Независимость внутреннего аудита: почему это критично
Ключевое требование к внутреннему аудиту — независимость. Аудитор должен иметь возможность сообщать о проблемах, не опасаясь последствий. Если руководитель внутреннего аудита подчиняется CEO или CFO — эта независимость структурно нарушена.
Лучшая практика: функциональная подотчётность руководителя внутреннего аудита — аудиторскому комитету СД. Административная подотчётность (зарплата, административные вопросы) — CEO, но вопросы результативности и назначения/увольнения — прерогатива аудиторского комитета.
Практически это означает: руководитель внутреннего аудита имеет прямой доступ к председателю аудиторского комитета. Он может сообщать о проблемах напрямую, минуя менеджмент. Аудиторский комитет утверждает план внутреннего аудита и результаты. Это создаёт реальную, а не декоративную независимость.
Что должен требовать аудиторский комитет от внутреннего аудита
Риск-ориентированный план. Годовой план внутреннего аудита должен быть построен на основе карты рисков компании — концентрироваться на наиболее значимых рисках, а не просто по расписанию или по размеру подразделений. Аудиторский комитет утверждает план и может его корректировать.
Честные отчёты. Отчёты внутреннего аудита должны называть вещи своими именами. «Выявлены отклонения» — слабо. «Обнаружена систематическая практика обхода контроля закупок в подразделении X, создающая риск потерь в размере Y млн рублей» — профессиональный отчёт. Аудиторский комитет должен требовать конкретики и пресекать попытки смягчить выводы.
Мониторинг исполнения рекомендаций. Выявить нарушение — только половина работы. Важнее — убедиться, что оно исправлено. Аудиторский комитет должен получать регулярные отчёты о статусе исполнения рекомендаций. Если менеджмент систематически не исполняет рекомендации — это серьёзный сигнал.
Доступ к любой информации. Внутренний аудит должен иметь неограниченный доступ к любым документам, системам и сотрудникам. Попытки менеджмента ограничить доступ аудитора — сигнал тревоги для аудиторского комитета.
Бесплатная диагностика — результат за 5 минут
Как оценить качество внутреннего аудита: признаки зрелости
Аудиторский комитет должен не только получать отчёты от внутреннего аудита, но и оценивать качество самой функции. Вот конкретные индикаторы зрелости.
Зрелая функция: план аудита покрывает ключевые риски (а не только «удобные» направления); отчёты содержат конкретные суммы потенциальных потерь; процент исполнения рекомендаций выше 80% в установленные сроки; аудиторы проходят профессиональную сертификацию (CIA, CISA); функция проходит внешнюю оценку качества раз в 5 лет (стандарт IIA).
Декоративная функция: план аудита формируется «по привычке» без привязки к рисками; отчёты написаны обтекаемым языком без конкретных выводов; менеджмент игнорирует рекомендации без последствий; руководитель аудита фактически подчиняется CFO; аудиторский комитет получает только «хорошие новости».
Тест на независимость: может ли руководитель внутреннего аудита позвонить председателю аудиторского комитета напрямую в случае серьёзного обнаружения — без согласования с CEO? Если ответ «нет» или «не уверен» — независимость формальна.