Организация службы внутреннего аудита с нуля. Практический опыт
Раздел: Статьи российских авторов
Автор: Велижанская Татьяна, руководитель службы внутреннего аудита АО «СТАТУС», член Ассоциации «Институт внутренних аудиторов»
Статья была опубликована на порталах Audit-it.ru и GAAP.ru
В современных условиях все больше компаний принимают решение о формировании подразделений внутреннего аудита – это связано и с популяризацией функции, и возрастающими требованиями регулятора в части организации системы внутреннего контроля в соответствии с лучшими практиками и концепцией Трех линий защиты. В данной статье хотелось бы поделиться практическим опытом создания службы внутреннего аудита и обратить внимание на важные аспекты периода становления службы.
1. Регламентация деятельности внутреннего аудита
Очевидно, что при создании службы внутреннего аудита, первым делом, следует провести регламентацию её деятельности. Имеющиеся в открытом доступе документы (https://iia-ru.ru) и Международные основы профессиональной практики внутреннего аудита (https://iia-ru.ru/inner_auditor/professional/) вполне достаточны для того, чтобы сформировать дееспособную регламентную базу с определением целей, полномочий, ответственности и подчинённости службы внутреннего аудита (далее СВА). Вопрос подотчетности СВА лучше зафиксировать в учредительных документах компании, в которых также должно быть определено, каким органом управления утверждается Положение о службе, которое будет являться основополагающим документом деятельности СВА.
Первое на что хотелось бы обратить внимание — это то, что при определении функций и задач СВА в Положении, следует, во-первых, четко понимать, как и какими ресурсами эти функции будут реализованы, а во-вторых – насколько они соответствуют целям и будут востребованы пользователями. К примеру, прописав функцию оценки эффективности системы внутреннего контроля по определенным направлениям деятельности, мы можем попасть в ситуацию, в которой берем на себя обязательства на постоянной основе оценивать систему внутреннего контроля по указанным направлениям деятельности. Может быть, нужна какая-то периодичность проведения оценки или она будет разовой при наступлении определённых обстоятельств? Поэтому, на мой взгляд, в Положении о СВА уместней описать верхнеуровневые задачи, такие как: оценка эффективности систем внутреннего контроля и управления рисками в целом, применение риск-ориентированного подхода при планировании. Также следует предусмотреть возможность внесения изменений в Положение на периодической основе в связи с меняющимся риск-профилем компании.
2. Планирование
Планирование работы на основе риск-ориентированного подхода[1] в соответствии со стандартами деятельности[2] должно основываться на формализованной оценке рисков. Риск-ориентированное планирование работы СВА в компании, в которой служба создается впервые, – это первый принятый вызов: требуется за очень короткий срок сформировать профессиональное суждение о состоянии системы внутреннего контроля, определить наличие проблем в бизнес-процессах. По сути, без вводных данных нужно оценить присущие риски и формализовать их. В нашем конкретном случае уровень зрелости контрольной среды оценивался СВА как низкий, в том числе и потому, что не все бизнес-процессы и процедуры внутреннего контроля были описаны, нормативная база требовала значительной переработки, оценка систем внутреннего контроля и управления рисками проводилась несистемно, информация о наличии рисков своевременно не доводилась до органов управления, мероприятия по их минимизации проводились не в полном объеме.
С чего-то надо было начинать. Учитывая то, что компания имеет разветвленную региональную сеть, использование «территориального метода» планирования проверок для формирования профессионального мнения о состоянии СВК и сбора данных о наличии проблем в процессах по принципу «снизу вверх» стало наиболее подходящим. В силу того, что штатной численности СВА было явно недостаточно[3], первые проверки осуществлялись совместно с сотрудниками подразделений компании (бухгалтерия, подразделение по работе с региональной сетью, подразделение безопасности). По результатам проверок региональной сети были определены основные процессы, требующие повышенного внимания со стороны службы и оценки эффективности их функционирования. Отчет совету директоров за первый год функционирования СВА предоставлялся с данными о недостатках в процессах, оценкой рисков и системы внутреннего контроля, рекомендациями для принятия системных решений. План работы на следующий год уже был ориентирован на проведение процессных аудитов по принципу «сверху вниз» и продолжена работа по проверкам филиальной сети, результаты которых были наиболее востребованы исполнительным руководством.
