Страница:
Выход на проектную мощность. При успешном прохождении стадии развития ПВА переходит в относительно благоприятный этап последовательного наращивания позитивных результатов работы. Относительная благоприятность данного этапа заключается в ряде обстоятельств. Во-первых, к этому моменту ПВА должно уже освоиться в компании, обрести понимание локальных причинно-следственных связей, пройти личностную притирку. Во-вторых, если ПВА добралось до данной стадии, это означает, что в большинстве случаев результаты работы ПВА соответствуют ожиданиям и запросам руководства компании и/или акционеров. Отдельный вопрос – являются ли такие результаты полезными для самой компании, поскольку в некоторых компаниях, например, импотентность ПВА даже поощряется, чаще всего негласно. Оптимальный вариант действий на данном этапе заключается в развитии и закреплении достигнутого успеха. На предыдущих этапах ПВА получает представление о наиболее критичных для компании рисках. Это позволяет более прицельно планировать проекты внутреннего аудита. Быстрые победы, достигнутые на относительно небольших выборках данных, можно развить за счет увеличения выборки и масштабов проектов. Появляется возможность последовательно улучшать качество имеющихся у ПВА ресурсов, например за счет организации регулярного обучения сотрудников. Появляется возможность совершенствовать процессы самого ПВА, например за счет внедрения программ по управлению процессов внутреннего аудита. Несмотря на множество позитивных моментов, сопровождающих данный этап, необходимо помнить, что цена ошибки если и снижается по сравнению с предыдущими этапами, то ненамного. Это обстоятельство усугубляется еще и тем, что к моменту достижения стадии выхода на проектную мощность у ПВА с высокой вероятностью появляются первые враги. Любая ошибка ПВА рассматривается ими как возможность подгадить. Также если ПВА добралось до данной стадии, а врагов вокруг не наблюдается, то не исключено, что ПВА ценят в компании за красивые глазки и пустую голову.
Трансформация. Как говорится, все рано или поздно заканчивается. Однако не стоит в этом видеть только негативную сторону. В силу своей специфики внутренний аудит по сравнению с большинством других функций компании должен быть менее всего подвержен пассивному самолюбованию. Внутренний аудит всегда должен искать пути увеличения своей полезности для деятельности компании. Переход в стадию трансформации может быть вызван как внутренними (по отношению к ПВА), так и внешними причинами. Последние обычно более разнообразны. Например, смена акционеров или руководства компании, выход на IPO, слияние или поглощение, изменение риск-аппетита, форс-мажорные обстоятельства. Внутренние причины на фоне внешних относительно малочисленны. С точки зрения развития ПВА нас должно интересовать только одно – готовность и способность ПВА выйти на новый качественный уровень деятельности. Например, если на протяжении нескольких лет ПВА занималось только оценкой систем внутреннего контроля, то переход к осуществлению консалтинговых проектов потребует от ПВА существенного преобразования деятельности, т. е. перехода в стадию трансформации. Лучше не заниматься самообманом и принять аксиому – любое ПВА рано или поздно доберется до этой стадии. Правильные ПВА стремятся осознанно перейти в нее, т. к. поиск лучшего применения своих возможностей – это всегда правильная стратегия. В конце концов, внутренний аудит является сервисной функцией и должен прилагать усилия по созданию заинтересованности в своих услугах.
Глава 6.
