CC BY
291
АУДИт, КОНтРОЛЬ, УпРАВЛЕНИЕ
УДК 35.073.526
Планирование деятельности подразделений внутреннего аудита и контроля компании (методология и практика ОАО «Российские железные дороги»)
В статье изложены принципы и методология планирования деятельности подразделений внутреннего аудита и контроля крупной компании на базе внутрикорпоративных стандартов, анализируются требования регуляторов и лучшая практика в этой сфере деятельности, в том числе на основе опыта ОАО «Российские железные дороги».
Ключевые слова: внутренний аудит, внутренний контроль, планирование, подразделения внутреннего аудита и контроля, риски, стандарты.
Процесс планирования деятельности является основополагающим элементом организации работы службы внутреннего аудита и контроля.
Подходы к планированию должны учитывать особенности организации. Иерархичность, степень централизации функций управления и делегирования ответственности на нижестоящие уровни управления, масштабы и однородность аудируемых подразделений, а также степень регламентированности системы внутреннего контроля — все эти факторы имеют решающее значение.
Особо следует отметить степень заинтересованности высшего руководства в проведении аудитов отдельных направлений деятельности, получение им полной и достоверной информации по наиболее актуальным проблемам. И чем больше такая заинтересованность, тем глубже и детальнее эти запросы и ожидания должны быть представлены в плане.
Для определения приоритетов при планировании следует учитывать стоимость активов, свойственные им потенциальные риски (потери, угрозы хищений и др.), величины доходов и затрат бизнеспроцессов, надежность систем внутреннего контроля, а также результаты проведенных аудитов.
Говоря о порядке выбора объектов внутреннего аудита для проведения внутренних аудиторских проверок, следует подчеркнуть важность экспертных оценок, основанных на информации о рисках, полученной в результате проведенных проверок, в том
© Иванов О.Б., Лаврова Т.В., 2013
РИСКАМИ
О.Б. Иванов
Т.В. Лаврова
61
Планирование деятельности подразделений внутреннего аудита и контроля компании
числе внешними аудиторскими организациями, а также от других внутренних и внешних источников.
Для создания эффективной системы внутреннего контроля и аудита важное значение имеет периодичность планирования аудитов и контрольных мероприятий. Для компаний, находящихся в стадии организационного развития, осуществляющих свою деятельность в условиях нестабильного рынка, меняющихся условий хозяйствования, излишнее преувеличение значения риск-ори-ентированного долгосрочного планирования может означать снижение гибкости и не всегда адекватно быструю реакцию на новые риски, возникающие в ходе стремительно меняющихся обстоятельств хозяйственной деятельности. Кроме того, в условиях быстрого развития рынков, обострения конкуренции и нестабильности возрастает вероятность значительно более частого проведения оценки вновь возникающих рисков и переоценки уже известных.
Таким образом, по нашему мнению, в целях обеспечения достаточной степени эластичности организациям, находящимся в стадии организационного развития и условиях нестабильной экономической ситуации, следует отдавать предпочтение квартальному планированию деятельности службы внутреннего аудита.
Надо сказать, что, согласно международным исследованиям Эрнст энд Янг в области внутреннего аудита, 46% респондентов отметили, что ужесточение международными и российскими регуляторами требований привело к тому, что в странах Европы, Ближнего Востока, Индии и Африки это обстоятельство стало оказывать значительное влияние на подход к составлению планов внутреннего аудита.
Сегодня у компаний уже не возникает вопрос, как сформировать план аудитов и куда должны быть направлены ресурсы службы. Конечно, на области высокого риска. И если еще пару лет назад план аудита, основанный на рисках, формировался на год и более и не пересматривался, то сейчас почти половина компаний делают это чаще, а каждая пятая компания — ежеквартально. Ряд крупных западных компаний уже внесли изменения в политику внутреннего аудита, закрепив принцип планирования деятельности «3+9», который означает утверждение плана работы на один квартал и перспективное планирование на последующие 9 месяцев. Некоторые российские компании также в целях повышения гибкости и оперативности реагирования на изменение ситуации используют в своей деятельности поквартальное планирование. В частности, ОАО «РЖД» уже на протяжении 10 лет имеет такую практику, которая себя оправдывает полностью, что позволяет динамично реагировать на внутренние и внешние изменения.
