Материал подготовлен Ассоциацией «Институт внутренних аудиторов»1
Внутренние аудиторы и службы внутреннего аудита прикладывают значительные усилия, чтобы найти убедительные ответы на один фундаментальный вопрос: какова ценность внутреннего аудита в конкретном организационном контексте? Этот вопрос имеет особое значение и для профессии в целом, а также весьма актуален для ключевых заинтересованных сторон, например, для высшего руководства и комитета по аудиту.
Вступление
«Приносить пользу (Add Value) — внутренний аудит приносит пользу организации (и заинтересованным сторонам), когда он предоставляет объективные и компетентные гарантии и способствует повышению эффективности и результативности процессов управления рисками, контроля и корпоративного управления». — Международные профессиональные стандарты внутреннего аудита (МПСВА), 20172
Хотя это определение на первый взгляд кажется простым и ясным, понимание пользы внутреннего аудита воспринимается по-разному как внутренними аудиторами, так и организациями.
Поскольку удовлетворение потребностей заинтересованных сторон является одной из главных задач внутренних аудиторов, важно понимать их ожидания, когда речь заходит о пользе, приносимой внутренним аудитом. Однако это легче сказать, чем сделать. Функция внутреннего аудита является неотъемлемой частью организационной среды и обычно обслуживает «двух или более стейкхолдеров», включая комитет по аудиту, совет директоров, высшее руководство (генеральный директор, исполнительный директор, финансовый директор и т.д.), управление рисками, комплаенс, внешнего аудитора и клиента аудита. Таким образом, множество заинтересованных сторон устанавливают свои ожидания от внутреннего аудита, каждая из которых имеет собственный взгляд на пользу, которую должен приносить внутренний аудит. Кроме того, существует разница между пользой, которую, по мнению внутренних аудиторов, они принесли, и тем, как ее воспринимают заинтересованные стороны.
По мнению Екатерины Макаровой, руководителя службы внутреннего аудита АО «Страховая компания «СОГАЗ-Мед», вопрос ценности внутреннего аудита является очень актуальным и часто поднимается органами управления, особенно при распределении ресурсов (как финансовых, так и человеческих). Отличия в оценках определения ценности (пользы) непосредственно внутренним аудитом и органами управления – это следствие, в том числе отсутствия реальных коммуникаций с органами управления и понимания их потребностей, отсутствия возможности у руководителя ВА доведения результатов проверки до органов управления, одновременно непонимания органами управления фактического объема работы, который необходимо выполнить внутреннему аудиту, чтобы сделать выводы и дать достоверные гарантии, на которые можно опереться при принятии управленческих решений; а вывод «низкие риски, отсутствие нарушений», за которыми стоит значительная работа, может восприниматься даже негативно, с недоверием. Поэтому одна из основных задач руководителя ВА – качественное и своевременное доведение информации до органов управления для формирования корректной и адекватной оценки ценности внутреннего аудита.
Определение, измерение и информирование о приносимой внутренним аудитом пользе – одна из центральных задач профессии, самой функции внутреннего аудита и для заинтересованных сторон. Ценность внутреннего аудита не может быть охарактеризована исключительно его вкладом (например, количеством внутренних аудиторов или количеством проведенных аудитов) или его результатами (например, количеством аудитов, выводов, рекомендаций). Чтобы получить полную картину, необходимо также обсудить тип услуг, выполняемых службой внутреннего аудита, ее роль в организации (например, «сторожевой пес» и «доверенный советник») и качество ее работы (например, фокус на предоставлении гарантий или консультационной деятельности). Это делает обсуждение очень субъективным, а конкретное определение зависит от множества факторов, таких как: потребности заинтересованных сторон, ресурсы функции внутреннего аудита, нормативная среда.
3 основных направления в вопросе пользы внутреннего аудита:
Определение пользы/ ценности: Ценность функции внутреннего аудита определяется ожиданиями многочисленных заинтересованных сторон и действиями, выполняемыми функцией внутреннего аудита для удовлетворения этих ожиданий. Однако потребности заинтересованных сторон могут иметь совершенно разную направленность. Например, комитет по аудиту может видеть пользу внутреннего аудита через призму внутреннего контроля и управления рисками, в то время как генеральный директор может сосредоточиться на совершенствовании процессов.
Измерение пользы/ ценности: Важно знать, как правильно измерить приносимую пользу. В то время как количество проведенных аудитов или количество выводов и рекомендаций можно легко подсчитать, ценность внутреннего аудита с его уникальными знаниями, безусловно, больше, чем просто цифра. Учитывая это, очевидно, что польза внутреннего аудита включает в себя как качественные (например, удовлетворенность заинтересованных сторон), так и количественные (например, количество проведенных аудитов) характеристики, и что потенциальный подход к оценке должен включать в себя и то, и другое.
Донесение ценности/ коммуникация: После того, как польза внутреннего аудита определена и измерена, важно выбрать хороший способ донесения ее до заинтересованных сторон и организации в целом. Подаваемая информация должна содержать описание фактической пользы СВА, а также отзывы ключевых заинтересованных сторон о ее деятельности, поскольку из них в т.ч. складывается репутация функции ВА. Поскольку службы внутреннего аудита используют различные каналы коммуникации (например, аудиторский отчет, годовой отчет или личные встречи с генеральным директором или комитетом по аудиту), нет общего правила о том, какой канал нужно использовать и как доносить пользу деятельности ВА.
По мнению Артема Горлова, управляющего директора по аудиту ПАО АФК «Система», настоящим искусством для хорошего руководителя ВА является умение посмотреть на объект аудита взглядом стейкхолдеров, верно определить интересующие их моменты и донести проблему с учетом интересов и ожиданий каждого. Такой подход помимо того, что позволяет существенно сэкономить ресурсы функции, также преумножает ее репутацию.
