Белые пятна на карте внутреннего аудитора
Имеется ли в организационном устройстве и деятельности банка такие нюансы, каковые внутренний аудитор может проигнорировать?
Имеется ли в организационном устройстве и деятельности банка такие нюансы, каковые внутренний аудитор может проигнорировать: сознательно не принимать в расчет, не оценивать? Может ли внутренний аудитор принять ограничение собственного доступа к каким-то данным? Возможно ли, дабы внутренний аудит употреблялся как провокатор либо катализатор внутреннего конфликта?
Давайте на секунду отвлечемся от совершенных условий – конечно, ни Кодекс этики внутреннего аудита [1], ни Интернациональные Опытные Стандарты [2] вкупе с Практическими рекомендациями не оговаривают (само)цензуру внутреннего аудита, сознательное (само)ограничение возможностей сохранять и поддерживать объективность и независимость результатов и процесса собственной деятельности. Но любой практик не понаслышке знает, что действительность может значительно отличаться в нехорошую сторону.
Русский функция внутреннего аудита, в случае если забыть о мифических контрольно-ревизионных группах, довольно молода. Прекрасно, если она поддерживается ресурсами и опытом подобной функции материнского банка (компании) либо группы. Тогда неприятностей с осознанием положения и роли во внутренней структуре и порядком вовлечения в деятельность практически не появляется.
Имеется привычка. Имеется заинтересованность разных групп внутренних и внешних пользователей в итогах работы. Имеется проверенные инструменты (а также ПО) и наработанные методики (а также внутренние регламенты, шаблоны документов и т.п.).
Но в случае если этого нет, то обычно аудитор оказывается подвержен многим факторам риска неэффективности. Так, СВК/СВА не редкость вынуждена тратить большую часть собственной энергии и времени на изобретение (методического) велосипеда и пользоваться «средствами стандартного пакета офисных приложений» о всеми вытекающими незащищенностью и ошибками данных. Либо трудиться только для галочки – исполнения нормативных требований регулятора.
Наряду с этим собственники и руководство банка в большинстве случаев не приобретают (и не предполагают взять) ощутимой пользы, и естественным образом стремятся сократить как затраты, так и доступ к информации. И получается замкнутый круг: СВК/СВА варится в собственном соку, выбирает эти «официального учета» и плодит ненужные отчеты.
Конечно, как и очень многое в подобным образом организованных банках – наследниках советского периода, правила игры задаются неформально, но безоговорочно принимаются всеми сторонами.
Другими словами, в рамках проводимой проверки аудитор может, скажем, распознать «рисованную» отчетность заемщика либо разумеется притянутую оценку обеспечения, открытые без аудита счета либо неоправданное перемещение средств, громоздкую оргструктуру либо недостаточную помощь процессов. Но наряду с этим обязан не просто закрыть на это глаза, но умудриться представить все в формальном соответствии с внутренними регламентами.
Иначе, аудитор находится в условиях настоящей судьбе и знает, что подобный, с позволения сообщить, риск-аппетит управления банка в полной мере оправдан: заемщики – «собственные люди», и настоящее управление рисками, в случае если паче чаяния потребуется, будет лежать вне поля резервов; и финансирует эти риски банк деньгами вкладчиков «не с улицы», и явные однодневки при солидных клиентах появляются не просто так…
Но может ли показаться на свет такое официальное заключение по итогам проверки? Вряд ли. совету и Руководству директоров оно не требуется – они и без того знают, исполнителям – все равно, а регулятор… думаю, не нужно растолковывать, из-за чего его глаза также до поры до времени остаются обширно закрытыми.
Еще один вариант ограничения как доступа, так и роли – более мягкий, скажем так – это «договоренность» о самоцензурировании: рядовые члены аудиторской команды собирают все первичные сведения, а начальник СВК оценивает их уместность и значимость. Казалось бы, все в соответствии с нормами! Но сатана, как неизменно, в нюансах: к примеру, явные показатели превышения полномочий, конфликта заинтересованностей либо кроме того мошенничества ведут к определенному участнику высшего управления и… прекрасно, в случае если остаются хотя бы в рабочих документах – и как раз так понимается роль главы СВК как координатора процесса, как раз так – польза, которую он обязан приносить.