Трансформация. Как говорится, все рано или поздно заканчивается. Однако не стоит в этом видеть только негативную сторону. В силу своей специфики внутренний аудит по сравнению с большинством других функций компании должен быть менее всего подвержен пассивному самолюбованию. Внутренний аудит всегда должен искать пути увеличения своей полезности для деятельности компании. Переход в стадию трансформации может быть вызван как внутренними (по отношению к ПВА), так и внешними причинами. Последние обычно более разнообразны. Например, смена акционеров или руководства компании, выход на IPO, слияние или поглощение, изменение риск-аппетита, форс-мажорные обстоятельства. Внутренние причины на фоне внешних относительно малочисленны. С точки зрения развития ПВА нас должно интересовать только одно – готовность и способность ПВА выйти на новый качественный уровень деятельности. Например, если на протяжении нескольких лет ПВА занималось только оценкой систем внутреннего контроля, то переход к осуществлению консалтинговых проектов потребует от ПВА существенного преобразования деятельности, т. е. перехода в стадию трансформации. Лучше не заниматься самообманом и принять аксиому – любое ПВА рано или поздно доберется до этой стадии. Правильные ПВА стремятся осознанно перейти в нее, т. к. поиск лучшего применения своих возможностей – это всегда правильная стратегия. В конце концов, внутренний аудит является сервисной функцией и должен прилагать усилия по созданию заинтересованности в своих услугах.
Глава 6.
Общая структура и основные этапы проекта внутреннего аудита
ПВА может участвовать в различных проектах. Сама деятельность ПВА является, по сути, проектной. Все многообразие данных проектов можно свести к пяти основным категориям, а именно:
1) аудит системы внутреннего контроля бизнес-процессов (включая аудит эффективности построения бизнес-процессов);
2) консалтинговые проекты;
3) выявление и расследование фактов мошенничества и иного несанкционированного распоряжения имуществом компании;
4) аудит финансовой отчетности;
5) аудит соблюдения требований законодательства и внутренних регламентирующих документов.
Правильный аудит в основном занимается проектами, относящимися к первым трем категориям с большим уклоном в сторону первых двух. К консалтинговым обычно относятся проекты, в которых достижение цели не связано с необходимостью осуществления полного спектра аудиторских процедур. К ним относятся, например, проекты по:
• созданию регламентов, форм отчетности, процедур, процессов;
• осуществлению процедуры дью дилидженс[9];
• оптимизации бизнес-процессов;
• реорганизации юридических лиц, включая продажу, слияния и поглощения;
• оценке стоимости имущества компании.
С точки зрения аудиторских процедур наиболее насыщенными являются проекты по аудиту системы внутреннего контроля бизнес-процессов (включая аудит эффективности построения бизнес-процессов). Остальные категории проектов выполняются с применением лишь отдельных аудиторских процедур. Например, при аудите финансовой отчетности не составляются описания процессов, не проводится сквозное тестирование, не формируются матрицы рисков, ограниченно используются аналитические процедуры и детальное тестирование. По этой причине мы рассмотрим структуру и содержание основных этапов аудиторского процесса при выполнении проектов первой категории. Также хотелось бы обратить внимание на формулировку проектов первой категории. Большинство аудиторов являются специалистами в первую очередь в области внутреннего контроля. Способность команды внутренних аудиторов оценивать эффективность построения бизнес-процессов во многом зависит от ее опыта и ряда других навыков и знаний. Однако система внутреннего контроля бизнес-процесса и структура и содержание данного бизнес-процесса очень тесно взаимосвязаны. Поэтому для повышения ценности своей работы каждый внутренний аудитор должен стремиться стать экспертом не только по системе внутреннего контроля процессов, но и по нюансам организации и построения ключевых бизнес-процессов.
Общая структура и основные этапы процесса управления проектами внутреннего аудита представлены на рис. 5. Данная структура и основные этапы процесса наиболее типичны для холдинговых компаний с централизованной функцией внутреннего аудита. Разумеется, в разных компаниях этот процесс может иметь вариации. Тем не менее в большинстве компаний, в которых есть ПВА, процесс управления проектами внутреннего аудита в целом имеет указанную структуру и содержание.