***
Заинтересованные стороны могут не понимать широты возможностей внутреннего аудита, а порой стремиться к неактивной СВА, которая особо не вмешивается в текущее положение вещей. К тому же, часто мнения высшего руководства и комитета по аудиту по поводу полезности ВА расходятся. Успех функции внутреннего аудита зависит от ее руководителя и от того, как он определяет, измеряет и доносит пользу ВА заинтересованным сторонам.
Определение пользы
Польза, приносимая внутренним аудитом, определяется требованиями и ожиданиями ключевых заинтересованных сторон, а также индивидуальными характеристиками соответствующей компании. Именно высшее руководство и комитет по аудиту определяют и формулируют основные условия и направления деятельности службы внутреннего аудита. Чаще всего заинтересованные стороны высоко оценивают способность внутреннего аудита выявлять текущие и будущие риски, определять их воздействие, а также рекомендовать процедуры и контроли для управления ими. Особо отмечается деятельность по предоставлению гарантий и внимание к возникающим тенденциям и темам.
Согласно исследованию IIA, внутренние аудиторы уверены, что заинтересованные стороны считают основной задачей ВА финансовый аудит и комплаенс-контроль (в качестве предоставления гарантий заинтересованным сторонам). В дополнение к этим услугам, ориентированным на предоставление гарантий, которые отражают одну из традиционных целей профессии, ожидание номер два связано с консультированием по рискам и контролю.
Екатерина Макарова, руководитель службы внутреннего аудита АО «Страховая компания «СОГАЗ-Мед», уверена, что за последние несколько лет в российских средних и крупных некредитных финансовых компаниях важность финансового аудита значительно снизилась, поскольку данный вопрос закрывает в первую очередь внешний аудитор, а финансовый аудит реализуется внутренним аудитом в основном при проверке расходов, сохранности активов, оценке целесообразности сделок. В современных условиях актуальной задачей остается комплаенс. Одновременно увеличивается ценность проверок ключевых бизнес-процессов компании с акцентом на высокие и средние риски. Проверка бизнес-процессов позволяет внутреннему аудиту реализовать комплексно методы проверок, задачи и компетенции, а именно: комплаенс, идентификация фактических рисков и оценка последствий, оценка внутреннего контроля, автоматизации, регламентации и др. и позволяет сформировать более оптимальные рекомендации. Данный подход влияет на ценность и репутацию внутреннего аудита и позволяет перейти на более высокий уровень доверия со стороны органов управления.
В целом, можно с уверенностью сказать, что услуги по предоставлению гарантий являются основной функцией ВА. Следовательно, деятельность, ориентированная на предоставление гарантий, может рассматриваться как основа определения пользы ВА, которая должна быть общей для всех служб внутреннего аудита.
По мнению Василия Ряховского, руководителя отдела внутреннего аудита ООО «Монэкс Трейдинг» (торговля розничными товарами), польза внутреннего аудита заключается в первую очередь в измеримой помощи бизнесу в достижении поставленных целей. В связи с этим в разное время фокус внутреннего аудита и приносимая им польза могут существенно меняться. В последнее время в связи с тяжелой ситуацией в сфере розничной торговли на первый план вышли цели контроля реализации антикризисных мероприятий с предоставлением высшему руководству и акционерам гарантий, что утвержденный план антикризисных мероприятий выполняется в полной мере. До событий 2020 года польза измерялась усовершенствованными бизнес-процессами, приводящими к совершенствованию контролей и управлению рисками и очень часто находившими отражение в виде сэкономленных расходов для повышения рентабельности бизнеса. Что соответствовало ожиданиям высшего руководства и акционеров.
Итак, ключевым фактором в определении пользы внутреннего аудита является выявление заинтересованных сторон, понимание их ожиданий и приведение их в соответствии с требованиями организации и требованиями, предъявляемыми профессией. Конечно, ожидания заинтересованных сторон могут отличаться от того, что специалисты по внутреннему аудиту считают актуальной и эффективной практикой, а в некоторых организациях заинтересованные стороны фактически полностью отрицают ценность внутреннего аудита. Однако низкие или нулевые ожидания дают возможность внутреннему аудиту заполнить пустоту. При определении позиции и при самооценке внутреннего аудита в соответствии с вышеупомянутыми факторами крайне важно правильно оценить «текущее состояние» функции внутреннего аудита. Конечно, существует огромное разнообразие таких «состояний». Разные специалисты разных организаций вкладывают свое видение в значение внутреннего аудита, что на практике влечет за собой существование многообразия уровней зрелости функции внутреннего аудита и эффективности выполняемой деятельности.
Олег Ажимов, руководитель службы внутреннего аудита ПАО «РусГидро», подчеркивает, что понять ожидания заинтересованных сторон – это самая сложная задача. По его мнению, для ее решения: (1) необходим двухсторонний открытый диалог между членами комитета по аудиту (КА) и ВА, высшим менеджментом и ВА; (2) внутреннему аудиту необходимо говорить на одном языке с заинтересованными сторонами, т.е. к таким диалогам нужно готовиться, нужно понимать долгосрочные и краткосрочные цели и задачи, текущую повестку членов СД и менеджмента; (3) нужны усилия/ желание с двух сторон.
Роль внутреннего аудита: GRC3-партнер, доверенный советник или драйвер перемен?
Можно сказать, что возможные роли внутреннего аудита или стадии его развития/ зрелости укладываются в 3 уровня, которые варьируются от (1) строго традиционных функций внутреннего аудита с акцентом на предоставлении гарантий в части GRC через (2) функции ВА, сочетающие аудиторскую и консультационную деятельность до (3) функций ВА, полностью соответствующих общим (стратегическим) целям организации и способствующих их достижению.
