Обеспеченность надлежащими ресурсами – это одна из отличительных черт успешной функции внутреннего аудита. В соответствии с Международными Основами профессиональной практики внутреннего аудита (МОПП) руководители служб внутреннего аудита должны «обеспечивать наличие соответствующих и достаточных ресурсов, а также их эффективное использование для выполнения утвержденного плана» (Стандарт 2030). Члены совета директоров и комитета по аудиту также несут ответственность за утверждение надлежащего объема ресурсов. Однако простой формулы для разработки бюджета внутреннего аудита не существует.
Вы не можете определить оптимальный бюджет на следующий год, просто добавив фактор инфляции прошлого года — даже если прошлогодний бюджет подошел идеально. Следует иметь в виду, что если функция внутреннего аудита в прошлом была обеспечена достаточными ресурсами, то рекомендации аудиторов по совершенствованию контролей могут фактически сократить потребность в проведении некоторых аудитов в бюджете этого года. И наоборот, если бюджет в прошлом был слишком низким, повторение этой же ошибки может только усугубить проблему.
Не работает и бюджет внутреннего аудита, основанный на суммах, потраченных в аналогичных организациях. Если сравнить бюджеты внутреннего аудита компаний аналогичного размера в одной отрасли, можно обнаружить, что один бюджет в несколько раз больше другого. Эти компании аналогичного размера могут выглядеть одинаково на поверхности, но их внутренние контроли могут быть очень разными. У одного может быть программа управления рисками предприятия (ERM), а у другого – нет. Одно может иметь ручные процессы пока другое полагается на автоматизацию. Эффективность, результативность, здоровье, безопасность, технологии, соблюдение правовых норм и множество других вопросов влияют на две компании по-разному, поэтому закладывать одинаковые суммы на внутренний аудит было бы ошибкой.
Анна Сергеева, директор по внутреннему аудиту и контролю АО «Стройтрансгаз», преподаватель Учебного центра Ассоциации «Институт внутренних аудиторов», отмечает, что при планировании годового бюджета внутренние аудиторы нередко сталкиваются со сложностью определения объема ресурсов на внеплановые аудиты; при этом достаточно распространена практика планирования ресурсов на возможные дополнительные проверки в размере приблизительно 10-15% от общего годового объема ресурсов службы внутреннего аудита. Но, как отмечает эксперт, такой подход далеко не всегда позволяет корректно определить бюджет расходов подразделения, ведь на практике объем дополнительных заданий от заказчиков функции внутреннего аудита может отличаться из года в год в несколько раз, и это сложно предугадать. Остается только предусмотреть различные компенсационные механизмы.
Денис Овсянников, директор по внутреннему аудиту Tele2, член Ассоциации «Институт внутренних аудиторов», уверен, что в ресурсном плане, безусловно, необходимо иметь запас, поскольку в процессе выполнения проекта какие-то вопросы может понадобиться изучить более детально. Кроме того, необходимо учитывать текучесть кадров, возможное отсутствие по болезни; а в отдельных проектах сдвиг сроков могут дать и погодные условия.
По мнению Марии Кедровой, директора управления внутреннего аудита, «Ренессанс Страхование», члена Ассоциации «Институт внутренних аудиторов», помимо некоторого резерва на внеплановые задачи (помимо аудитов это также могут быть консалтинговые проекты), при годовом планировании имеет смысл сразу закладывать бюджет времени на постоянное профессиональное развитие компетенций внутренних аудиторов (согласно лучшим практикам, это около 40 часов в год), на годовые отпуска внутренних аудиторов (28 календарных дней согласно Трудовому кодексу РФ), на проведение процедур мониторинга выполнения аудиторских рекомендаций (к примеру, в «Ренессанс страховании», мониторинг осуществляется на ежеквартальной основе, каждый мониторинг занимает около двух недель). Также на этапе годового планирования целесообразно составлять наброски программы аудитов для ориентиров по срокам. При этом необходимо учитывать, что программа и объем аудита могут быть неоднократно скорректированы в будущем, как в большую, так и в меньшую сторону в зависимости от результатов оценки рисков на этапе планирования.
