Х Национальная Конференция Института внутренних аудиторов “Внутренний аудит в России”

Внутренний аудит и...
Источник: Институт внутренних аудиторов
Опубликовано: 22 Марта 2018

14-15 марта 2018 года в Москве состоялась 10-я Национальная конференция Института внутренних аудиторов “Внутренний аудит в России: инструмент повышения эффективности управления”, которая собрала более 200 представителей профессии. Основными темами мероприятия стали: повышение эффективности управления и внутренний аудит (далее – ВА); передовые методы и подходы в ВА; ВА: люди и отношения; как максимизировать свою полезность; управление инновационной функцией ВА; ВК, управление рисками, комплайенс – роль ВА; ВА в цифровом мире; ВА в госсекторе; ВА: регулирование и стандарты.

Почетные гости Конференции – Сергей Рябухин, председатель комитета Совета Федерации по бюджету и финансовым рынкам, и Александр Мурычев, исполнительный вице-президент РСПП, председатель Совета по профессиональным квалификациям финансового рынка Ассоциации участников финансового рынка – выступили с приветственными словами.

Предлагаем вам ключевые тезисы других докладчиков – представителей крупнейших компаний российского бизнеса, которые поделились своим опытом, а также представителя ЦБ РФ, рассказавшего о планах по изменению Кодекса корпоративного управления.

Геннадий Букаев, вице-президент – руководитель службы внутреннего аудита ПАО “НК “Роснефть”, рассказал об опыте и планах развития функции внутреннего аудита. Он отметил, что проверка, проведенная внутреннем аудитом, не имеет значения, если полученный результат менеджментом игнорируется. Поэтому с менеджментом согласуются предложения ВА по результатам проверок, совместно разрабатываются планы мероприятий по устранению выявленных нарушений и недостатков, осуществляется взаимодействие со службой безопасности и правовым блоком по выявленным признакам мошенничества. Организован мониторинг по устранению выявленных нарушений и недостатков по результатам проверок внутреннего аудита. Геннадий Букаев также отметил, что как только менеджмент начал осознавать важность работы внутреннего аудита, стал активно работать над устранением выявленных нарушений и недостатков.

Начиная с текущего года проверки внутреннего аудита делятся на 3 группы. Первая группа – “типовые проверки”, которые соответствуют ряду критериев, в том числе те, по которым разработана типовая программа проверки. Вторая группа – это так называемые “индивидуальные проверки”, требующие от руководителя проверки более углубленных знаний проверяемых процессов, и охватывают незапланированные смежные вопросы. Руководство такими проверками осуществляют работники в должности от менеджера до заместителя начальника управления. Третья группа – “уникальные проверки”; при проведении проверок данной группы требуется привлечение бизнес-блоков, применение новых методов проведения проверок.

Внедряется процедура самооценки объектов аудита – внутренний аудит предлагает проверяемому объекту провести самооценку до этапа проведения проверки. Каждая проверка оканчивается заключительной встречей с руководителем объекта аудита на которой происходит сопоставление результатов проверки с результатами проведенной самооценки. Внутреннему аудиту важно, чтобы менеджмент сам искал варианты повышения эффективности, и данная процедура самооценки побуждает его к этому.

В планах на текущий год внедрение типовых программ проверок, цифровизация внутреннего аудита, анализ международного опыта осуществления функции ВА, развитие взаимодействия с менеджментом, в том числе со службой безопасности и правовым блоком, проведение самооценки внутреннего аудита.

Геннадий Букаев отметил, что необходимо изучать международный опыт и внедрять лучшие практики, применимые именно к вашей организации. Не стоит “изобретать велосипед”, ведь самый эффективный и бюджетный способ улучшений – это изучение опыта.

Геннадий Иванович подчеркнул, что ВА не может существовать в каком-то своем пространстве, он член коллектива. Но несколько обособленный. Бизнес регулярно пытается вовлечь внутренний аудит в операционную деятельность. Но участвовать в ней надо крайне осторожно, поскольку, условно, завтра ВА придет с проверкой, что-то выявит, а ему ответят: «вы же сами принимали в этом участие». В то же время, у внутреннего аудита с бизнесом должно быть очень тесное взаимодействие, поскольку знание именно там, а внутреннему аудиту необходимо знать технологию не хуже бизнеса.

