З поширенням СОVID-19 світом і введення у більшості країн жорстких карантинних заходів ризиків для бізнесу не тільки стало більше, а й вони стали реальною загрозою для подальшого існування компаній. Тому одним з основних завдань внутрішнього аудиту наразі є управління фінансовими, операційними, юридичними, стратегічними та IT-ризиками компанії, аби втримати її «на плаву». Однак нестабільна ситуація в економіці й на ринку праці зумовлює ризики у самій функції внутрішнього аудиту. Зосередимося на основних ризиках внутрішнього аудиту, на які варто звертати особливу увагу в найближчі роки.

Ризики, які не є важливими для наглядової ради та топменеджменту

Якщо внутрішній аудит продовжуватиме проводити аудиторські перевірки процесів та бізнес-підрозділів замість того, щоб зосереджуватися на ризиках, які загрожують досягненню організацією поставлених цілей, він так і залишиться підрозділом, на який витрачаються кошти, але який не приносить суттєвої користі.

Ризики, повязані з невмінням повідомити про важливе

Традиційний підхід до повідомлення результатів аудиторської перевірки передбачає складання письмового звіту, який надається менеджменту через тижні, якщо не місяці, після виявлення зазначених у звіті фактів. Такий звіт часто включає стандарту інформацію і не повідомляє про дійсно важливі для менеджменту факти. Сьогодні необхідно надавати керівництву компанії ту інформацію, яка є для нього важливою, у легкій та доступній формі. Краще більше говорити і менше писати.

Ризики низької оперативності

Якщо внутрішній аудит не має можливості змінювати аудиторський план часто та швидко, то де гарантія, що аудиторські перевірки, які проводяться, спрямовані на найбільш суттєві на сьогодні ризики?

Ризик нестачі ресурсів

Деякі підрозділи внутрішнього аудиту ухиляються від проведення аудиторських перевірок певних ризикових тем, посилаючись на недостатність ресурсів. Насправді, якщо відповідні ризики дійсно важливі для організації, варто знайти спосіб приділити їм необхідну увагу.

Ризик нераціонального використання ресурсів

Іноді аудиторські перевірки починаються із фокусуванням на дійсно важливих для організації ризиках, але потім обсяг роботи розширюється за рахунок аналізу ризиків, на які просить звернути увагу менеджмент. Таке розширення аудиторської роботи не дає змогу провести перевірку якісно і вчасно. Отже, як тільки внутрішній аудит сформував свою думку щодо системи внутрішнього контролю й погодив з менеджментом необхідні коригуючі заходи, час завершувати аудиторську перевірку.

Ризик зосередження на перевірці минулих фактів, а не на майбутньому

Внутрішні аудитори повинні бути далекоглядними і зосереджувати свої ресурси на тих викликах, які є актуальними для організації сьогодні і будуть актуальними у майбутньому. Інформування людей про те, які помилки вони зробили у минулому, має цінність лише, якщо це допомагає уникнути таких самих помилок у майбутньому.

Ризик втрати ключових співробітників підрозділу внутрішнього аудиту.

Наймання, утримання та управління персоналом – це завжди актуальні питання для внутрішнього аудиту. Керівники внутрішнього аудиту повинні приділяти особливу увагу питанням персоналу, бути ефективними лідерами та управлінцями, бо інакше – цінність функції внутрішнього аудиту для організації суттєво знизиться.

Ризик неспроможності досягти впевненості менеджменту

Якщо менеджери не вважають, що внутрішній аудит допомагає їм досягти успіху, то навіщо їм підтримувати його? Гарним індикатором довіри менеджменту є відсоток аудиторських рекомендацій, що впроваджуються реально, а не лише формально. Менеджери є досить раціональними у своїх рішеннях: якщо рекомендація аудиту дійсно принесе компанії користь, її впровадять. Тому аудиторам важливо докласти максимум зусиль, щоб зрозуміти, чи має користь та чи інша рекомендація для бізнесу. Функція внутрішнього аудиту, яка не готова подивитися на проблему з перспективи бізнесу, не зможе бути корисною для організації щодо досягнення нею довгострокових цілей.

Отож, найважливіше для внутрішнього аудиту сьогодні зосереджуватися на ризиках, які дійсно важливі для організації, а для цього необхідно чітко розуміти очікування наглядової ради та топменеджменту компанії, і відповідно, проводити аудиторську перевірки у зонах найбільш суттєвих ризиків.