Планирование во внутреннем аудите. Практические аспекты

Авторы::

Михаил Пятин, руководитель проектов по операционным аудитам «Сегежа Групп», член Ассоциации «Институт внутренних аудиторов»

Марина Округина, директор по операционным аудитам «Сегежа Групп», член Ассоциации «Институт внутренних аудиторов»

Дмитрий Бочаров, вице-президент по внутреннему контролю и аудиту «Сегежа Групп», член Ассоциации «Институт внутренних аудиторов»

Статья предоставлена Ассоциацией «Институт внутренних аудиторов»

«Чтобы выполнить большой и важный труд, необходимы две вещи: ясный план и ограниченное время».
Элберт Хаббард

Годовое планирование, несомненно, является важным этапом в цикле деятельности подразделения внутреннего аудита. С одной стороны, план аудитов защищается на самом высоком уровне управления компании – совете директоров, – что само по себе подразумевает серьезную степень ответственности при его разработке. С другой – планирование несет существенную практическую ценность, поскольку качественно составленный план является залогом эффективности аудиторской функции.

Основная сложность планирования состоит в желании «объять необъятное», что невозможно в условиях ограниченности человеческих и временных ресурсов. Именно по этой причине риск-ориентированное планирование является давно принятой в профессии практикой. Этот подход подразумевает, что в компании существует зрелая система управления рисками. Как минимум, разработана карта (матрица) рисков с оценкой возможных потерь, которая на периодической основе актуализируется.

Однако на практике такие оценки могут носить формальный характер и не всегда соответствуют действительности. По этой причине разработанные менеджментом карты и матрицы рисков не должны являться единственным источником информации для годового планирования.

Источники для планирования

В нашей компании мы выделяем 3 основных источника информации о рисках и деятельности компании, которые впоследствии становятся базой для наполнения вселенной аудита и формирования годового плана аудитов.

Во-первых, это реестр рисков, оценка которых обновляется менеджментом один раз в полгода. Реестр рисков полностью включается в состав вселенной аудита, однако дополняется наблюдениями и аудиторскими оценками, которые формируются в ходе проверок прошлых лет.

Во-вторых, это информация о принимаемых управленческих решениях. Она собирается непосредственно от менеджмента, главным образом за счет участия аудиторов во всех ключевых коллегиальных органах (естественно, без права голоса). Участие в заседаниях правления, инвестиционного, закупочного, проектного, бюджетного и других комитетов – залог своевременного получения информации о деятельности компании, принимаемых решениях и актуальных проблемах. Это помогает внутреннему аудиту держать руку на пульсе бизнеса.

Кроме того, решается и другая задача – поддержание репутации аудиторской функции и выстраивание коммуникаций с лицами, принимающими решения. В результате прямой и регулярной коммуникации удается транслировать менеджменту цель аудита, которая заключается в повышении качества управления организацией, а не в «надзорно-карательной» деятельности. И неоспоримым дополнительным плюсом является заинтересованность менеджмента в результатах проводимых проверок, доверие к выводам и мнению внутреннего аудита, а также готовность к сотрудничеству.

В-третьих, это доступ к ключевым базам данных. У внутреннего аудита нашей компании такой доступ есть, что существенно облегчает планирование и проведение проверок. Практически вся необходимая для аудита информация доступна онлайн, нет необходимости направлять официальные письма и дожидаться получения запрошенных материалов и документов.

Доступ к источникам информации и эффективные коммуникации с менеджментом позволяют формировать годовой план аудитов на основе полной информации о компании, рисках и актуальных в текущий период времени задач и проблем бизнеса.

Ранжирование рисков и вселенная аудита

Баланс между ресурсными ограничениями и потенциальными областями аудитов достигается за счет ранжирования бизнес-процессов по степени их влияния на компанию, вероятности возникновения негативного события (риска) и актуальности проверки.