Темой выступления Наталии Плотниковой, директора Департамента внутреннего аудита Госкорпорации "Росатом", стала полезность ВА на примере Корпорации “Росатом”.При осуществлении внутреннего аудита основными целями являются поиск новых возможностей, резервов, анализ причин возникновения тех или иных отклонений и выдача своевременных, объективных и точных рекомендаций, как избежать и минимизировать проблемы и повысить эффективность деятельности организации. Внутренний аудит Корпорации ориентирован в первую очередь на аудит эффективности бизнес-процессов в достижении общего для Корпорации и организаций отрасли результата. Применение такого подхода — объективная необходимость. Ведь для достижения успеха в высоко конкурентной среде Корпорации необходимо чутко реагировать на изменяющиеся условия и постоянно “настраивать” стратегию своего развития.

Оставаться на высоте, сохранять лидирующие позиции невозможно, если не предпринимать усилий — развиваться дальше. Жизнь бизнеса меняется очень быстро, и для того, чтобы эффективно развиваться, успевать за новыми течениями и веяниями, нужно не догонять, а опережать их. В связи с этим деятельность внутреннего аудита Корпорации ориентирована на ключевые этапы реализуемых в отрасли проектов с учетом не только установленных норм и правил, но и прошлого опыта и планов. В связи с чем задачи по развитию механизмов аудита эффективности управления рисками и контроля, снижению затрат на соблюдение требований выходят на первый план. Внутренний аудит должен не только содействовать обеспечению достижения стратегических целей компании, их выполнение должно являться главным критерием оценки деятельности аудита. Разделять ответственность наравне с бизнесом, перейдя от решения задач по обеспечению соблюдения правил к решению задач по достижению успеха, — вот что представляется лучшим достижением.

Непростые внешние условия, а также наращивание скорости и сокращения времени протекания бизнес-процессов придают особую ценность технологиям и моделям систем внутреннего контроля и аудита, использование которых позволяет минимизировать (а в идеале — предупреждать) различного рода риски. И отвечать на эти вызовы, получая наибольшую отдачу, необходимо в рамках имеющихся ресурсов. Основной вопрос в данном случае: используются ли вовлеченные в контроль ресурсы наиболее оптимально и можно ли получить качественные результаты с меньшим количеством ресурсов? Для чего Корпорация использует опыт вовлечения во внутренний контроль ресурсов из вне — контроль заинтересованных сторон. Очень важен баланс затрат на организацию контролей и получаемых при их реализации результатов, и задача аудита — помочь владельцам бизнес-процессов экспертизой, консультационной и методологической поддержкой, предоставляя независимые и объективные гарантии и консультации, направленные на совершенствование деятельности, а главное - достижение результата.

Чтобы опережать конкурентов на глобальных рынках, нужно стараться быть “на шаг впереди” и в сфере внутреннего аудита, аудиту необходимо быть инициатором изменений, т.е. на шаг впереди. Полагаю, что к приоритетным задачам внутреннего аудита можно отнести:

  • продвижение курса на предотвращение нарушений законодательных и корпоративных норм, с одновременным изменением вектора контрольной деятельности от оценки статичного состояния системы внутреннего контроля по установленным компонентам и разработке рекомендаций, на аудит принятия мер по расхождениям и аудит эффективности “встроенных” контролей;
  • обеспечение оперативности и высокого качества управленческих решений, принимаемых на различных уровнях, экспертно-аналитическими мероприятиями и встраиванием процедур превентивного контроля, проведение тематических аудитов управления рисками и контроля с возрастанием роли ИТ и аналитической составляющей в деятельности аудита.

Наконец, реализация приоритетов бизнеса, требующая адаптации систем управления, ставит перед внутренним аудитом задачи по оценке результативности программ, проектов, процессов деятельности в части достижения их целей; эффективности систем управления и наличия адекватных контролей (их достаточность/избыточность, точечность и риск-ориентация).

