Некоммерческое партнерство «Институт внутренних аудиторов»

В 2017 году Некоммерческое партнерство «Институт внутренних аудиторов» и компания «КПМГ» провели очередное исследование состояния и тенденций развития внутреннего аудита в России*. Оно показало изменения и ряд важных тенденций в развитии практики внутреннего аудита.

Возрос уровень поддержки и закрепился статус внутреннего аудита как инструмента высшего исполнительного руководства и совета директоров. И если исполнительное руководство и ранее называлось в числе основных пользователей результатов работы внутреннего аудита, то совет директоров как основного пользователя назвали в этом году 82% респондентов по сравнению с 62% в 2015 году. Рост существенный, и связан он с произошедшими изменениями в функциональной подотчетности служб внутреннего аудита. С 55% до 81% выросла доля компаний, в которых служба внутреннего аудита функционально подчиняется совету директоров/комитету по аудиту. По мнению Алексея Сонина, директора Института внутренних аудиторов, в этой тенденции большую роль сыграли рекомендации Кодекса корпоративного управления и соответствующие Методические рекомендации Росимущества по внутреннему аудиту. Максим Мамонов, директор по внутреннему контролю и аудиту, ПАО «МТС», отмечает: «Это важно, поскольку независимость от исполнительного руководства является основной предпосылкой к объективности внутреннего аудита. Особенно важен внутренний аудит в том случае, если компания имеет географически разбросанные филиалы или отделения, в которых местное руководство принимает самостоятельные решения. Центральному руководству необходима достоверная информация об их деятельности, для осуществления контроля и оценки принятых решений в целом».

Растет уровень поддержки внутренних аудиторов с стороны советов директоров/комитетов по аудиту. Служба внутреннего аудита (далее – СВА) каждой четвертой компании может сейчас рассчитывать на полную поддержку совета директоров/комитета по аудиту, по сравнению с 11% в 2015 году. В целом, рассчитывать на поддержку совета директоров (комитета по аудиту) могут 76% СВА компаний-респондентов. И почти в 2,5 раза за прошедшие два года сократилось число компаний, в которых совет директоров/комитет по аудиту оказывает незначительную поддержку внутреннему аудиту, хотя таковых остается всё еще достаточно много – около 10%.

По словам Артема Горлова, начальника управления дирекции внутреннего аудита, ПАО «ФосАгро», прогресс в отношениях высшего менеджмента и СВА становится особенно заметен, когда СВА начинает успешно выполнять консультационные проекты в важных для компании областях.

Ключевые обязанности службы внутреннего аудита остаются неизменными по сравнению с 2013 и 2015 гг.: оценка надежности и эффективности системы внутреннего контроля (далее – СВК) (89%), мониторинг процесса устранения недостатков СВК (89%) и консультирование исполнительного руководства по различным вопросам (84%). Данные исследования показывают, что аудиторы значительно чаще стали проводить оценку эффективности системы управления рисками (68% вместо 45% в 2015 году) и использования информационных технологий (45% вместо 26% в 2015 году), а также ИТ-аудиты (53%). Максим Мамонов, ПАО «МТС», подтверждает важность проведения ИТ-аудитов: «Обеспечение эффективного и безопасного использования информационных технологий в условиях рыночной экономики является ключевой задачей как ИТ, так и бизнес-руководителей. В настоящее время аудит ИТ-инфраструктуры — это единственный способ понять и оценить риски для бизнеса, связанные с ИТ. Диагностика и оценка состояния информационных технологий при проведении ИТ-аудита дает представление о том, как можно улучшить бизнес-процессы компании».

Россия по-прежнему сильно отстает от лучших мировых практик в вопросе наличия профессиональных сертификатов у работников подразделений внутреннего аудита. Речь идет не только о сертификатах по внутреннему аудиту, но и о других профессиональных сертификатах – АССА, CFE, CIMA, СРА, CMA, CISA, CISM. Как отмечает Алексей Сонин, Институт внутренних аудиторов, в российских компаниях меньше трети работников СВА являются обладателями данных сертификатов, в то время как в мире эта цифра достигает 75%; по всей видимости, это связано с общей недооценкой в российских компаниях важности прохождения профессиональной сертификации работниками как подтверждения уровня своей профессиональной квалификации.

Исследование подтвердило, что для внутренних аудиторов на передний план вышли навыки коммуникации (письменной и устной) и межличностного общения (84%), наряду с аналитическими навыками (82%) и знанием бизнес-процессов (61%). Это соответствует общемировым тенденциям и свидетельствует о том, что российский внутренний аудит становится в большей степени контрольно-оценочно-консультационной функцией и в меньшей степени контрольно-ревизионной функцией.

