынок, гибкая методология создает проблемы, связанные с риском.

Капитальное проекты: процесс – это всё

Руководители ВА, чьи функции проводят аудиты и оценки крупных капитальных проектов, как правило, подчеркивают важность двух различий. Во-первых, важно дифференцировать мониторинг состояния/ жизнеспособности и прогресса каждого капитального проекта, который является ответственностью руководства, и гарантии, которые предоставляет ВА. Во-вторых, ведущие CAE проводят различие между своей работой по отдельным капитальным проектам и необходимостью оценки общего потенциала управления капитальными проектами своей организации. Последнее может сильно помочь первому.Руководители ВА назвали следующие виды деятельности и передовой опыт особенно полезными в повышении эффективности своей работы по обеспечению и консультированию капитальных проектов:

● Участие в планировании на раннем этапе. Участие ВА на раннем этапе любой стратегической инициативы является преимуществом для организации, но особенно это касается, скажем, многолетнего проекта строительства на 500 млн. долларов США на другом конце мира. Такое участие часто приводит к ранним оценкам рисков, которые в значительной степени сосредоточены на структуре управления проектами. Одна такая оценка риска, например, привела к фундаментальным изменениям, в т.ч. роли инженерного департамента, департамента закупок и строительных подрядчиков, что в корне изменило траекторию работы.Своевременность выявления рисков в ходе реализации проектов по капитальному строительству существенно повышает эффективность аудита и пользу от него в глазах менеджмента. Артём Горлов, директор департамента внутреннего контроля и аудита АО «РТИ», отмечает, что хорошая практика, – когда компании, которые часто выполняют аудит капительного строительства, разрабатывают и внедряют систему индикаторов рисков на основе



13

данных в информационных системах. Это позволяет аудиту на постоянной основе отслеживать ключевые изменения в проектах и при необходимости незамедлительно реагировать, что повышает шансы успешно минимизировать риски.

● Сосредоточить внимание на обосновании инвестиций. Для завершения многих инвестиционных проектов требуются годы, и предположения, лежащие в основе решения об инвестировании, могут меняться с течением времени. В рамках аудита капитальных проектов, например, можно определять, какие источники данных используются для проверки допущений принятия решений. В этом помогают такие вопросы как: На какие факты вы опираетесь? Если вы проводили моделирование, как вы определяете, что модели точны? Как вы узнаете, что формулы надежны? Подтверждена ли прогнозируемая рентабельность инвестиций?Опираясь на многолетний опыт в проведении аудитов крупных инвестиционных проектов, Анна Сергеева, директор по внутреннему аудиту АО «Стройтрансгаз», подчеркивает важность анализа первого этапа инвестиционного проекта – этапа проведения предварительного исследования и оценки инвестиционных возможностей. Именно на данном этапе собирается и анализируется информация, которая станет основой для расчета всех показателей инвестиционного проекта, и при проведении аудита данного этапа нередко выявляются существенные нарушения и риски, которые в дальнейшем существенно влияют на результаты и экономику проекта.

● Развернуть специализированную экспертизу. Например, один CAE нанял внешнего строительного аудитора для проведения детального анализа счетов генерального подрядчика на тип здания, которое компания никогда ранее не строила. Это позволило задать технические вопросы, которые мог бы задать только тот, кто имел опыт работы с этим типом строительного проекта. Другие руководители ВА нанимают и удерживают внутренних аудиторов с обширным опытом работы в инвестиционных проектах и капитальном строительстве. По мнению Анны Сергеевой, альтернативной практикой в вопросе «выращивания» внутри подразделения ВА экспертизы в области аудита крупных строительных проектов является обучение и переквалификация специалистов строительной области (сметчиков, специалистов отдела строительного контроля) во внутренних аудиторов.

В практике работы департаментов внутреннего аудита крупных строительных компаний такой опыт используется и достаточно успешно.

● Проводить строгие, ориентированные на процесс обзоры проектов. В большинстве случаев аудиты капитальных проектов являются всеобъемлющими и подразумевают много «ручного» труда. Оценки процессов управления определяют, фокусируются ли руководящие группы проекта на соответствующих рисках и получают ли они правильную, полную и своевременную информацию. Оценки хода выполнения работ и бюджетов требуют рассмотрения большого объема информационно-подтверждающей документации, сопровождающей заявку генерального подрядчика на оплату, как правило, особенно объемной.В то время как строгий подход абсолютно необходим, руководители ВА последовательно подчеркивают необходимость дать понять руководителям проектов, что аудит сосредоточен на процессах, а не на отдельных лицах. Достижение этого баланса требует, чтобы аудиторы переводили такие понятия как «риск», «внутренний контроль» и другие аудиторские термины, на язык более понятный для менеджеров проектов, всегда испытывающих нехватку времени и не готовых вникать в непонятную им терминологию.

● Консультирование по вопросам совершенствования управления капитальными проектами. Например, ВА может разработать консультативное предложение/ курс, которое могут использовать группы по капитальным проектам уже в начале запуска новой инициативы. Такой сервис предоставляет руководство по ключевым операционным контролям, финансовым контролям и рискам проекта, которое коллектив должен учитывать, наряду с профилактическими тренингами (в т.ч. по распознаванию мошенничества), связанных с выставлением счетов от подрядчика. В этом случае роль ВА состоит в том, чтобы быть консультантом по рискам и стратегическим партнером, не мешая успешной реализации проекта. Также можно делать акцент на том, как измеряется и контролируется рентабельность инвестиций. Здесь роль ВА заключается в обеспечении того, чтобы соответствующие элементы управления были встроены в новые процессы, разрабатываемые группой. Анна Сергеева добавляет, что успешной практикой также является создание совместно с заинтересованными подразделениями системы ключевых индикаторов отклонений и



14

злоупотреблений в области капитального строительства. Данная система создается на основании данных информационных систем, данных отчетности и проектных показателей, и позволяет в режиме реального времени выявлять признаки злоупотреблений, в том числе приписок со стороны строительных подрядчиков. Кутакова Татьяна, начальник отдела методологии, финансового и операционного аудита Департамента внутреннего аудита ПАО «Аэрофлот», советует уделить особое внимание обоснованности выбора подрядчика, поскольку этому этапу присущи высокие риски, в том числе и риски мошенничества, которые могут оказать негативное влияние на реализацию всего проекта.

● Проведение пост-проверок. Результаты этих мероприятий могут обеспечить ценную обратную связь относительно обоснованности первоначальных допущений, используемых для обоснования проекта капитального строительства, и усовершенствовать подходы к будущим проектам, включая возможное привлечение ВА на более раннем этапе проекта. Как отмечает Анна Сергеева, на практике «посмертный» аудит и его результаты никогда не бывают столь же полезными, как аудиты, сопровождающие запуск или реализацию проекта в области капитального строительства. При этом, такие аудиты могут помочь отстроить систему внутреннего контроля в области капитального строительства при реализации следующих проектов. Но также стоит отметить, что на практике немало выявляемых отклонений являются следствием особенностей конкретного проекта, и не всегда рекомендации аудиторов смогут максимально снизить риски последующего проекта.

Четыре необходимых условия лидирующих подразделений ВА

Помимо конкретных пунктов, изложенных выше, был выявлен ряд факторов, которые являются ключевыми для успеха стратегического аудита. Все они присутствуют в каждой из функций ВА, которыми руководят опрошенные CAE:

1. Постоянные демонстрации ценности. Большинство руководителей ВА при описании истории начала принятия их подразделения ВА в качестве стратегического обеспечения и консультационного партнера для бизнеса, говорят об определенных обстоятельствах, некой поворотной точке, когда действия внутреннего

аудита изменили взгляд высшего руководства, членов совета директоров и владельцев процессов на функцию ВА. Руководители ВА подчеркивают, что такая, с трудом заработанная, репутация должна поддерживаться посредством постоянных демонстраций ценности. Ведь к организации постоянно присоединяются новые руководители и владельцы процессов, и рано или поздно им понадобятся доказательства того, что доверие к ВА оправдано.Для Артёма Горлова, АО «РТИ», очевидна прямая связь репутации функции аудита и умения отслеживать эффект от внедрения предложенных аудиторами рекомендаций: «Если внутренний аудит или независимая служба периодически проводит расчет эффекта от внедрения рекомендаций внутренних аудиторов и докладывает об этом комитету по аудиту и менеджменту, то это позволяет не только справедливо оценить свой вклад в деятельность компании, но и продемонстрировать ценность того, чем занимаются внутренние аудиторы».

2. Доступ. Демонстрация ценности функции ВА наряду с приверженностью CAE к постоянному построению отношений предоставляют этим лидерам важный доступ к членам совета директоров, высшему руководству и владельцам процессов по всему предприятию. Такой доступ позволяет получить ценную информацию о том, что происходит в организации и какие стратегические сдвиги и инициативы могут появиться на горизонте.

3. Общий язык. Поразительно, как много руководителей ВА упомянули важность перевода термина "внутренние контроли" в терминологию, которая будет понятна функциям ИТ, ИБ, капитальных проектов и другим владельцам процессов именно в их контексте. CAE подчеркивают необходимость перевода всей работы функции ВА в практические, хорошо понятные термины, которые имеют значение для заинтересованных сторон именно в их среде.

4. Участие. Ведущие подразделения ВА, как правило, весьма активны и широко во всем участвуют. Они присоединяются к «кабинетным учениям» по реагированию на инциденты, предназначенным для выявления ошибок кибербезопасности (например, проведение тестирования на проникновение в сеть в рамках плана ВА), проводят значительное время в цехах и на строительных площадках. ∞



Оценка эффективности управления рисками, как, наверное, и оценка любого бизнес-процесса, сложный и нетривиальный рецепт, который состоит из нескольких важных ингредиентов: понимание целей управления рисками, критериев оценки и анализа фактуры. Об этом и поговорим.

15

Аудит и оценка эффективности корпоративного управления рисками

Алексей Сидоренко, основатель портала www.risk-academy.ru, руководитель направления международного сотрудничества Института стратегического анализа рисков управленческих решений (АНО ДПО «ИСАР»)

ПРАКТИКА


16

Понимание целей управления рисками

Эксперты АНО ДПО «ИСАР» занимаются изучением особенностей управления рисками в компаниях реального сектора уже более 15 лет, и за это время многое поменялось в управлении рисками. Вот несколько современных трендов, которые должен понимать каждый внутренний аудитор перед началом формирования плана проверки эффективности управления рисками:

Цель управления рисками — это не эффективное управление рисками. За редким исключением рисков, которыми необходимо управлять потому, что такие указания есть в действующем законодательстве (риски, связанные с охраной труда, экологией, противодействие коррупции и т.д.), «бизнес»-рисками, стратегическими, операционными, проектными рисками не управляют. На этом, обычно, у среднестатистического аудитора логика рушится. Читайте дальше, скоро все станет понятно. Я с вами лишь делюсь тем, что обсуждают и публикуют лучшие риск- менеджеры по всему миру.

В современной практике управление рисками рассматривается не как процесс и тем более не как система (общепринятый термин «система управления рисками» вообще противоречит всей идеологии управления рисками и международным стандартам, поэтому в АНО ДПО «ИСАР» он никогда не используется), а как инструмент принятия решений.

Это означает, что управление рисками должно быть не самостоятельным обособленным процессом со своими входами, выходами и документами, а встроено в процессы принятия решений и бизнес-процессы организации и риски должны анализировать не раз в квартал или полугодие, как это делается сейчас, а в момент подготовки любого важного решения. Это важно! С точки зрения эффективной практики управления рисками, наличие политики, регламента управления рисками и обширного реестра рисков, который регулярно обновляется, но при этом стратегия, бюджет или инвестиционные решения принимаются без учета рисков является примером неэффективного управления рисками. А принятие инвестиционного решения только после валидации допущений менеджмента и анализа нескольких или

нескольких тысяч сценариев, при отсутствие каких-либо отдельных отчетов о рисках, наоборот, считается эффективным риск-менеджментом.

Поэтому, одним из первых и наиболее важных тестов эффективности управления рисками в организации является уровень интеграции процессов выявления, анализа и управления рисками в процессы принятия управленческих, инвестиционных и операционных решений. Мы называем это «риск-менеджмент 2». Примером такого подхода может послужить крупная российская государственная структура, направленная на инвестиции в развитие высоких технологий, в которой все инвестиционные решения принимаются только после проведения независимой оценки рисков и их влияния на ключевые показатели проекта. Другой пример: крупная авиакомпания, в которой каждое стратегическое решение должно иметь несколько альтернативных вариантов, при этом каждый вариант оценивается с точки зрения рисков, влияющих на успех его реализации.