Основными участниками процесса являются:
• подразделение внутреннего аудита – напрямую заинтересовано в результатах процесса, поэтому в большинстве случаев должно выступать основным исполнителем, координатором и организатором;
• аудиторский комитет/генеральный директор – во многих случаях ПВА подчиняется либо аудиторскому комитету, либо генеральному директору, которые осуществляют общее руководство (что в том числе подразумевает необходимость согласования с ними, так скажем, крупных моментов);
• руководство ключевых бизнес-процессов – в большинстве случаев это топ-менеджмент, возглавляющий определенную функцию в компании и подчиняющийся единому исполнительному органу компании (например, генеральному директору). Типичным примером являются руководители ключевых подразделений (например, заместитель генерального директора по производству или заместитель генерального директора по экономике и финансам) управляющей компании холдинга. Потенциально такие руководители обладают максимумом информации по направлениям своей деятельности в целом по холдингу (функциональные руководители отдельных предприятий, входящих в холдинг, в большинстве случаев имеют отрывочное представление о факторах риска в деятельности других предприятий холдинга);
• руководство объектов аудита – в классическом варианте это топ-менеджмент отдельного предприятия (входящего в состав группы). Намного реже в качестве руководства объекта аудита выступает руководство одного из ключевых процессов независимо от того, в каком юридическом лице данный процесс начинается и/или заканчивается. Последний вариант формирования объекта аудита встречается значительно реже первого варианта по той причине, что возможности ПВА по проведению аудита разных юридических лиц несопоставимы. Например, во многих холдинговых структурах управляющая компания в той или иной степени неприкасаема для аудита. Практически всегда это неправильно, т. к. многие проблемы контроля и криво организованных бизнес-процессов растут именно из головной компании;
• дирекция по управлению рисками – наименование говорит само за себя. Однако основная задача такого рода подразделений заключается в построении процесса управления рисками. Результаты данной работы в чистом виде не всегда пригодны для формирования карты рисков. По этой причине в большинстве случаев дирекция по управлению рисками является просто одним из участников процесса выявления и оценки рисков.
Рис. 5. Общая структура и основные этапы процесса управления проектами внутреннего аудита
Рассмотрим бегло содержание этапов процесса.
Идентификация и оценка рисков. Содержание данного процесса описано в главе «Формирование риск-ориентированного подхода к проведению проектов внутреннего аудита». Идентификация и оценка рисков может осуществляться как в рамках упрощенного, так и продвинутого метода риск-ориентированного аудита. Участие руководства ключевых бизнес-процессов в этом процессе обязательно. Руководство объектов аудита может принимать участие в процессе в зависимости от ситуации – основными препятствиями являются ограниченность ресурсов ПВА и жесткие временные рамки, а также целесообразность привлечения руководства потенциальных объектов аудита к процессу формирования карты рисков (учитывая, например, его стремление скрывать проблемы).
Построение карты рисков. Согласование карты рисков. Карта рисков должна соответствовать ряду требований. Ключевое требование заключается в обеспечении максимальной пригодности такой карты для формирования плана и программ аудита. Разумеется, сама карта должна представлять исчерпывающую и объективную картину наиболее существенных рисков компании. Содержание этого процесса также описано в главе «Формирование риск-ориентированного подхода к проведению проектов внутреннего аудита».
Что касается согласования карты рисков, то здесь есть один нюанс. Если руководство ключевых бизнес-процессов и/или руководство объекта аудита не принимало участия в идентификации и оценке рисков, то процесс согласования в лучшем случае пойдет со скрипом, а часто может просто саботироваться. Согласование призвано способствовать как максимально полной и объективной оценке рисков компании, так и формированию заинтересованности в поиске и выработке способов управления выявленными рисками. Согласование может показаться способом манипуляции, однако такое восприятие ошибочно – это объективно полезная и позитивная процедура.
Формирование плана на год. Согласование плана на год. ПВА должно формировать план проектов на год с учетом ряда нюансов.
Нюанс 1. План должен быть по силам для ПВА с точки зрения ресурсоемкости, требований к компетенции и наличия административной поддержки. Все эти составляющие осуществимости плана зависят от разнообразных факторов.
