Пандемія COVID-19 не оминула й функцій внутрішнього аудиту в усьому світі. Згідно з оглядом, що його підготував Інститут внутрішніх аудиторів у квітні-травні 2020 року в 95 країнах світу, 40 % підрозділів внутрішнього аудиту зіткнулися зі скороченням бюджету, 20 % — зі скороченням штатної чисельності. При цьому в галузях, що найбільше постраждали від кризи (роздрібна торгівля, сфера розваг і подорожей), понад 40 % функцій внутрішнього аудиту були змушені скорочувати персонал.
Криза та пов’язані з нею наслідки вкотре активізували дискусію про місце внутрішнього аудиту під «корпоративним» сонцем. Лідери професійної спільноти закликають внутрішніх аудиторів змінювати підходи до своєї роботи. Річард Чемберс (Президент Інституту внутрішніх аудиторів) у Twitter 08.10.2020 р. зауважив таке: «Функції внутрішнього аудиту, що спочивають на лаврах, стають привабливою мішенню для корпоративних ініціатив щодо скорочення витрат. Внутрішні аудитори, які не адаптуються до викликів майбутнього, можуть не мати майбутнього».
Дедалі частіше у зв’язці зі словосполученням «внутрішній аудит» звучить термін Agile, що прийшов з IT-індустрії та означає гнучкий підхід до розроблення програмного продукту, за якого:
Річард Чемберс дав своє визначення Agile у внутрішньому аудиті: «Здатність внутрішнього аудиту нестримно змінюватися, щоб реагувати на нові ризики та змінювані очікування зацікавлених сторін».
Насамперед внутрішнім аудиторам варто критично проаналізувати власні процеси, починаючи з планування.
Огляд Інституту внутрішніх аудиторів показує, що понад 60 % підрозділів внутрішнього аудиту оновили свої плани робіт у зв’язку з пандемією. Статичні річні або триваліші плани, хоча формально й відповідають вимогам Міжнародних стандартів професійної практики внутрішнього аудиту (2010-планування), призводять до того, що предметом уваги внутрішнього аудиту стають ризики, які були актуальними на момент підготовки й затвердження плану, а не просто зараз. Тому річний план варто переглядати хоча б на квартальній основі. Це вимагатиме від внутрішніх аудиторів регулярних і частіших комунікацій з менеджментом та аудиторським комітетом.
Іншим підходом може стати ковзне планування, за якого внутрішній аудит, ґрунтуючись на оцінці ризиків, формує пул аудитів (проєктів), а послідовність (а також доцільність їх проведення) визначають на основі поточної кон’юнктури та пріоритетів. Завершивши один проєкт, керівник функції вирішує, який проєкт починати наступним з огляду на актуальні для компанії ризики на поточний момент. Пул аудитів переглядають на регулярній основі.
Важливо зауважити, що ідентифікація та оцінка ризиків — це функція менеджменту. На якомусь етапі життя компанії такі процедури ще не будуть належно побудовані, щоби бути адекватним підґрунтям для підготовки плану аудитів, і в такому разі внутрішній аудит, найімовірніше, буде змушений самостійно ідентифікувати й оцінювати ризики компанії. Але навіть у такій ситуації оцінка ризиків має бути консенсусом думок внутрішнього аудиту, менеджменту та аудиторського комітету щодо того, які загрози й можливості постають перед бізнесом. Предметом застосування зусиль та ресурсів внутрішнього аудиту мають бути ті питання, які дійсно важливі для компанії.
Ковзний план аудитів дозволяє також своєчасно реагувати на позапланові запити менеджменту та аудиторського комітету.
Наступне, на що необхідно звернути увагу, це тривалість проєктів із внутрішнього аудиту. Метою має бути скорочення циклу аудиту. Проєкти, що тривають два-три місяці, навряд чи надають своєчасну інформацію та оцінку для зацікавлених осіб.
Серед інструментів скорочення циклу проведення аудиторських проєктів можна відзначити:
Пандемія істотно видозмінила ландшафт ризиків, з якими доводиться мати справу внутрішньому аудиту. Згідно з оглядом Європейської конфедерації інститутів внутрішніх аудиторів (ECIIA) значно зросла кількість респондентів — внутрішніх аудиторів, які очікують, що серед головних ризиків, з якими зіткнеться бізнес у 2021 році, будуть:
Наголос на цих ризиках обумовлений загрозами життю та здоров’ю працівників і їхніх сімей та економічною кризою, що стали наслідком поширення COVID-19. Перехід на віддалену роботу, розширення спектру використовуваних IT-систем та інструментів, законодавчі обмеження підкріплюють істотність традиційних «мешканців» списку топризиків: ризиків кібербезпеки, цифровізації та нових технологій, регуляторних змін.
Тренди в Україні схожі на загальносвітові. Як показує опитування керівників компаній в Україні, проведене КПМГ («Погляд керівників бізнесу в Україні, 2020. Спецвипуск: COVID-19»), регуляторні ризики, що насамперед пов’язані з карантинними обмеженнями, та ризики, спричинені економічним спадом, є основними загрозами для бізнесу. Також пріоритетними залишаються ризики управління персоналом. Водночас порушені ланцюжки постачань обійшли у списку загроз ризики нових технологій.
Вочевидь, у планах функцій внутрішнього аудиту в Україні найближчим часом опиняться проєкти, пов’язані:
Сергій Касаткін, менеджер відділу консультування з управління ризиками KPMG в Україні
© 2021 KPMG означає ТОВ "КПМГ-Україна", ПрАТ "КПМГ Аудит" та АО "КПМГ ПРАВО", компанії, зареєстровані згідно із законодавством України; члени глобальної організації незалежних фірм KPMG, що входять до KPMG International Limited, приватної англійської компанії з відповідальністю, обмеженою гарантіями своїх учасників. Всі права захищені.
Щоб отримати докладнішу інформацію про структуру глобальної організації KPMG, відвідайте https://home.kpmg/governance.