Прежде чем стремиться обеспечить более высокий уровень долгосрочной и устойчивой пользы функция внутреннего аудита должна сначала завоевать доверие внутри организации. Это может быть сделано путем предоставления соответствующих базовых услуг внутреннего аудита и высококачественных гарантий с акцентом на GRC.
Основной задачей GRC-партнера является защита ценности, а не принесение дополнительной пользы.
Сформировавшаяся в компании солидная репутация и высокий уровень компетентности функции внутреннего аудита говорят о том, что она может быть готова к роли доверенного советника. А это означает дальнейший потенциал для принесения пользы с помощью консультативной деятельности, например, улучшения ключевых бизнес-систем или процессов, что повышает общую производительность компании. Предложения доверенного советника обычно относятся к более знакомым, известным темам и часто связаны с областью GRC.
Виктория Царук, руководитель по внутреннему аудиту АШАН Ритейл Россия, считает, что одним из направлений сопровождения бизнеса внутренним аудитом может быть поддержка в изменениях, связанных с новыми требованиями законодательства: «Например, когда у нас в компании в России внедряли меры, направленные на соответствие новому французскому антикоррупционному закону Sapin II, на первом этапе команда внутреннего аудита страны провела диагностику соответствия этим требованиям и представила руководству результаты в формате «как должно быть по закону – как сейчас – над чем необходимо поработать». На втором этапе, через 6 месяцев, был проведен аудит по данной теме. А через год, на третьем этапе, аудит уже проводила команда головного офиса».
Став доверенным советником, служба внутреннего аудита может перейти на новый уровень – драйвера перемен, – который напрямую влияет на успех компании. В идеале при этом все ключевые виды деятельности внутреннего аудита полностью соответствуют корпоративной стратегии. Таким образом, компании смогут раскрыть весь потенциал функции внутреннего аудита и получить от нее максимальную отдачу. Драйвер перемен имеет дело с менее знакомыми, менее известными и более сложными предметами.
По словам Никиты Масюка, начальника управления внутреннего аудита АО «Россети Тюмень», развитие идеи о пользе внутреннего аудита можно описать всем известной метаморфозой из «солдата – в генералы», но в профессиональной манере «Плох тот внутренний аудит, который не мечтает стать драйвером ценности». Стремление к развитию, в первую очередь, определяет не наше будущее, а говорит о том, кто мы есть – не всегда великие замыслы осуществляются, но само движение к ним уже несет изменения. Философская категория о драйвере перемен требует осмысления, трезвого взгляда на то, где мы есть сейчас, есть ли ресурс и готов ли менеджмент к нашему стремительному развитию. Когда-то идея о «доверенном советнике» была всего лишь моделью, а сейчас лучшие представители профессионального сообщества являются таковыми, демонстрируют свою значимость в вопросах повышения эффективности и результативности бизнес-процессов и систем. Как быстро будет пройден путь от гаранта к драйверу перемен зависит от многих факторов, часть из которых вне власти внутреннего аудита, но «дорогу осилит идущий».
По данным опроса Международного Института внутренних аудиторов (IIA), следующие виды деятельности внутреннего аудита приносят наибольшую пользу компании (по мере убывания):
1. Обеспечение достаточности и эффективности системы внутреннего контроля организации.
2. Обеспечение достаточности и эффективности процессов управления рисками организации.
3. Обеспечение достаточности и эффективности процессов управления организацией.
4. Рекомендации по улучшению бизнеса и операционной деятельности.
5. Руководство процессами оценки и управления рисками организации.
6. Обеспечение достаточности и эффективности комплаенс-процессов организации.
7. Выявление возникающих рисков.
8. Проверка достаточности и эффективности управленческой оценки контролей.
9. Информирование и консультирование совета директоров/ комитета по аудиту.
10. Информирование и консультирование высшего руководства.
11. Информирование и консультирование руководства.
12. Расследование мошенничества.
13. Извлечение и анализ данных (data mining) для нужд менеджмента.
14. Оценка рисков мошенничества и сдерживание мошенничества.
15. Поддержка внешних аудиторов.
Итак, с точки зрения внутренних аудиторов, основной опорой профессии остается предоставление гарантий. Три основных вида деятельности соответствуют определению внутреннего аудита IIA и сосредоточены на предоставлении гарантий в части внутреннего контроля, управления рисками и корпоративного управления. Приносящая пользу функция внутреннего аудита извлекает выгоду из этих основных видов деятельности. Тем не менее качество и направленность услуг по предоставлению гарантий могут варьироваться. Большинство функций внутреннего аудита могут сосредоточиться на традиционных услугах по предоставлению гарантий (GRC-партнер).
Другие могут пойти дальше и предоставлять гарантии в том, что процессы надежны, организация соответствует определенным ожиданиям, а ее операционная деятельность эффективна. Эти функции внутреннего аудита выходят за рамки традиционного предоставления гарантий и предлагают свои уникальные идеи для улучшения организации. Восприятие таких функций более позитивное, и, вполне возможно, что эти функции ВА будут признаны доверенными советниками.
Последний этап развития – это когда функции внутреннего аудита предлагают дополнительные услуги и современные, передовые подходы (например, в процессе анализа данных и автоматизации). Хотя эти функции по-прежнему должны предоставлять гарантии, дополнительная польза достигается за счет интеллектуальных дополнительных результатов аудита, уникальных способов проведения аудита (например, дистанционных аудитов на основе представленных
данных) и сложных аудиторских процедур. Такой подход может помочь внутреннему аудиту максимизировать собственную ценность, но главное – максимизировать и ценность организации (драйвер перемен).