Ресурсоемкость в первую очередь соотносится со способностью конкретного аудитора или команды аудиторов выполнить определенную работу за определенное время с достижением необходимого качества. Повышение профессионального уровня аудиторов, увеличение их количества, поддержание высокой мотивации, уменьшение количества и снижение сложности проектов и многое другое способствуют повышению ресурсоемкости плана. Обратные тенденции способствуют снижению ресурсоемкости плана. Руководитель ПВА не должен забывать, что людям для того, чтобы хорошо работать, необходимо хорошо отдыхать. План не должен заставлять прыгать выше головы в течение слишком длительного времени.
Команда аудиторов должна быть способна выполнить план при текущем уровне знаний, опыта и навыков. Если руководитель ПВА формирует проект аудита, для исполнения которого уровень компетенции его команды недостаточен, он должен позаботиться о привлечении необходимой компетенции со стороны.
Отсутствие административной поддержки является серьезным препятствием на пути выполнения плана аудита. Чем ниже уровень корпоративной культуры и чем выше уровень бюрократии и политизированности в компании, тем большее значение имеет обеспечение достаточной административной поддержки для успешного выполнения плана аудита. Все это попахивает крысиными бегами, однако такова российская действительность.
Нюанс 2. План должен учитывать пожелания как непосредственного руководства ПВА (например, аудиторского комитета), так и пожелания генерального директора, руководства ключевых бизнес-процессов, а также, порой, руководства потенциальных объектов аудита. Пожелания учитываются отнюдь не из вежливости, а для обеспечения взаимовыгодного сотрудничества ради процветания компании. Разумеется, пожелания могут быть нацелены на сдерживание особо прытких ПВА. Однако нередко их учет приносит немалую пользу. Управление данным нюансом во многом зависит от способностей руководителя ПВА. При этом стоит помнить, что необоснованный отказ от учета пожелания может осложнить работу ПВА в будущем.
Нюанс 3. План должен предусматривать резерв времени. Год – довольно продолжительный период. В течение года может произойти множество событий как способствующих исполнению плана, так и препятствующих его исполнению. К последним относятся временное отсутствие сотрудников ПВА по различным причинам, организационные накладки, отсутствие ключевых сотрудников объекта аудита, затягивание выполнения проектов и т. д.
Кроме того, довольно часто резерв времени создается под точечные проекты, возникающие в оперативном порядке. ПВА важно оказывать максимальную поддержку бизнесу. Обычно резерв составляет 10–15 % от времени всех плановых проектов.
Нюанс 4. План должен иметь достаточную детализацию. Как минимум он должен представлять собой план-график с указанием начальной и конечной дат каждого проекта и общей продолжительности проекта. При наличии нескольких команд внутренних аудиторов в составе ПВА необходимо распределить проекты между ними. При более детальном планировании каждый проект разбивается на ключевые этапы, которые расставляются в хронологической и процессной последовательности.
Нюанс 5. План должен иметь несколько вариантов. Это объясняется несколькими причинами. Во-первых, стороны, согласующие план, должны иметь несколько вариантов для выбора наилучшего с их точки зрения. Формируя несколько версий плана, руководитель ПВА предоставляет такую возможность. Во-вторых, различные сочетания ресурсов, имеющихся в распоряжении ПВА, могут предоставлять разные возможности проведения проектов. Чаще всего ПВА не хватает ресурсов для проведения всех проектов, результаты которых могли бы принести существенную пользу компании. Многие проекты приходится откладывать, а некоторые могут вообще не состояться. Поэтому руководитель ПВА должен постоянно напоминать своему руководству и руководству компании, что теряет компания, ограничивая ресурсы ПВА. Составление нескольких вариантов плана (с различными сочетаниями ресурсы/результаты) – один из способов напоминания. Однако основная цель – не напомнить об упущенных возможностях, а заинтересовать в максимальном использовании функционала внутреннего аудита. В-третьих, план дает руководителю ПВА некоторые возможности по манипулированию как своим руководством, так и руководством компании. Ведь всегда можно сделать один вариант более привлекательным, чем остальные. Самое главное – пользоваться этим, когда необходимость в целесообразной манипуляции действительно существует.