Владимир Летучев, начальник управления внутреннего аудита АО «Первая Грузовая Компания», рассказал о взаимодействии ВА и топ-менеджмента.Главный аудитор в компании, как правило, функционально подчиняется комитету по аудиту совета директоров и административно – генеральному директору.

Цель ВА – улучшение системы внутренних контролей. На успешность достижения этой цели большое влияние оказывает то, насколько эффективное взаимодействие главный аудитор выстроит с основными руководителями в компании, что шире формальных линий подчинения.

Инструмент для эффективного управления взаимодействием с сотрудниками – карта заинтересованных сторон. Необходимо расположить всех сотрудников, влияющих на ВА по шкалам «Влияние» – «Заинтересованность» и выбрать соответствующие методы взаимодействия (мониторинг, информирование, удовлетворение, тесное взаимодействие). Можно пойти дальше и разработать мероприятия по переводу заинтересованной стороны из одной группы в другую. Например, если генеральный директор оказывает сильное влияние на ВА и мало заинтересован в его работе, то его влияние можно снизить, а интерес повысить.

Особая заинтересованная сторона – руководитель проверяемого подразделения. В зависимости от того, как менеджер выполняет свои показатели и сколько долго находится в должности, он в разной степени готов принять недостатки, выявленные аудитом. При подготовке к аудиту главный аудитор может учесть особенности проверяемого руководителя и повысить эффективность проверки.

Как правило, аудит производит оценку состояния контрольной среды и дает заключение – удовлетворительная/неудовлетворительная. Иногда полную оценку провести невозможно – например, среда меняется, старые контроли уже не действуют, а новые не демонстрируют стабильность. Оценка состояния контролей удобна для собственников, с помощью одного слова они понимают, есть проблемы в процессе компании или нет.

Для топов интереснее не общее заключение о состоянии контролей, а разбор причин проблем, рекомендации по приоритетам устранения, анализ мнения участников, поэтому основные запросы от топов относятся к области консалтинга.

Для того, чтобы не погрязнуть в рутинном выполнении запросов от топов, если консалтинговый проект принес пользу, рекомендуется его задокументировать и передать технологию и назначить ответственного за его выполнение в бизнесе.

Особое внимание нужно обратить на риски срытых негативных мотивов в запросах менеджмента. Перед тем как приступать к выполнению запроса, убедитесь, что аудит не пытаются использовать как инструмент несправедливого устранения сотрудника, поставщика или других корыстных целей.

Анна Давыдова, партнер, руководитель практики по предоставлению услуг в области внутреннего аудита в России, PwC, затронула роль внутреннего аудита в новой экосистеме бизнеса. Компании работают в мире, который в эпоху цифровизации становится все сложнее и сложнее. Бизнес-среда быстро изменяется и становится гораздо менее предсказуемой. Поскольку скорость создания инноваций нарастает, компании все больше зависят друг от друга. Эти связи могут сделать экономику невероятно сильной, но они увеличивают опасность того, что потрясения распространятся по всей системе.

В новой, более сложной и постоянно подверженной изменениям экосистеме у заинтересованных сторон возникает естественная потребность получить больший уровень уверенности в том, что постоянно возникающие новые риски эффективно управляются. Одновременно с этим встает вопрос о роли внутреннего аудита в новой экосистеме бизнеса. Должна ли трансформироваться третья линия защиты? Внутренний аудит в новой экосистеме бизнеса должен и будет видоизменяться. С какой скоростью и в каком направлении – зависит от модели развития организации и желания каждого профессионала в области внутреннего аудита не стоять на месте, а развиваться и идти в ногу со временем.