Хотя не существует простой формулы для определения бюджета внутреннего аудита, есть процесс, который комитеты по аудиту, исполнительное руководство и департамент внутреннего аудита могут использовать для определения того, подходит ли бюджет внутреннего аудита для организации. Если следовать этим шагам, с большой вероятностью бюджет внутреннего аудита будет хорошо спланирован и станет достаточным:
1. Определение пространства аудита / вселенной аудита
Начните процесс с определения вселенной аудита, состоящей из отдельных “проверяемых сущностей”, которые в совокупности включают каждую часть вашей организации — все отделы, подразделения, системы, процессы, дочерние компании, программы, мероприятия и даже счета. Если что-то может быть проверено, это должно быть включено во вселенную аудита в качестве проверяемого объекта, даже если нет плана проведения аудита этой области в следующем году. Идея в том, чтобы удостовериться, что ничего не упущено.
Каждая компания определяет свою вселенную аудита по-разному в зависимости от размера и объема своих аудитов. Одна организация может провести аудит цикла продаж, объединив продажи, дебиторскую задолженность и кассовые поступления в единый аудит. Таким образом, цикл продаж будет проверяемым объектом в их вселенной аудита. Другая организация может иметь отдельные аудиты продаж, дебиторской задолженности и кассовых поступлений, и каждый из этих процессов будет указан как отдельный проверяемый объект. Третья организация может проводить аудит по местоположению или отдельные аудиты для различных линий продуктов. Каждая компания определяет свои проверяемые сущности по-разному, но в каждом случае цель одна и та же: гарантировать, что все, что может быть проверено, включено во вселенную аудита.
Анна Сергеева уточняет: «Если говорить о практическом использовании данного подхода, то стоит отметить, что при формировании вселенной аудита чаще всего в последнее время используется именно функциональный подход. Действительно, удобнее и рациональнее планировать, например, не аудит бизнес-процесса «Закупки», а аудит функции снабжения, который включает в себя все этапы, начиная с планирования потребности на производстве и заканчивая претензионной работой. При таком подходе вселенная аудитов будет полной, совокупность «проверяемых сущностей» не будет содержать существенных белых пятен, и риск оставить значимые области системы контроля без внимания внутренних аудиторов будет минимален».
2. Оценка риска
Разработка полной вселенной аудита помогает гарантировать, что ничего не упускается из виду. Но в то время как внутренний аудит может проверять что угодно, он не может проверять все. Следующими шагами в формировании бюджета внутреннего аудита являются оценка рисков и определение того, что больше всего нуждается в аудите.
Работая с ключевыми сотрудниками организации, внутренний аудит позволит оценить вероятность риска в каждой проверяемой сущности. Он также оценит вероятное влияние каждого типа риска, чтобы решить, какие риски являются наиболее важными. Часто аудиторы рассматривают скорость рисков или скорость, с которой риски могут развиваться.
Это непростая задача. Внутренний аудит должен учитывать все, что может повлиять на достижение целей компании — не только негативные последствия, но и риски упущенных возможностей. Как правило, руководитель по внутреннему аудиту консультируется с руководством, комитетом по аудиту и другими поставщиками гарантий, такими как внешние аудиторы, комплаенс-специалисты, специалисты по внутреннему контролю и по управлению рисками. Вопросники/ письменное интервьюирование могут использоваться в качестве инструмента для сбора информации или опросов сотрудников. Внутренний аудит может анализировать сравнительную информацию из аналогичных организаций или другие виды доказательств, которые могут помочь получить полное понимание рисков компании.
Внутренние аудиторы также рассматривают результаты предыдущих проверок. Но главная цель – не останавливаться на прошлых ошибках. Внутренние аудиторы должны определить, где могут возникнуть новые проблемы, поэтому они также учитывают цели, задачи, бюджеты, прогнозы и потенциальные изменения в деятельности компании. Сбор и оценка всей информации может занять много времени, но это единственный способ гарантировать, что ограниченные ресурсы аудита используются там, где и как они наиболее необходимы.