Процедура согласования плана проектов внутреннего аудита может иметь свои особенности в разных компаниях. Однако в целом она довольно типична – представление плана и сопутствующих материалов, рассмотрение их согласующей стороной, презентация и обсуждение плана на итоговой встрече (например, на одном из заседаний аудиторского комитета в четвертом квартале), вынесение окончательного решения (например, протокол заседания аудиторского комитета). В некоторых компаниях утвержденный план проектов внутреннего аудита может приниматься в виде отдельного распорядительного документа за подписью руководителя компании (например, приказ за подписью генерального директора). Нелишним будет известить руководство объектов аудита о деталях принятого плана, имеющих отношение к данным объектам аудита.
Планирование проекта. Формирование запроса информации. Исполнение запроса/интервью. В большинстве случаев процедура планирования проекта стартует именно с формирования запроса информации у объекта аудита, особенно если этот объект впервые попал в план. Содержание запроса полностью зависит от целей проекта. Запрос направляется руководству объекта аудита в виде официального письма. Так как основанием для исполнения запроса является начало проекта, имеет смысл описать в нем его основные параметры (сроки, участники команды аудиторов, ключевые требования к объекту аудита и т. д.).
В ряде случаев на этапе планирования проводятся встречи с руководством ключевых бизнес-процессов. Они могут преследовать различные цели, например:
• получить общую информацию по текущему статусу объекта аудита;
• узнать ожидания и пожелания руководства ключевых бизнес-процессов;
• представить общую информацию о проекте.
На этапе планирования происходит уточнение тех целей и задач, которые были сформированы при годовом планировании. Не исключено, что картина рисков для объекта аудита изменится с момента утверждения и согласования годового плана аудита. Поэтому, если план аудита формировался на основе оценки рисков, такую оценку необходимо уточнить. Для этого могут проводиться те же самые процедуры, что и на этапе годового планирования, но точечно (только в отношении конкретного объекта аудита и конкретных факторов риска). В некоторых случаях улучшение управления определенными рисками приводит к тому, что объект аудита перестанет представлять интерес для целей внутреннего аудита. В такой ситуации стоит исключить этот объект из плана и заняться другим объектом аудита.
При использовании риск-ориентированного метода аудита на этапе планирования составляется матрица рисков и контрольных процедур.
Более подробно процесс планирования проекта внутреннего аудита проанализирован в главе 7.
Проведение организационной встречи. Такого рода встреча проводится на территории объекта аудита. Она преследует несколько основных целей:
• представить общую информацию о проекте (цели, сроки, действующие лица, задачи, используемые процедуры, порядок согласования и обсуждения результатов и т. д.);
• ответить на вопросы по проекту;
• представить участников команды аудиторов;
• познакомиться с ключевыми сотрудниками объекта аудита;
• задать общий тон проекта;
• прочувствовать атмосферу объекта аудита.
Более подробно процесс проведения организационной встречи проанализирован в главе 9.
Составление описания процесса. Проведение сквозного тестирования. Обе процедуры являются ключевыми для большинства проектов внутреннего аудита при условии, что ПВА практикует аудит бизнес-процессов и системы внутреннего контроля. Если ПВА отдает предпочтение другому подходу (бухгалтерскому, ревизионному, комплаенс), то необходимость в составлении описания процессов и последующем сквозном тестировании в основном отсутствует.
При составлении описания процесса используются методологии, комбинирующие графическое и словесное описание. Ключевое преимущество графического представления заключается в его наглядности – картинки всегда воспринимаются легче, чем словесный поток. При необходимости описание процесса можно включить в финальный отчет.
Обеспечить достоверность описания процесса практически невозможно без сквозного тестирования. В целом чем меньше ПВА знакомо с объектом аудита, тем больше ресурсов необходимо для описания процесса и сквозного тестирования.