Владимир Кременицкий, директор функции Внутренний аудит ООО “СИБУР”, рассказал о факторах и целях изменения роли внутреннего аудита, а также о систематизации ролевой модели ВА и ее применении. В настоящее время очевидна тенденция смещения роли ВА в консалтинг/проектный офис/разработку. Иными словами, ВА рассматривается больше как сервисная функция, а не только контрольная. Принцип прост: «если знаешь, что не так, то скажи, как надо». И с точки зрения изменения и улучшения систем и процессов бизнеса, эффект и польза от ВА в роли помощника и консультанта намного выше и больше, чем от контролирующей и критикующей функции. При этом, смещение в сторону консалтинга не означает, что нужно уходить от контроля. Везде должен быть грамотный и гибкий (с точки зрения ситуации, корпоративной культуры и внутренних заказчиков) баланс контроля и консалтинга. Данный баланс можно и нужно настраивать через систематизацию осуществляемых ролей ВА (в компании “СИБУР” данных ролей ВА 6: диагностика, разработка, внедрение, развитие/ оптимизация/ автоматизация, оценка, менеджер процесса). Данная систематизация позволяет сделать деятельность ВА прозрачной и улучшает взаимоотношение с бизнесом. И, как следствие, растет индекс клиентооринетированности.

Андрей Якушин, начальник управления развития корпоративных отношений Департамента корпоративных отношений Центрального банка РФ, рассказал об изменениях, которые планируется внести в Кодекс корпоративного управления до конца текущего года. Кодекс относится к так называемому мягкому регулированию, поскольку компания сама решает, соблюдать его или нет. Однако, если она этого не делает, она должна обосновать, почему не соблюдает те или иные положения Кодекса.

Кодекс был принят в 2014 году, и за прошедшее время появились новые тенденции, на которые ЦБ РФ хотел бы обратить особое внимание: в частности, важность информационных технологий. Сейчас ИТ начинают играть все большую роль в управлении компании, и риски, связанные с киберугрозами, выходят на новый уровень. Появляются новые виды киберугроз: например, таргетированые атаки. И ЦБ считает, что в Кодексе надо сделать акцент на то, что совет директоров (далее – СД) должен играть более активную роль в предотвращении кибератак и оценивать ту роль, которые играют ИТ в развитии компании. Согласно результатам опроса, который был проведен ЦБ среди ПАО, входящих в котировальные списки Московской биржи, для 71% развитие ИТ и кибербезопасности (далее – КБ) – очень актуальная тема, но всего в 33% компаний вопросы развития ИТ и обеспечение КБ отражены в стратегии развития в полном объеме и в 33% компаний вопросы оценки надежности и эффективности систем управления ИТ-рисками и оценка эффективности процессов управления ИТ включены в сферу проверки ВК и ВА в полном объеме. В то же время проблемы ИТ и КБ находят все большее отражение в кодексах корпоративного управления других стран.

ЦБ РФ хотел бы отметить, что СД должен делать акцент на том, какое значение имеют ИТ для развития компании, а также уделять существенное внимание оценке рисков, связанных с киберугрозами. Понятно, что не для всех компаний риски, связанные с киберугрозами, являются ключевыми, и как раз СД должен оценить, являются ли они ключевыми или нет. ЦБ планирует ввести главу в Кодекс, связанную с СД и ИТ, в соответствии с которой СД утверждал бы ИТ-политику и ИТ-стратегию; при этом ИТ-стратегия может являться частью общей стратегии развития общества. СД должен осуществлять постоянный контроль за исполнительными органами тех стратегических направлений, которые связаны с ИТ и предотвращением киберугроз. Также планируется, что в Кодексе должно быть упомянуто, что в зависимости от характера деятельности и уровня рисков, которые принимает на себя компания и которые характерны для нее, может создаваться специальный комитет по КБ и развитию ИТ. Если такой комитет не создается, то вопросы КБ могут передаваться в компетенцию комитета СД по рискам и аудиту. По мнению ЦБ РФ, в периметр ВА обязательно должны входить вопросы, связанные с КБ.

Наталия Цангль, руководитель службы внутреннего аудита ПАО “ТрансФин-М”, подробно рассказалао регулировании внутреннего контроля и ВА в финансовых институтах.

Вступление было посвящено федеральному законодательству и нормативно-правовым актам Банка России, которые действуют уже несколько лет – ФЗ N 75-ФЗ “О негосударственных пенсионных фондах», ФЗ N 4015-1 «Об организации страхового дела в РФ”, Положение Банка России N 242-П “Об организации внутреннего контроля в кредитных организациях и банковских группах”.