Список проверяемых объектов должен быть упорядочен от самого высокого до самого низкого предполагаемого риска, и стоит привести краткие описания, объясняющие, почему область или процесс считается с высоким, средним или низким риском. Конкретные аудиты, предписанные законодательством или нормативными актами, автоматически перемещаются в начало списка. Этот список также может быть скорректирован с учетом таких факторов, как период времени, прошедший с момента проведения последнего аудита.
Анна Сергеева отмечает, что безусловно, очень позитивно можно оценить ситуацию, когда при оценке рисков руководитель по внутреннему аудиту может опереться на профессиональное мнение менеджмента, специалистов по СУР, членов комитета по аудиту, внешнего аудитора, комплаенс-специалистов, специалистов по внутреннему контролю. Внутренним аудиторам в таких компаниях действительно не составит большого труда провести оценку рисков по всем пунктам вселенной аудитов. При этом, по мнению эксперта, если говорить о реалиях современного российского бизнеса, нередко в организациях мы видим немного иную картину: «Внутренний аудитор далеко не всегда может проконсультироваться или получить полную и достоверную информацию, так как менеджмент фактически управляет рисками, но при этом затрудняется дать им профессиональную оценку, а сама система управления рисками представляет собой перечень общих рисков бизнес-процессов, которые фактически оторваны от реальной жизни. Внешний аудитор сосредоточен в основном на финансовых рисках, а специалисты по внутреннему контролю в большей мере занимаются узкими вопросами и также не всегда смогут помочь внутреннему аудитору провести комплексную оценку рисков. В такой ситуации задача проведения полной и профессиональной оценки рисков почти полностью ложится на плечи внутреннего аудитора».
3. Разработка плана аудита
Следующим шагом в определении бюджета является решение о том, какие аудиты должны быть выполнены. Поскольку проверяемые объекты ранжируются по степени риска, обычно легко определить, какие аудиты являются наиболее важными. Чтобы график был достаточно гибким для учета новых и возникающих рисков, также должны выделяться ресурсы на проведение незапланированных аудитов «быстрого реагирования». Проект плана аудита должен также обеспечивать надлежащий баланс между традиционными обязательствами по обеспечению гарантий и консультационной работой.
В некотором смысле принятие решения о бюджете внутреннего аудита похоже на покупку страхового полиса. Стоимость является фактором, но покрытие должно быть адекватным, чтобы защитить компанию от рисков, которые она не может себе позволить. Очевидно, что наиболее рискованные области компании должны подвергаться аудиту, но аудит менее рискованных областей может быть неоправданным с точки зрения затрат. Секрет в том, чтобы сбалансировать потребности вашей организации в услугах внутреннего аудита с конкретными выявленными рисками.
Поскольку соответствующий уровень ресурсов внутреннего аудита может быть субъективным, многие комитеты по аудиту периодически рассматривают пять основных рисков, которые внутренний аудит не сможет устранить с помощью имеющихся ресурсов. Если комитет по аудиту не удовлетворен уровнем риска в областях, которые не включены в предлагаемый график аудита, пришло время рассмотреть вопрос о том, следует ли увеличить бюджет, чтобы можно было провести дополнительные аудиты.
4. Определение расходов на обучение, косорсинг и административные расходы
Очевидно, что процесс составления бюджета внутреннего аудита – это нечто большее, чем просто проведение общеорганизационной оценки рисков и согласование графика аудитов. Бюджеты и графики должны предусматривать и свободное время, а также время, затрачиваемое на административные задачи, профессиональную подготовку и такие виды деятельности, как обеспечение качества и постревизионный контроль.
Обычно легко оценить административные и накладные расходы на основе прошлых бюджетов. Но важно тщательно рассмотреть потребности в обучении: не только бюджет обучения, но и влияние обучения на количество проверок, которые могут быть выполнены в течение года.
Руководитель по внутреннему аудиту должен обеспечить, чтобы ресурсы внутреннего аудита были адекватными, достаточными и эффективно задействованными для достижения утвержденного плана с широтой, глубиной и своевременностью, ожидаемыми высшим руководством и советом директоров. Когда руководитель по внутреннему аудиту назначает аудиторов на запланированные задания, он может обнаружить пробелы в знаниях, навыках и компетенциях сотрудников, необходимых для успешного завершения аудита.