МНЕНИЕ СПЕЦИАЛИСТА

Константин Дождиков, директор по управлению рисками ООО «УК «РОСНАНО»:«Для ООО «УК «РОСНАНО» очень важно чтобы каждое инвестиционное решение принималось с учетом рисков. Поэтому в отношении инвестиционных решений проводятся обязательные процедуры выявления и оценки рисков. При этом выявляют и оценивают риски как проектные команды, которые ведут проект, так и отдельные функциональные подразделения, которые пристально анализируют юридические, финансовые, технологические и другие аспекты сделки и проекта. Это обеспечивает более объективный и независимый анализ рисков инвестиционных решений».

Цель риск-менеджмента 2 – поддержка и информирование руководителей о рисках в процессе принятия решений. Задача риск-менеджера – сделать риски понятными и их влияние на цели или решение оцифрованным, чтобы позволить человеку, принимающему решения, сделать осознанный выбор, основанный на полной информации. Бывший глава риск-менеджмента LEGO на английском называет это intelligent risk taking, а Норман Маркс, автор и гуру риск-менеджмента, называет «риск-менеджмент 2»


ПРАКТИКА

17

informed and intelligent risk taking. Хотите больше независимых точек зрения? Мы специально подобрали 11 наиболее полезных книг по управлению рисками, которые рассказывают именно о риск-менеджменте 2 и о многочисленных недостатках традиционного для России подхода к управлению рисками: https://riskacademy.blog/2017/01/14/my-favourite-risk-management-books

В таком контексте задача внутреннего аудитора –оценить, насколько управление рисками интегрировано в процессы принятия решений и насколько руководители эту информацию в процессе принятия решений используют, а также качество анализа рисков.

Если есть «риск-менеджмент 2», то есть и «риск-менеджмент 1»?

Помимо основной цели риск-менеджмента –информировать руководителей, принимающих решения, – есть и еще одна задача – удовлетворить требования к риск-менеджменту со стороны акционеров, регуляторов и проверяющих. Поэтому существует «риск-менеджмент 1». Риск-менеджмент 1 – это набор действий и документов, направленный на презентацию информации о рисках организации в формате, установленном внешними заинтересованными сторонами. К сожалению, требования к риск-менеджменту 1 очень сильно отличаются от инструментов и практик, которые используются в риск-менеджменте 2. И, несмотря на многолетнюю работу экспертов АНО ДПО «ИСАР» с представителями Министерства экономического развития и Счетной Палаты, требования к риск-менеджменту пока далеки от реальных инструментов, которые мы, риск-менеджеры, используем. Поэтому риск-менеджеры часто дублируют или генерируют набор документов, специально для регуляторов, которые в целом бесполезны для принятия решений и управления организацией. Что еще хуже, в контексте риск-менеджмента 1, риск-менеджеры вынуждены использовать инструменты (такие как оценка рисков через ущерб и вероятность, документация рисков в реестрах и формирование карт рисков), которые дают заведомо ложные и не полные данные.

МНЕНИЕ СПЕЦИАЛИСТАЛюбовь Фролова, директор АНО ДПО «ИСАР»:«Исследование практики управления рисками в государственных и частных структурах в развитых странах, проведенное АНО ДПО «ИСАР», показало, что страны, которые делают упор на интеграции управления рисками в процессы принятия решений и культуру организации, достигли более высокого уровня зрелости. Российская же нормативная база пока находится в достаточно незрелом состоянии. Несмотря на то, что некоторые государственные структуры активно развивают тематику управления рисками (ведомства, которые сейчас внедряют «риск-ориентированный» надзор), в некоторых случаях эта работа никак не синхронизирована с принципами ГОСТ Р ИСО 31000, а часто прямо противоречит положениям международного стандарта. Это существенное отличие от западной практики, где ISO 31000 является основополагающим документом по управлению рисками для всех организаций».

Однако не все так плохо. Банки, рейтинговые агентства и страховые компании все еще поощряют риск-менеджмент 1, поэтому можно снизитьстоимость страхования и улучшить условия привлечения финансирования даже с помощью риск-менеджмента 1. Задача внутреннего аудитора в этом случае –убедиться, что «потемкинская деревня» под названием «риск-менеджмент 1» не сильно отвлекает менеджмент от работы, риск-менеджеры не заставляют руководителей заполнять безумные реестры рисков на 50 колонок и, при этом, все пункты, требуемые регулятором, выполнены. Хорошие риск-менеджеры делают все документы риск-менеджмента 1 сами. Аудиторы также должны убедиться, что риск-менеджмент 1, какой бы он ни был, приносит пользу компании через снижение страховых премий и снижение стоимости финансирования. В следующей статье мы поговорим о критериях оценки, изменившихся стандартах по управлению рисками ISO31000:2018 и COSO:ERM 2017 и о конкретных процедурах, которые должны предпринять аудиторы для оценки эффективности управления рисками. Мы даже дадим вам конкретную модель зрелости с более 30 критериями, взвешенными по важности, которую используем сами, когда оцениваем управление рисками в компаниях по всему миру. ∞

Продолжение в следующем номере…


ПРАКТИКА

https://riskacademy.blog/2017/01/14/my-favourite-risk-management-books

Функционирование коммерческих организаций в странах, в отношении которых инициированы ограничения (санкции), требует от собственников, руководства и иных заинтересованных лиц обращать пристальное внимание на вопрос обеспечения непрерывности деятельности. Как правило, наиболее важным является предотвращение ситуаций, когда продолжение функционирования технологических процессов становится невозможным, либо контрагенты, выполняющие высокотехнологичные работы / услуги, вынуждены прекратить свою деятельность на территории страны, либо договорные отношения с организацией, в отношении которой введены ограничения.

18

РОЛЬ ВНУТРЕННЕГО АУДИТА В ОЦЕНКЕГОТОВНОСТИ КОМПАНИИ К РАБОТЕ В УСЛОВИЯХ ОГРАНИЧЕНИЙ

Артем Сокольский, к.э.н., CIA, CRMA, MICA

ПРАКТИКА


19

С 2014 года Российская Федерация в силу наличия определенных противоречий в области внешней политики столкнулась с введением ограничений в отношении отдельных компаний, физических лиц и технологий, применяемых в области разведки и добычи полезных ископаемых, а также технологий двойного назначения (т.е. применение которых возможно в оборонно-промышленном комплексе и в производстве продукции гражданского назначения). Введенные ограничения в будущем могут оказать влияние на темпы экономического роста национальной экономики и уровень инвестиционной привлекательности отдельных ее сегментов. К сожалению, в настоящее время отсутствуют объективные предпосылки к отмене / ослаблению ранее введенных ограничений, поэтому их влияние на отдельные сегменты экономики сохраняется. В реестрах наиболее значимых рисков ряда крупнейших российских компаний указаны риски, связанные с введением ограничений на импортируемые технологии и оборудование. Некоторые организации столкнулись с ситуацией, когда контрагенты, выполняющие высокотехнологичные работы / услуги вынуждены отказаться от продолжения деловых отношений и существенно снизить свою деловую активность на территории Российской Федерации.В связи со сложившейся ситуацией вопрос оценки готовности организации к отказу от использования некоторых технологий и/или эксплуатации отдельных наименований оборудования становится все более актуальным. Не являются редкостью ситуации, когда подобный вопрос становится для руководителей и представителей акционеров неожиданностью и его решение требует разработки и оперативного выполнения мероприятий, направленных на поиск замещающих технологий или оборудования, локализацию технологий или оборудования, на которые могут быть наложены ограничения, или оценку потерь, связанных с прекращением деятельности по одному из направлений, и поиск источников восполнения выбывающих доходов.

Представители функции внутреннего аудита могут быть привлечены руководством организации и/или ее акционерами для выполнения следующих задач:1. Оценка системы управления непрерывностью деятельности организации, в том числе, в условиях

уже введенных, а также возможных дополнительных ограничений;2. Формирование рекомендаций, направленных на обеспечение непрерывности деятельности организации в условиях введенных ограничений, в том числе, на применяемые в операционной деятельности технологии;3. Оценка системы управления репутационными рисками организации, в том числе, если в состав ее руководства и/или акционеров включены физические лица, в отношении которых введены ограничения, формирование рекомендаций по управлению репутационными рисками;4. Оценка рисков в области бесперебойности функционирования ИТ-систем, используемого программного обеспечения, системы хранения данных, а также систем управления взаиморасчетами;5. Оценка системы управления запасами запасных частей и расходных материалов для критически значимого с точки зрения производственной деятельности импортированного оборудования;6. Формирование рекомендаций, направленных на снижение зависимости операционной деятельности организации от конкретного подрядчика / поставщика и/или наименования производителя импортируемого оборудования, а также рекомендаций по поиску и обобщению информации о контрагентах / поставщиках, способных выполнить аналогичные работы / предоставить аналогичное оборудование;7. Оценка финансовой устойчивости / платежеспособности организации при возникновении потребностей досрочного погашения долговых обязательств / существенных изменений обменного курса национальной валюты, формирование рекомендаций по обеспечению платежеспособности, в том числе по обязательствам, номинированным в иностранной валюте;8. Координация работы группы (комиссии) по обеспечению непрерывности деятельности организации в условиях ограничений;9. Другие задачи, направленные на обеспечение непрерывности деятельности организации в условиях ограничений.

При подготовке организации к работе в условиях ограничений наиболее актуальными с точки зрения

обеспечения непрерывности являются задачи, направленные на функционирование производственных процессов, а именно:


ПРАКТИКА

20

1. Продолжение применения импортируемых технологий / поиск и их замена аналогичными, локализованными на территории государства;2. Управление запасами запасных частей и расходных материалов для импортированного оборудования;3. Обеспечение взаимодействия с контрагентами, способными выполнить / оказать аналогичные работы / услуги.

Для выполнения указанных задач и связанных с ними мероприятий внутренние аудиторы могут выполнять, как минимум, следующие роли:

1. Проверяющий: внутренний аудитор проводит независимую и объективную оценку системы управления непрерывностью деятельности организации и предоставления гарантий надежности ее функционирования;

2. Консультирующий: внутренний аудитор оказывает консультационные услуги заинтересованным сторонам по различным вопросам, связанным с обеспечением непрерывности деятельности организации в пределах имеющихся компетенций. Для обеспечения более высокого качества услуг внутренним аудитором может быть инициирован процесс привлечения технических экспертов;

3. Координирующий: внутренний аудитор несет ответственность за координацию функционирования рабочей группы, своевременность рассмотрения вопросов, выполнения принятых решений, предоставления информации всем заинтересованным сторонам и т.д.;

4. Исполняющий: внутренний аудитор является представителем рабочей группы и принимает участие в разработке плана мероприятий, направленных на обеспечение непрерывности деятельности организации, и их последующую реализацию в согласованные сроки.

При определении роли внутреннего аудитора в процессе выполнения мероприятий наиболее значимым аспектом остается выполнение требования о независимости аудитора для поддержания объективности оценок / суждений. Роль «исполняющего» указывает на возможное снижение уровня независимости аудитора и

объективности предоставляемой информации. При выполнении указанной роли внутренним аудитором должно быть организовано заблаговременное уведомление заинтересованных сторон.

Уведомление заинтересованных сторон о привлечении представителей функции внутреннего аудита в качестве «исполнителей» рекомендовано организовать следующим образом:

1. Определение объема работ, сроков и ответственных лиц: делается совместно с инициаторами запроса на участие внутренних аудиторов в подготовке и выполнении плана мероприятий по обеспечению непрерывности деятельности организации в условиях введенных ограничений;

2. Обсуждение предполагаемого объема работ между руководителем функции внутреннего аудита, генеральным директором организации и представителями акционеров. На данном этапе руководителю функции внутреннего аудита необходимо проинформировать участников обсуждения о характере работ, а также об отсутствии возможности в течение согласованного срока (как правило, календарный год после выполнения мероприятий) проводить независимые проверки процессов, связанных с реализованными мероприятиями;

3. Оценка влияния предполагаемых объемов работ, исполнение которых планируется передать внутренним аудиторам, на ранее согласованные планы аудитов и проверок с точки зрения достаточности ресурсов, а также оценка влияния качества аудитов и проверок с точки зрения объективности предоставляемых оценок и суждений;

4. Совместная оценка достаточности компетенций и полномочий функции внутреннего аудита для выполнения обсужденного объема работ, обсуждение результатов оценки между руководителем функции внутреннего аудита, генеральным директором и представителями акционеров; при необходимости – запрос на предоставление дополнительных ресурсов и/или полномочий;

5. Согласование объема работ с генеральным директором и представителями акционеров, ответственность за выполнение которых возложена


ПРАКТИКА

21

на представителей функции внутреннего аудита. –Наиболее приемлемым вариантом является получение письменного согласования или отражение принятого решения в протоколах заседаний Комитета по аудиту или аналогичного органа;

6. Официальная рассылка заинтересованным сторонам об участии представителей функции внутреннего аудита в процессе выполнения согласованного объема работ, отраженных в плане мероприятий по обеспечению непрерывности деятельности организации в условиях введенных ограничений. В направляемой информации также должны быть отражены сведения о влиянии принятого решения на ранее согласованный план аудитов и проверок;

7. Подготовка и формирование отчетов о выполненных мероприятиях заинтересованным сторонам, в том числе, руководителем функции внутреннего аудитора может быть инициирован запрос на проведение представителями акционеров или назначенными ими лицами аудита процессов, в рамках которых выполнялись работы.