В «Сегежа групп» для определения ключевых тем, которые целесообразно включить в годовой план аудитов, используется вселенная аудита. Это документ с бизнес-процессами, ключевыми показателями и рисками компании, которые сведены в одну таблицу. Каждый процесс ранжируется по единой методике, ключевыми критериями в которой являются:

• материальность бизнес-процесса,

• присущие процессу риски и их существенность,

• результаты оценки контрольной среды процесса,

• произошедшие в процессе за прошедший год изменения в части его организации и контрольных процедур,

• наличие и значимость выявленных внутренним аудитом недостатков в процессе за последний год.

Оценка выставляется по каждому из перечисленных критериев, имеющих свой вес, и затем суммируется. Чем выше итоговый балл, тем больше внимания этому процессу необходимо уделить внутреннему аудиту. В результате получается своеобразный рейтинг, «лидеров» которого в обязательном порядке необходимо проверять.

Важно отметить, что есть отдельные процессы и риски, которые включаются либо в годовой план аудитов, либо как обязательная часть плановых аудитов, хотя их материальность или итоговый балл невысокий. Например, охрана труда и промышленная безопасность. Также есть процессы, которым присущ повышенный риск нарушений или мошенничества, например, закупочная деятельность и продажи. Они также в обязательном порядке учитываются при формировании годового плана аудитов.

После ранжирования и определения ключевых тем, подлежащих аудиту, необходимо определить количество плановых проверок. Для этого можно использовать бенчмарк, который в среднем составляет 2 аудита на одного сотрудника функции в год. А можно сформировать ресурсный план внутреннего аудита, как делаем мы. Расчет простой, но позволяет обоснованно показать менеджменту и совету директоров, чем внутренний аудит занят в течение года, и почему в план включено конкретное количество аудитов.

Сколько плановых аудитов включить в план?

Логика расчета следующая. Определяем годовой фонд рабочего времени внутреннего аудита и постепенно вычитаем из него трудозатраты, несвязанные с плановыми аудитами. Прежде всего необходимо создать резерв времени на внеплановые проверки, повышение квалификации и профессиональное обучение сотрудников.

Резерв на внеплановые проверки у каждой компании свой и зависит, прежде всего, от заказчиков. У нас в 2019 году на один плановый аудит приходилось 10 внеплановых заданий. В большинстве случаев внеплановые проверки требуют меньше времени и ресурсов, однако для целей годового планирования мы закладываем 30% резерв времени на их проведение.

Непрерывное обучение и повышение квалификации – отдельная важная тема. Мы закладываем минимум 2 недели на обучение каждого сотрудника. Цифра взята на основании бенчмарка, заказанного нами у Международного Института внутренних аудиторов (IIA). Платная, но полезная информация: в отчете сравниваются показатели вашей функции с другими подразделениями по внутреннему аудиту и внутреннему контролю компаний, сопоставимых с вами по отрасли, размеру выручки, количеству персонала.

Поскольку в «Сегежа Групп» внутренний аудит также занимается частью функций внутреннего контроля и вопросами деловой этики, вычитаем время на такие работы, как мониторинг закупочной деятельности и инвестиционных проектов, проведение этической сертификации и проверку КПЭ топ-менеджмента, администрирование работы «Горячей линии» и проведение проверок по поступившим на нее сообщениям.

В итоге остается фонд времени, который можно распределить на плановые проверки. По своему опыту мы знаем, сколько требуется времени на планирование, проведение и выпуск отчета после аудита предприятия или отдельного вида длительности (бизнес-процесса) компании. Дальше ‒ простые вычисления. Все описанные расчеты приведены в таблице.

Предложенный подход позволяет определить ключевые темы, подлежащие аудиту, а также продуманно определять ресурсы для плановой и внеплановой работы. Например, по итогам 2019 года внутренний аудит компании провёл 5 комплексных плановых аудитов и более 50 внеплановых проверок со значимыми результатами для компании, что, согласитесь, достойный показатель для функции из 7 человек.