Справка:
Время проведения исследования: ноябрь – декабрь 2018 г.
В исследовании приняли участие компании следующие типы финансовых организаций:
Кредитная организация – 37%
Страховая компания – 37%
Лизинговая компания – 11%
Другое (НПФ, управляющая компания, холдинг) – 15%
Ассоциация «Институт внутренних аудиторов» и компания КПМГ провели совместное исследование текущего состояния и тенденций развития внутреннего аудита финансовых организаций в России. В состав респондентов вошли кредитные организации, страховые компании, негосударственные пенсионные фонды, лизинговые компании и финансовые группы. Полученные данные были сравнены с результатами аналогичного исследования за 2014 год.
В рамках исследования были рассмотрены качественные характеристики подразделений внутреннего аудита (в том числе вопросы подотчетности и обеспечения независимости, выполняемые функции, оценки эффективности), вопросы управления персоналом и ресурсного обеспечения, операционная деятельность, а также использование ИТ и средств анализа данных в работе подразделения внутреннего аудита.
Исследование показало ряд важных тенденций в развитии практики внутреннего аудита финансовых организаций.
Качественные характеристики подразделения внутреннего аудита
По мнению руководителей служб внутреннего аудита (далее – СВА), наиболее существенное влияние на деятельность этой службы оказывают такие факторы, как большие затраты времени на получение необходимой информации (42%), недостаточность специальных квалификаций сотрудников (37%) и недостаточная степень сотрудничества со стороны аудируемых подразделений (32%) (график 8). Стоит отметить, что указанные факторы также оказывают существенное влияние на деятельность внутреннего аудита российских компаний нефинансового сектора («Исследование текущего состояния и тенденций развития внутреннего аудита в России», КПМГ и Институт внутренних аудиторов, 2017 год).
Согласно полученным результатам, перечень основных функциональных обязанностей СВА в большинстве финансовых организаций-респондентов является классическим: оценка эффективности системы по управлению рисками (89%) и внутреннего контроля (далее – СВК) (84%), оценка эффективности системы корпоративного управления (84%), качества управления стратегическими рисками (74%) и проведение ИТ-аудитов (74%). Наиболее актуальными обязанностями, выполняемыми как СВА, так и СВК, являются содействие менеджменту в построении системы внутреннего контроля (53%) и консультирование исполнительного руководства по различным вопросам (42%). При этом руководители СВА отмечают, что основным функционалом подразделений СВК в опрошенных компаниях являются оценка и/или согласование внутренних нормативных документов организации на этапе их подготовки (58%), выполнение запросов государственных контролирующих органов (37%) и оценка соответствия нормативным требованиям (37%).
В настоящий момент для многих кредитных организаций актуален вопрос распределения ответственности за проведение оценки качества моделей количественной оценки рыночного риска. Согласно опросу, большинство руководителей СВА (58%) указали, что ответственной за выполнение этого требования является служба по управлению рисками (далее – СУР). В других кредитных организациях эту функцию выполняют подразделения валидации, СВА и внешние консультанты (график 17).
В части взаимодействия функции внутреннего аудита с подразделениями «второй линии защиты» результаты исследования показывают (график 18), что СВА наиболее активно взаимодействуют с подразделениями СВК (53%) и СУР (47%) и реже – со службой безопасности (26%).
74% респондентов отметили, что СВА их организаций полностью (37%) или в значительной степени (37%) независимы от менеджмента. В то же время в каждой четвертой финансовой организации СВА не считают себя в достаточной степени независимыми от менеджмента. По мнению Алексея Сонина, директора Института внутренних аудиторов, в свете известных фактов недобросовестных действий исполнительного руководства финансовых организаций, ставших известными в последние несколько лет, вопрос обеспечения независимости внутреннего аудита выходит для финансовых организаций на первые места.
Более половины (58%) респондентов указали, что в их организациях ранее проводилась периодическая внутренняя оценка качества деятельности внутреннего аудита. Алексей Сонин, Институт внутренних аудиторов, указывает, что это соответствует международной практике внутреннего аудита в финансовом секторе и надеется, что следующим важным шагом явится проведение независимой внешней оценки качества деятельности внутреннего аудита, которую проводит пока на так много российских финансовых организаций.
Управление персоналом и ресурсное обеспечение
Согласно результатам исследования, в среднем на одного внутреннего аудитора в России приходится 345 сотрудников, в то время как по данным международного исследования в зарубежных компаниях финансового сектора в среднем на одного аудитора этот показатель составляет 220 сотрудников (по данным международного исследования GAIN (Global Audit Information Network – Annual Benchmarking Study) 2018 Financial Services, Insurance and Banking).
Руководители служб ВА в основном предпочитают привлекать персонал из числа внутренних аудиторов других компаний (79%). Треть опрошенных (32%) отмечает, что набирает сотрудников в СВА из других подразделений организации, а четверть (26%) предпочитает брать на работу специалистов из «Большой четверки».