В основной части выступления докладчик провела анализ нормативных документов и рекомендаций регулятора, вступивших в силу за последние полгода. Недавно были приняты Методические рекомендации по проверке системы внутреннего контроля в кредитной организации от 18.12.2017 N 32-МР. В соответствии с ними целью проверки со стороны Банка России является оценка:

  • соблюдения кредитной организацией требований к СВК, установленных Положением Банка России N 242-П;
  • достоверности представляемой в Банк России отчетности и иной информации о ВК в кредитной организации;
  • соответствия СВК в кредитной организации характеру и масштабу осуществляемых операций, уровню и сочетанию принимаемых рисков.

Показатели оценки ВК по отдельным направлениям деятельности кредитной организации (Повкi) определяются по формуле:

ПНji - показатель оценки j-го направления системы внутреннего контроля кредитной организации по i-му направлению деятельности кредитной организации.

В Методических рекомендациях для обоснования выводов относительно оценки качества системы ВК рекомендуется использовать следующие показатели оценки системы ВК:

  • показатель оценки организации СВК (ПВК1);
  • показатель оценки деятельности СВА (ПВК2);
  • показатель оценки деятельности СВК (ПВК3);
  • показатель оценки контроля со стороны органов управления за организацией деятельности кредитной организации (ПВК4);
  • показатель оценки контроля за функционированием системы управления банковскими рисками в кредитной организации и оценкой банковских рисков (ПВК5);
  • показатель оценки контроля за распределением полномочий при совершении банковских операций и других сделок (ПВК6);
  • показатель оценки контроля за управлением информационными потоками (получением и передачей информации) и обеспечением информационной безопасности (ПВК7);
  • показатель оценки мониторинга системы ВК кредитной организации (ПВК8);
  • показатели оценки ВК по отдельным направлениям деятельности кредитной организации (Повкi).

В качестве практического применения, подходы, указанные в данном документе, могут быть использованы внутренним аудитом для самостоятельной оценки системы ВК, а также с целью подготовки к оценке со стороны регулятора.

Также существует Концепция организации системы ВК для некредитных финансовых организаций (разработана Банком России, опубликована на сайте Банка России 31.10.2017), которая на текущий момент носит рекомендательный характер. Концепция предусматривает соблюдение принципа трех линий защиты и вовлеченность каждого работника в процесс реализации ВК. Структура Концепции включает:

  • Цели, задачи, принципы организации системы ВК;
  • Система органов ВК НФО; основные задачи органов ВК (функционал);
  • Направления деятельности НФО, требующие дополнительного контроля;
  • Документальное обеспечение деятельности системы ВК; отчетность;
  • Мониторинг и оценка эффективности системы ВК;
  • Особенности надзора за соблюдением НФО требований к системе ВК.

Также докладчик в своем выступлении рассказала про лизинговые компании, которые в ближайшее время приобретут статус финансовых организаций и станут объектом регулирования со стороны Банка России.

ФЗ “О финансовой аренде (лизинге)” будет дополнен общими требованиями о необходимости организации системы ВК в лизинговых компаниях. Важная роль отводится СРО. Детально концепция по ВК, ВА и корпоративному управлению будет изложена в базовых и внутренних стандартах, устанавливающих требования к членам СРО, которая объединит лизинговые компании. Одной из функций СРО станет разработка стандартов, отражающих современные практики и принципы в части ВК, Концепцию организации системы ВК для некредитных финансовых организаций, разработанную Банком России, а также учитывающих специфику лизингового бизнеса, масштабы и объемы лизингового рынка.

Таким образом, регулирование в отношении ВА и ВА в финансовых институтах приобретает более единообразный характер. Однако принципы, изложенные в нормативных и законодательных актах, регулирующих ВК и ВА в различных финансовых институтах, все еще значительно отличаются.

Иван Ворона, директор по внутреннему аудиту X5 Retail Group, рассказал обиспользовании подхода agile при проведении внутренних аудиторских проверок. Согласно методологии Agile Project Management проект с использованием подхода agile выполняется итерациями/ этапами, на каждом из которых появляется часть конечных продуктов, сразу обсуждаемая и предоставляемая заинтересованным сторонам (вместо того, чтобы представлять конечный продукты весь сразу конце проекта).

