Белые пятна на карте внутреннего аудитора

Давайте на секунду отвлечемся от идеальных условий – естественно, ни Кодекс этики внутреннего аудита, ни Международные Профессиональные Стандарты вкупе с Практическими рекомендациями не оговаривают (само)цензуру внутреннего аудита, сознательное (само)ограничение возможностей сохранять и поддерживать независимость и объективность процесса и результатов своей деятельности. Но любой практик не понаслышке знает, что реальность может существенно отличаться в худшую сторону.

Российская функция внутреннего аудита, если забыть о мифических контрольно-ревизионных группах, относительно молода. Хорошо, если она поддерживается опытом и ресурсами аналогичной функции материнского банка (компании) или группы. Тогда проблем с осознанием роли и положения во внутренней структуре  и порядком вовлечения в деятельность почти не возникает. Есть привычка. Есть заинтересованность различных групп внутренних и внешних пользователей в результатах работы. Есть проверенные инструменты (в том числе программное обеспечение) и наработанные методики (в том числе внутренние регламенты, шаблоны документов и т.п.).  

Но если этого нет, то зачастую аудитор оказывается подвержен многим факторам риска неэффективности. Так, СВК/СВА бывает вынуждена тратить значительную часть своей энергии и времени на изобретение (методического) велосипеда и пользоваться «средствами стандартного пакета офисных приложений» о всеми вытекающими ошибками и незащищенностью данных. Или работать исключительно для галочки – выполнения нормативных требований регулятора.

При этом руководство и собственники банка обычно не получают (и не предполагают получить) ощутимой пользы, и естественным образом стремятся ограничить как расходы, так и доступ к информации. И получается замкнутый круг: СВК/СВА варится в собственном соку, перебирает данные «официального учета» и плодит бесполезные отчеты. 

Естественно, как и многое в подобным образом организованных банках – наследниках советского периода, правила игры задаются неформально, но безоговорочно принимаются всеми сторонами.

То есть, в рамках проводимой проверки аудитор может, скажем, выявить «рисованную» отчетность заемщика или очевидно притянутую оценку обеспечения, открытые без должной проверки счета или неоправданное движение средств, громоздкую оргструктуру или недостаточную поддержку процессов. Но при этом должен не просто закрыть на это глаза, но умудриться представить все в формальном соответствии с внутренними регламентами.

С другой стороны, аудитор находится в условиях реальной жизни и знает, что подобный, с позволения сказать, риск-аппетит руководства банка вполне оправдан: заемщики – «свои люди», и реальное управление рисками, если паче чаяния потребуется, будет лежать вне поля резервов; и финансирует эти риски банк деньгами вкладчиков «не с улицы», и явные однодневки при солидных клиентах появляются не просто так…

Но может ли появиться на свет такое официальное заключение по результатам проверки? Вряд ли. Руководству и совету директоров оно не нужно – они и так знают, исполнителям – все равно, а регулятор… думаю, не надо объяснять, почему его глаза тоже до поры до времени остаются широко закрытыми.  

Еще один вариант ограничения как доступа, так и роли – более мягкий, скажем так – это «договоренность» о самоцензурировании: рядовые члены аудиторской команды собирают все первичные сведения, а руководитель СВК оценивает их значимость и уместность. Казалось бы, все в соответствии с нормами! Но дьявол, как всегда, в нюансах: например, явные признаки превышения полномочий, конфликта интересов или даже мошенничества ведут к определенному члену высшего руководства и… хорошо, если остаются хотя бы в рабочих документах – и именно так понимается роль начальника СВК как координатора процесса, именно так – польза, которую он должен приносить.

Ситуация из той же оперы – это существование подразделений - «черных дыр». Обычно это служба безопасности и некоторая часть ИТ- подразделения. Никто толком не знает деталей процессов и инструментов, которыми они пользуются, и аудитор даже не ставит себе в план и не оценивает качество и риски их работы, хотя они, в свою очередь, вольны запросить и получить любую информацию.

Ну и, наконец, не секрет, что, формально отчитываясь перед советом директоров или наблюдательным советом, аудиторы многих банков этих «небожителей» не видели и никакой обратной связи, кроме подписи-закорючки, от них никогда не получали. Соответственно, эта линия отчетности – не более чем бесполезная формальность, и на положение конкретных сотрудников, статус подразделения и результативность деятельности влияют совершенно иные люди.  

Нарушает ли, принимая такие правила игры, внутренний аудитор этические нормы и базовые принципы деятельности? Да. Но как ответить на вопрос: а что ему делать?.. Искать другую работу?

Можно конечно сказать, что с неизбежностью смены поколений рано или поздно особый путь и прочий суверенный менталитет таких банков и их клиентов изменится, войдет в русло общепринятых практик и СВК/СВА.

Но все это время (время постепенного эволюционного изменения) многие сотрудники будут разочаровываться в профессии (точнее, не осознавать ее) и отмахиваться от рекомендаций, круглых столов и сертификации, например, Института Внутренних Аудиторов  – они живут в другом мире, и обсуждаемые членами института проблемы кажутся теоретическими изысканиями. До сих пор!..

Всем организациям, заинтересованным в продвижении профессии и повышении профессиональной культуры внутреннего аудита в России – не только Институту, но и Ассоциации Российских Банков, Банку России – необходимо действовать сообща. Информационные кампании, форумы, саморегулирование отрасли – это замечательно и необходимо, но движением только снизу в нашей стране ограничиться не удавалось, по-моему, никогда. Именно позиция регулирующих органов может стать катализатором более активного и массового изменения осознания роли и значения внутреннего аудита,  разграничения функций текущего внутреннего контроля, комплаенс, и аудита, и так далее.