Таким образом, наиболее результативным подходом к привлечению внутренних аудиторов в рамках ситуации, связанной с вводом ограничений в отношении национальной экономики и ее субъектов, является последовательное выполнение следующих ролей: «проверяющий», «консультирующий», «координирующий».

Результаты проведенных внутренними аудиторами проверок с указанием наиболее существенных недостатков в системе управления непрерывностью деятельности организации являются основой для плана мероприятий по устранению выявленных недостатков. После создания рабочей группы внутренний аудитор предоставляет консультации по процессу выполнения согласованных и дополненных заинтересованными лицами мероприятий, координирует данный процесс, а также может осуществить оценку влияния выполненных мероприятий на процесс управления непрерывностью деятельности организации.

Как правило, основными и ожидаемыми заинтересованными сторонами результатами функционирования рабочей группы по системе управления непрерывностью деятельности организации являются:

1. Наличие структурированной, формализованной и внедренной системы управления непрерывностью деятельности с информацией об основных элементах, областях деятельности организации, включенных в периметр системы, а также о лицах, ответственных за функционирование ее элементов;

2. Обеспечение наличия подтверждения факта ознакомления и осведомленности работников организации о наличии и функционировании системы управления непрерывностью деятельности организации;

3. Наличие перечня импортированного оборудования, комплектующих, запасных частей и расходных материалов для его обслуживания, перечень оборудования должен содержать информацию о его возможных аналогах, приобретение которых возможно в условиях введенных ограничений;

4. Наличие перечня информации о контрагентах, выполняющих работы / оказывающих услуги, на которые могут быть наложены ограничения, оперативная замена которых в сложившихся обстоятельствах не представляется возможной;

5. Наличие перечня информации о контрагентах, выполняющих работы / оказывающих услуги, которые могут быть замещены альтернативными контрагентами, способными выполнять / оказывать аналогичные работы / услуги;

6. Наличие наиболее полного перечня технических документов и карт технологических процессов, функционирование которых зависит от контрагентов, на деятельность которых могут быть наложены ограничения;

7. Наличие информации о результатах оценки влияния введенных ограничений на производственную программу и стратегию развития организации;8. Наличие графика проведения периодической оценки и мониторинга результативности системы и фактов, подтверждающих его исполнение (отчеты, результаты выполнения мероприятий по улучшениям и устранению выявленных несоответствий и т.д.);9. Другие результаты.

Приведенные результаты приобретают дополнительную ценность и значимость, если были


ПРАКТИКА

22

получены за счет выполнения превентивных мероприятий (т.е. запланированных и реализованных до введения ограничений (применения санкций) и являющихся менее затратными по сравнению с аналогичными мероприятиями, выполняемыми в условиях действующих ограничений (санкционного режима), в том числе, ограничений по времени их выполнения).

С учетом пристального внимания профильных ведомств к вопросу импортозамещения технологий и локализации производства сложного оборудования некоторым наиболее значимым для национальной экономики коммерческим организациям был сформирован запрос на предоставление информации о технологиях / оборудовании, которые импортируются и являются критически значимыми с точки зрения функционирования отдельных операционных процессов. Процесс сбора информации и подготовки ответов на запрос также может потребовать вовлечения внутренних аудиторов в качестве координаторов.

Вместе с тем, несмотря на принимаемые меры, для некоторых организаций вопрос отсутствия возможностей замещения импортированного оборудования и технологий остается актуальным. В подобных ситуациях внутренним аудитором должна быть проведена объективная и независимая оценка ситуации, а результаты оценки должны быть доведены до сведения заинтересованных сторон, в том числе, представителей Совета директоров с целью предотвращения ситуаций умышленного непредоставления или неполного предоставления информации о сложившейся ситуации представителями руководства.

В качестве альтернативного, но достаточно дорогостоящего варианта локализации технологий является приобретение контрагентов или их подразделений (в случае, если подразделения являются самостоятельными юридическими лицами). Однако помимо существенного объема ресурсов, требуемых для реализации сделки, у приобретателей отсутствуют гарантии наличия возможности использования технологий, ради которых была инициирована сделка. В подобных ситуациях представители функции внутреннего аудита могут быть привлечены в качестве экспертов по проведению оценки стоимости приобретаемого актива. В процесс оценки также

должны быть привлечены технические эксперты, основной задачей которых является определение возможности продолжения использовать технологию, которая ранее предоставлялась контрагентом.

Таким образом, функционирование организаций в условиях ограничений (санкций) может потребовать от руководства и акционеров подготовки и выполнения мероприятий, направленных на обеспечение непрерывности деятельности компании. Наиболее значимыми могут стать мероприятия превентивного характера, т.е. предполагающие наличие заблаговременно подготовленного плана, графика с указанием ответственных лиц, системы измерения результативности и стоимости выполнения мероприятий, последующего мониторинга их функционирования.

С учетом необходимости привлечения нескольких подразделений для выполнения мероприятий представители функции внутреннего аудита могут успешно выполнять роль координатора процесса взаимодействия между представителями подразделений, а также, при необходимости, оказать консультативную поддержку заинтересованным сторонам по оценке качества выполнения согласованных мероприятий.

Планомерное выполнение мероприятий позволит обеспечить непрерывность операционной деятельности организации, снизить ее зависимость от импортируемого оборудования / технологий, а также определить приоритетные направления для формирования спроса на локализацию технологий / производства оборудования, замещающих выбывшие наименования в условиях применения ограничений. ∞

Список использованной литературы:1. Международные основы профессиональной практики внутреннего аудита (МОПП ВА) // Международный Институт внутренних аудиторов. 2. Климова Н.И. «Экономика санкций» как область научных исследований: теоретические основы и положения // Фундаментальные исследования. –2016. – № 5-2. – С. 357-361.3. Костиков И.В., Архипова В.В., Комолов О.О. Влияние санкций на внешнее финансирование российской экономики // Федеральное государственное бюджетное учреждение науки Институт экономики РАН. 2015. 49 с.4. Ливинцова М.Г., Мишина М.Д., Мишин Н.Д. Влияние экономических санкций на структуру внешнеэкономических связей // Вестник Санкт-Петербургского политехнического университета Петра Великого. 2016. № 2 (17). С. 36-38.5. Масютин С.А., Гуськова И.В., Шагалова Т.В. Экономические санкции в отношении России: угрозы или возможности для бизнеса // Актуальные проблемы экономики и права. 2015. № 1 (33). С. 75–87.6. Матвеенков Д.О. «В режиме санкций»: проблемы и перспективы экономического и политического развития России // Российский университет дружбы народов. 2016. 40 с.


ПРАКТИКА

23

Как успешно внедрить автоматизированную систему внутреннего аудита на предприятии

масштаба Почты России. Пошаговое руководство.

Наталия Хмылова, директор по внутреннему контролю Почты России

ПРАКТИКА


24

В конце прошлого года Почта России завершила первый этап проекта по автоматизации внутреннего аудита на базе платформенного решения АВАКОР («Автоматизация внутреннего аудита, контроля и оценки рисков»), разработанного компанией «Диджитал Дизайн». Мы предлагаем вернуться в самое начало этого проекта и рассмотреть процесс подготовки Почты России к его реализации, определить, что может стать залогом его успешности и на что обратить особое внимание при планировании проекта. Разобраться с особенностями реализации проекта по автоматизации внутреннего аудита в российской государственной компании с самой крупной филиальной сетью помогла Наталия Хмылова, директор по внутреннему контролю Почты России.

Шаг первый – осознание необходимости изменений

Для компаний масштаба Почты России, являющихся ключевыми предприятиями России, автоматизация процессов внутреннего аудита продиктована необходимостью повысить эффективность командной работы внутреннего аудита в условиях возрастающих ожиданий менеджмента. А в нашем случае это деятельность 10 региональных служб внутреннего контроля с общим количеством пользователеи более 100 человек. Поэтому сто́ит определить основные предпосылки, определяющие необходимость и целесообразность таких изменений. Это поможет в дальнейшем правильно сформулировать цели и критерии успешности проекта. В нашем случае такими предпосылками стали: во-первых, большой массив информации, собираемой на этапах подготовки, проведения проверок, контроля и анализа результатов, который требует учета, хранения, систематизации, обработки и анализа. Во-вторых, требование по согласованию и консолидации планов работ, программ проверок и отчетности контрольных подразделений филиальной сети, а также необходимость использования общей методологической базы проверок, документов. И, в-третьих, для повышения эффективности мероприятий, проводимых по результатам внутреннего аудита, требовался инструмент, который позволил бы осуществлять

контроль исполнения поручений и решений руководства предприятия.

Шаг второй – формулирование целей проекта

После этого мы зафиксировали цели проекта и установили измеряемые и однозначные критерии его успешности. Правильно поставленная цель проекта – половина успеха. Целевыми ориентирами автоматизации для Почты России стали: • Повышение производительности деятельности подразделений внутреннего аудита на 25%.• Снижение временных затрат на проведение контрольных мероприятий на 40%.• Повышение оперативности обработки информации и снижение вероятности возникновения ошибок в результате человеческого фактора в 2 раза.• Расширение возможностей анализа информации,выявления системных и потенциальных проблем.• Создание и ведение единой базы данных (БД) для подразделений внутреннего аудита (к тому моменту их было 20).И, забегая вперед, отмечу, что все цели были достигнуты.

Шаг третий – стандартизация внутренних процессов

Далее было необходимо проанализировать готовность компании к реализации проекта. В силу сложности самой задачи по автоматизации деятельности внутреннего аудита ключевым моментом подготовки компании к реализации данного проекта явилась формализация процесса внутреннего аудита, нашедшая свое отражение во внутрикорпоративных стандартах, под требования которых в ходе реализации проекта производится разработка или настройка системы. Основное «нельзя» – нельзя начинать проект по автоматизации если процесс внутреннего аудита не стандартизирован. Нестандартизированный процесс внутреннего аудита эффективным не будет, и неважно, оцифрован он или нет. Вместе с тем, дополнительные функции, представленные в системе, следует рассматривать как возможность дополнительно оптимизировать существующие процессы внутреннего аудита, а не только как способ осуществлять те же шаги и действия, но в «цифровом» виде.


ПРАКТИКА

25

Автоматизация внутреннего аудита должна рассматриваться как один из инструментов достижения целей и задач внутреннего аудита и, как следствие, повышения операционной эффективности бизнеса. Например, одна из важнейших задач – снабжение корпоративной системы управления достоверной, максимально полной и своевременной информацией, являющейся основой для принятия взвешенных управленческих решений. Подход Почты России заключался в максимизации такого позитивного эффекта за счет автоматизации всего жизненного цикла процесса внутреннего аудита.

Шаг четвертый – формулирование бизнес-требований к системе и технического задания

На основании целей проекта были определены бизнес-требования к самой системе, которые затембыли формализованы в техническом задании. Техническое задание готовилось с учетом конкретных специфичных условий, характерных для Почты России, в том числе, учитывалась организационная структура компании, наличие десяти региональных подразделений внутреннего аудита, требования внутрикорпоративных стандартов внутреннего аудита, требования к информационной безопасности, конфиденциальности и сохранности информации. Среди требований к системе были также происхождение продукта (требовалось российское ПО), немаловажную роль играл опыт интегратора, предлагавшего свои услуги, и наличие у него рекомендаций профессионального сообщества. Для выбора оптимального пути автоматизации рекомендую провести мониторинг существующих предложений рынка программных продуктов. Несколькими годами ранее выбора не было и отечественный рынок программного обеспечения мало что мог предложить. В настоящее время ситуация начала меняется, появилась возможность работать со специалистами, за плечами которых накопленный опыт внедрения проектов автоматизации служб внутреннего аудита крупнейших российских компаний, в том числе государственного сектора. Надо отметить, что сегодняшние отечественные продукты, не только ни в чем не уступают импортным аналогам, но и являются более оптимальными в применении: они учитывают российскую специфику деятельности внутреннего аудита, соответствуют требованиям

импортозамещения и несут меньшую лицензионную финансовую нагрузку.Почта России приняла решение приобрести настраиваемый продукт, а не идти по пути создания уникального программного обеспечения «подзаказ». Использование готового программного обеспечения позволяло уменьшить бюджет проекта и время на его реализацию. А в современнои жизни сэкономленное время имеет в итоге, пожалуи , бо́льшую ценность, чем экономия на инвестициях во внутренний аудит. Учитывая, что система имеет модульную структуру, где отдельные блоки соответствуют основным законченным процессам внутреннего аудита, мы получили возможность поэтапного ее внедрения.С другой стороны, мы понимали, что готовый продукт не может учитывать все специфичные требования, заявленные нами к программному обеспечению, и в плане реализации проекта должен появиться дополнительный этап – настройка программного обеспечения под особенности деятельности Почты России, специфику сформированной методологии внутреннего аудита, требования и подходы системы внутреннего контроля и управления рисками компании. Поэтому критерии гибкости и возможности выполнения специфической настройки выбираемого нами программного обеспечения также стали немаловажными факторами в выборе программного продукта.