Примером аудиторских проектов с применением подхода agile в деятельности департамента внутреннего аудита X5 Retail Group является «Диагностика рисков и контролей»:

  • проект осуществляется в формате фасилитируемых групповых обсуждений, что позволяет эффективно взаимодействовать с заинтересованными сторонами;
  • проект разбит на 4 этапа (длительность каждого этапа – 1 неделя), в каждом из которых создается конечный продукт (описание проекта в виде блок-схемы, перечень присущих рисков процесса и их анализ с помощью матрицы рисков и контролей, оценка СВК бизнес-процесса);
  • конечный продукт каждого этапа обсуждается с заинтересованными сторонами на групповых семинарах и предоставляется им в конце каждого из этапов.

Применимость подхода agile к проверкам ВА:

1. При использовании методов agile на каждом этапе проекта появляется часть конечных продуктов (такие как описание процесса, матрица рисков и контролей, результаты тестирования), обсуждаемых и представляемых внутреннему клиенту. При традиционном подходе к управлению “классическим” аудитом рабочая документация каждого из этапов не является конечным продуктом и дорабатывается на протяжении всего проекта с целью предоставления итогового отчета о недостатках во внутреннем контроле (ВК), что является «каскадным» методом.

2. Проект с использованием подхода agile выполняется небольшими частями/ этапами, которые подвержены критическому обзору со стороны (а) проектной команды и (б) представителей заинтересованных сторон:

(а) в части обзора со стороны команды можно попробовать элементы “review by discussion”, когда после “перекрестного” ознакомления с рабочей документацией (peer review) члены команды задают в ходе группового обсуждения вопросы друг другу и отстаивают свою позицию либо приходят к другим выводам.

(б) заинтересованных стороны: помимо высшего руководства/ комитета по аудиту, необходимо помнить про “внутреннего клиента” – руководство проверяемого подразделения; стандарты Института внутренних аудиторов помогают достичь объективной и независимой оценки в первую очередь в интересах первой группы, а методы agile позволяют более эффективно выстраивать контрольные процедуры линейным руководителям, которые непосредственно отвечают за их функционирование и устранение недостатков во ВК.

3. Предоставление конечных продуктов по частям по мере их готовности помогает снизить шансы крупномасштабных неудач в конце проекта. Основной риск для аудиторов, связанный с их профессиональной деятельностью, не до конца изучив процесс и не разобравшись во всех выполняемых контрольных процедурах, представить в отчете недостатки во ВК, которые таковыми не являются. Поэтапное представление и обсуждение материалов (специально подготовленных для клиента на основе рабочей документации) «внутреннему клиенту» в ходе проверки помогает решить эту проблему.

Выступление Максима Мамонова, директора по внутреннему контролю и аудиту ПАО МТС, было посвящено вопросу повышения ценности подразделений ВК в глазах менеджмента путем органичного внедрения и развития новых функций. В презентации был показан опыт МТС выделения в структуре ВК отдельного подразделения для проведения плановых и внеплановых проверок закупочной и проектной деятельности, которые впоследствии дополнились консультированием функциональных подразделений в части оптимизации бизнес-процессов и решения нестандартных операционных задач. Таким образом, произошла трансформация аудита закупочной и проектной деятельности: от классического контроля – к консалтингу.

Как показал результат деятельности подразделения за последние два года, инициатива привела к существенному экономическому эффекту от внедрения рекомендаций по результатам анализа закупок и проектов. Среди них: отказ от закупки избыточных электрический мощностей для ЦОД после выявления дублирования потребностей регионального проекта с федеральным; исключение из поставок ПО посредников, функции которых не были экономически обоснованы; снижение стоимости закупок путем проведения дополнительных переговоров по рекомендации БВКиА на основании анализа рыночных цен; снижение стоимости отдельного вида оборудования после выявлении более низких цен на аналогичное оборудование другого вендора.

Примеры результатов проведенного консалтинга: отказ от закупок неактуального ввиду задержек поставки оборудования; улучшение бизнес-процесса обеспечения локального радиопокрытия, что привело к сокращению этапов согласования и более оперативному обеспечению, и улучшению качества связи для абонентов.