Практика показывает, что проведенное обучение внутренних аудиторов действительно положительным образом влияет на качество аудитов и на срок проведения проверок. Соответственно, планируя обучение, возможно предусмотреть в бюджете некоторую дальнейшую оптимизацию ресурсов. Анна Сергеева советует принимать во внимание как тематику и срок обучения, так и общий уровень профессионализма аудиторской команды, и способность применять на практике знания, полученные во время обучения. Как показывает опыт Учебного центра Ассоциации «Институт внутренних аудиторов», обучение 70-75% аудиторской команды в объеме около 40 академических часов в год позволяет сократить время на проведение проверок на 5-7% при одновременном повышении качества выполнения аудиторских заданий.
Мария Кедрова добавляет, что в целях оптимизации бюджета план обучения внутренних аудиторов лучше всего формировать с учетом тематики годового плана аудитов. При этом, для аудита областей, требующих специальных знаний, которые достаточно проблематично получить за относительно короткий срок тренинга (как правило, 2-3 дня), более эффективным будет привлечение экспертов со стороны.
Если количество или набор ресурсов недостаточны для эффективного и результативного выполнения запланированных заданий, руководитель может потребоваться нанять дополнительный персонал, задействовать косорсинг или внешних подрядчиков или использовать приглашенных внутренних аудиторов из других частей организации. Каждый из этих подходов имеет свои преимущества и недостатки, и каждый может повлиять на процесс бюджетирования.
Денис Овсянников советует при планировании бюджета на внешний консалтинг или аутсорсинг провести короткий запрос предложений, основанный на укрупненном техническом задании: это не только позволит оценить размер необходимого финансирования, но и заметно облегчит дальнейший выбор поставщика, а в случае, когда тема исследуется впервые, поможет понять, что готов предложить рынок. Также эксперт отмечает, что еще одной составляющей бюджета, которая может заметно меняться от года к году, является затраты на командировки. Чтобы не промахнуться, при составлении плана проверок следует внимательно оценить потребность в выездах, их длительность и размеры выезжающих команд.
5. Рассмотрение и утверждение: вопросы независимости
Важно периодически пересматривать оперативный бюджет, чтобы он отражал истинное положение дел и оставался точным, своевременно выявляя и сообщая о любых отклонениях. В большинстве организаций руководитель по внутреннему аудиту готовит бюджет, и высшее руководство рассматривает его, но окончательное рассмотрение и утверждение остается за комитетом по аудиту или советом директоров.
Удивительно, но одним из факторов, существенно влияющим на бюджеты внутреннего аудита, является независимость комитетов по аудиту. В недавнем опросе, проведенном Международным Институтом внутренних аудиторов (The IIA), руководителям по внутреннему аудиту было предложено указать уровень их согласия с заявлением «Деятельность внутреннего аудита в моей организации достаточно обеспечена компетентными и объективными специалистами, способными выполнять план внутреннего аудита». В организациях с независимым комитетом по аудиту 70% руководителей по внутреннему аудиту полностью или частично согласились с этим утверждением. Но в организациях, где комитет по аудиту не был независимым, только 56% согласились с тем, что ресурсов достаточно.
В организациях с независимыми комитетами по аудиту руководители по внутреннему аудиту с гораздо большей вероятностью заявляют, что они располагают достаточными ресурсами, чем в организациях, где комитет по аудиту не является независимым от руководства.