Виктория Царук, руководитель по внутреннему аудиту АШАН Ритейл Россия, согласна с тем, что важно пробовать новые подходы: «Например, в прошлом году внутренний аудит в сотрудничестве с отделом BI4 начал предлагать владельцам процессов для использования в операционной деятельности разработанные аудиторами индикаторы, которые на постоянной основе мониторят аномалии, выявленные в ходе проверок. Фактически, это позволяет не ограничиваться только проверенным подразделением, а расширяет охват внутренним контролем и помогает снизить риски, выявленные в ходе аудита».
Применяемые методы измерения ценности
Возможные методы и инструменты оценки эффективности деятельности внутреннего аудита очень разнообразны. Чаще всего встречаются следующие:
1. Ключевые показатели эффективности (КПЭ) – наиболее популярный метод.
2. Опросы клиентов аудита или ключевых заинтересованных сторон.
3. Результаты внешней оценки качества.
4. Отзывы внешних регуляторов.
5. Отзывы внутренней службы оценки качества.
Ключевые показатели эффективности функции внутреннего аудита
Наиболее часто используемые КПЭ – это «процент выполнения плана аудита» и «своевременное устранение выявленных недостатков». Среди других видов КПЭ можно отметить следующие:
- специфические для компании КПЭ
- охват: покрытие ключевых рисков аудиторскими проверками/ процент покрытия рисков компании аудиторскими гарантиями/ выполнение согласованного объема работ| процедур| покрытия рисков
- соблюдение запланированного бюджета
- время с момента окончания полевых работ до подготовки финального аудиторского отчета
- время от начала аудиторского задания до создания проекта отчета.
В то же время встречаются компании, которые не применяют формального измерения эффективности деятельности внутреннего аудита.
Остановимся более подробно на основных КПЭ.
Первый КПЭ – процент выполнения плана аудита – является стандартным для большинства функций внутреннего аудита. Он представляет особый интерес для высшего менеджмента и комитета по аудиту, поскольку они, как заинтересованные стороны, должны понимать и контролировать эффективность службы внутреннего аудита. Этот показатель помогает измерить, удалось ли внутреннему аудиту охватить ранее согласованные (высокорисковые) области организации своими проверками. Его легко подсчитать и довести до сведения внутри компании. Тем не менее внеплановые проверки или другие специальные запросы могут легко привести к снижению процента выполнения плана аудита, что необходимо объяснить ключевым заинтересованным сторонам. По мнению Екатерины Макаровой, руководителя службы внутреннего аудита АО «Страховая компания «СОГАЗ-Мед», данный вопрос необходимо урегулировать через формализацию паспорта КПЭ, где подробно определить критерии и формулы расчета процента выполнения плана аудита. При этом плановое значение КПЭ не может быть установлено в 100%, так как необходимо учитывать риски, связанные с персоналом. В свою очередь, Олег Ажимов, руководитель службы внутреннего аудита ПАО «РусГидро», уверен, что резервирование 20-40% времени, которым располагают внутренние аудиторы, под внеплановые запросы помогает существенно снизить риск неисполнения плана аудита; и такая практика, как правило, поддерживается и менеджментом, и комитетом по аудиту.
Кроме того, в динамичной и/или сложной среде достижение 100%-го выполнения плана скорее всего будет непродуктивным, поскольку вселенная аудита может меняться с момента первоначального этапа планирования. Александр Московкин, директор департамента внутреннего контроля и аудита компании «Ситроникс», считает, что изменение условий потребует изменения набора проектов аудита в плане после переоценки рисков, а также переутверждения плана на совете директоров. При этом изменение количества проектов аудита, как правило, не происходит, изменяются только требующие внимания бизнес-процессы. Исключение – недавняя ситуация с пандемией, когда в некоторых компаниях были существенно скорректированы планы работы функции аудита.
Второй КПЭ – своевременное устранение выявленных недостатков – измерение необходимого времени до устранения выявленных недостатков можно понимать как показатель, охватывающий как качество выводов внутреннего аудита, так и способность объекта аудита выполнить рекомендации в согласованные с ним сроки. Таким образом, в данном КПЭ учитывается один из основных способов принесения пользы внутренним аудитом: улучшение организации и ее процессов по итогам проведения аудита. Тем не менее поскольку служба внутреннего аудита не несет прямой ответственности за своевременное устранение выявленных недостатков (за это отвечает проверяемый/ владелец риска), на выполнение данного КПЭ внутренний аудит непосредственно не влияет. Хотя этот показатель может выступать индикатором для оценки эффективности функции внутреннего аудита, многие факторы, особенно со стороны проверяемого лица, могут негативно повлиять на этот показатель. По мнению Александра Московкина, директора департамента внутреннего контроля и аудита компании «Ситроникс», наличие такого КПЭ у руководителя ВА, влияющего на его премию, может привести к негативным последствиям, если у руководителя ВА не будет симметричного рычага в виде аналогичного отсекающего КПЭ у менеджмента. С Александром согласен и Олег Ажимов, руководитель службы внутреннего аудита ПАО «РусГидро»: «Наличие упомянутого КПЭ у руководителя ВА может привести к формальному или неполному отражению выявленных недостатков, поэтому некоторые службы целенаправленно отказываются от подобных КПЭ». С другой стороны, Василий Ряховский, руководитель отдела внутреннего аудита ООО «Монэкс Трейдинг», соглашаясь с коллегами о рисках данного показателя для СВА, тем не менее, считает данный показатель одним из ключевых, так как он говорит о зрелости функции СВА: в той организации, где роль СВА переросла в «доверенного советника» количество выполненных менеджментом аудиторских рекомендаций будет значительно выше.
Третья наиболее распространенная категория охватывает различные специфические для компании КПЭ.