Отдельно была продемонстрирована существенная польза от консультаций, оказываемых внутреннему заказчику, в процессе проведения претензионной работы, исполнения договоров и формирования технического задания, которые неоднократно приводили к сокращению затрат.

Развитие новых функций демонстрирует готовность ВА к переменам, постоянному профессиональному росту и развитию востребованных для бизнеса функций, что является одним из критериев оценки полезности внутреннего контроля для менеджмента.

Анна Сергеева, директор по внутреннему аудиту и контролю АО “Стройтрансгаз”, рассказала об аудите системы управления. За последние 17 лет акценты во внутреннем аудите постепенно изменялись, смещаясь от ревизионных проверок к классическим операционным и функциональным аудитам. В 2000-2005 гг. в деятельности большинства служб ВА преобладали ревизионные проверки и финансовые аудиты, в период с 2006 по 2012 гг. чаще всего в профессиональной среде обсуждались аудиты бизнес-процессов и проектные аудиты. Начиная с 2012 года и до настоящего момента, ВА в России по-прежнему в первую очередь ориентирован на аудит бизнес-процессов, с дополнительным акцентом на стратегические аудиты. По мнению Анны Сергеевой, ВА в России в своем развитии “перескочил” одну очень важную ступень, не уделив достаточно внимания аудиту системы управления, продолжая развиваться в сторону стратегических аудитов. При этом система управления является той основой, которая позволяет вести организацию к цели, извлекая максимальные возможности из всех имеющихся ресурсов. Говоря другими словами, сосредоточившись на проведении аудитов бизнес-процессов, но не уделяя внимания комплексной системе управления организацией, мы не можем считать, что сделали все для развития и процветания бизнеса.

Когда же стоит задуматься о том, что в организации назрело проведение аудита системы управления? Когда по результатам профессионально выполненных аудитов (при условии выполнения всех рекомендаций) со временем процессы не изменяются к лучшему или изменяются незначительно. А также при условии наличия одного из пяти признаков недостаточной эффективности системы управления в организации:

  1. Скорость принятия управленческих решений не соответствует целям бизнеса и возможным рискам;
  2. Круг должностных лиц, вовлеченных в процесс принятия управленческих решений, не соответствует тематике и значимости проблемы;
  3. Принятые управленческие решения трансформируются в задачи некорректно и не всегда вовремя доводятся до исполнителей;
  4. Система коммуникаций не обеспечивает своевременную и полную обратную связь по вопросам исполнения поставленных задач;
  5. Контроль исполнения решений осуществляется не на всех этапах выполнения поставленных задач.

Стоит отметить, что для проведения аудита системы управления СВА должна обладать определенной зрелостью и опытом. Данный аудит является достаточно сложным с точки зрения высоких требований к профессионализму аудиторской команды и требует определенного опыта и глубокого вовлечения в процесс аудита руководителя данной функции.

По семилетнему опыту проведения данного вида аудитов уже можно сделать вывод о том, какие компоненты системы управления должны анализироваться в первую очередь при проведении такого вида аудита. Таких компонентов четыре: “Структура управления”, “Техника управления”, “Методология управления” и “Процессы управления”. По каждому из компонентов раскладываются и оцениваются все подсистемы системы управления (управление ресурсами, качеством, управление охраной окружающей среды, бизнес-процессами, инновациями и прочие подсистемы).

Результатами проведения такого вида аудита являются позитивные и часто достаточно быстрые изменения в деятельности организации, такие как повышение управляемости на всех этапах деятельности, положительные изменения во всех ключевых бизнес-процессах, и оптимизация ресурсов (как следствие более корректного распределения функций).

Артем Горлов, начальник управления внутреннего аудита ПАО “ФосАгро”, посвятил свое выступление матрице компетенций как инструменту для повышения качества аудита.

Сейчас практически все функции ВА используют риск-ориентированный подход при планировании своей деятельности. Это позволяет им помогать компании там, где это действительно необходимо. К сожалению, значительно меньшее количество служб обращают внимание на управление своими ресурсами с учетом рисков организации. Если большинство задач ставится, исходя из риск-ориентированного плана, логичным выглядит то, что для его эффективного выполнения сотрудники службы должны обладать компетенциями (навыками и знаниями), которые отвечают ключевым рискам компании.