Шаг пятый – формирование команды проектаФормирование команды проекта – один из ключевых факторов успеха проекта. Еще на этапе подготовки к реализации проекта требуется создать рабочую группу, состоящую из сотрудников компании, которая будет принимать участие в разработке, внедрении, тестировании и развитии функциональности системы. В нашей проектной


ПРАКТИКА

26

команде были внутренние аудиторы, эксперты и методологи в области внутреннего контроля и аудита, риск-менеджеры, IT-специалисты. Необходимо назначить ответственного за внедрение и администратора системы, четко прописать зоны ответственности, критерии успешности и правила взаимодействия проектной группы. Эффективно функционирующая система –это результат плодотворного, конструктивного диалога между заказчиком и разработчиком.

Шаг шестой – адаптация и мотивация персонала

На последнем этапе внедрения системы на первое место встает проблема адаптации сотрудников к работе в новых условиях. И здесь команду проекта может поджидать одна из сложностей: люди небыстро привыкают к новым программам, а из-за отсутствия опыта работы в системе и доверия к ней первое время может возникать дублирование выполняемых задач и, как следствие, дополнительная нагрузка на персонал. Но это проблема, скорее, психологическая. Организованная система обучения пользователей (очное и дистанционное обучение, отработка рабочих кейсов), онлайн-поддержка пользователей и правильно выстроенная система KPI позволят быстро адаптировать сотрудников к работе в новой среде. Для правильной организации обучения в подразделения службы внутреннего аудита необходимо выделить сотрудников, хорошо знакомых с современными компьютерными технологиями и программным обеспечением. Идеально, если эти люди будут принимать участие в основных, якорных, событиях проекта – при его старте, на промежуточных демонстрациях и в тестировании. Сотрудники должны пройти углубленное обучение работе в системе и стать носителями знаний, к которым могут обращаться остальные сотрудники автоматизированных подразделений. Ну и, конечно, нельзя забывать о сплошном обучении всех сотрудников, особое внимание необходимо уделить практике выполнения типовых ежедневных действий, а не общей теоретической подготовке. Огромную пользу в этом оказывают хорошо проработанные и написанные на понятном конечному пользователю системы инструкции, к процессу формирования которых также можно привлечь сотрудников –носителей знаний. Немаловажным является участие руководителя

подразделения внутреннего аудита в процессе адаптации специалистов к работе в системе, необходимо на личном примере показать удобство работы с системой, например, начать осуществлять постановку задач через систему.К тому же, безусловно, система должна иметь удобный пользовательский интерфейс и необходимую информационно-справочную поддержку, к которой просто и быстро можно обратиться из интерфейса системы

Шаг седьмой – анализ эффективности

Помимо достижения поставленных целей, о которых было сказано ранее, функция внутреннего аудита, получила дополнительные эффекты от реализации проекта: - обеспечение единого методологического подхода к процедурам внутреннего аудита по всей региональной сети, - фокусирование на наиболее рисковых областях деятельности предприятия, - оперативное принятие решений руководителями подразделений внутреннего аудита, - адаптация к изменениям и требованиям бизнеса, - повышение качества проектов за счет осуществления онлайн-контроля на всех стадиях реализации проектов, - сокращение времени на проведение типовых процедур, - наличие единой базы знаний и статистики проверок и аудитов, - возможность обработки больших объемов информации в сжатые сроки, - повышение прозрачности и оперативности предоставления информации.И по-настоящему ощутить пользу системы нам удалось при формировании годовой отчетности, когда мы обнаружили, что сбор и обработка итоговых данных, а также подведение итогов по KPI, заняли всего несколько часов. Система позволила существенно разгрузить менеджеров от рутинных обязанностей по мониторингу и контролю за качеством реализуемых проектов и сосредоточить усилия на системных и сложных проектах. Система, как я отмечала выше, имеет модульную структуру, что позволяет компании поэтапно внедрять и легко развивать ее. Так, в дальнейшем предполагается интеграция системы с корпоративным электронным документооборотом в части исполнения поручений и настройка модуля управления рисками. ∞


ПРАКТИКА

Сегодня мы беседуем с Анной Сергеевой, директором по внутреннему аудиту АО «Стройтрансгаз», членом Комиссии РСПП по аудиторской деятельности и победителем Премии «Внутренний аудитор года» (2016) Института внутренних аудиторов в номинации "Руководитель службы внутреннего аудита года". На протяжении 6 лет Анна преподает в Учебном центре Института внутренних аудиторов и в осенней сессии читает тренинги «Методики внутреннего аудита (аудит бизнес-процессов, инвестиционный аудит, аудит тендерной и закупочной деятельности, аудит системы управления организацией)» и «Методика оценки системы внутреннего контроля: корпоративный и процессный уровни. Создание системы индикаторов корпоративных злоупотреблений».

Беседовала Елена Фролова-Иванова

«Внутренний аудитор не должен поступаться своими принципами и отступать от стандартов внутреннего аудита»

ИНТЕРВЬЮ

Внутренний аудитор, № 2, 2018 27

28

- Анна, как Вы пришли во внутренний аудит?

- Во внутренний аудит я пришла 15 лет назад, имея за плечами опыт работы главным бухгалтером и финансовым директором. Мне очень повезло в том, что я сразу попала в профессиональный аудиторский коллектив. Это была компания мирового масштаба, в которой огромное количество интересных и разноплановых проверок с командировками по стране и миру (от Якутии до Гвинеи и Нигерии) позволили получить тот опыт, который очень помог при дальнейшем развитии в профессиональной области. Если говорить об образовании, то у меня два высших образования (экономическое и юридическое) и дополнительно МВА Финансовый менеджмент.

- Чем Вам нравится это направление?

- Совершенно искренне считаю, что работа внутреннего аудитора – это самая интересная и полезная работа на свете. Именно аудитор видит в компании то, что позволяет сложить полную картину всего происходящего в бизнесе. Кроме того, особенности нашей профессии не позволяют стоять на месте и заставляют постоянно развиваться и совершенствоваться. И еще только в нашей профессии можно получить удовлетворение от того, что видишь, как компания меняется к лучшему после выполнения рекомендаций аудита практически во всех областях деятельности.

- Поговорим о том, что волнует каждого внутреннего аудитора. Что, на Ваш взгляд, помогает выстраивать хорошие, конструктивные отношения с топ-менеджментом компании, советом директоров и комитетом по аудиту?

- Как ни банально это прозвучит, самым важным для построения конструктивного диалога, на мой взгляд, является умение внутреннего аудитора чувствовать бизнес «на кончиках пальцев» и понимать, что любая организация – это, по своей сути, живой организм, которому внутренний аудитор должен приносить пользу. Такого полезного для бизнеса внутреннего аудитора можно сравнить с хорошим врачом, который при постановке диагноза и назначении лечения пациенту должен учитывать очень много факторов, глубоко разобраться в причинах плохого самочувствия пациента, учесть вопросы наследственности, влияния внешних факторов и еще много всего прочего. Но самое важное в данной

ситуации – это чтобы «назначения врача» делали «пациента» здоровым и обеспечивали его процветание. Встречались ли вам недостаточно профессиональные внутренние аудиторы-«хирурги»? Такие, которые не очень склонны разбираться в причинах и готовы скорее дать рекомендацию «будем резать, лечить бесполезно». Или другой, противоположный вариант: когда аудитор больше похож на плохого терапевта, который для лечения серьезного заболевания назначает одни витамины. И назначение есть, и принимает витамины пациент исправно (аудит проведен, по результатам менеджмент отчитался об успешном выполнении плана корректирующих действий), но только при следующем визите к врачу выясняется, что состояние пациента ухудшилось (при повторном аудите через год видно, что показатели бизнес-процесса не улучшились, или даже изменились в худшую сторону). Таким образом, если высшее руководство и члены СД и комитета по аудиту будут видеть правильное отношение аудитора к бизнесу и получать в качестве результата его работы реальную помощь, именно при таких условиях однозначно диалог будет конструктивным, а менеджмент часто будет обращаться к внутреннему аудитору по своей инициативе.

- Сравнение внутреннего аудитора с врачом очень яркое. И что важно, если сам пациент не будет принимать участия в своем лечении или халатно отнесется к назначению опытного врача, то лечение не поможет… Поэтому задам совсем практический вопрос из области «выписывания рецепта»: как Вы подходите к составлению аудиторского отчета? Как лучше преподносить информацию для разных категорий получателей, чтобы она максимально усваивалась?

- Мы с коллегами используем самый удобный и с годами оправдавший себя способ написания аудиторского отчета с разделением на три крупных блока. Первый блок – это резюме для руководства (краткое содержание отчета на одной странице, для топов). Второй блок – это карта рисков и отклонений (с оценкой рисков и ранжированием выявленных отклонений по значимости, для функциональных руководителей). Третий блок –результаты аудита (детальное описание ситуации и выявленных отклонений, например, в разрезе подпроцессов аудируемого бизнес-процесса, для всех заинтересованных в подробной информации).


ИНТЕРВЬЮ

29

- Используете ли Вы графические методы для иллюстрации процессов и другой сложной информации? Помогает ли такая подача информации ее усваивать?

- Да, используем там, где это уместно. Иногда аудиторский отчет, содержащий графики, диаграммы или даже рисунки и фотографии, очень помогает правильно преподнести информацию.

- Вернемся к вопросу общих коммуникаций с заказчиками аудита. Как Вы думаете, надо ли по-разному выстраивать отношения с исполнительным руководством и советом директоров/ комитетом по аудиту?

- Если говорить в целом о построении отношений, то существенных различий, по моему мнению, быть не должно. Внутренний аудитор выстраивает конструктивный диалог как с менеджментом, так и с комитетом по аудиту и с советом директоров, как с основными заказчиками своих услуг, всегда открыт и максимально объективен. Некоторое различие имеется, пожалуй, только в самих акцентах, а также в наполненности той информации, которую внутренний аудитор транслирует на высшее исполнительное руководство организации, либо на уровень комитета по аудиту и совета директоров. Менеджменту чуть более важны детали, он ближе к процессам и конкретным персоналиям, при этом совету директоров важнее чаще всего видеть общую картину.

- А как Вы относитесь к консалтинговой функции ВА? Что надо делать, чтобы менеджмент чаще обращался к внутреннему аудитору за советом?

- Внутренний консалтинг – это очень полезный и важный вид деятельности, который, на мой взгляд, необходимо активно развивать. Благодаря внутреннему консалтингу многие проблемы предупреждаются до их возникновения через обращение за советом к внутреннему аудитору в той или иной ситуации. Много говорили и говорят о развитии этого направления в нашей профессиональной среде, но на практике не всегда получается реализовать и развить внутренний консалтинг. Для этого, прежде всего, нужны положительные примеры внутри самой организации. Если, например, руководитель одного функционального направления обратится за советом к внутреннему аудитору, получит реальную помощь и поддержку и расскажет об этом другому

руководителю, то вот такое «сарафанное радио» внутри организации сработает очень хорошо. Но есть в данной ситуации один важный момент, который способен по сути своей поставить крест на механизме внутреннего консалтинга. Этот момент связан с реакцией руководителя организации на результаты работы внутреннего аудитора. Представим себе вот такую ситуацию: пришел внутренний аудитор на работу, собрал всех руководителей и долго и вдохновляюще рассказывал о том, что аудитор это не ревизор, а бизнес-партнер, и что лучше предупреждать возникновение проблем, чем потом их решать. Был на том собрании и генеральный директор, который согласно кивал и улыбался. Аудитор был убедителен и красноречив, и потянулись после собрания к нему потихоньку сотрудники со своим проблемами. Идет время, аудитор не подводит, старается, советует, все вопросы прорабатывает, руководители довольны. И параллельно, конечно, аудитор проводит проверки в соответствии с планом аудита – как же без этого, – в частности, проводит логистический аудит. И вот наступает время первого аудиторского отчета, аудитор докладывает о результатах проверки и выявленных отклонениях генеральному директору, и тот в один день громко, со скандалом и со ссылкой на отчет аудитора увольняет весь персонал дирекции по логистике. Не будем сейчас говорить о существенности тех отклонений, которые выявил аудитор, и о справедливости увольнения, этот вопрос пока оставим за кадром. Поговорим о том, как изменилось отношение коллектива к аудитору и к его советам. Опустела та часть коридора, которая ведет к кабинету аудитора, и теперь и за советом к нему никто не спешит (на всякий случай), и информацию по запросу аудитора также не спешит никто представлять. На общем собрании отворачиваются руководители от аудитора, а некоторые даже шепчут сердито: «тоже мне бизнес-партнер». А ведь как все хорошо и правильно начиналось… Этот рассказ – иллюстрация к выводу о том, что менеджмент будет обращаться за советом к внутреннему аудитору только в организации, в которой правильное позиционирование внутреннего аудитора не только исходит от него самого, но и поддерживается высшим исполнительным руководством.