Получение максимальной отдачи от бюджета внутреннего аудита
- Выполните надежные оценки рисков. Лучший способ спланировать эффективный аудит – знать свои риски. В дополнение к периодическим общеорганизационным оценкам рисков оценка должна быть стандартной частью каждого мероприятия по обеспечению гарантий, проводимого внутренним аудитом
- Используйте автоматизированные инструменты аудита и аналитики. Автоматизированные инструменты могут позволить аудиторам собирать и анализировать большие данные в режиме реального времени, выявлять ошибки и мошенничество быстрее и устранять проблемы, прежде чем они смогут вырасти. Запуск влечет за собой новые затраты и время на обучение, но эти инструменты часто позволяют аудиторам увеличить эффективность и охват аудита
- Координируйте планы и графики проведения мероприятий с другими поставщиками гарантий. Координация должна включать обмен стратегическими планами и планами аудита, а также установление тесных рабочих отношений с другими поставщиками гарантий, такими как специалисты по внутреннему контролю, управлению рисками и внешними аудиторами
- Используйте методы удаленного аудита, чтобы сократить время и расходы на командировки. Некоторые вещи можно сделать только при личном контакте, но если внутренние аудиторы имеют удаленный доступ к системам и информации, то можно значительно сократить время на командировки
- Используйте «приглашенных аудиторов» из других подразделений организации. Программы по поиску «приглашенных аудиторов» могут привлекать таланты из числа неаудиторов по всей организации, улучшая согласованность и обмен передовым опытом в операционных подразделениях, одновременно повышая понимание рисков и контролей
Бюджетирование внутреннего аудита – сложный процесс. Подготовка, рассмотрение и утверждение бюджета требует времени и усилий, но озвучивание бюджета является важным инструментом для принятия решений. Планы и бюджеты внутреннего аудита служат «дорожными картами» для функции внутреннего аудита, уточняя цели деятельности и контролируя избыточные расходы. Адекватный бюджет может помочь убедиться в том, что аудиторы, исполнительное руководство и комитет по аудиту согласны с профилем рисков организации, а также целями и задачами аудита. Именно поэтому, в соответствии с профессиональными Стандартами, все отделы внутреннего аудита обязаны сообщать высшему руководству и совету директоров о планах и потребностях в ресурсах, включая существенные промежуточные изменения, для рассмотрения и утверждения. Это лишь один из способов обеспечить надлежащее, достаточное и эффективное использование ресурсов внутреннего аудита. Анна Сергеева уточняет: «Хорошей практикой является обсуждение соотношения стоимости услуг внутреннего аудита с конкретными рисками организации на комитете по аудиту как минимум один раз в 6 месяцев. В результате такого обсуждения в бюджет службы внутреннего аудита могут быть внесены изменения, которые позволят руководителю по внутреннему аудиту обеспечить выполнение поставленных перед подразделением задач с учетом своевременного реагирования на все внешние и внутренние изменения».
Подводя итог, Артем Горлов, управляющий директор по операционным аудитам ПАО АФК «Система», член Ассоциации «Институт внутренних аудиторов», отмечает, что рассмотренный процесс формирования бюджета функции внутреннего аудита справедливо выступает финальной частью процесса годового планирования работы внутренних аудиторов, но в российской практике внутренний аудит чаще сталкивается с обратной ситуацией, когда исходя из исторического бюджета функции должен спланировать свои проекты и ресурсы таким образом, чтобы покрыть ключевые риски компании. По мнению Артема Горлова, в такой ситуации очень важны следующие действия со стороны руководителя функции: переоценка компетенций команды с учетом опыта предыдущих проектов и пересмотр состава аудиторских команд для того, чтобы меньшим ресурсом выполнить поставленные задач; изменение подходов и инструментов к выполнению проектов в области внутреннего аудита; пересмотр на основании карты гарантий плана участия представителей трех линий защиты, опять же с целью оптимизации ресурсов. Также было бы очень полезно отдельно рассмотреть конкретные способы, которыми руководитель функции может обосновать существенное изменение бюджета на основании покрытия рисков организации.
_______________________________
Материал подготовлен Ассоциацией «Институт внутренних аудиторов»
Ассоциация «Институт внутренних аудиторов» (Ассоциация «ИВА»), зарегистрированная в 2000 г., является профессиональным объединением более чем 4000 внутренних аудиторов, внутренних контролеров и работников других контрольных подразделений российских компаний и организаций.
ИВА имеет 12 региональных центров: в Екатеринбурге, Казани, Краснодаре, Красноярске, Нижнем Новгороде, Новосибирске, Перми, Самаре, Санкт-Петербурге, Тюмени, Уфе и Хабаровске.