Более подробно процесс составления описания процесса и проведения сквозного тестирования проанализирован в главе 9.
Уточнение матрицы рисков. Если на этапе планирования проекта составлялась матрица рисков и контрольных процедур, ее необходимо уточнить после завершения описания процесса и сквозного тестирования. Такая последовательность имеет свою логику – после составления описания и сквозного тестирования значительно проясняется общая картина объекта аудита. Суть пересмотра матрицы рисков и контрольных процедур заключается в уточнении перечня рисков (факторов рисков) и оценок их существенности, а также в уточнении перечня существующих контрольных процедур и оценки их адекватности (эффективности). Результаты уточнения могут серьезно повлиять на выбор тематики для детального тестирования и проведения аналитических процедур.
Более подробно процесс уточнения матрицы рисков и контрольных процедур проанализирован в главе 9.
Проведение аналитических процедур. Сфера применения таких процедур может быть весьма обширной. Правильный и опытный аудитор умеет пользоваться этим инструментом. Аналитические процедуры используются как на этапе осуществления проекта, так и на этапе планирования. С их помощью можно нащупать потенциально интересные темы для последующего детального тестирования. Они позволяют получить дополнительные подтверждения правильности аудиторских выводов и оценить последствия имеющихся недостатков.
Более подробно процесс осуществления аналитических процедур проанализирован в главе 8.
Планирование детального тестирования. Формирование выборок. Проведение детального тестирования. В целом вся работа при осуществлении проекта внутреннего аудита выполняется с использованием различного рода выборок. Однако формирование выборок приходится в основном на этап детального тестирования. Во многих случаях детальное тестирование невозможно без предварительного планирования. Это связано с тем, что процесс детального тестирования часто сопряжен со сложностями (например, отсутствием систематизированных данных, отсутствием документальных следов осуществления тех или иных операций, сложными методами получения данных).
По ходу проекта цикл «план – выборка – тестирование» может повторяться неоднократно даже в отношении одной конкретной темы тестирования.
Более подробно процесс формирования выборок, а также процессы планирования и детального тестирования проанализированы в главе 9.
Формирование проектов отчета и плана мероприятий. Обсуждение проектов отчета и плана мероприятий. Понятно, что проект отчета формирует ПВА. Что касается плана исправительных мероприятий, то он должен быть результатом совместных усилий аудиторов и сотрудников (владельцев) объекта аудита. Однако в российских экономических реалиях довольно часто эти сотрудники ведут себя пассивно или, что хуже, пытаются саботировать процесс формирования плана мероприятий (например, предлагая заведомо неэффективные или поверхностные мероприятия). ПВА, однако, всегда должно формировать свою позицию в отношении подхода к нивелированию того или иного недостатка.
В большинстве ситуаций результаты работы команды внутренних аудиторов, оформленные в виде проекта отчета, имеет смысл сначала обсудить с сотрудниками (владельцами) объекта аудита и только потом представлять другим пользователям. Количество таких обсуждений, конечно, не ограничено, однако лучше не затягивать процесс.
Более подробно процессы формирования и обсуждения проекта отчета и плана мероприятий проанализированы в главе 11.
Формирование финального отчета и плана мероприятий. Презентация результатов проекта. После того как обсуждение с сотрудниками (владельцами) объекта аудита завершено, а необходимые корректировки и комментарии внесены, отчет готов для представления прочим пользователям. К ним относятся как минимум руководство ключевых бизнес-процессов, генеральный директор, аудиторский комитет.
Более подробно процессы формирования и представления финального отчета и плана мероприятий проанализированы в главе 11.
1) аудит системы внутреннего контроля бизнес-процессов (включая аудит эффективности построения бизнес-процессов);
2) консалтинговые проекты;
3) выявление и расследование фактов мошенничества и иного несанкционированного распоряжения имуществом компании;
4) аудит финансовой отчетности;
5) аудит соблюдения требований законодательства и внутренних регламентирующих документов.