- Тут мы плавно подошли к вопросу, стоит ли продвигать функцию ВА внутри компании? Что такое продвижение может дать функции ВА?


ИНТЕРВЬЮ

30

- Да, безусловно, функцию «внутренний аудит» необходимо и продвигать, и рекламировать. Это поможет развить направление «внутренний консалтинг», благодаря чему аудитор сможет предупреждать значимые риски до момента их реализации. Кроме того, более плотное и частое общение с бизнесом поможет аудитору повысить уровень информированности о том, что происходит в его организации.

- Пожалуйста, поделитесь Вашим опытом: как можно промотировать функцию ВА внутри компании?

- Продвигать и рекламировать функцию «внутренний аудит», рассказывать о целях и результатах работы можно и нужно на всех уровнях, а не только на совещаниях с высшим руководством организации. Приведу на эту тему позитивный пример: в одной известной компании начали проводить День открытых дверей в подразделении внутреннего аудита. В этот день сотрудники дирекции по аудиту рассказывали о своей работе и о себе, и даже показывали свои детские фотографии. Результаты не заставили себя долго ждать: последующие проверки стали проходить проще и встречали меньше сопротивления. Данный опыт был использован далее в других компаниях, например, в дирекции по внутреннему аудиту были проведены «аудиторские масленицы» с угощением самодельными блинами всех желающих. Такие мероприятия помогают упростить коммуникации с сотрудниками при проведении проверок, убрать барьер «проверяющий/проверяемый», который мешает конструктивному диалогу.

- А как Вы относитесь к сотрудничеству ВА со службой безопасности? В каких случаях оно необходимо? И как нужно строить такое сотрудничество, чтобы оно было успешным?

- К сотрудничеству со службой безопасности отношусь очень хорошо, более того, могу сказать по опыту нашей компании, что служба безопасности –наш самый большой друг в организации. Мы часто проводим совместные проверки и делимся результатами аудитов и служебных расследований. По моему мнению, от такого плотного взаимодействия обе функции однозначно выигрывают.

- С помощью каких инструментов можно развивать и поддерживать культуру осознания

риска мошенничества на всех уровнях организации?

- Классические инструменты по управлению риском злоупотреблений, такие как развитие корпоративной культуры, подбор «правильных» сотрудников, создание антикоррупционной политики и т.д., безусловно, должны применяться в каждой организации. Но, вместе с тем, мы имеем огромное количество примеров, когда данные инструменты применяются, но злоупотреблений от этого меньше не становится. Одним из самых эффективных механизмов, который снижает уровень данного риска, является система индикаторов корпоративных злоупотреблений. Данная система в режиме реального времени анализирует все данные информационных систем и выдает оповещение в случае, если выявляет определенное несоответствие, которое свидетельствует о риске злоупотребления.

- На Ваш взгляд, как следует поступить, если внутренний аудитор попал в этический тупик? Например, нашел ту информацию, которая может кого-то скомпрометировать, и если ее обнародовать, аудитора могут уволить?

- Искренне считаю, что внутренний аудитор не должен никогда поступаться своими принципами и отступать от стандартов внутреннего аудита. И если внутренний аудитор будет бояться отражать в аудиторском отчете правдивую информацию исключительно из-за страха быть уволенным, то пользы от работы такого аудитора будет немного. Поэтому единственный совет в данной ситуации: не вступать в сделку с совестью, помнить об объективности, при этом быть корректным в своих выводах и формировать свое заключение только на основании аудиторских доказательств, не используя при этом в качестве доказательств результаты интервью или некие предположения, не имеющие под собой оснований.

- Поговорим о Вас и коллективе. Какой Вы руководитель?- Достаточно демократичный, ориентированный на создание эффективной и дружной команды.

- Одна из важных составляющих в команде – это преемственность. Как лучше организовать процессы, чтобы они не зависели от конкретного сотрудника? Ведь он, например, может уволиться или неожиданно уйти на длительный больничный?


ИНТЕРВЬЮ

31

- В данном вопросе самое важное – это постоянное изменение состава аудиторской команды, чтоб сотрудники постепенно получали опыт во всех областях, не засиживались на одном участке. А также, конечно, внутреннее обучение, это у нас постоянный процесс. Все это позволяет обеспечить максимальную взаимозаменяемость, и кроме этого, позволяет «подращивать» и развивать кадры, создавать внутренние резервы для будущего карьерного роста.

- Для любого внутреннего аудитора важно профессиональное развитие. Как руководитель функции ВА может стимулировать своих сотрудников развиваться и нужно ли это делать?

- Да, безусловно, руководитель функции ВА должен вдохновлять своих сотрудников на развитие и профессиональный рост, и при этом предоставлять им такие возможности. Хорошей практикой является формирование модели компетенций с дальнейшим тестированием сотрудников и разработкой для каждого из них персонального плана развития.

- А если говорить о Вас лично и о развитии?

- На текущем этапе развитие достигается через общение в профессиональной среде, а также через обогащение дополнительным опытом, который, в том числе, помимо непосредственно проведения аудитов, получаю при общении с участниками тренингов и вебинаров, которые мы проводим в Учебном центре ИВА.

- Да, Вы уже несколько лет ведете тренинги в Учебном центре ИВА. Какие курсы есть сейчас? Планируете ли новые темы?

- Курсов уже достаточно много, более десяти различных тем. Самые популярные из них – это двухдневный тренинг по методике оценки системы внутреннего контроля корпоративного и процессорного уровня, а также мастер-класс по созданию системы индикаторов корпоративных злоупотреблений и отклонений в бизнес-процессах. Также все больший интерес у слушателей вызывает курс по проведению аудита системы управления. Новые темы планируются, обычно они рождаются по просьбам коллег, которые приходят на обучение в наш Учебный центр. Например, одна из последних тем, «Методика проведения аудита логистических

операций» возникла полгода назад после обсуждения курса по инвестиционному аудиту.

- Что Вам дает преподавание?

- Прежде всего, это общение с коллегами, для которых важно развитие и получение новых знаний. Кроме того, это возможность обменяться опытом и далее получать обратную связь и видеть, как полученные на тренингах знания применяются на практике и помогают совершенствоваться внутренним аудиторам и менять к лучшему показатели деятельности их организаций.

- И последний вопрос. Верите ли Вы в аутсорсинг в области ВА? Частичный аутсорсинг? И что нужно делать, чтобы аутсорсинг в ВА стал успешным или хотя бы не стал провальным?

- На этот вопрос можно ответить только подробно. По моему опыту, если в организации работает более 500 человек, то такой организации стоит задуматься о создании подразделения внутреннего аудита. Такой организации я бы не посоветовала идти по пути аутсорсинга внутреннего аудита, так как свой внутренний аудитор, который живет и развивается вместе с бизнесом и хорошо понимает все особенности, будет однозначно более полезен. Но в тоже время представим себе ситуацию, что такому аудитору поставлена задача, которую он не сможет выполнить в необходимый срок или с нужным качеством. И при этом есть понимание, что эта ситуация разовая, и нанимать еще нескольких аудиторов в штат нет необходимости. В такой ситуации, безусловно, будет полезен частичный аутсорсинг. Теперь вернемся к небольшим компаниям, менеджмент которых может нуждаться в проведении внутреннего аудита по той или иной тематике, но не чаще двух раз в год. Такой компании очень поможет аутсорсинг функции «внутренний аудит» на периодической основе. Чтоб аутсорсинг не стал провальным, необходимо, во-первых приглашать профессиональную команду, а во-вторых оказать полную информационную помощь и поддержку, чтоб обеспечить максимальное погружение аудиторов в ключевые вопросы бизнеса. И еще обязательно перед проведением аудита объяснить всем сотрудникам, что аудит – это не прокурорская и не ревизионная проверка, что не будет «снятых голов» и лишения премий, и что очень важен настрой на эффективное взаимодействие. ∞


ИНТЕРВЬЮ

32

Сегодня наше общество сталкивается с рядом серьезных проблем, и, соответственно, нуждается в переменах. В различных областях, начиная с государственного управления и заканчивая частным бизнесом, общественным и социальным сектором, реформы продвигаются медленно. Во всех областях видимы глубоко укорененные проблемы в системе ценностей, которые могут быть преодолены только путем культурной (в широком смысле) трансформации.После моей статьи «Всегда ли шеф прав», посвященной культурным вызовам, я решил написать о мифах, которые встречаются в нашей повседневной жизни и тесно взаимосвязаны с культурными традициями. Мифы и легенды рождаются от страхов. Еще с древних времен, когда люди не могли объяснить некоторые явления, они создавали мифы вокруг них. Первая статья из этой серии посвящена страхам руководителей, которые не позволяют идти в ногу со временем. Для оправдания этих страхов они придумывают мифы, которые становятся стереотипами. Эти стереотипы замедляют процесс принятия решений и их осуществления, поскольку не все заинтересованные стороны вовлечены и, соответственно, не берут ответственности.

Миф 1. Руководитель должен быть строгим, чтобы был порядок

Еще с советских времен считалось, что хороший руководитель должен быть строгим, чтобы обеспечить порядок, без которого все вышло бы из-под контроля. Mы часто путаем внешнюю строгость с внутренней требовательностью. Руководитель отдаляется от сотрудников под покровом строгости, но не соблюдает ту же строгость в отношении себя самого. Работники замечают это, и в результате страдает их мотивация. Данный стереотип часто опровергают лидеры из отрасли ИТ. Они требовательны к результатам, и в то же время командные игроки в процессе работы.


МНЕНИЕ

Культурные стереотипы.

Страхи руководителя

Ара Чалабян, президент IIA-Армения, главный аудитор Центрального Банка Армении

33

Миф 2. Прислушиваться к мнению сотрудника –знак слабости

Те же «советские» лидеры считают, что ни в коем случае нельзя показывать слабость в присутствии подчиненных (именно подчиненных, а не сотрудников). Прислушиваться к мнения подчиненного – знак слабости, хотя в сегодняшнем информационном мире невозможно знать ответы на все вопросы. Для достижения наилучшего результата надо объединить всевозможные силы, поощрять активный обмен мыслями и представление разных взглядов.

Миф 3. Я не могу общаться с сотрудниками ниже моего ранга

Другим видом формальности является соблюдение излишней субординации: «Я могу общаться только с равными мне по рангу коллегами». Тогда почему вышестоящие от вас по рангу коллеги должны общаться с вами? И каким образом люди смогут развиваться? Крайним проявлением данного примера был случай, когда руководитель поставил под вопрос участие на конференции с более чем сотнями специалистами. В целом, знанию не интересна твоя должность.

Миф 4. Никто не хочет брать на себя ответственность

Мы часто слышим от руководителей, что никто не хочет брать на себя ответственность, и им приходится принимать все решения самостоятельно. Ответственность и полномочие работают рука об руку. Никто, конечно, не хочет брать на себя ответственность без определенных полномочий. Когда руководитель с легкостью меняет решения подчиненного или, что еще хуже, упрекает за принятие неправильного по его мнению решения, вся ответственность за принятие решений «делегируется» наверх.

Миф 5. Надо проверить, а то обманут

Вместо того, чтобы окружить себя преданными людьми, «советский» руководитель никому не доверяет, предпочитает регулярно всех проверять и вынуждает конкурировать между собой. Хороший лидер создает здоровую среду сотрудничества между конкурентоспособными участниками команды, где достигаются наилучшие результаты.

Миф 6. Мы не можем привлечь хороших сотрудников

Слабые руководители окружают себя слабыми людьми, хотя часто утверждают обратное. Просто посмотрев, кем они окружены, все становится ясно. Обоснованием, как правило, является невозможность привлечения хороших работников, из-за требования высокой зарплаты. Хотя вознаграждение является важным фактором для работника, немаловажно чем он занимается и в какой среде. Сегодня в Армении мы встречаем переехавших на родину людей, которые оставили высокооплачиваемую работу за границей, потому что желают прожить свою жизнь осмысленно.

Миф 7. Если обучать наших сотрудников, они уйдут

Финансовый директор говорит управляющему: «Мы тратим значительную сумму на обучение сотрудников, и они уходят». Генеральный директор отвечает: «Представьте себе, если бы мы не обучали их, и они бы все остались».Менеджеры часто жалуются, а в крайних случаях, препятствуют, когда их сотрудники обучаются и получают международные сертификаты, так как потом уходят от них. Получается, что нам нужны необразованные, не имеющие стремления люди, которые, однако, не дают никакого результата. Когда работник, получивший международный сертификат, сразу думает о новой работе, это говорит о среде, вопреки которой он квалифицировался. Большинство сотрудников нашей команды имеет международную сертификацию, остальные сдают экзамены и получат сертификаты в течении одного-двух лет, так как это естественное требование в нашей среде, а не способ отдаления от нее.