Рассмотрим такие КПЭ по четырем направлениям: финансовый и нефинансовый результат, мнение заинтересованных сторон, внутренние процессы и перспектива обучения и роста.
Финансовые и нефинансовые результаты
Существует широкий спектр потенциальных КПЭ в рамках этого направления, фокусирующихся на финансовых показателях внутреннего аудита (например, снижение затрат или рост продаж на основе рекомендаций аудита, количество файндингов, рекомендаций). Интересно отметить, что сюда могут входить как показатели, на которые внутренний аудит может влиять непосредственно, так и те, которые контролируются проверяемым подразделением или руководством.
Примеры таких КПЭ:
- Количественные показатели результатов: количество аудитов, завершенных в соответствии с целевым показателем/ целью; количество аудиторских отчетов.
- Экономия затрат и повышение доходов.
- Бюджет внутреннего аудита: расходы на аудит в рамках бюджета; в рамках финансового бюджета; фактические к бюджету.
- Сохранение стоимости: сумма предотвращенных потерь/ сэкономленные внутренним аудитом расходы как следствие внедрения менеджментом предложенных рекомендаций/ экономия.
- Специальные аудиты: выполнение специальных аудитов, процент завершенных специальных проектов.
- Количество повторных файндингов/ обнаружений.
- Рекомендации: количество рекомендаций, согласованных аудитором/ руководством, процент выполненных рекомендаций, процент рекомендаций, выполненных в срок.
- Распределение работы: аудиты/ консультации/ расследования.
Александр Московкин, директор департамента внутреннего контроля и аудита компании «Ситроникс», уверен, что оцифровка в денежной форме результатов работы внутреннего аудита – наглядный измеритель, показывающий пользу от функции ВА для СД и подстегивающий ВА не только к описанию недостатков, но и к разработке качественных рекомендаций, внедрение которых как раз и влияет на этот показатель. При этом необязательно включать его в КПЭ, достаточно указывать его в отчете по итогам работы. Александру приходилось неоднократно встречать запросы СД на наличие такого параметра в отчетности функции внутреннего аудита.
С ним согласен и Олег Ажимов, руководитель службы внутреннего аудита ПАО «РусГидро». По его мнению, в наличии показателя, характеризующего Add Value внутреннего аудита в денежной форме (за счет повышения экономической эффективности процессов/ проектов по результатам аудитов), заинтересован в первую очередь высший менеджмент, у которого, как правило, также присутствуют КПЭ по повышению эффективности компании (снижение расходов, повышение выручки, EBITDA и др.). Внутреннему аудиту важно заранее согласовать методику расчета такого показателя, чтобы по итогам периода не возникло разногласий. У внутренних аудиторов часто возникает соблазн экстраполировать эффект на всю совокупность и/или больший период. От этого при расчете указанного КПЭ целесообразно отказаться, а учитывать уже достигнутый, пусть и меньший эффект.
Мнение заинтересованных сторон
Мнение заинтересованных сторон включает в себя мнение обычных адресатов отчета внутреннего аудита: комитет по аудиту (председатель), высшее руководство и клиенты аудита. Кроме того, очень актуальным КПЭ может быть степень удовлетворенности регулятора (например, в банковской и страховой отрасли).
Примеры КПЭ, связанных с заинтересованными сторонами:
- Рейтинг удовлетворенности клиентов/ проверяемых.
- Рейтинг по итогу опроса после вовлечения в аудиторские проверки.
- Опрос удовлетворенности руководства/ рейтинг обратной связи.
- Уровень удовлетворенности высшего менеджмента/ отзывы клиентов/ обратная связь о работе ВА со стороны высшего менеджмента.
- Обзор удовлетворенности комитета по аудиту/ рейтинг обратной связи/ отзывы о результатах работы ВА от комитета по аудиту.
- Оценки со стороны регулирующих органов.
- Рейтинг опроса сотрудников службы внутреннего аудита.
- 360-градусная обратная связь в части развития персонала.
- Рейтинг по итогу исследования, сделанного «гостевым»/ приглашенным аудитором.
- Количество обращений руководства за консультационными и другими услугами.
Внутренние процессы
Набор КПЭ, связанных с внутренними процессами, включает в себя общие и широко используемые показатели: время цикла аудита и аудиторской отчетности или соблюдение бюджетных ограничений. Можно также учитывать использование анализа данных во время аудитов или количество ИТ-аудитов. Другие показатели этого направления сосредоточены в цикле коммуникаций.
Примеры ключевых показателей эффективности внутренних процессов:
- Время цикла: от заключительного обсуждения до финального отчета, от начала проекта до финального отчета, от предварительного обсуждения до финального отчета, от начала полевых работ до финального отчета.
- Соответствие стандартам: соблюдение стандартов планирования, стандартов полевой работы и стандартов отчетности.
- Эффективность деятельности: проекты, завершенные в согласованные сроки; эффективное использование ресурсов; процент производительности.
- Выявление внешними аудиторами пропущенных файндингов/ обнаружений.
- Анализ данных: количество проблем, обнаруженных с помощью анализа данных; процент использования аналитики данных в аудитах, уровень сложности анализа данных, затраты.
- ИТ-фокус: процент интегрированных ИТ-аудитов, использование времени, отсутствие пропущенных существенных (особо важных) аудитов.
Обучение и рост
КПЭ, связанные с обучением и ростом, охватывают показатели, связанные с персоналом внутреннего аудита, квалификацию и сертификацию, обучение или программу повышения качества. Типичные КПЭ здесь: процент внутренних аудиторов, прошедших сертификацию; количество затраченных учебных часов или результаты последних внутренних и внешних оценок качества.