Правильный аудит в основном занимается проектами, относящимися к первым трем категориям с большим уклоном в сторону первых двух. К консалтинговым обычно относятся проекты, в которых достижение цели не связано с необходимостью осуществления полного спектра аудиторских процедур. К ним относятся, например, проекты по:
• созданию регламентов, форм отчетности, процедур, процессов;
• осуществлению процедуры дью дилидженс[9];
• оптимизации бизнес-процессов;
• реорганизации юридических лиц, включая продажу, слияния и поглощения;
• оценке стоимости имущества компании.
С точки зрения аудиторских процедур наиболее насыщенными являются проекты по аудиту системы внутреннего контроля бизнес-процессов (включая аудит эффективности построения бизнес-процессов). Остальные категории проектов выполняются с применением лишь отдельных аудиторских процедур. Например, при аудите финансовой отчетности не составляются описания процессов, не проводится сквозное тестирование, не формируются матрицы рисков, ограниченно используются аналитические процедуры и детальное тестирование. По этой причине мы рассмотрим структуру и содержание основных этапов аудиторского процесса при выполнении проектов первой категории. Также хотелось бы обратить внимание на формулировку проектов первой категории. Большинство аудиторов являются специалистами в первую очередь в области внутреннего контроля. Способность команды внутренних аудиторов оценивать эффективность построения бизнес-процессов во многом зависит от ее опыта и ряда других навыков и знаний. Однако система внутреннего контроля бизнес-процесса и структура и содержание данного бизнес-процесса очень тесно взаимосвязаны. Поэтому для повышения ценности своей работы каждый внутренний аудитор должен стремиться стать экспертом не только по системе внутреннего контроля процессов, но и по нюансам организации и построения ключевых бизнес-процессов.
Общая структура и основные этапы процесса управления проектами внутреннего аудита представлены на рис. 5. Данная структура и основные этапы процесса наиболее типичны для холдинговых компаний с централизованной функцией внутреннего аудита. Разумеется, в разных компаниях этот процесс может иметь вариации. Тем не менее в большинстве компаний, в которых есть ПВА, процесс управления проектами внутреннего аудита в целом имеет указанную структуру и содержание.
Основными участниками процесса являются:
• подразделение внутреннего аудита – напрямую заинтересовано в результатах процесса, поэтому в большинстве случаев должно выступать основным исполнителем, координатором и организатором;
• аудиторский комитет/генеральный директор – во многих случаях ПВА подчиняется либо аудиторскому комитету, либо генеральному директору, которые осуществляют общее руководство (что в том числе подразумевает необходимость согласования с ними, так скажем, крупных моментов);
• руководство ключевых бизнес-процессов – в большинстве случаев это топ-менеджмент, возглавляющий определенную функцию в компании и подчиняющийся единому исполнительному органу компании (например, генеральному директору). Типичным примером являются руководители ключевых подразделений (например, заместитель генерального директора по производству или заместитель генерального директора по экономике и финансам) управляющей компании холдинга. Потенциально такие руководители обладают максимумом информации по направлениям своей деятельности в целом по холдингу (функциональные руководители отдельных предприятий, входящих в холдинг, в большинстве случаев имеют отрывочное представление о факторах риска в деятельности других предприятий холдинга);
• руководство объектов аудита – в классическом варианте это топ-менеджмент отдельного предприятия (входящего в состав группы). Намного реже в качестве руководства объекта аудита выступает руководство одного из ключевых процессов независимо от того, в каком юридическом лице данный процесс начинается и/или заканчивается. Последний вариант формирования объекта аудита встречается значительно реже первого варианта по той причине, что возможности ПВА по проведению аудита разных юридических лиц несопоставимы. Например, во многих холдинговых структурах управляющая компания в той или иной степени неприкасаема для аудита. Практически всегда это неправильно, т. к. многие проблемы контроля и криво организованных бизнес-процессов растут именно из головной компании;
• дирекция по управлению рисками – наименование говорит само за себя. Однако основная задача такого рода подразделений заключается в построении процесса управления рисками. Результаты данной работы в чистом виде не всегда пригодны для формирования карты рисков. По этой причине в большинстве случаев дирекция по управлению рисками является просто одним из участников процесса выявления и оценки рисков.