Среди молодых людей, которые не видели Советский Союз (в котором, кстати, были также хорошие руководители) часто замечаю те же страхи, которые выражаются при получении первой же руководящей должности. Возможно, эти страхи сидят очень глубоко, на подсознательном уровне. Эти опасения не позволяют нам двигаться вперед, и в результате мы не можем в полной мере реализовать свой творческий потенциал. Надо найти в себе силы не жить мифами других, освободиться от них и идти по собственному пути. ∞


МНЕНИЕ

34

Первая концепция внутреннего контроля появилась 27 лет назад. Это была концепция COSO 1992 года, которая была обновлена в 2013 году. Это и сейчас самая известная и распространенная в мире концепция. Затем появлялись и другие. Но несмотря на наличие упорядоченного знания и фундаментальных основ количество корпоративных скандалов не уменьшается. Минимум раз в полгода слышишь о скандалах, связанных с нарушением внутреннего контроля. А о скольких случаях нигде не сообщают? Я работаю в службах, так или иначе связанных с внутренним контролем, с 1999 года. И меня заинтересовал вопрос – а почему так происходит? Почему, несмотря на все развитие теории внутреннего контроля, не получается заставить работать систему правильно? Значит ли это, что концепция внутреннего контроля не верна? Или это значит, что ее неправильно применяют? И есть ли способ построить систему внутренних контролей так, чтобы она работала? В этот статье я постарался ответить на эти вопросы. Мне удалось выделить несколько типичных ошибок, связанных с работой СВК и с самой концепцией. И будет очень интересно обсудить их и понять, как же работать дальше. Если у вас будут какие-либо идеи, либо комментарии, буду рад их услышать. Что такое внутренний контроль?

Вначале давайте ответим на вопрос «что такое внутренний контроль»? В концепции COSO упомянуто, что, когда разрабатывали концепцию внутреннего контроля (1985-1992) –единого определения внутреннего контроля не было и все понимали его по-разному. Одним из существенных вкладов COSO в развитие теории было то, что он впервые сформулировал определение внутреннего контроля, которое с тех пор стало классическим. И в обновлении 2013 года определение осталось неизменным. COSO определяет внутренний контроль следующим образом:«Внутренний контроль – это процесс, осуществляемый советом директоров,


МНЕНИЕ

Внутренний контроль 2.0

Алексей Коряков, CIA, FCCA, CIMA Rus, общий опыт работы во внутреннем и внешнем аудите - 15 лет. Автор и ведущий тренингов Учебного центра Института внутренних аудиторов. В осенней сессии Алексей Коряков проведет следующие тренинги: «Написание отчета внутреннего аудита» (19 октября), «Анализ данных. Как просмотреть 1 000 000 транзакций?» (23 октября), «IT аудит» (29 ноября), а также вебинар «Управление проектами. Что это такое и можно ли это аудировать?» (2 октября).

35

менеджментом и другими сотрудникам для получения разумной уверенность относительно достижения целей организации по следующим критериям:- Эффективность и рациональность деятельности.- Достоверность финансовой отчетности.- Соблюдение законов и нормативных актов.»Если сократить определение, то мы придем к следующему: «внутренний контроль – это процесс, гарантирующий достижение целей предприятия».

Но как внутренний контроль синхронизируется с управлением? Профессор Деминг описывал управление как цикл, состоящий из шагов «plan-do-check-analyze». Где check можно заменить на контроль. Этот цикл гарантирует достижение цели. Я планирую цель и то, как ее буду достигать. Я действую, пытаюсь достичь цель. Я контролирую или проверяю, где я отклоняюсь от достижения, и я корректирую свои действия. Если взять контроль сам по себе, то он тогда не может гарантировать достижение цели. И если контроль выдернуть из цикла управления, то тогда и процесс управления не сможет достичь цели. Получается, что внутренний контроль – это часть процесса управления. И сама концепция COSO признает, что контроль должен быть вплетен и неразрывно связан с процессом управления. Это, в принципе, понятно интуитивно. Однако, когда выпустили концепцию внутреннего контроля, то мы все попали в логическую ловушку. Давайте представим, как будет реагировать генеральный директор, если его попросят предоставить отчет по только что выпущенной концепции внутреннего контроля? Мне бы хотелось процитировать книгу «Шесть простых правил» Ива Морье, партнера The Boston Consulting Group (BCG), который исследовал вопросы производительности и выживания компаний в условиях все возрастающей сложности, в том числе в виде предъявляемых требований к компании: «... представьте себе, что организация – это глупая машина, у которой на все вопросы есть один ответ: каждый раз, когда вводится новое требование ..., машина ... добавляет еще одну выделенную функцию. Качество – это новое требование, добавим к организационной машине департамент качества».

У генерального директора и высшего менеджмента нет времени читать и разбирать сложную концепцию. Им проще нанять специалиста. Так стали появляться отделы внутреннего контроля. Но как поняли раньше – внутренний контроль это и есть управление. И никто из руководителей

добровольно не отдаст управление в другие руки. К тому же, что специалисты во внутреннем контроле могут понимать в самом процессе управления? Но специалистам по внутреннему контролю чем-то надо заниматься. Тогда им пришлось уходить в детали: описывать кучу рисков и контролей, сопоставлять и тестировать их. К сожалению, это не помогало улучшить внутренний контроль, а только усложняло работу системы.

Так и получилось, что единственная задача отдела внутреннего контроля, которую они могут выполнять – это предоставлять отчет о статусе внутреннего контроля. Такие статусы запрашивают совет директоров, внутренний или внешний аудит и внешние органы. Наибольшей силы такие отделы достигли там, где есть серьезное внешнее требование, касающееся системы внутреннего контроля. Это банки, страховые компании, другие организации, на которых распространяется закон Сорбейнса-Оксли. Если спросить у трезвомыслящих людей – какую пользу приносят компании такие отделы – то ответ будет – мы делаем все, чтобы нашу компанию не оштрафовали за несоблюдение этих внешних требований.

Это произошло, в том числе, потому что контроль и управление -- стали раздельными понятиями. И это ужасное заблуждение. Все стали считать, что ошибки в процессе можно исправить контролем. Но это путь, ведущий в никуда. Нам не нужен контроль, который исправляет процесс, нам нужен процесс, который изначально работает правильно.

В моей практике был случай. Мы обнаружили, что в магазинах не соблюдаются планограммы – графики выставления товаров на полки в магазинах. Соответственно, был запущен контроль планограмм.

Контроль состоял в том, что по определенному графику администратор магазина должен был сфотографировать товар на полке и отправить фото в центральный офис. Если выставленный товар не соответствовал планограмме, то у магазина снижалась оценка. Сотрудники в центральном офисе еженедельно отчитывались о проценте выполнения планограмм. И, по их отчетам, вскоре выполнение планограмм достигло 99%.

В реальности же происходило другое. Сотрудники магазина перед тем как сфотографировать полку, полностью очищали ее от товара, выставляли товар по планограмме, фотографировали и после этого


МНЕНИЕ

36

выставляли товар как было. То есть, при нулевой эффективности, контроль стоил 2-3 часа рабочего времени магазина.

Когда мы стали изучать проблему выставления товара, то стало ясно, что выставить товар по планограмме просто невозможно, поскольку:1. размеры полок в реальности и на планах не совпадали;2. весогабаритные параметры товаров в системе не совпадали с реальностью;3. позиций товаров в магазине было в 2 раза больше, чем необходимо по ассортиментной матрице.

Подобных примеров в разных компаниях и отраслях можно привести очень много. Я уверен, что и у читателей найдутся подобные кейсы. Таким образом, сам по себе контроль не имеет никакого значения. Имеет только то, насколько правильно выстроен процесс и насколько сам процесс гарантирует достижение цели.

Почему же не работают процессы?

Конечно же, к вышеописанной ситуации с планограммами привело не только то, что разделились два понятия – «контроль» и «управление». Есть и еще несколько причин. Одна из них – мало кто умеет строить работающие процессы. И этому нигде и не учат. Ни в школах, ни в институтах такого предмета мне не встречалось. Более того, менеджеры искренне убеждены, что процессы изначально правильны. А ошибки в процессах происходят лишь потому, что люди не хотят их соблюдать. И это сильно ограничивает нас в методах корректировки ошибок.

На вопрос, почему сотрудник не исполняет то, что ему нужно исполнить, есть 3 ответа:1. не может;2. не умеет;3. не хочет. И вот тут очень интересный момент – что такое «не может»? Если процесс непонятен сотруднику, это он не умеет или не хочет разбираться? Если процесс требует полчаса работы над одной бумажкой, а у сотрудника есть только 10 свободных минут по графику – это он «не может» или «не хочет уделить время»? Много раз я видел, что как только менеджер слышит, что кто-то не выполняет теоретически исполнимый процесс – сразу же выдается ответ: давайте оштрафуем или давайте поставим в мотивацию.

К сожалению, в менеджменте большинства компаний нет убеждения, что если процесс не исполняется, то это ответственность менеджмента. Все стараются ответственность за неисполнение спустить вниз. Никто не пытается смотреть на процесс с точки зрения того, зачем же процесс нужен, какую пользу он приносит. Точно также никто не пытается снизить временные затраты для сотрудников.

Появляются две стандартные реакции на ошибки:1. добавить дополнительный контроль2. ввести дополнительную мотивацию.

Когда менеджмент решает внедрить дополнительный контроль или дополнительное согласование – это только усложняет процесс. А значит, вместо того, чтобы упростить процесс, сделать его более прозрачным и понятным – мы только усложняем процесс, чем усугубляем ситуацию. Чем сложнее процесс – тем меньше вероятность, что он будет работать правильно.

Как мотивировать?

С мотивацией же ситуация еще хуже. Общая точка зрения – КПЭ помогают мотивировать сотрудников, в том числе и менеджмент, работать интенсивнее и лучше. Если нужно обеспечить выполнение какого-либо показателя, то его просто нужно ввести в мотивацию. К сожалению, это не так. Все ошибки и недоразумения приводят к выводу: в данном случае КПЭ были установлены неправильно. Значит, необходимо придумать новую, улучшенную систему КПЭ. В результате, система усложняется и приводит к дальнейшим ошибкам. Общее заключение о работе КПЭ высказал операционный директор одной из крупнейших компании России на конференции, где обсуждались проблемы процессов: «те подразделения, которые смогли пойти против системы КПЭ (КПЭ устанавливал лимит заработной платы в процентах от общих затрат) и выплатить сотрудникам необходимое количество денег – сейчас не испытывают проблемы с персоналом». Так вот и вопрос: зачем создавать систему КПЭ, при которой сотрудникам надо выбирать – либо получить бонус, либо привести подразделение к успеху? Давайте рассмотрим сложность при установке КПЭ. Есть типичное рассуждение: «если люди что-то не делают, то надо просто добавить им мотивации, и они будут это делать». Если у сотрудника 1-2


МНЕНИЕ

37

показателя, то это утверждение еще имеет смысл. Но если количество показателей превышает 20? Когда мы добавим еще один параметр, то его влияние будет уже меньше 5%: 100/21 = 4,76%. И насколько это действительно повлияет на поведение сотрудника?Другое ограничение при КПЭ – это их срок действия. Стандартная ситуация, что для сотрудников назначаются годовые КПЭ. Это значит, что сотрудники целый год будут работать только на показатели, заданные КПЭ. А если цели компании поменяются? Как можно переориентировать сотрудников?

Но самая главная проблема в КПЭ – это то, что они разрушают командную работу. Я думаю, всем аудиторам знаком КПЭ – количество устраненных нарушений. Этот показатель показывает количество именно устранённых замечаний. Значит, что аудиторы написали хорошее замечание и менеджмент устранил его. Однако, большая часть аудиторов считает, что этот КПЭ устанавливать некорректно – они же не могут отвечать за работу менеджмента. Точно также и с любой другой командной работой –КПЭ можно установить только на индивидуальные показатели сотрудника. И любой сотрудник будет стремиться выполнить именно эти показатели, неважно как его работа влияет на общую работу предприятия. Мир становится все более сложным и требует командной работы и гибкого реагирования на условия рынка. К сожалению, одним из больших препятствий на пути быстрого и общего реагирования на ситуации является именно КПЭ.

Про согласования

Еще одной типичной проблемой является разделение обязанностей. Согласно концепции COSO разделение обязанностей это один из основных контролей. Однако, очень часто такое разделение приводит к ненужным согласованиям. Давайте рассмотрим практическую ситуацию. Приходят люди из производства – у нас проблема, план продаж очень долго согласуется между продажами и финансами. И мы поздно получаем согласованный план. В результате – срыв плана, срочные закупки, поздние поставки. И первая реакция – как ускорить согласование? Может написать программу для согласования? Или процесс как-то посмотреть, ускорить? Как можно решить проблему?