В ОАО «РЖД» процедуру планирования деятельности подразделений внутреннего аудита и внутреннего контроля регламентирует внутрикорпоративный стандарт «Планирование деятельности и управление ресурсами службы внутреннего аудита и контроля», который определяет:
— основные принципы и подходы к формированию модели внутреннего аудита;
— порядок ранжирования объектов внутреннего аудита;
62
Планирование деятельности подразделений внутреннего аудита и контроля компании
— порядок планирования / распределения ресурсов подразделений внутреннего аудита и контроля;
— порядок утверждения плана организационно-методологической работы подразделений внутреннего аудита и контроля и плана внутренних аудиторских проверок.
Стандарт разработан с учетом рекомендаций и требований российских и международных регуляторов на основе:
— международных профессиональных стандартов внутреннего аудита Института внутренних аудиторов;
— концептуальной базы профессиональной практики Института внутренних аудиторов;
— стандартов и руководств Международной организации высших органов финансового контроля (ИНТОСАИ);
— национального стандарта Российской Федерации. Руководящие указания по аудиту систем менеджмента качества и / или систем экологического менеджмента ГОСТ Р ИСО 19011-2003, утвержденного постановлением Госстандарта Российской Федерации от 29 декабря 2003 года № 432-ст;
— национального стандарта Российской Федерации. Системы менеджмента качества. Основные положения и словарь ГОСТ Р ИСО 9000-2008, утвержденного приказом Ростехрегулирования от 18 декабря 2008 года № 470-ст;
— федеральных правил (стандартов) аудиторской деятельности, утвержденных постановлением Правительства Российской Федерации от 23 сентября 2002 года № 696 (с изменениями);
— концепции организационного развития холдинга «РЖД» на период до 2015 года;
— функциональной стратегии построения единой системы внутреннего аудита и контроля в холдинге «РЖД» на период до 2015 года, а также плана мероприятий по ее реализации;
— свода правил моделирования процессов и бизнес-архитектуры ОАО «РЖД»;
— стандарта по выявлению и оценке рисков для подготовки плана внутренних аудиторских проверок.
Как видно из вышеперечисленного, в основе построения системы внутреннего контроля и аудита в компании, формирования системы эффективного риск-ориентированного планирования деятельности лежат политика и стратегия их развития и углубления, создания мощной методологии и методической базы, лучшая практика внутреннего аудита, включая собственную (так как по многим авторитетным оценкам система контроля и внутреннего аудита ОАО «РЖД» является одной из лучших корпоративных систем в мире). Данный подход позволяет фокусироваться на наиболее значимых и высокорискованных сферах деятельности холдинга «РЖД», что способствует эффективному использованию ресурсов подразделения внутреннего аудита и контроля; своевременному реагированию на изменения в деятельности компании.
Процесс планирования деятельности подразделения внутреннего аудита и контроля включает следующие этапы (рисунок 1):
63
Планирование деятельности подразделений внутреннего аудита и контроля компании
Планирование деятельности и управления ресурсами подразделения внутреннего аудита и контроля
I
J я §
о ^ с = О g о. о
О)
о.
13
ш О. S ^
CD g-
о Я.
“•с =1 ^ =:
Утверждение графика работ
График работ по планированию деятельности подразделения внутреннего аудита и контроля
Утверждение модели внутреннего аудита холдидга «РЖД»
Модель
внутреннего аудита холдинга «РЖД»
CD О)
ё
_ О)
со со о. s сС =
Формирование/
Составление обновление модели
Графика-работ внутреннего аудита
холдидга «РЖД»
Ранжирование объектов внутреннего аудита Планирование / распределение ресурсов
Условные обозначения
I I Этапы процесса планирования деятельности | | подразделения внутреннего аудита и контроля | | Вспомогательные документы
| | Основные документы ОВА - объект внутреннего аудита
Матрица
приоритезации
объектов
внутреннего аудита
План ресурсов и трудозатрат
Рисунок 1. Схема процесса планирования деятельности подразделений внутреннего аудита и контроля
64
Планирование деятельности подразделений внутреннего аудита и контроля компании
65
Планирование деятельности подразделений внутреннего аудита и контроля компании
— разработка / обновление модели внутреннего аудита холдинга «РЖД»;
— ранжирование объектов внутреннего аудита;
— планирование ресурсов и трудозатрат;
— выбор объектов внутреннего аудита для включения в план работы подразделений внутреннего аудита и контроля.
