Внутренний аудит: как совет директоров использует этот инструмент

Ключевое требование к внутреннему аудиту — независимость. Аудитор должен иметь возможность сообщать о проблемах, не опасаясь последствий. Если руководитель внутреннего аудита подчиняется CEO или CFO — эта независимость структурно нарушена.

Лучшая практика: функциональная подотчётность руководителя внутреннего аудита — аудиторскому комитету СД. Административная подотчётность (зарплата, административные вопросы) — CEO, но вопросы результативности и назначения/увольнения — прерогатива аудиторского комитета.

Практически это означает: руководитель внутреннего аудита имеет прямой доступ к председателю аудиторского комитета. Он может сообщать о проблемах напрямую, минуя менеджмент. Аудиторский комитет утверждает план внутреннего аудита и результаты. Это создаёт реальную, а не декоративную независимость.

Риск-ориентированный план. Годовой план внутреннего аудита должен быть построен на основе карты рисков компании — концентрироваться на наиболее значимых рисках, а не просто по расписанию или по размеру подразделений. Аудиторский комитет утверждает план и может его корректировать.

Честные отчёты.. Отчёты внутреннего аудита должны называть вещи своими именами. «Выявлены отклонения» — слабо. «Обнаружена систематическая практика обхода контроля закупок в подразделении X, создающая риск потерь в размере Y млн рублей» — профессиональный отчёт. Аудиторский комитет должен требовать конкретики и пресекать попытки смягчить выводы.

Мониторинг исполнения рекомендаций.. Выявить нарушение — только половина работы. Важнее — убедиться, что оно исправлено. Аудиторский комитет должен получать регулярные отчёты о статусе исполнения рекомендаций. Если менеджмент систематически не исполняет рекомендации — это серьёзный сигнал.

Доступ к любой информации.. Внутренний аудит должен иметь неограниченный доступ к любым документам, системам и сотрудникам. Попытки менеджмента ограничить доступ аудитора — сигнал тревоги для аудиторского комитета.