Уже давно существует простой в применение инструмент управления персоналом на основе анализа имеющихся компетенций сотрудников и создания матрицы компетенций. Практика аудита в компании “ФосАгро” показывает, что матрица компетенций с информацией о ключевых рисках и организационной структуре службы позволяет быстро и эффективно повышать качество услуг, которые предоставляют аудиторы. Благодаря матрице компетенций руководитель службы может легко отслеживать наличие и глубину компетенций сотрудников, основываясь на будущих или потенциальных проектах, как в области аудита, так и в области консалтинга. Помимо этого, матрица компетенций, позволяет решать ряд дополнительных важных задач в области управления персоналом:

  • повышение эффективности системы мотивации сотрудников. За счет более прозрачных критериев и целей, отраженных в матрице компетенций, сотрудники понимают, какие компетенции им необходимо развивать, понимают цели, которые перед ними ставит руководство, и видят оценку результатов их деятельности;
  • разработка программ обучения и развития сотрудников. Зная компетенции сотрудников и понимая их профессиональные цели, руководителю службы легко планировать мероприятия по развитию сотрудников. Точно также руководителю легко организовать обучающие мероприятия внутри коллектива за счет сотрудников, обладающих глубокими знаниями или продвинутыми навыками.

Необходимо отметить, что такой инструмент лучше всего использовать службам, которые выполняют операционные аудиты и проекты в области консалтинга (в связи с большим количеством требуемых компетенций аудиторов), а также могут полагаться на систему управления рисками в компании или четко представляют себе риски, с которыми компания сталкивается.

Учитывая простоту внедрения такого инструмента и пользу от его использования, матрица компетенций может стать ключевым элементом повышения качества предоставляемых службой услуг.

Вечером по окончании первого дня Конференции состоялась церемония награждения победителей 5-й Национальной премии “Внутренний аудитор года”, которая была учреждена Институтом внутренних аудиторов в 2013 году. В этот раз соорганизатором Премии выступил РСПП, партнером – Московская биржа.

По итогам 2017 года в номинации «Внутренний аудитор года” победителем стала Татьяна Кутакова, начальник отдела методологии, финансового и операционного аудита Департамента внутреннего аудита ПАО “Аэрофлот”, лауреатом второй степени – Артем Горлов, начальник управления внутреннего аудита ПАО “ФосАгро”, лауреатом третьей степени – Максим Козлов, начальник отдела ИТ-аудитов Департамента внутреннего аудита ПАО “МТС”.

В номинации “Руководитель службы внутреннего аудита года” победителем стал Юрий Жеймо, директор по внутреннему аудиту ПАО “МегаФон”, лауреатом второй степени – Анна Лернер, главный аудитор ПАО “Ростелеком”, лауреатом третьей степени – Олег Ажимов, руководитель Службы внутреннего аудита ПАО “РусГидро”.

В номинации “Служба внутреннего аудита года” победило Управление внутреннего аудита по Среднерусскому банку ПАО Сбербанк, лауреатом второй степени стал Департамент внутреннего аудита Государственной корпорации по атомной энергии “Росатом”, лауреатом третьей степени – Департамент внутреннего аудита ПАО “Ростелеком”.

Все победители и лауреаты получили подарки от спонсоров Конференции – компаний PwC, Deloitte, HockTraining, издательства “Альпина Паблишер”. От организатора Премии – Института внутренних аудиторов – всем победителям были вручены сертификаты на участие в ежегодной европейской конференции по внутреннему аудиту, которую проводит Европейская конфедерация Институтов внутреннего аудита (ECIIA).


Некоммерческое партнерство «Институт внутренних аудиторов» (НП “ИВА”), зарегистрированное в 2000 г., является профессиональной ассоциацией, объединяющей более 4000 внутренних аудиторов, внутренних контролеров и работников других контрольных подразделений российских компаний и организаций.

Теги: Институт внутренних аудиторов  внутренний аудит  эффективность управления  ВА  проверки внутреннего аудита  цифровизация внутреннего аудита  управление рисками  киберугрозы  подхода agile  аудит системы управления