При составлении плана деятельности и плана внутренних аудиторских проверок на соответствующий период подразделения внутреннего аудита и контроля учитываются:
— решения совета директоров и правления ОАО «РЖД»;
— поручения президента ОАО «РЖД»;
— обращения и предложения вице-президентов, руководителей подразделений аппарата управления ОАО «РЖД», его филиалов и других структурных подразделений, негосударственных учреждений, дочерних и зависимых обществ (далее — руководство холдинга «РЖД»);
— оценка рисков, проводимая менеджментом ОАО «РЖД» и его дочерних и зависимых обществ;
— экспертные оценки.
Результаты планирования деятельности подразделений внутреннего аудита и контроля документируются в плане внутренних аудиторских проверок на соответствующий период. Далее план в установленном порядке согласовывается со смежными вице-президентами, подписывается директором по внутреннему контролю и аудиту и утверждается президентом ОАО «РЖД».
Важнейшей составляющей планирования работы подразделений внутреннего аудита и контроля является модель ранжирования объектов внутреннего аудита холдинга «РЖД» — бизнес-процессов / проектов / направлений проверок и подразделений. Здесь применяется риск-факторный анализ, который предполагает проведение оценки уровня подверженности каждого объекта модели внутреннего аудита компании установленным риск-факторам. Набор риск-факторов, порядок оценки подверженности бизнес-процессов / проектов / направлений проверок риск-факторам, а также порядок оценки подверженности подразделений риск-факторам формируется индивидуально в зависимости от целого ряда параметров. В результате их анализа и систематизации определяется приоритезация бизнес-процессов/проек-тов/направлений проверок (пример формы приведен в таблице 1). При этом применяемый набор риск-факторов может изменяться в зависимости от информации, доступной на момент проведения планирования деятельности подразделений внутреннего аудита и контроля. В ходе планирования объекты внутреннего аудита, исходя из совокупной оценки по риск-факторам, относятся к той или иной группе риска, определяется общее количество объектов внутреннего аудита по каждой группе риска. Ранжирование объектов внутреннего аудита предполагает следующий порядок.
66
Таблица 1
Форма «Приоритезация бизнес-процессов / проектов / направлений проверок»
Подразделения
Риск-факторы
Сумма выявленных нарушений Сумма повторных нарушений/ недостатков Количество повторных нарушений Время, прошедшее с предыдущей проверки Внутренняя (контрольная) среда Оценка рисков ОБА Изменения в организации Значительные нарушения (являются существенными для компании вне зависимости от суммы) Слож- ность Итого
Коэффициент значимости 0,2 0,1 0,1 0,1 0,1 1,0 0,1 0,1 0,1
Бизнес-процессы/ проекты/направле-ния проверок
Процесс 1 Подпроцесс 1.1
Подпроцесс 1.2
Подпроцесс 1.N
Процесс 2 Подпроцесс 2.1
Подпроцесс 2.2
Подпроцесс 2.N
Процесс N Подпроцесс N.1
Подпроцесс N.2
Подпроцесс N.N
Проект N
Планирование деятельности подразделений внутреннего аудита и контроля компании
Планирование деятельности подразделений внутреннего аудита и контроля компании
Для оценки уровня подверженности объектов внутреннего аудита риск-факторам принимается десятибалльная шкала. Значение 1 соответствует минимальному уровню подверженности объектов внутреннего аудита (бизнес-процессов / проектов / направлений проверок / подразделений) риск-факторам, значение 10 — максимальному.
Объекты внутреннего аудита ранжируются в следующем порядке:
1. На основе риск-факторного анализа каждому бизнес-процессу / проекту / направлению проверки присваивается совокупная оценка по риск-факторам, которая определяется по формуле:
^0АЛбп/п/пр.)) = * (0Aj)> где (1)
R — общий показатель риска для j-го бизнес-процесса / проекта / направления проверки;
RF — вес i-го риск-фактора;
ОА — значение уровня подверженности i-му риск-фактору j-го бизнеспроцесса / проекта / направления проверки;
n — количество риск-факторов.
2. На основе риск-факторного анализа каждому подразделению присваивается совокупная оценка по риск-факторам, которая определяется по формуле:
Щ0АЛподр)) = * (OAj), где (2)
R — общий показатель риска для j-го подразделения;
RF — вес i-го риск-фактора;
ОА — значение уровня подверженности i-му риск-фактору j-го подразделения;
n — количество риск-факторов.