Примеры КПЭ, связанных с обучением и ростом:
- Обучение: уровень обучения, предоставляемый каждому сотруднику в течение года; учебные часы; обучение и развитие персонала/ план обучения и развития.
- Сертификация: уровень сертифицированных в течение года сотрудников; профессиональный штат; сертификация сотрудников (процент сотрудников, получивших сертификацию или работающих над ее получением); сертификаты; полученные CPE-часы; процент сотрудников с сертификациями.
- Обеспечение качества: внутренние процессы улучшения обеспечения качества, которые занимают 35% от общего веса КПЭ; результаты периодической внешней и внутренней оценки качества, а также прохождение внешней экспертной оценки; успешные результаты внешних аудитов и нормативных проверок; модель амбиций/ целеустремленности внутреннего аудита (AMIR).
- Разнообразие: разнообразие в аудиторских группах (нефинансовые специалисты против финансовых).
- Тренинги: обучение и развитие талантов; успешное привлечение талантов для закрытия вакансий; ротация персонала внутреннего аудита на операционные должности.
- Сотрудничество: с другими функциями/ бизнес-областями по инициативам компании.
По мнению Василия Ряховского, руководителя отдела внутреннего аудита ООО «Монэкс Трейдинг», каждому из приведенных выше показателей эффективности целесообразно дать измеримый критерий оценки, который может меняться в зависимости от поставленных перед СВА целей на конкретный период (см. подробнее статью автора). Для удобства регулярного мониторинга показателей эффективности и результативности внутреннего аудита целесообразно выделить 5-10 ключевых показателей, наилучшим образом отражающих цели и задачи, поставленные перед СВА на текущий год. Данным показателям можно присвоить определенные весовые коэффициенты для возможности получения сводного показателя оценки5.
***
Подводя итоги, можно выделить следующие три акцента в процессе подготовки и предоставления отчетности внутреннего аудита, которые расскажут о приносимой им пользе:
1. Представьте фактическую реализацию согласованных проектов и объясните невыполнение и дополнительные проекты (КПЭ № 1 – «процент выполнения плана аудита»).
2. Покажите результаты мониторинга выполнения корректирующих мероприятий, то есть статус своевременного устранения аудиторских замечаний (см. КПЭ №2: «своевременное устранение выявленных недостатков»), и эскалируйте ситуацию, если руководство первой и второй линии не выполнит эти мероприятия так, как было согласовано/ ожидалось.
3. Сообщайте об основных проблемах и файндингах как о наиболее важных для компании – это может быть специфичным КПЭ для ВА в рамках отдельной организации.
Коммуникация: рассказываем о своей полезности
Как правило, руководители внутреннего аудита отчитываются перед высшим руководством и комитетом по аудиту, предоставляя сводные годовые и периодические отчеты о состоянии дел. Эти отчеты в том числе дают комитету по аудиту/ совету директоров представление о результатах работы внутреннего аудита и приносимой им пользе. Презентация службой внутреннего аудита результатов своей деятельности и демонстрация своей полезности способствуют укреплению доверия и могут усилить ее имидж и репутацию во всей организации.
В годовом отчете должно быть отражено достижение первоначально согласованного годового плана аудита и разъяснены любые дополнения и отклонения. Представив отчет о ходе работы над замечаниями и мерами, принятыми на сегодняшний день для решения выявленных проблем, внутренний аудит может продемонстрировать, что он внедрил надлежащий и эффективный процесс проверки статуса выполнения ранее согласованных рекомендаций
Что касается планирования аудита на предстоящий период, то можно сообщить как о методах риск-ориентированного планирования, так и о последовательности и результатах процесса планирования и утверждения плана. Прямые личные каналы связи с комитетом по аудиту и высшим руководством дают очевидные преимущества, поскольку они укрепляют независимость функции внутреннего аудита и позволяют руководителю ВА напрямую решать критические вопросы. Кроме того, такие встречи также являются хорошей возможностью представить информацию о программе повышения качества службы внутреннего аудита (Стандарт 1300) или результатах внутренней и/или внешней оценки качества (Стандарты 1311 и 1312).
Таким образом, полезность внутреннего аудита может быть ясно показана через прямую коммуникацию между руководителем ВА и группами заинтересованных сторон. Непосредственный контакт как с высшим руководством, так и с комитетом по аудиту дает функции внутреннего аудита возможность продемонстрировать и обсудить свои показатели полезности и наладить отношения, основанные на доверии.
Критерии оценки функции внутреннего аудита
Первостепенное значение в этом вопросе имеет уровень удовлетворенности комитета по аудиту и высшего руководства. На первый взгляд это кажется очевидным, но важно иметь в виду, в какой степени каждое из направлений деятельности внутреннего аудита фактически направлено на достижение необходимого уровня удовлетворенности заинтересованных сторон.
Еще одним очень важным критерием является репутация или имидж внутреннего аудита внутри организации. Полезные указания для улучшения работы в этом направлении может дать опрос удовлетворенности клиентов аудита, проводимый после каждого аудита. По мнению Екатерины Макаровой, руководителя службы внутреннего аудита АО «Страховая компания «СОГАЗ-Мед», оценка работы/ репутации внутреннего аудита через проведение опроса удовлетворенности клиентов аудита, является неоднозначным (спорным) по эффективности и объективности инструментом, который не исключает риска влияния на один из основополагающих принципов внутреннего аудита – объективность при формировании выводов и написании отчетов. Поэтому использовать данную оценку необходимо при соблюдении другого принципа ВА – проявление должной осмотрительности – и понимание, с какой целью это делается. Данную оценку целесообразно использовать при взаимодействии с органами управления (исполнительный директор и СД): это позволит лучше понять потребности и ожидания от внутреннего аудита для большего соответствия и удовлетворенности результатами внутреннего аудита. Высокие показатели могут быть достигнуты не только путем соблюдения Кодекса этики и МПСВА, но и комплексным аудиторским подходом и высокой квалификацией внутренних аудиторов и, конечно же, через полученные выводы, рекомендации, советы и дополнительные идеи. Екатерина Макарова уверена, что данные критерии являются более эффективными и объективными при оценке репутации внутреннего аудита и удовлетворенности внутренним аудитом и могут включать: наличие эффективных коммуникаций внутреннего аудита с клиентами аудита, количество объективных (неоспариваемых СВА) нарушений, рекомендаций по результатам проверки, а также процент внедрения данных рекомендаций и, безусловно, оценку уровня снижения рисков по итогам выполнения рекомендаций и мероприятий, разработанных с их учетом, по возможности оцифрованных.