В вопросе значимости навыков и знаний для внутренних аудиторов, навыки коммуникаций (устных и письменных) и межличностного общения поставили на первое место 84% респондентов. Как отмечает Алексей Сонин, Институт внутренних аудиторов, это полностью отвечает меняющейся роли внутреннего аудита как внутреннего помощника и драйвера изменений и в меньшей степени – ревизора или «полицейского» для своих компаний.
Только треть (32%) СВА привлекает внешних специалистов и в будущем этот показатель сократится до 16%. Чаще всего для выполнения задач внутреннего аудита на условиях ко-сорсинга привлекались специалисты в области ИТ (83%). Четверть опрошенных финансовых организаций (26%) имеют в штате СВА ИТ-аудиторов. В среднем, доля ИТ-аудиторов от общего числа сотрудников СВА составляет 9%. Согласно международным исследованиям (по данным международного исследования GAIN (Global Audit Information Network – Annual Benchmarking Study) 2018 Financial Services, Insurance and Banking), в зарубежных компаниях финансового сектора этот показатель составляет 16%.
Согласно полученным в ходе опроса данным, в среднем треть сотрудников СВА финансовых организаций являются дипломированными специалистами (АССА, CIA, CIMA, CISA, СРА, CMA и др.), что, тем не менее, существенно отличается от зарубежных компаний, где этот показатель выше почти в 2 раза. По мнению Алексея Сонина, Институт внутренних аудиторов, это может быть следствием общей недооценки в российских организациях важности повышения профессиональной квалификации работниками в целом и, в частности, во внутреннем аудите, где от работников требуются разносторонние знания систем и процессов, существующих в организации.
Операционная деятельность
При формировании годового плана работ руководители СВА чаще всего ориентируются на запросы со стороны совета директоров/наблюдательного совет/комитета по аудиту («очень важно» для 84% респондентов) и исполнительного руководства («очень важно» – 79%), а также бизнес-изменения («очень важно» – 68%) и результаты прошлых проверок («очень важно» – 58%).
В каждой пятой службе внутреннего аудита в годовых планах аудита более 15% времени отводится на внеплановые задачи (поручения). Почти половина респондентов (42%) отметила, что инициаторами проведения внеплановых аудиторских проверок выступает единоличный исполнительный орган. Еще треть опрошенных руководителей СВА (26%) проводят внеплановые проверки по инициативе совета директоров/наблюдательного совета/комитета по аудиту.
Реализации годового плана аудита, по мнению респондентов, мешают, в первую очередь, длительный процесс предоставления информации/документов по запросам внутреннего аудита, согласования замечаний и рекомендаций СВА со стороны проверяемых подразделений (47% указали, что такая проблема возникает очень часто), недостаточная степень автоматизации внутреннего аудита («часто» – 37% респондентов) и отвлечение персонала на другие проекты, кроме ad-hoc («часто» – 37% опрошенных). Следует отметить, что ограничения, накладываемые со стороны высшего руководства, практически не оказывают существенного влияния на выполнение годового плана аудита у всех опрошенных организаций.
По мнению КПМГ в России и СНГ, современные условия развития финансового сектора требуют всё более тщательного подхода к построению СВК компаний и её непрерывной оценке со стороны внутреннего аудита. «Формирование и дальнейшее развитие эффективной, технически и профессионально подкованной функции внутреннего аудита обеспечивает гарантию прозрачности деятельности, в первую очередь, для самой организации, а также увеличивает её инвестиционную привлекательность. Ключевыми факторами успеха в данном вопросе по-прежнему являются заинтересованность и поддержка со стороны высшего исполнительного руководства и ключевых заказчиков внутреннего аудита в лице совета директоров и наблюдательного совета компании,» - считает Елена Хоботова, руководитель группы по оказанию услуг в области внутреннего аудита КПМГ в России и СНГ.
Больше половины респондентов (58%) отметили, что не используют специализированное программное обеспечение для целей внутреннего аудита. В каждой пятой СВА от общего числа респондентов установлено ПО собственной разработки, еще 21% используют программные продукты, предлагаемые на рынке. При этом 73% респондентов, не использующих на период опроса специализированное ПО для ВА, не планируют его внедрять в ближайшее время.
Елена Хоботова, КПМГ, отмечает: «Автоматизация деятельности служб внутреннего аудита, в том числе внедрение отдельных ИТ-решений по обработке и анализу данных, с одной стороны, увеличивает эффективность и результативность работы внутренних аудиторов, и с другой - позволяет более качественно распределять усилия на действительно важные области проверок. Использование ИТ-инструментов напрямую способствует повышению уровня предоставляемых гарантий и покрытию большего количества бизнес-процессов проверками».