Обстановка из той же оперы – это существование подразделений — «черных дыр». В большинстве случаев это некоторая часть и служба безопасности ИТ- подразделения. Никто толком не знает инструментов и деталей процессов, которыми они пользуются, и аудитор кроме того не ставит себе в замысел и не оценивает риски и качество их работы, не смотря на то, что они, со своей стороны, вольны запросить и взять любую данные.
Ну и, наконец, не секрет, что, формально отчитываясь перед правлением либо наблюдательным советом, аудиторы многих банков этих «небожителей» не видели и никакой обратной связи, не считая подписи-закорючки, от них ни при каких обстоятельствах не получали. Соответственно, эта линия отчетности – не более чем ненужная формальность, и на положение конкретных сотрудников, результативность деятельности и статус подразделения воздействуют совсем иные люди.
Нарушает ли, принимая такие правила игры, внутренний аудитор базовые принципы и этические нормы деятельности? Да. Но как ответить на вопрос: а что ему делать?..
Искать другую работу?
Возможно само собой разумеется заявить, что с неизбежностью смены поколений непременно особенный путь и другой суверенный менталитет таких банков и их клиентов изменится, войдет в русло общепринятых практик и СВК/СВА.
Но все это время (время постепенного эволюционного трансформации) многие сотрудники будут разочаровываться в профессии (правильнее, не осознавать ее) и отмахиваться от рекомендаций, круглых столов и сертификации, к примеру, Университета Внутренних Аудиторов – они живут в другом мире, и обсуждаемые участниками университета неприятности кажутся теоретическими изысканиями. До сих пор!..
Всем организациям, заинтересованным в повышении и продвижении профессии опытной культуры внутреннего аудита в Российской Федерации – не только Университету, но и Ассоциации Русских Банков, Банку России – нужно функционировать сообща. Информационные кампании, форумы, авторегулирование отрасли – это превосходно и нужно, но перемещением лишь снизу у нас ограничиться не получалось, по-моему, ни при каких обстоятельствах. Как раз позиция регулирующих органов может стать катализатором более активного и значения и осознания массового изменения роли внутреннего аудита, разграничения функций текущего внутреннего контроля, комплаенс, и аудита, и без того потом.
Кстати, вовсе не желаю идеализировать «западные практики» – при всей значительно более долгой истории и приложенных упрочнениях, внутреннему аудиту и в таких банках всегда приходится проходить между Сциллой и Харибдой. К примеру, на фоне очевидно повышенного риск-аппетита менеджмента, поставившего хищную цель любыми средствами нарастить клиентскую базу либо захватить регион – расхлебывать кашу вероятных «нехороших долгов» нужно будет позже, а победителей не делают выводы, – внутреннему аудиту приходится искать пути должного выражения собственной оценки «розничных рисков» и предложений по предупредительным контролям, учитывать (признавать) собственные риски и баланс интересов, а также – будущую попытку переложить вину за появившиеся потери и неурядицы (так же, кстати, как это происходит в аналогичных случаях с подразделениями риск-менеджмента).
Либо также в полной мере знакомая обстановка последнего времени: необходимость совместить, выровнять и привести к неспециализированному знаменателю две функции внутреннего аудита (двух банков), взяв единое целое. К сожалению, в особенности на начальной стадии внутренний аудит из банка, давшего собственный бренд объединенной структуре, тяготеет к прямому копированию собственных правил и практик, и в этом случае тем самым белым пятном на карте внутреннего аудитора оказывается вся поглощенная аудиторская функция. Обратный движение этого маятника и установка разумного равновесия потом, получается, отнимает ресурсы и драгоценное время.