Но давайте посмотрим на ситуацию с другой стороны. А зачем финансы согласуют план продаж? В конкретной ситуации, единственное, для чего это необходимо – это потому что «так принято». Но для компании никакой пользы нет. Финансы не отвечают за план продаж и никаким образом на него не влияют. Так если продажи – это ответственность отдела продаж – зачем вмешиваться? Они и должны отвечать за результат. Это их задача. Финансы, как независимое подразделение, пусть считают результаты. В этом моменте могут возникнуть законные возражения – финансисты делают очень важную работу, они проверяют выполнимость всего плана и обеспечивают его финансированием. Ведь если не будет денег – не будет ничего.

И тут есть два важных момента: 1. Чтобы проконтролировать исполнимость плана, финансистам надо, в том числе, собрать план закупок. В таком случае финансы могут корректировать общий план – уже с учетом плана продаж, закупок, других необходимых платежей –налогов, прочих. Т.е. точка согласования тогда должна быть гораздо дальше по процессу. 2. Вряд ли предприятие работает в очень непредсказуемом режиме. И скорее всего, общий план продаж и закупок месяца N будет либо сравниваться с месяцем N-1 либо с предыдущим годом. Тогда финансы должны примерно знать общие потребности предприятия – и они должны обеспечить финансирование, с учетом возможностей по кредитам, поступлениям и т.д. Это их задача и их функция. Так что давайте не будем строить сами себе ненужные стены. Позвольте сотрудникам решать задачи, которые они должны решать, без лишних проволочек и производительность вырастет.

Заключение

Я привел несколько типичных ошибок при построении внутреннего контроля, которые встречались мне или моим коллегам в течение работы. Мы сейчас пытаемся поставить процессы так, чтобы они изначально работали правильно. Что-то у нас получается, что-то – нет. Я искренне хочу надеяться, что эта статья поможет читателям проектировать процессы более правильно – так, чтобы достигать поставленных целей. Если у вас есть какие-либо комментарии или вопросы – прошу их присылать на адрес [email protected]. Буду рад обсудить их с вами. ∞


МНЕНИЕ

38

Многим внутренним аудиторам знакома ситуация, когда руководитель проверяемого подразделения не считает нужным выполнять рекомендации аудиторов и воспринимает их как личное оскорбление на этапе, когда план корректирующих мероприятий уже утвержден. Сотрудник может начать спорить с аудиторами, доказывать, что уже согласованные мероприятия нецелесообразны, в результате чего впустую тратится время, накаляется обстановка в компании, а корректирующие действия теряют актуальность. К сожалению, предвидеть на раннем этапе, насколько агрессивно или негативно будут настроены сотрудники, почти невозможно поскольку аудиторы, составляя отчет о выполнении рекомендаций, обычно опираются только на формальные подтверждающие документы (промежуточные отчёты от подразделений и др.). Как выстроить отношения с агрессивно настроенными работниками? Как предотвратить конфликт и невыполнение рекомендаций?Во-первых, не впадать в панику, отнестись к случившемуся спокойно, абстрагироваться от отрицательных эмоций сотрудника/группы сотрудников. Этот негатив адресован не персонально вам, а, скорее, является ответом на сложившуюся ситуацию. Ваши тревоги и волнения доставляют неудобства в первую очередь вам самим, и не решают проблему.Во-вторых, внутренние аудиторы работают с людьми и должны уметь договариваться в любой ситуации, поэтому нужно проявить инициативу, найти время и встретиться лично с негативно настроенным сотрудником (если это возможно и офисы не находятся в разных регионах) для

выяснения причин его поведения. При встрече спокойно и объективно сформулировать проблему и предложить пути ее решения. Но нужно быть готовым к тому, что сотрудник может отказаться от встречи под любым предлогом или придет, но во время беседы будет обходить проблему, или будет агрессивно настроен и поставит под сомнение ваш профессионализм и др. Но попробовать все же стоит В-третьих, можно встретиться или пообщаться по телефону с коллегами этого сотрудника для понимания сложившейся ситуации. Возможно, информация, полученная от них, поможет выявить истинную причину его поведения, продумать дальнейшую схему действий, предотвратить открытый конфликт.В-четвертых, нужно проанализировать всю информацию, полученную при общении с самим сотрудником и его коллегами, а также проверить, выполнял ли ранее данный сотрудник рекомендации согласно плану. Может выяснится, что работа проводилась и проводится, но без видимых результатов: сотрудник лишь имитирует деятельность по выполнению рекомендаций, предоставляет документы и аргументированные объяснения задержки мероприятия и др. Игнорирование рекомендаций нужно уметь распознать вовремя: если вторая сторона старается сократить общение с подразделением внутреннего аудита, выдает минимальную информацию о динамике выполнения мероприятия, предпочитает переписку, отправку документов по формальным каналам (система электронного документооборота и другие способы связи, используемые в компании), скорее всего план мероприятий не выполняется.


МНЕНИЕ

Разрешение конфликтных ситуаций в аудиторской практике

Ольга Ярская, главный специалистУправления внутреннего контроля и анализа рисков АО «ГОЗНАК» [email protected]

39

Возможные причины данной ситуации:• плохая организация работы (сотрудник не может организовать выполнение мероприятия должным образом, вследствие чего негативно к нему относится.);• сотрудник не понимает поставленной задачи (следовательно, не может обеспечить ее выполнение и игнорирует, злясь на тех, кто поставил перед ним данную задачу.);•намеренный срыв работы при соблюдении видимости ее выполнения (сотрудник боится изменений, потому что они могут повлиять на его статус в компании, привести к потере работы, обнаружить, что ранее процесс был выстроен неверно, и т.п.).

Когда аудитор собрал всю информацию, проверил различные гипотезы поведения проблемного сотрудника и получил общую картину, ему станет ясно, как действовать дальше: либо проконсультировать сотрудника по вопросам организации работ, либо подробнее разъяснить задачу, либо рассказать о том, что рекомендации направлены на улучшение деятельности компании, а не против конкретного человека или коллектива. Таким образом, верно определив причину негатива и невыполнения рекомендаций, аудитор сможет выработать общий подход для нормализации ситуации. При реализации плана необходимо широко смотреть на возникающие проблемы и моделировать их решение.

Внутреннему аудитору, столкнувшемуся с агрессивным неприятием рекомендаций, все же обязан сообщить о сложившейся ситуации руководителю внутреннего аудита, потому что рядовой сотрудник не все может решить самостоятельно. Руководитель ВА всегда должен быть в курсе сложных и неоднозначных ситуаций, чтобы подсказать подчиненным пути решения проблем. Иногда рядовому аудитору может не хватать знаний или веса для принятия решения. В случае затруднений руководитель может проконсультировать своего подчиненного, обсудить возможную тактику поведения, но не решать проблему за него (за исключением особо тяжелых случаев).Чтобы предотвратить агрессивное игнорирование рекомендаций, повысить заинтересованность проверяемых в их выполнении и привить аудиторам навыки разрешения конфликтных ситуаций, можно использовать следующую программу, которая хорошо себя зарекомендовала в нашей компании:

1. Общайтесь с сотрудниками лично/по телефону, не переводите все в формальное канцелярское русло. Разъясните сотрудникам, что бесконечная переписка препятствует выявлению проблем на раннем этапе и не улучшает взаимоотношения.2. Не скрывайте от работников проблемы, возникшие при внедрении рекомендаций. Это позволит показать открытость взаимоотношений. *3. Если промежуточный результат ключевой задачи в течение нескольких месяцев не меняется, и исполнитель не может объяснить причину отсутствия динамики, эскалируйте проблему операционному руководителю этого подразделения. 4. Поборите в себе желание сделать за сотрудника его работу. Это позволит ему увидеть реальные результаты своего труда, оценить собственный вклад в реализацию того или иного мероприятия.5. Определите периодичность информирования второй стороны о достигнутых результатах, возникших проблемах.**6. После выполнения всех рекомендаций или ключевых мероприятий поблагодарите письменно всех участников за конструктивную работу, расскажите им о том, как важны их результаты для компании.

Итак, если проверяемые игнорируют аудиторские рекомендации, негативно к ним относятся, необходимо разобраться в ситуации, выявить истинную причину поведения сотрудника/группы сотрудников и, исходя из этой причины, решать проблему. Но не стоит забывать, что лучше предотвращать подобные ситуации, располагать проверяемых к себе открытым уважительный общением, не надевая маску строгого аудитора-карателя. ∞

* Например, ответственный за внедрение сотрудник не принимает рекомендации. Внутренний аудитор может сообщить сотруднику, что путь решения надо подкорректировать, иначе нужный результат не будет достигнут. Такая открытость взаимоотношений не подразумевает, что внутренний аудитор берет на себя функции операционного менеджера. – прим. ред.

**Когда внедрена система мониторинга рекомендаций, аудиторы обязаны определить срок представления динамики выполнения рекомендаций. Если возникают проблемы, то РВА или аудитор имеют право информировать операционного руководителя этого подразделения о проблемах.– прим. ред.


МНЕНИЕ

В этой статье я бы хотел поделиться информацией об алгоритме и практическом опыте получения квалификации CIA. CIA (Certified Internal Auditor), или «Дипломированный внутренний аудитор» –это одна из международных квалификаций, присваиваемая международным Институтом внутренних аудиторов (The Institute of Internal Auditors, далее –Институт, или IIA). Кроме CIA, Институт присваивает более узко специализированные квалификации в областях применения внутреннего аудита, например, для финансового сектора или риск-менеджмента. Также существует вариант получения «облегчённой/ начальной» версии CIA – «Практикующий внутренний аудитор» (Internal Audit Practitioner, IAP).

40

Подготовка к экзамену Дипломированный внутренний аудитор (CIA).

Личный опытАлексей Дайбов, CIA, ACCA, CISA; заместитель начальника управления внутреннего аудита одного из крупнейших железнодорожных операторов

CIA


41

Мотивация для сдачи CIA

Чаще всего получение квалификации CIA рассматривается как долгосрочная инвестиция в развитие карьеры в профессиях, связанных с внутренним аудитом и внутренними контролями. Институт, присваивая и регулярно подтверждая данную квалификацию, выдаёт удостоверение соответствия определенным требованиям в части знаний, опыта работы, приверженности этическим принципам. Добавление квалификации CIA в резюме, карьерный профайл в соц. сетях, подпись письма электронной почты, визитную карточку позволяет продемонстрировать достижение определенного уровня профессионализма, значимость которого признана среди коллег. Институт приводит на основании статистики опросов сотрудников довод в пользу того, что квалификация способствует значимому росту заработной платы.Сами по себе подготовка и сдача экзаменов, требуемых для квалификации, систематизируют и развивают знания и навыки в области внутреннего аудита, придают осознанную уверенность, приводят используемую терминологию в соответствие общепринятыми стандартами.Квалификация создаёт стимул к тому, чтобы её обладатель становился активным участником международной организации, что открывает доступ к ресурсам нетворкинга – для обмена знаниями, поиска решений, а также может облегчить переезд в другие регионы и страны для профессионального развития.На момент обсуждения решения о том, чтобы вступить на путь получения квалификации CIA, мой опыт работы во внутреннем аудите после перехода из финансовой функции составлял чуть более года. В сентябре-октябре 2017 года, в период подготовки планов работы внутреннего аудита на 2018 год, со стороны руководства управления для обсуждения и согласования с комитетом по аудиту был поднят вопрос о целесообразности изменений в работе, которые необходимы для соответствия Международным Профессиональным стандартам внутреннего аудита (МПСВА). В качестве одного из столпов программы трансформации рассматривался 2-3-хлетний план получения квалификации большинством из состава сотрудников управления. Таким образом, моя личная мотивации была во многом привязана к интересам развития команды. Логично было на собственном примере разобраться в том, насколько полезна квалификация, понять сложности её получения, продемонстрировать

пользу и создать ролевую модель для коллег. Для себя я хотел реализовать потребность структурировать знания и навыки о профессии, полученные более чем за 10 лет работы в смежных областях.

Оценка соответствия требованиям для получения квалификации

Фактическое присвоение квалификации требует от кандидата успешной сдачи экзаменов, а также соответствия ряду требований. Проверку требований осуществляют сотрудники Института, рассматривая загруженные через сайт IIA отсканированные копии документов. Обычно эта процедура занимает 2-3 рабочих дня. Нотариальное заверение и /или апостиль документов не требуются.

Образование

Кандидаты должны иметь образование не ниже определенного уровня – Associate's degree в градации США. Этому уровню соответствуют дипломы специалистов, бакалавров и магистров, выданные в РФ, СССР и СНГ. Возможно, требованию «Associate’s degree и выше» будут соответствовать и дипломы программ среднего профессионального образования углублённой подготовки колледжа РФ, но это станет известно кандидату при прохождении проверки поданных документов. Институт также может делать исключения в части минимального уровня образования для кандидатов с опытом работы во внутреннем аудите 7 лет и более.