Отмечается тенденция перехода к действительно риск-ориентированному подходу в планировании деятельности СВА, когда планы работы службы переоцениваются и меняются в случае необходимости в соответствии с меняющимися рисками. Именно такого риск-ориентированного подхода требуют от СВА Международные профессиональные стандарты внутреннего аудита. И в этом вопросе СВА российских компаний не всегда могут говорить о соответствии требованиям Стандартов. По результатам нынешнего исследования около 30% респондентов указали, что корректируют план работы в соответствии с изменяющимися рисками многократно в течение года. В то же время в трети компаний такая переоценка не производится вовсе или делается только один раз в год, что вызывает вопросы, а действительно ли такие планы можно называть риск-ориентированными в нынешних условиях, когда риски могут меняться с калейдоскопической быстротой. Наталия Плотникова, к.э.н., директор департамента внутреннего аудита, ГК «Росатом»: «Скорость принятия решений и необходимость быстрых изменений бизнеса сильно возросла. Почему же общепринятым стандартом планирования по-прежнему остается год? Ценность внутреннего аудита – это большее влияние на бизнес, поскольку мы, как говорится, в одной «лодке». Артем Горлов, ПАО «ФосАгро», советует: «Для эффективного планирования, безусловно, необходимо использовать как можно больше источников информации, но в то же время значимость информации должна оцениваться с точки зрения приоритезации задач. Хорошей практикой для планирования годовой загрузки является периодически обновляемая карта гарантий, в которой используются данные о рисках, материальности процессов и наиболее существенных изменениях в них. Также карта гарантий обязательно должна учитывать работу других служб, входящих в три линии защиты, что позволит избежать двойной работы по предоставлению гарантий и сэкономит ресурсы компании».

Почти 40% респондентов привлекают сторонних специалистов для выполнения работ в сфере внутреннего аудита, и 45% СВА планируют это сделать в ближайший год. Абсолютное большинство компаний-респондентов (92%) привлекают внешних специалистов в области информационных систем и технологий, несмотря на то, что в 40% компаний-респондентов имеются штатные аудиторы информационных технологий (ИТ-аудиторы). По словам Максима Козлова, начальника отдела ИТ-аудитов Блока внутреннего контроля и аудита, ПАО «МТС», для проведения ИТ-аудитов и аудитов с ИТ составляющей необходимо, чтобы в штате компании были специалисты, обладающие необходимым уровнем ИТ-компетенций: «В идеале, такими людьми должны быть ИТ-аудиторы с опытом работы в сфере ИТ и/или информационной безопасности (особенно в сфере практической информационной безопасности). Без наличия соответствующих специалистов проведения качественных проектов ИТ-аудита силами только лишь сотрудников подразделения аудита, не обладающих (или имеющих только поверхностные представления о специфике ИТ) требуемым уровнем знаний и опыта работы, невозможно». Максим Козлов отмечает, что незнание ИТ / ИБ-области объекта аудита крайне негативно скажется на репутации функции ИТ-аудита при взаимодействии как с представителями ИТ / ИБ-менеджмента, так и с рядовыми сотрудниками. Международная сертификация по ИТ-аудиту – одно из свидетельств того, что ИТ-аудитор имеет необходимый уровень компетенций и опыта в различных технических областях (управление ИТ, процессы операционного сопровождения ИТ, разработка ПО, информационная безопасность, процессы аудита информационных систем).

В течение последних лет руководители служб внутреннего аудита в основном предпочитают набирать персонал из числа внутренних аудиторов других компаний (82% – в 2017 г., 69% – в 2015 г.). При этом в 2017 г., согласно ответам респондентов, сотрудники из других подразделений компании переходили в СВА в 1,5 раза реже, чем в 2015 г. (53% и 34% в 2015 и 2017 гг. соответственно). По словам Леонида Душатина, директора департамента внутреннего аудита, ПАО «Аэрофлот», найти кандидата соответствующего уровня для СВА внутри компании все сложнее. Как отмечает Артем Горлов, ПАО «ФосАгро», для СВА, которые стремятся занять роль доверенного советчика высшего менеджмента и совета директоров, при подборе кадров необходимо учитывать, чтобы члены команды обладали знаниями в направлениях, которые компания считает приоритетными для своего развития, в особенности в области рисков и лучших практик отрасли.

ИТ-решения для автоматизации работы служб внутреннего аудита все больше входят в практику работы службы внутреннего аудита. В настоящее время специализированное программное обеспечение установлено у половины СВА, принявших участие в исследовании. Среди тех, кто его не использует, 39% планируют установить такое ПО в течение ближайших двух лет. Леонид Душатин, ПАО «Аэрофлот», говорит, что это свидетельствует о том, что с активным развитием цифровых технологий в основном бизнесе компаний-респондентов у руководителей служб внутреннего аудита также растет понимание необходимости внедрения систем автоматизации процессов внутреннего аудита и мониторинга рекомендаций СВА; а организация СВА должна быть адекватной уровню развития основного бизнеса компании.