Итак, наиболее важными критериями оценки службы внутреннего аудита можно назвать следующие:
1. Репутация внутри компании.
2. Компетентность.
3. Покрытие высокорисковых областей/ целей.
4. Удовлетворенность аудируемого подразделения/ лица.
5. Выполнение плана аудита.
6. Результаты оценки качества.
7. Удовлетворенность заинтересованных сторон: управление рисками, комплаенс.
Хорошая/ положительная репутация и высокий уровень компетентности являются двумя основными факторами успеха службы внутреннего аудита, приносящей наибольшую пользу. По мнению Екатерины Макаровой, понятие «хорошая/ положительная репутация внутреннего аудита» требует определения и является непростым вопросом. Понятие «хорошая репутация» может варьироваться в зависимости от культурных особенностей конкретной страны, корпоративной культуры, модели управления и коммуникаций в конкретной компании. Хорошая/ положительная репутация внутреннего аудита на практике не всегда позволяет повышать эффективность и полезность проектов аудита. Работа внутреннего аудита часто связана именно с недовольством аудируемого подразделения, так как чем эффективнее и компетентнее внутренний аудит, тем больше придется работать аудируемому лицу. Екатерина считает, что при формировании репутации внутреннего аудита важен баланс между «боятся проверки» и «позитивно оценивают результаты проверки, уважают за объективность, обращаются за консультациями».
Заключение и общие рекомендации
Для тех служб внутреннего аудита, которые хотят увеличить приносимую пользу, IIA предлагает следующий подход, состоящий из четырех этапов:
1. Уточните ожидаемую от внутреннего аудита пользу у ключевых заинтересованных сторон.
Всестороннее понимание «ожидаемой полезности» является важным условием и движущей силой для «успешного принесения пользы» и ее восприятия в организации. Поэтому для функции внутреннего аудита особенно важно знать и понимать, какую пользу от нее ожидают высшее руководство и комитет по аудиту, и согласовать свои действия с этими ожиданиями. Прочные и доверительные отношения, основанные на эффективной коммуникации и постоянном обмене информацией со стейкхолдерами, – отправная точка в этом процессе.
Ожидания включают в себя различные области предоставления гарантий (GRC). Также они могут включать консультационную помощь внутреннего аудита. Однако не исключено, что высшее руководство и комитет по аудиту хотели бы, чтобы деятельность службы внутреннего аудита охватывала дополнительные сферы ответственности. В этих случаях руководитель ВА должен тщательно оценить, что может быть сделано без угрозы для независимости и объективности. Конечно, возможно, что заинтересованные стороны захотят, чтобы внутренний аудит сосредоточился исключительно на предоставлении гарантий, поэтому, например, консультационные услуги обычно не закрепляются в положении о внутреннем аудите.
Для успешной и приносящей пользу функции внутреннего аудита крайне важна поддержка комитета по аудиту и высшего руководства. Но вполне возможно, что некоторые заинтересованные стороны не видят необходимости в сильной функции внутреннего аудита и пользы внутреннего аудита в целом или просто не понимают, чем на самом деле занимается внутренний аудит. С этой мыслью согласен Олег Ажимов, руководитель службы внутреннего аудита ПАО «РусГидро»: «Такие случаи, к сожалению, нередки, особенно в компаниях, в которых внутренний аудит создан для формального соответствия требованиям листинга и/или ФЗ «Об акционерных обществах»».
2. Определите и согласуйте приносимую пользу в рамках функции внутреннего аудита.
Исходя из ожиданий высшего руководства и комитета по аудиту, важно, чтобы функция внутреннего аудита согласовывала все виды своей деятельности и собственное понимание ценности с потребностями ключевых заинтересованных сторон. Положение/ устав внутреннего аудита служит одним из возможных способов определения и документирования той пользы, которую может приносить внутренний аудит. Другие аспекты полезности могут быть определены годовым планом аудита, внутренними процедурами и Руководством по аудиту и т.д. По мнению Олега Ажимова, хорошим инструментом является также разработка Стратегии (плана) развития внутреннего аудита на 2-3 года, обсуждение и согласование ее (его) с высшим менеджментом и с членами КА (в направлении ожиданий). Тем самым внутренний аудит может получить поддержку основных заказчиков (стейкхолдеров) и сделать их участниками развития ВА. Таким образом, вся деятельность и весь процесс аудита должны всегда соответствовать ожидаемой от внутреннего аудита пользе. И Руководство по внутреннему аудиту может помочь прояснить позицию, процессы, методы аудита и другие детали.
Например, если высший менеджмент и комитет по аудиту ожидают, что основное внимание будет уделяться предоставлению гарантий, то внутренний аудит должен привести план аудита в соответствие согласно этому конкретному требованию. Таким образом, все мероприятия – такие как план аудита, основанный на оценке рисков, процесс аудита, технические и кадровые ресурсы – должны быть направлены на достижение ранее определенных и согласованных целей. Важно регулярно проверять согласованность деятельности внутреннего аудита с поставленными целями. Этот процесс также может быть включен в план оценки и улучшения качества внутреннего аудита. Определение и уточнение ценности функции внутреннего аудита также служат мотивационными и координационными факторами.