Характеристика (Character Reference)

Кандидат должен демонстрировать высокие моральные и профессиональные качества, что подтверждается предоставлением формального документа – характеристикой. Ее должен подписать коллега кандидата, обладающий одной из квалификаций, присваиваемой Институтом, или непосредственный руководитель кандидата.

Опыт работы

Необходимо соответствовать минимальным требованиям к опыту работы в областях внутреннего аудита, к которым относят контроль качества, оценку соответствия, организацию внутренних контролей, а также внешний аудит.


CIA

42

Требования зависят от уровня образования кандидата: например, диплом бакалавра потребует 2 года работы, диплом магистра или специалиста – 12 месяцев для квалификации CIA. Кандидат может выполнить требования в отношении опыта работы в процессе подготовки и сдачи к экзаменам – в течение 4-х лет, отведённых на получение квалификации.Необходимо отметить, что с 2018 года IIAперестал засчитывать в данной категории опыт работы в области бухгалтерского учёта. При этом одобрено освобождение от подтверждений требований в части опыта работы и образования для квалифицированных членов ACCA (Ассоциация дипломированных сертифицированных бухгалтеров) и в части образования для действующих U.S. CPA (Сертифицированный бухгалтер, США).Подтверждение квалификационных требований потребовало от меня внимательности в заполнении документов, но в целом не было сложной задачей. Решающую роль, я полагаю, сыграло личное знакомство с коллегой – обладателем CIA – его согласие на подписание форм подтверждения образования и опыта работы. Также, со стороны ответственного сотрудника российского Института (НП «ИВА») своевременно была оказана помощь в преодолении ИТ-сложностей. В дальнейшем уже я сам оказывал посильную помощь в заполнении и выступал подписантом подтверждающих форм для моих коллег.

Понимание формата экзаменов и выбор языка сдачи

Немаловажным аспектом сдачи является понимание того, в каком формате организован экзамен. Это три отдельных, полностью письменных теста, каждый из которых сдается на компьютере в специализированном экзаменационном центре (Pearson VUE). За два часа кандидату необходимо ответить на 100 вопросов экзамена (для CIA часть 1 – 125 вопросов и 2,5 часа). Каждый вопрос сформулирован по принципу наличия ответов на выбор, где только один из вариантов – правильный. К логике выбора одного правильного варианта из четырёх предложенных сведены и расчётные задачи. Кандидат должен сдать 3 экзамена за 4 года с начала регистрации на квалификацию. По уважительным причинам этот срок может быть продлён ещё на один год. С точки зрения языка сдачи, дополнительным преимуществом является то, что у вас есть выбор –

сдавать на русском или английском. Конечно, по-русски будет легче сдавать, подготовка пройдет быстрее, и вы будете себя чувствовать чуть увереннее. С другой стороны, несмотря на то, что квалификационный сертификат не содержит сведений о языке экзамена, опыт сдачи такого экзамена на английском даст вам определенные знания, больше преимуществ на рынке труда, повысит авторитет среди коллег, а также будет дополнительным стимулом для развития. Стоит учитывать, что уровень владения языком для успешной сдачи должен быть не ниже высокого продвинутого (upper-intermediate) с определенным акцентом на профессиональную терминологию, со скидкой на то, что используются только навыки понимания письменного текста.Хотя доводом в пользу русского языка для меня была как раз польза от работы с переведенной на русский язык профессиональной терминологией, мне показалось полезнее попрактиковаться и применить свои силы в сдаче профессионального экзамена на английском. Я присоединился к расхожему мнению, что в переводе может быть потеряна часть замысла автора, которая может быть критична для результата экзамена. Наиболее важным в данном случае является то, что приняв решение начать подготовку, крайне желательно избегать переключения языков, иначе неминуемо возникнет дополнительная нагрузка и будет нарушен правильный фокус.Что касается формата вопросов, он показался мне очень удобным для подготовки и сдачи, так как позволяет в достаточной степени имитировать процесс сдачи экзамена и технически контролировать прогресс в обучении (скорость обработки вопросов, правильность ответов).


CIA

43

Выбор варианта подготовки и оценка бюджета

По факту, бюджет получения квалификации зависит от 2-х основных аспектов: на каком языке вы планируете сдачу – русском или английском, а также как будете готовиться – самостоятельно или на специализированных курсах. Есть несколько путей финансирования: самостоятельно, с частичной поддержкой работодателя, с полной поддержкой работодателя. Исходя из доступных вариантов обучения, общая стоимость получения квалификации обычно составляет 2 000 – 2 500 тыс. долл. США.Стоит учитывать определенную сложность в финансировании оплаты регистрационных иэкзаменационных взносов (не зависят от языка экзаменов), общая сумма которых на сентябрь 2018 года для членов НП «ИВА» составляет $541, включая $86 - регистрационный взнос, $209 - экзамен Часть 1 (за попытку) и $173 - экзамен Часть 2 и 3 (за попытку). Оплата этих затрат может быть произведена онлайн на счёт Института, который является иностранным юридическим лицом, или для оплаты должен быть привлечен посредник, например, провайдер, предоставляющий вам услуги обучения. Кроме того, необходимо учитывать требования кадровой политики в отношенииобучения персонала, применительно к обучению для получения квалификации.

В нашем сценарии, получив принципиальную поддержку от Комитета по аудиту, мы постарались наиболее прозрачно и полно обосновать выбор вариантов и расчёт бюджета обучения для курирующего нас бизнес-партнера – Управления кадровой политики. Несмотря на то, что это происходило в IV квартале, мы смогли убедительно презентовать программу развития квалификации команды аудита и получить необходимые одобрения. В качестве основного средства для подготовки, в основном, из-за часто упоминаемой кандидатами в обсуждениях стилистической близости к экзаменационным вопросам, была выбрана обучающая система Института (The IIA’s CIA Learning System) – компьютерный курс и тренажер вопросов на английском языке. Удобным был интерфейс, презентация вопросов и встроенные средства отслеживания прогресса обучения. Кроме того, доступ предоставляется на 1 год, что позволяет, при возникновении потребности, варьировать дату экзамена в достаточно больших

диапазонах времени. Например, отложить первоначально намеченную дату экзамена, если прогресс обучения оказался ниже ожидаемого, или без спешки подготовиться к пересдаче.

Планирование и техника подготовки

В среднем при загрузке 10 часов в неделю, подготовка занимает 2-2,5 месяца. План является производной от результата проверки первичных знаний, количества часов обучения в неделю, которое может позволить загрузка рабочего графика, а также желаемой даты сдачи экзамена. Участие в обучающем курсе ни в коем случае не гарантирует успешного результата экзамена без значительного вклада самоподготовки (практической тренировки вопросов). Когда я готовился к экзаменам, я применял для себяпростую формулу: «практика, практика и еще раз практика решения задач – залог успеха». Простое чтение учебника – это пассивный, наименее эффективный способ усвоения информации. Говорят, что человек усваивает лишь 10% информации, когда читает, и 90%, когда применяет знания на практике. Однако, простое повторение по одной и той же базе вопросов может повести студента по ложному следу. Необходимо комбинировать анализ вопросов, разбор материала и тренировочные экзамены. Насколько мне известно, все базы вопросов построены на том, что набор вопросов по темам позволяет логически выстроить знания, а тренировочный тест –проверить уровень готовности и улучшить скорость обработки заданий. При этом для анализа учебников (и что является не менее важным –Международных стандартов) полезно применять активные методики работы с текстом: использование комментариев, выделение фрагментов, конспектирования. Структурировать подготовку мне помог достаточно простой, но эффективный план-график, предложенный провайдером материалов и тренажера. Поскольку подготовка была официальной, я мог, соблюдая оговоренный с руководителем баланс, добавлять в свой рабочий календарь активности, связанные с ней. Таким образом был достигнут положительный баланс с точки зрения мотивации и трудозатрат.

День сдачи экзамена

Какой бы интенсивной и продуманной не была подготовка, очень важен личный настрой и


ПРАКТИКА

44

состояние, особенно в день сдачи экзамена. Может показаться банальным, но действительно критично выспаться, позавтракать, положительно настроиться и постараться организовать всё вокруг так, чтобы ничто не отвлекало от экзамена.

Несколько конкретных действий лучше добавить в план, цель которого – сдать экзамен. Они помогут сконцентрироваться и не отвлекаться на несущественные вещи.

Перед экзаменом ложитесь спать пораньше и постарайтесь встать пораньше, чтобы не спешить во время сборов и, уж тем более, не бежать на сам экзамен. Заранее проверьте дату, время и место экзамена.

Постарайтесь позавтракать или предусмотретькакой-то вид питания до экзамена. Если вы понимаете, что не можете съесть и крошки, то не мучайте себя. Возьмите с собой банан или шоколадку – возможно, что непосредственно перед аудиторией ваше состояние поменяется. В любом случае, будьте осторожны, не ешьте ничего нового или необычного.

Перед выходом из дома убедитесь, что взяли с собой все, что нужно для экзамена: документ, удостоверяющий личность (чаще всего паспорт), адрес местоположения экзаменационного центра.

Выходите из дома заранее, чтобы внезапные происшествия не помешали вам вовремя добраться.

Часто в экзаменационном центре будут другие люди, которые тоже пришли сдавать экзамен. Если заметили кого-то, кто паникует – избегайте их любым путем: их вы вряд ли успокоите, а чужая паника добавляет к своей нервозности.

Обязательно сходите в туалет до начала экзамена, даже если не особо и хочется. Конечно, во время экзамена можно будет выйти, но в любом случае это займет несколько минут, а время – критичный ресурс для данного экзамена.

Если вы прочитали вопрос и не понимаете ни слова/ не понимаете, о чем вопрос/ не знаете ответа, тоотложите вопрос и вернитесь к нему позднее. Скорее всего, это просто ментальный блок и ответ вы знаете, но мозгу необходимо время, чтобы обработать информацию. Экзаменационнаяпрограмма позволяет маркировать вопросы, так что можно вернуться к ним.

Используйте все время экзамена до конца – если остается время проверить ответы, то это может помочь избежать случайных и нелепых ошибок.Честно скажу, что лично воспользовался всеми этими советами, и они действительно очень помогли! Также я бы обратил внимание еще на следующие пункты.

Чтобы не сбивать общий настрой, постарайтесь не читать утром рабочую почту, соц. сети, не смотреть новости и т.п. – там может быть информация, которая вас расстроит, огорчит и/ или даже выведет из равновесия, что может негативно сказаться на результате экзамена.

Будьте морально готовы к тому, что на входе в экзаменационную комнату проверяют реально все.

Процедура предполагает манипуляции, которые могут показаться вам назойливыми: например, вывернуть все карманы, отогнуть лацканы пиджака и т.п. Не придавайте этому особого значения и стойко выполняйте все требования строгих инструкторов – они всего лишь выполняют свою работу, а ваше спокойствие и душевное равновесие в данной ситуации дороже. В моём случае их скрупулёзно и чётко осуществляли строгие дамы, которые готовы посоперничать в назидательности с учителями английских частных школ.

В процессе экзамена одежду нельзя менять, то есть если сидишь в пиджаке, то его нельзя снять. Так что непосредственно перед экзаменом лучше уточнить, какой «климат» в аудитории – есть ли кондиционер и т.п.

Вопросы заставляют мозг сопротивляться, но очень помогает взглянуть на самые сложные из них 2-3 раза – ответ неожиданно становится ближе!

Без паники: вопросы, скорее всего, не сложнее, чем в тренировочной базе, но они будут новыми и не похожими на то, что вы решали ранее.

Помните – это всего лишь экзамен! Во-первых, вы уже не раз в жизни успешно проходили через это, а, во-вторых, у вас всегда есть возможность сдать его еще раз. Главное – не похоронить свою мотивацию.Успехов!

P.S.: Результат каждого теста известен сразу же по его окончании – вам выдадут распечатку на руки, избавив тем самым от томительного ожидания. ∞


CIA

Некоммерческое партнерство «Институт внутренних аудиторов» (НП «ИВА»), зарегистрированное в 2000 году, является профессиональной ассоциацией, объединяющей более 4000 внутренних аудиторов, внутренних контролеров и работников других контрольных подразделений российских компаний и организаций.

Институт внутренних аудиторовИВА www.iia-ru.ruFACEBOOK www.facebook.com/iiarus/

Тренинги ИВА www.iva-edu.ruНациональная конференция ИВА www.iva-conf.ruНациональная Премия ИВА www.iva-ag.ru

http://www.iia-ru.ru/

http://www.facebook.com/iiarus/

http://www.iva-edu.ru/

http://www.iva-conf.ru/

http://www.iva-ag.ru/

Documents

Внутренний аудитор · 2018-12-07 · Внутренний аудит как надежный партнер для бизнеса Внутренний контроль,