Обращаю внимание на важный аспект планирования работы – это периодичность внесения изменений в план работы и резерв рабочего времени, который мы себе оставляем для проведения внеплановых заданий. Периодическое информирование совета директоров о состоянии дел компании, позволило совету реализовать свое право «заказа проверок» по интересующим вопросам и тематикам. На практике получилось, что резерв на проведение внеплановых заданий в размере 15% был исчерпан уже к середине года за счет «крупного заказа» по факту реализовавшихся рисков, последствия которых привели к потере клиентов, нарушениям законодательства в профессиональной деятельности. Увеличение резерва рабочего времени до 25% в плане следующего года также не позволило «избежать» внесения изменений в план работы и их согласование с советом директоров, потому как стремительно меняющаяся ситуация и участие СВА в служебном расследовании по признакам мошеннических действий персонала, вновь «съедает» весь резерв рабочего времени. Поэтому изменения в план работы целесообразнее вносить не менее 2 раз в год, меняя структуру плана таким образом, чтобы резерв времени на внеплановые мероприятия составлял оптимальные 10-15%, а задания совета и исполнительного руководства выполнялись в рамках плановых работ.
3. Отчётность
Отдельно стоит рассказать о составе отчетности для совета директоров. Информирование совета директоров обо всех проведенных проверках, выявленных проблемах и рисках, о количестве рекомендаций, оставленных по результатам аудитов, неизбежно приводит к тому, что отчет содержит значительный объём информации, дается оценка системы внутреннего контроля по каждому направлению деятельности. Но для совета директоров наиболее важно предоставить целостную картину состояния дел в компании, дать оценку эффективности системы внутреннего контроля в целом, поэтому рекомендую отчет с этого и начинать. Для лучшего взаимопонимания и взаимодействия с советом директоров советую определить ключевые метрики и критерии оценки системы внутреннего контроля и системы управления рисками (например, утвердить Методику оценки эффективности систем внутреннего контроля и управления рисками), пороги существенности, формат отчетности и механизм информирования совета директоров о существенных нарушениях и реализованных рисках.
4. Взаимодействие с внутренними и внешними стейкхолдерами
И, пожалуй, самый важный аспект деятельности службы – это взаимодействие с подразделениями компании, внешним аудитом и регулятором.
Если взаимодействие с советом директоров и исполнительным руководством достаточно регламентировано, и в результатах деятельности СВА заинтересованы все стороны, то при выстраивании коммуникаций с линейным менеджментом и сотрудниками компании, в которой служба внутреннего аудита только создана, требуется планомерная работа по разъяснению назначения функции, выгодах, которые можно извлечь из аудитов и проверок. Нужно обладать высокими коммуникативными навыками, чтобы объяснить, чем отличается внутренний аудит от внешнего, нет ли дублирования задач с бухгалтерией и службой внутреннего контроля компании. При согласовании результатов проверок и разработке корректирующих мероприятий требуется дипломатия и тактичность, чтобы убедить сотрудников включиться в процесс улучшений, повысить заинтересованность сторон в результатах деятельности компании. Чтобы исключить возможные недоразумения, рекомендую порядок взаимодействия с подразделениями определить внутренним регламентом с обязательным определением сроков предоставления информации и оповещения о начале проверки, порядка документирования действий, правами и обязанностями сотрудников службы внутреннего аудита. Желательно предусмотреть возможность проведения проверок совместно с сотрудниками профильных подразделений, а также ответственность за выполнение планов корректирующих мероприятий.