Наконец, хотелось бы поболтать об отступлении от стандартов и этики, но уже прямо противоположного свойства. владельцы и Высший менеджмент, осознавая ту самую позицию и особую роль внутреннего аудита, на которой, в совершенстве, обязана основываться непредвзятость оценок, пробуют воспользоваться «узкой разработкой» как катализатором внутреннего конфликта. Покинем в стороне цели, каковые смогут ставить перед собой такие менеджеры либо личные обстоятельства для того чтобы поведения – им необходимы/ комфортны напряженность, чувство обоюдного недоверия, скрытые столкновения и прямые между подразделениями.
Любое распознанное нарушение, кроме того незначительное по сути, каждая сделанная аудитором совет по улучшению и изменению процесса делается предлогом для административных ответов, к примеру, лишения премии либо вынесения на дискуссию (целью которого опять-таки есть поиск виноватого, а не совместная работа по принятию и пониманию либо устранению рисков). Конечно, в следствии внутренний аудитор из ассистента (линейного уровня) бизнеса преобразовывается в цербера, от которого стараются максимально скрыть данные, дать если не неверные, то уж точно не полные эти, попытаться поймать на незнании (в принципе, допустимом) мелких деталей и нюансов.
Мне приходилось слышать вывод о том, что это повышает уровень качества испытаний, объективность суждений аудитора. Однократно либо в весьма кратковременной возможности – быть может, но когда появится «линия защиты», и, как в некоторых банках, аудит не сможет вольно обмениваться данными кроме того с «родными по духу» риск-менеджментом и комплаенс-направлениями, никакие упрочнения, никакой личный профессионализм не принесут той эффекта и пользы, каковые обязан приносить внутренний аудит.
В общем, «в то время, когда в товарищах согласья нет…». Кроме того, подобные практики наносят вред вне рамок одного банка – в то время, когда люди меняют работу, то, обжегшись на молоке, несут эту привычку недоверия в другие банки – создают и тут белые пятна и ненужные препятствия на аудиторской карте.
И снова тот же вопрос – что заставляет внутренних аудиторов принимать губительные для профессии правила игры, а не разламывать их? И снова тот же ответ – один в поле в большинстве случаев не солдат. И снова: это задача всех заинтересованных сторон – осознавать и признавать опытные риски практикующих внутренних аудиторов.
Среди них и те, каковые, как время от времени думается, в далеком прошлом пора забыть. Это как вирус: исчезает (и забывается) в том месте, где массово делаются прививки. Но стоит их отменить…
P.S. Напоследок еще одна тема. Предположим, что с аудиторской функцией все в порядке, она занимает хорошее положение, владеет ресурсами и адекватными полномочиями и делает собственную работу по замыслу и по обстановке, трудится как команда.
На протяжении проверки сотрудники СВК/СВА хорошо общаются с контролируемым подразделением и, кстати, подмечают, что в подразделения либо между смежными структурами в рамках функции либо бизнес-процесса существует конфликт. Не прямой конфликт заинтересованностей, относящийся к организации и сфере бизнеса внутреннего контроля, но скрытый и скорее межличностный. Психотерапевтическая несовместимость, интриги и подсиживание, неформальное лидерство и т.п., в общем, моральный климат не радует.
Так вот, как внутренний аудитор обязан отразить эти наблюдения, и обязан ли по большому счету? Так как задача в рамках замысла – проверить бизнес-процесс либо функционал подразделения. Кроме того нарушений кодекса этики банка тут, вероятнее, нет.
Да и по большому счету определенный градус напряжения между людьми существует неизменно и везде – так причем тут аудит?
Но, мне думается, что и это не должно быть белым пятном на карте внутреннего аудитора. Так как в случае если разобраться, скрытый конфликт отражается на мотивации и производительности, соответственно, несет в себе факторы операционных рисков. Выходит, аудитор обязан обратить на это внимание и представить пользователям, к примеру, в формате особого отчета либо записки, отдельной от главного акта проверки.
Единственно – внутренний аудит ни за что не должен появляться втянут в разрешение для того чтобы рода неприятностей кроме того в собственной ипостаси внутренних консультантов – это должно лежать на стороне комплаенс/HR, бизнес- начальников либо внешних агентов.
[1] http://www.iia-ru.ru/inner_auditor/ethics_codex/
[2] http://www.iia-ru.ru/inner_auditor/standard/