Кстати, вовсе не хочу идеализировать «западные практики» – при всей гораздо более длительной истории и приложенных усилиях, внутреннему аудиту и в таких банках постоянно приходится проходить между Сциллой и Харибдой. Например, на фоне явно повышенного риск-аппетита менеджмента, поставившего хищную цель любыми средствами нарастить клиентскую базу или захватить регион – расхлебывать кашу возможных «плохих долгов» надо будет потом, а победителей не судят, – внутреннему аудиту приходится искать пути должного выражения своей оценки «розничных рисков» и предложений по превентивным контролям, учитывать (признавать) баланс интересов и собственные риски, в том числе – будущую попытку переложить вину за возникшие неурядицы и потери (так же, кстати, как это происходит в подобных случаях с подразделениями риск-менеджмента).   

Или тоже вполне знакомая ситуация последнего времени: необходимость совместить, выровнять и привести к общему знаменателю две функции внутреннего аудита (двух банков), получив единое целое. К сожалению, особенно на начальном этапе внутренний аудит из банка, давшего свой бренд объединенной структуре, тяготеет к прямому копированию своих правил и практик, и в данном случае тем самым белым пятном на карте внутреннего аудитора оказывается вся поглощенная аудиторская функция. Обратный ход этого маятника и установка разумного равновесия впоследствии, получается, отнимает драгоценное время и ресурсы.   

Наконец, хотелось бы поговорить об отступлении от этики и стандартов, но уже прямо противоположного свойства. Высший менеджмент и владельцы, понимая ту самую особую роль и позицию внутреннего аудита, на которой, в идеале, должна основываться непредвзятость оценок, пытаются воспользоваться «тонкой технологией» как катализатором внутреннего конфликта. Оставим в стороне цели, которые могут ставить перед собой такие менеджеры или индивидуальные причины такого поведения – им нужны/ комфортны напряженность, ощущение взаимного недоверия, прямые и скрытые столкновения между подразделениями. 

Любое выявленное нарушение, даже незначительное по сути, любая сделанная аудитором рекомендация по изменению и улучшению процесса становится поводом для административных решений, например, лишения премии или вынесения на обсуждение (целью которого опять-таки является поиск виноватого, а не совместная работа по пониманию и принятию или устранению рисков). Естественно, в результате внутренний аудитор из помощника (линейного уровня) бизнеса превращается в цербера, от которого стараются максимально скрыть информацию, предоставить если не неверные, то уж точно не полные данные, постараться поймать на незнании (в принципе, допустимом) нюансов  и мелких деталей.

Мне приходилось слышать мнение о том, что это повышает качество проверок, объективность суждений аудитора. Однократно или в очень краткосрочной перспективе – возможно, но как только возникнет «линия защиты», и, как в некоторых банках, аудит не сможет свободно обмениваться данными даже с «близкими по духу» риск-менеджментом и комплаенс-направлениями, никакие усилия, никакой собственный профессионализм не принесут той пользы и эффекта, которые должен приносить внутренний аудит. В общем, «когда в товарищах согласья нет…». Мало того, подобные практики наносят вред вне рамок одного банка – когда люди меняют работу, то, обжегшись на молоке, несут эту привычку недоверия в другие банки – создают и здесь ненужные препятствия и белые пятна на аудиторской карте.

И вновь тот же вопрос – что заставляет внутренних аудиторов принимать губительные для профессии правила игры, а не ломать их? И вновь тот же ответ – один в поле обычно не воин. И опять: это задача всех заинтересованных сторон – понимать и признавать профессиональные риски практикующих внутренних аудиторов. В том числе и те, которые, как иногда кажется, давно пора забыть. Это как вирус: исчезает (и забывается) там, где массово делаются прививки. Но стоит их отменить…      

 P.S. Напоследок еще одна тема. Предположим, что с аудиторской функцией все в порядке, она занимает достойное положение, обладает адекватными полномочиями и ресурсами и выполняет свою работу по плану и по ситуации, работает как команда. В ходе проверки сотрудники СВК/СВА плотно общаются с проверяемым  подразделением и, между прочим, замечают, что внутри подразделения или между смежными структурами в рамках функции или бизнес-процесса существует конфликт. Не прямой конфликт интересов, относящийся к сфере бизнеса и организации внутреннего контроля, но скрытый и скорее межличностный. Психологическая несовместимость, подсиживание и интриги, неформальное лидерство и т.п., в общем, моральный климат оставляет желать лучшего.

Так вот, каким образом внутренний аудитор должен отразить эти наблюдения, и должен ли вообще? Ведь задача в рамках плана – проверить бизнес-процесс или функционал подразделения. Даже нарушений кодекса этики банка тут, скорее всего, нет. Да и вообще определенный градус напряжения между людьми существует всегда и везде – так причем тут аудит?

Однако, мне кажется, что и это не должно быть белым пятном на карте внутреннего аудитора. Ведь если разобраться, скрытый конфликт отражается на производительности и мотивации, а значит, несет в себе факторы операционных рисков. Выходит, аудитор должен обратить на это внимание и представить пользователям, например, в формате специального отчета или записки, отдельной от основного акта проверки.

Единственно – внутренний аудит ни в коем случае не должен оказаться втянут в разрешение такого рода проблем даже в своей ипостаси внутренних консультантов – это должно лежать на стороне комплаенс/HR, бизнес- руководителей или внешних агентов.