Криза та пов’язані з нею наслідки вкотре активізували дискусію про місце внутрішнього аудиту під «корпоративним» сонцем. Лідери професійної спільноти закликають внутрішніх аудиторів змінювати підходи до своєї роботи. Річард Чемберс (Президент Інституту внутрішніх аудиторів) у Twitter 08.10.2020 р. зауважив таке: «Функції внутрішнього аудиту, що спочивають на лаврах, стають привабливою мішенню для корпоративних ініціатив щодо скорочення витрат. Внутрішні аудитори, які не адаптуються до викликів майбутнього, можуть не мати майбутнього».

Дедалі частіше у зв’язці зі словосполученням «внутрішній аудит» звучить термін Agile, що прийшов з IT-індустрії та означає гнучкий підхід до розроблення програмного продукту, за якого:

• готовність до змін важливіша за дотримання первісного плану;
• співпраця із замовником важливіша за первісно погоджені умови контракту;
• люди та взаємодія важливіші від процесів та інструментів;
• продукт, що працює, важливіший за документацію.

Річард Чемберс дав своє визначення Agile у внутрішньому аудиті: «Здатність внутрішнього аудиту нестримно змінюватися, щоб реагувати на нові ризики та змінювані очікування зацікавлених сторін».

Насамперед внутрішнім аудиторам варто критично проаналізувати власні процеси, починаючи з планування.

Огляд Інституту внутрішніх аудиторів показує, що понад 60 % підрозділів внутрішнього аудиту оновили свої плани робіт у зв’язку з пандемією. Статичні річні або триваліші плани, хоча формально й відповідають вимогам Міжнародних стандартів професійної практики внутрішнього аудиту (2010-планування), призводять до того, що предметом уваги внутрішнього аудиту стають ризики, які були актуальними на момент підготовки й затвердження плану, а не просто зараз. Тому річний план варто переглядати хоча б на квартальній основі. Це вимагатиме від внутрішніх аудиторів регулярних і частіших комунікацій з менеджментом та аудиторським комітетом.

Іншим підходом може стати ковзне планування, за якого внутрішній аудит, ґрунтуючись на оцінці ризиків, формує пул аудитів (проєктів), а послідовність (а також доцільність їх проведення) визначають на основі поточної кон’юнктури та пріоритетів. Завершивши один проєкт, керівник функції вирішує, який проєкт починати наступним з огляду на актуальні для компанії ризики на поточний момент. Пул аудитів переглядають на регулярній основі.

Важливо зауважити, що ідентифікація та оцінка ризиків — це функція менеджменту. На якомусь етапі життя компанії такі процедури ще не будуть належно побудовані, щоби бути адекватним підґрунтям для підготовки плану аудитів, і в такому разі внутрішній аудит, найімовірніше, буде змушений самостійно ідентифікувати й оцінювати ризики компанії. Але навіть у такій ситуації оцінка ризиків має бути консенсусом думок внутрішнього аудиту, менеджменту та аудиторського комітету щодо того, які загрози й можливості постають перед бізнесом. Предметом застосування зусиль та ресурсів внутрішнього аудиту мають бути ті питання, які дійсно важливі для компанії.

Ковзний план аудитів дозволяє також своєчасно реагувати на позапланові запити менеджменту та аудиторського комітету.

Наступне, на що необхідно звернути увагу, це тривалість проєктів із внутрішнього аудиту. Метою має бути скорочення циклу аудиту. Проєкти, що тривають два-три місяці, навряд чи надають своєчасну інформацію та оцінку для зацікавлених осіб.

Серед інструментів скорочення циклу проведення аудиторських проєктів можна відзначити:

1. Точніше визначення предмета аудиту через поділ бізнес-процесів на окремі підпроцеси й процедури, ідентифікацію найсуттєвіших ризиків. Можливо, немає сенсу оцінювати ефективність контролю у процесі закупівель загалом, а варто сконцентруватися на підпроцесі вибору постачальників, якщо очевидно, що головні ризики саме там. Закон Парето працює, як правило, і для внутрішнього аудиту — 80 % головних ризиків зосереджені у 20 % транзакцій.
2. Своєчасне донесення інформації про виявлені недоліки зацікавленим особам, для того щоби до моменту випуску звіту основні спостереження були вже, по суті, погоджені з менеджментом, а не стали сюрпризом.
3. Скорочення надмірної аудиторської документації. На практиці аудиторські докази передусім потрібні за наявності розбіжностей / заперечень з боку менеджменту. Своєчасні комунікації з менеджментом у межах аудиту дозволять частину таких розбіжностей усунути без формування важких (електронних чи паперових) папок з аудиторськими документами. Абсолютно точно жодної цінності для роботи внутрішнього аудиту не додають аудиторські документи, що їх оформлюють після випуску звіту (усілякі чек-листи абощо).
4. Зміну підходу до комунікацій із зацікавленими особами. Часто-густо аудитори піддаються спокусі ретельно відобразити у звіті всю виконану роботу (включаючи мету, завдання, опис процедур тощо). У підсумку з’являються багатосторінкові звіти, доволі складні для прочитання й засвоєння (згідно з опитуванням, яке проводили в LinkedIn, 22 % респондентів зазначили, що в середньому їхній стандартний звіт перевищує 10 сторінок, ще 48 % відзначили, що звіт займає від 5 до 10 сторінок). Робота над такими звітами забирає чимало часу: написання, правлення, рецензування. Однак чи потребують цього основні клієнти внутрішнього аудиту — аудиторський комітет і топменеджмент? У результаті звіт — лише одна з можливих форм комунікацій, і варто спробувати й інші форми (дзвінок або зустріч, візуалізація результатів і навіть відеоролик).

Пандемія істотно видозмінила ландшафт ризиків, з якими доводиться мати справу внутрішньому аудиту. Згідно з оглядом Європейської конфедерації інститутів внутрішніх аудиторів (ECIIA) значно зросла кількість респондентів — внутрішніх аудиторів, які очікують, що серед головних ризиків, з якими зіткнеться бізнес у 2021 році, будуть:

• ризики в галузі охорони здоров’я та безпеки праці;
• ризики ліквідності;
• ризики управління персоналом.

Наголос на цих ризиках обумовлений загрозами життю та здоров’ю працівників і їхніх сімей та економічною кризою, що стали наслідком поширення COVID-19. Перехід на віддалену роботу, розширення спектру використовуваних IT-систем та інструментів, законодавчі обмеження підкріплюють істотність традиційних «мешканців» списку топризиків: ризиків кібербезпеки, цифровізації та нових технологій, регуляторних змін.

Тренди в Україні схожі на загальносвітові. Як показує опитування керівників компаній в Україні, проведене КПМГ («Погляд керівників бізнесу в Україні, 2020. Спецвипуск: COVID-19»), регуляторні ризики, що насамперед пов’язані з карантинними обмеженнями, та ризики, спричинені економічним спадом, є основними загрозами для бізнесу. Також пріоритетними залишаються ризики управління персоналом. Водночас порушені ланцюжки постачань обійшли у списку загроз ризики нових технологій.

Вочевидь, у планах функцій внутрішнього аудиту в Україні найближчим часом опиняться проєкти, пов’язані:

• із забезпеченням охорони здоров’я та безпеки праці;
• забезпеченням безперебійності ланцюжків постачань;
• ефективністю заходів щодо скорочення витрат;
• ефективністю планів та програм реагування на наслідки пандемії;
• управлінням персоналом в умовах віддаленої роботи.

Сергій Касаткін, менеджер відділу консультування з управління ризиками KPMG в Україні