3. По каждому объекту внутреннего аудита рассчитывается совокупная оценка по риск-факторам:
R(0Ai) = ^Атбп/п/пр.)) * где (3)
R(0A() — совокупная оценка по риск-факторам для объекта внутреннего аудита;
R^Ay^p)) — совокупный показатель по риск-факторам для подразделения;
R^A^/^^)) — совокупный показатель по риск-факторам для бизнеспроцесса / проекта / направления проверки.
4. Полученные оценки по каждому объекту внутреннего аудита документируются по установленным формам.
5. Подразделение службы внутреннего аудита и контроля, ответственное за планирование деятельности, может изменить применяемый набор риск-факторов в зависимости от доступной на момент проведения планирования информации.
68
Планирование деятельности подразделений внутреннего аудита и контроля компании
6. Исходя из совокупной оценки по риск-факторам каждого объекта внутреннего аудита, объекты внутреннего аудита относятся к той или иной группе риска, по каждой группе риска определяется общее количество объектов внутреннего аудита.
Подразделение, ответственное за планирование деятельности, документирует полученные результаты и составляет матрицу приоритетов объектов внутреннего аудита.
Планирование осуществляется исходя из ожидаемого времени на выполнение проверок и мероприятий подразделениями внутреннего аудита и контроля (определяется на основе данных предыдущих периодов) с учетом квалификации доступных ресурсов.
Для планирования мероприятий и внутренних аудиторских проверок на требуемый период определяется доступный фонд рабочего времени подразделений внутреннего аудита и контроля.
Перед планированием ресурсов подразделение, ответственное за планирование деятельности, запрашивает и получает от руководителей региональных управлений и руководителей центров внутреннего аудита — «Желдораудит» и внутреннего контроля — «Желдорконтроль» информацию о времени, планируемом на:
— отпуска и болезни работников (фактические данные за предыдущий период и прогноз на планируемый период);
— подготовку кадров и повышение профессионального уровня работников подразделений внутреннего аудита и контроля;
— специальные проекты и консультации руководителей структурных подразделений холдинга «РЖД»;
— участие в работе комиссий в соответствии с регламентами о взаимодействии с подразделениями аппарата управления ОАО «РЖД» (проведение совещаний и других организационных мероприятий);
— разработку новых и совершенствование действующих технологий и методик осуществления внутреннего аудита и контроля в компании;
— разработку информационного и методологического обеспечения внутреннего аудита;
— мониторинг выполнения мероприятий по совершенствованию системы внутреннего контроля (если мониторинг осуществляется не в рамках проведения проверок);
— прочие мероприятия, связанные с деятельностью подразделений внутреннего аудита и контроля.
Далее определяются доступные ресурсы подразделения внутреннего аудита и контроля на планируемый период:
— рассчитывается общий доступный фонд рабочего времени подразделений по следующей формуле:
Тоб= N х V, где (4)
Тоб — доступный фонд рабочего времени;
69
Планирование деятельности подразделений внутреннего аудита и контроля компании
N — общее число работников подразделений внутреннего аудита и контроля (кроме работников вспомогательных подразделений);
V — фактическое рабочее время одного работника за исключением времени на обучение, отпуска и болезни и т.п.;
— рассчитывается общее время, затрачиваемое на проведение прочих мероприятий подразделениями внутреннего аудита и контроля (отличными от проведения проверок);
— определяется доступное время на выполнение внутренних аудиторских проверок как разница доступного фонда рабочего времени и общего времени, затрачиваемого на проведение прочих мероприятий подразделениями внутреннего аудита и контроля.
Для выбора объектов внутреннего аудита используется принцип сбалансированной выборки, при котором в план деятельности подразделения внутреннего аудита и контроля включаются объекты внутреннего аудита из всех групп риска на основе ранжирования объектов внутреннего аудита. Выбор объектов для включения в план осуществляется на основе матрицы приоритетности объектов внутреннего аудита и доступного фонда рабочего времени подразделений внутреннего аудита и контроля на проведение проверок. При выборе объектов внутреннего аудита для составления плана учитывается:
а) совокупный рейтинг объекта внутреннего аудита. В перечень проверяемых объектов внутреннего аудита включаются объекты внутреннего аудита из каждой группы риска;
б) поручения президента ОАО «РЖД» и обращения руководства ОАО «РЖД» и его дочерних и зависимых обществ. В перечень проверяемых объектов внутреннего аудита включаются все объекты, проверка которых осуществляется по поручениям президента ОАО «РЖД», а также объекты, проверка которых осуществляется по поручениям директора ОАО «РЖД» по внутреннему контролю и аудиту, на основании обращений членов правления ОАО «РЖД», руководителей департаментов и других структурных подразделений, а также дочерних и зависимых обществ;
в) доступный фонд рабочего времени подразделений внутреннего аудита и контроля на проведение внутренних аудиторских проверок и контрольных мероприятий. При распределении ресурсов на проведение проверок должны учитываться:
— время, затрачиваемое работниками на дорогу до места проведения проверки (время в пути);
— время на проведение контрольных проверок, включая подготовительные мероприятия, сами проверочные действия, анализ, обработку и обобщение материалов, согласование итогового акта (справки, заключения) с руководством проверяемого объекта;
— резерв времени на выполнение внеплановых проверок по поручениям президента ОАО «РЖД» и директора ОАО «РЖД» по внутреннему контролю и аудиту.