3. Создайте прозрачную модель оценки для функции внутреннего аудита.
Целью КПЭ для функции внутреннего аудита является предоставление информации о предпосылках планирования, реализованных мероприятиях и ценности внутреннего аудита в агрегированном виде/ информации о ресурсах СВА, проделанной СВА работе и ее (работы) эффекта на компанию в виде агрегированного показателя. Ключевые показатели эффективности позволяют руководителю ВА, внутренним аудиторам в функции и заинтересованным сторонам простым способом контролировать и оценивать эффективность службы внутреннего аудита. Кроме того, КПЭ могут стать толчком к непрерывному процессу улучшения, поскольку низкие значения важных показателей указывают на возможности для развития. Тем не менее очень важно, чтобы КПЭ всегда соответствовали корпоративной стратегии и целям, а также целям внутреннего аудита. В противном случае, руководитель ВА и заинтересованные стороны не могут оценить и гарантировать, что служба внутреннего аудита действительно приносит пользу, а ресурсы распределяются эффективно. Сбалансированная система показателей, основанная на результатах, может быть полезна для классификации и упорядочения конкретных КПЭ. Наконец, внутренний аудит должен быть очень избирательным в отношении КПЭ, чтобы гарантировать, что модель измерения оптимальна.
Артем Горлов, управляющий директор по аудиту ПАО АФК «Система», уверен, чтобы информация о пользе от внутренних аудиторов воспринималась стейкхолдерами, данные, на которых демонстрируется эта польза, должны быть качественными и максимально объективными, включать зоны, где аудиторы могут «добавить ценность» и негативные тренды. Доверие к такой информации со стороны стейкхолдеров должно быть на высочайшем уровне, иначе возможен обратный эффект.
4. Сообщайте о принесенной пользе внутри и за пределами службы внутреннего аудита.
И наконец, основные заинтересованные стороны в организации должны увидеть и признать ценность внутреннего аудита. Если приносимая им польза признается, то коммуникация и понимание его деятельности становятся ясными, а необходимость иметь хорошую функцию внутреннего аудита в организации – очевидной. Таким образом, функция внутреннего аудита должна быть готовой к сотрудничеству и представляться в качестве доверенного советника, поскольку у всех заинтересованных сторон одна общая цель – помочь организации достичь своих целей и снизить все существующие и потенциальные риски. Этот сценарий, конечно, подразумевает высокое качество внутреннего аудита и профессиональных внутренних аудиторов, прозрачного процесса внутреннего аудита и необходимых ресурсов. Крайне важно поддерживать доверительную коммуникацию (без выявления виноватых) с клиентами аудита и всеми другими заинтересованными сторонами. Внутренним аудиторам очень трудно восстановить потерянную репутацию. Поэтому они всегда должны общаться с высочайшим уважением.
Если заинтересованные стороны видят приносимую функцией внутреннего аудита пользу, то ее восприятие меняется в положительную сторону, а внутренние аудиторы могут рассматриваться как доверенные советники и допускаться к новым темам и областям риска, которые действительно имеют значение для организации. Когда внутренние аудиторы выходят из зоны комфорта и становятся первопроходцами, их роль перерастает в «драйвера перемен», который дает советы и приносит пользу в нехарактерных и/или новых видах деятельности, подходах и инструментах. Драйвер перемен адаптируется к обстоятельствам со скоростью риска.
* * *
По мнению главного внутреннего аудитора Askona Life Group Дмитрия Бочарова, целью современной функции внутреннего аудита является создание ценности для заинтересованных сторон. Предоставление гарантий, консультирование, содействие менеджменту или реализация цифровых проектов – лишь инструменты в ее достижении.
У внутреннего аудита есть уникальные компетенции и полномочия, которые позволяют изучать процессы под разными углами зрения и предлагать варианты решения проблем. Помощь внутреннего аудита в развитии бизнеса положительно оценивается высшим руководством компании и повышает доверие к функции.
Подводя итоги, Татьяна Кутакова, заместитель директора департамента внутреннего аудита, ПАО «Аэрофлот», говорит: «По результатам исследования, наибольшую пользу компании по-прежнему приносит деятельность служб внутреннего аудита в области предоставления гарантий, т.е. по защите ценностей компании, в противовес деятельности, направленной на создание новых ценностей. Это прямой индикатор того, что классический подход к функциям и задачам внутреннего аудита является не только правилом, но и востребованным направлением в глазах заинтересованных сторон.
Можно сделать вывод, что для повышения ценности служб внутреннего аудита необходимо не только развивать новые направления деятельности, но и не забывать про оттачивание мастерства и повышение качества классической функции – предоставления гарантий. А в этой сфере всегда есть поле для дальнейшего развития – это и включение в периметр аудита актуальных областей, продиктованных «острыми» рисками и реалиями сегодняшнего дня (процессы организации удаленной работы, непрерывности бизнеса, защиты персональных данных, информационной безопасности, процессы устойчивого развития и др.), и совершенствование методов проведения аудитов (автоматизация, использования больших данных, непрерывные аудиты и прочие).
Помимо безукоризненного качества работы внутреннего аудита, для повешения ценности функции критически важна эффективная коммуникация с заинтересованными сторонами и демонстрация достигнутых результатов – заинтересованные стороны должны знать своих героев. Подход, представленный в статье, – отличное руководство по решению этой задачи».
Добавить комментарий
Для отправки комментария вам необходимо авторизоваться.