Максим Козлов, начальник отдела ИТ-аудитов Блока внутреннего контроля и аудита, МТС, отмечает, что при оценке необходимости внедрения того или иного ПО необходимо иметь четкое понимание, какие выгоды оно вам принесет: «При небольшом количестве аудиторских проверок в небольшой компании не требуется закупка специализированного ПО, так как в данном случае можно использовать и стандартные средства офисного пакета Mocrosoft Office. С помощью его же средств можно выполнять планирование, документирование и мониторинг результатов проверок. При росте компании равно как и количества / сложности и штата подразделения аудита требуется задуматься о специализированном ПО (например, TeamMate, ECAT и др.), которое позволит проводить документирование результатов проверок на прогнозируемом уровне (например, все результаты будут задокументированы, проверены руководителями проверок, в модуле мониторинга недостатков будут указаны ответственные за выполнение рекомендаций с указанием сроков выполнения и функционала проверки выполнения рекомендаций). При выборе между покупкой коммерческого ПО или собственной/заказной разработкой нужно прежде всего понимать какой функционал вы хотите получить от данного ПО. Могут ли коммерческие решения удовлетворить вашим потребностям? Возможна ли доработка коммерческого ПО с учетом ваших требований?

С другой стороны, разработка собственного ПО несет в себе значительные риски и вопросы, на которые вам нужно ответить (провести GAP-анализ), прежде чем предпринимать конкретные действия:

1. Есть ли в вашей компании компетенции в разработке ПО?

2. Есть ли в вашей компании ресурсы на сопровождение разработанного ПО?

3. Как вы будете разрабатывать ПО?

Если компания решила нанять внешнего разработчика для создания специализированного аудиторского ПО, то необходимо учитывать следующие аспекты:

1. Есть ли у разработчика опыт в создании подобных систем?

2. Надежная ли это компания?

3. Сколько будет стоить техническая поддержка?

4. Сколько будет стоить доработка ПО?

5. Что Вы будете делать, если компания-разработчик прекратит свое существование?

Несмотря на то, что только пятая часть из опрошенных компаний проводила внешнюю оценку качества службы внутреннего аудита, по сравнению с 2015 г. в два раза выросло число СВА, планирующих ее сделать в следующем году. Количество СВА, которые не намерены проводить внешнюю оценку качества, практически не изменилось в 2017 г. по сравнению с 2015 г. – 35% и 39% соответственно. Основными причинами, по которым внешняя оценка не проводится, по мнению руководителей СВА, являются отсутствие в настоящее время необходимости в такой оценке (36%) и отсутствие поддержки со стороны высшего руководства, совета директоров (комитета по аудиту) (23%).

Доля бюджетов СВА относительно годовой выручки компаний-респондентов варьировалась в пределах 0,002–0,63%. При этом в каждой третьей СВА размер бюджета соответствовал 0,01–0,05% годовой выручки компании в 2016 г., а в каждой четвертой – 0,11–0,5%. Стоит отметить разницу в объеме финансирования СВА в зависимости от отраслевой принадлежности компании. При этом основную часть (в среднем 85%) бюджета СВА составляет заработная плата и дополнительные вознаграждения работников СВА. Наиболее высокие расходы на заработную плату и премии наблюдаются в компаниях из отраслей «Добыча полезных ископаемых» и «Обрабатывающие производства». При этом средние расходы на заработную плату и премии одного внутреннего аудитора колеблются в диапазоне от 1 233 тысяч рублей в год в сельском и лесном хозяйстве до 2 157 тысяч рублей в отрасли добычи полезных ископаемых.

По результатам исследования можно сделать вывод, что в целом внутренний аудит в российских компаниях развивается в соответствии с мировыми тенденциями, хотя и не всегда теми темпами, которыми хотелось бы, учитывая быстроту происходящих в мире изменений и жизненную необходимость для внутреннего аудита всегда быть в авангарде перемен.

Справка:

Организаторы исследования: Некоммерческое партнерство «Институт внутренних аудиторов», компания «КПМГ»

Время проведения исследования: сентябрь – октябрь 2017 г.

В исследовании приняли участие компании следующих отраслей:

Добыча полезных ископаемых – 18%

Деятельность в области информации и связи – 13%

Обрабатывающие производства – 11%

Обеспечение электрической энергией, газом и паром – 10%

Оптовая и розничная торговля – 10%

Строительство – 6%

Профессиональная, научная и техническая деятельность – 5%

Транспортировка и хранение – 5%

Сельское и лесное хозяйство – 5%

Инвестиционная деятельность – 3%

Водоснабжение и водоотведение – 2%

Здравоохранение и социальные услуги – 2%

Операции с недвижимым имуществом – 1%

Иное – 9%

Публичные компании – 50%

Непубличные компании – 50%

С полным текстом Исследования можно ознакомиться на сайте Института внутренних аудиторов: https://www.iia-ru.ru/contact/S_IA%20rus%20FIN.pdf


* Исследование проводится Некоммерческим партнерством «Институт внутренних аудиторов» раз в два года.