70
Планирование деятельности подразделений внутреннего аудита и контроля компании
Еще одним важным элементом эффективного планирования деятельности подразделений аудита и контроля является составление графика проведения внутренних аудитов, который детализирует план, определяет ответственных за реализацию его разделов и пунктов, конкретизирует сроки проведения контрольных мероприятий, обеспечивает решение вопросов правильной расстановки и рациональной задействованности персонала.
Графики проведения внутреннего аудита должны быть гибкими и иметь возможности изменения под влиянием меняющихся обстоятельств. Примерами таких обстоятельств могут быть:
— начало выпуска новых видов продукции или направлений деятельности;
— корректировки бюджета;
— изменения законодательной базы, затрагивающие деятельность организации;
— непредвиденные задачи, возникшие после утверждения графика;
— изменения в политике, проводимой руководством компании и советом директоров;
— изменения технологии производства;
— изменения в степени оценки рисков, подвергаемых аудиту;
— недостаток штата аудиторов;
— обострение конкуренции на рынке;
— изменения финансовой структуры или бизнес-процессов организации;
— выводы внешних аудиторов и др.
Однако такие изменения (как, впрочем, и корректировки в планы работы подразделений внутреннего аудита и контроля) должны вноситься только при наличии достаточных мотивов и согласовании с должностными лицами, которые их утвердили, а не под влиянием руководителей проверяемых бизнес-единиц об отсрочке проведения аудитов из-за удобства для последних. Изменения в планы также могут быть внесены при одобрении высшего руководства и (или) комитета по аудиту совета директоров для отражения новых появившихся рисков и проблемных зон.
Порядок внесения корректировок планов, изменений и дополнений регламентируется специальным положением.
Таким образом, создание четко организованной, методологически проработанной, стандартизированной системы планирования деятельности и управления ресурсами подразделений внутреннего аудита и контроля является ключевым компонентом достижения успешности функционирования контрольной вертикали холдинга и эффективности работы всей системы корпоративного управления компанией.
71
Планирование деятельности подразделений внутреннего аудита и контроля компании
Литература
1. Иванов О.Б. Принципы построения риск-ориентированной системы внутреннего контроля и аудита в крупной компании, корпорации, холдинге // Аудиторские ведомости. 2013. № 8.
2. Иванов О.Б. Формирование единой риск-ориентированной системы внутреннего аудита и контроля в холдинге. Материалы конференции «Внутренний контроль и управление рисками в Российской Федерации: организация работы в системе «Открытое правительство». М., 2012.
3. Международное исследование Эрнст энд Янг в области внутреннего аудита. 2012.
4. Международные профессиональные стандарты внутреннего аудита Института внутренних аудиторов. ИВА, 2011.
5. Практические указания Института внутренних аудиторов. ИВА, 2011.
6. Практические руководства Института внутренних аудиторов. ИВА, 2011.
References
1. Ivanov O.B. Design principles of risk-oriented system of internal control and audit in a large company, corporation, holding // Audit statements. 2013. № 8
2. Ivanov O.B. Formation of a unified risk-based internal audit and control in the holding. Proceedings of the conference «Internal control and risk management in the Russian Federation: the organization of work in the «Open Government». M., 2012.
3. International Study of Ernst & Young in the field of internal audit., 2012.
4. International professional internal audit standards of the Institute of Internal Auditors. IIA, 2011.
5. Practical instructions of the Institute of Internal Auditors. IIA, 2011.
6. Practical guidance of the Institute of Internal Auditors. IIA, 2011.
72