При подготовке информации для внешнего аудитора нужно быть готовым к тому, что внешним аудитом будет осуществляться оценка того, насколько внутренним аудитом выполняются основные функции и задачи, эффективно ли выстроено взаимодействие с исполнительными органами, достаточно ли информации предоставляемой совету директоров для оценки состояния дел в компании. На основании вашей информации будут сделаны первые выводы об эффективности существующих систем внутреннего контроля и управления рисками и качестве корпоративного управления. Кроме того, внешними аудиторами запрашивается отчетность и методология СВА, и вот здесь будет уместно предоставить информацию о том, что Методика оценки эффективности систем внутреннего контроля и управления рисками утверждена советом директоров, а формат предоставляемой отчётности содержит всю необходимую информацию для объективной оценки эффективности функционирования систем внутреннего контроля и управления рисками.
Особого внимания требует формат взаимодействия с регулятором. В рамках надзора сотрудники Банка России[4] вправе запросить внутренние нормативные документы, регламентирующие организацию внутреннего контроля и систему управления рисками, которые скрупулезно сопоставляются, запрашивается документальное подтверждение того, что прописанные мероприятия выполняются в полном объеме. От службы внутреннего аудита ожидается, что в рамках своей деятельности служба предоставляет объективные и периодические оценки состояния системы внутреннего контроля, обеспечивает контроль за выполнением планов мероприятий, направленных на улучшение системы внутреннего контроля. Особое внимание уделяется периодичности оценки эффективности функционирования системы управления рисками, порядку информирования совета директоров об идентификации существенных рисков и нарушениях процедур внутреннего контроля и управления рисками. В ходе выездных проверок деятельности компании сотрудники регулятора очень внимательно относятся к составу рабочей документации службы внутреннего аудита, сделанным выводам, описанию методов определения выборки, вплоть до того, что пересчитывают долю объектов аудита с нарушениями в общем объеме выборки.
Следует отметить, что при возникновении разночтений по каким-либо вопросам, позиция регулятора, как правило, обоснована не только строго регламентированными правилами, но и документами, рекомендуемыми к использованию. Чтобы избежать каких-либо разногласий с Банком России, от компании потребуется аргументированная и документально подтвержденная позиция, сформированная на основании профессионального суждения и, если возможно, подкрепленная позицией регулятора, потому как на практике не исключены ситуации, когда мнение регулятора основано на документах, рекомендуемых к исполнению. Поэтому, невзирая на нехватку времени и ресурса, штудируем нормативные базы, регламентирующие деятельность компаний, не пропускаем ни одной рекомендации по организации системы внутреннего контроля, системы управления рисками. Своевременно реагируем на изменения и предлагаем на рассмотрение совету директоров и исполнительному руководству вопросы, касающиеся организации системы управления рисками и внутреннего контроля и формализуем все эти изменения.
В заключение хотелось бы отметить, что построение эффективно функционирующих систем внутреннего контроля и управления рисками – это все же результат совместной деятельности совета директоров, исполнительного руководства и службы внутреннего аудита. В данном процессе очень важна объективная и своевременная информация по оценке состояния дел со стороны службы внутреннего аудита, вовлеченность СВА в деятельность компании, а системный подход и проактивная позиция службы позволят реализовать функцию внутреннего аудита даже с минимальной численностью и в довольно в короткие сроки.
[1] Применение риск-ориентированного подхода при планировании работы определено в Положении о СВА
[2] Международные основы профессиональной практики внутреннего аудита, ст. 2010.А1
[3] СВА представлена одним сотрудником
[4] К организациям, поднадзорным ЦБ РФ, отнесены: кредитные организации, профессиональные участники рынка ценных бумаг, микрофинансовые организации, кредитные потребительские кооперативы, страховые организации, страховые брокеры, общества взаимного страхования, организаторы торговли, клиринговые организации, негосударственные пенсионные фонды, управляющие компании инвестиционного фонда, управляющие компании паевого инвестиционного фонда, управляющие компании негосударственного пенсионного фонда, специализированные депозитарии инвестиционного фонда, специализированные депозитарии паевого инвестиционного фонда, специализированные депозитарии негосударственного пенсионного фонда, ломбарды.