Рис. 5. Общая структура и основные этапы процесса управления проектами внутреннего аудита
Рассмотрим бегло содержание этапов процесса.
Идентификация и оценка рисков. Содержание данного процесса описано в главе «Формирование риск-ориентированного подхода к проведению проектов внутреннего аудита». Идентификация и оценка рисков может осуществляться как в рамках упрощенного, так и продвинутого метода риск-ориентированного аудита. Участие руководства ключевых бизнес-процессов в этом процессе обязательно. Руководство объектов аудита может принимать участие в процессе в зависимости от ситуации – основными препятствиями являются ограниченность ресурсов ПВА и жесткие временные рамки, а также целесообразность привлечения руководства потенциальных объектов аудита к процессу формирования карты рисков (учитывая, например, его стремление скрывать проблемы).
Построение карты рисков. Согласование карты рисков. Карта рисков должна соответствовать ряду требований. Ключевое требование заключается в обеспечении максимальной пригодности такой карты для формирования плана и программ аудита. Разумеется, сама карта должна представлять исчерпывающую и объективную картину наиболее существенных рисков компании. Содержание этого процесса также описано в главе «Формирование риск-ориентированного подхода к проведению проектов внутреннего аудита».
Что касается согласования карты рисков, то здесь есть один нюанс. Если руководство ключевых бизнес-процессов и/или руководство объекта аудита не принимало участия в идентификации и оценке рисков, то процесс согласования в лучшем случае пойдет со скрипом, а часто может просто саботироваться. Согласование призвано способствовать как максимально полной и объективной оценке рисков компании, так и формированию заинтересованности в поиске и выработке способов управления выявленными рисками. Согласование может показаться способом манипуляции, однако такое восприятие ошибочно – это объективно полезная и позитивная процедура.
Формирование плана на год. Согласование плана на год. ПВА должно формировать план проектов на год с учетом ряда нюансов.
Нюанс 1. План должен быть по силам для ПВА с точки зрения ресурсоемкости, требований к компетенции и наличия административной поддержки. Все эти составляющие осуществимости плана зависят от разнообразных факторов.
Ресурсоемкость в первую очередь соотносится со способностью конкретного аудитора или команды аудиторов выполнить определенную работу за определенное время с достижением необходимого качества. Повышение профессионального уровня аудиторов, увеличение их количества, поддержание высокой мотивации, уменьшение количества и снижение сложности проектов и многое другое способствуют повышению ресурсоемкости плана. Обратные тенденции способствуют снижению ресурсоемкости плана. Руководитель ПВА не должен забывать, что людям для того, чтобы хорошо работать, необходимо хорошо отдыхать. План не должен заставлять прыгать выше головы в течение слишком длительного времени.
Команда аудиторов должна быть способна выполнить план при текущем уровне знаний, опыта и навыков. Если руководитель ПВА формирует проект аудита, для исполнения которого уровень компетенции его команды недостаточен, он должен позаботиться о привлечении необходимой компетенции со стороны.
Отсутствие административной поддержки является серьезным препятствием на пути выполнения плана аудита. Чем ниже уровень корпоративной культуры и чем выше уровень бюрократии и политизированности в компании, тем большее значение имеет обеспечение достаточной административной поддержки для успешного выполнения плана аудита. Все это попахивает крысиными бегами, однако такова российская действительность.
Нюанс 2. План должен учитывать пожелания как непосредственного руководства ПВА (например, аудиторского комитета), так и пожелания генерального директора, руководства ключевых бизнес-процессов, а также, порой, руководства потенциальных объектов аудита. Пожелания учитываются отнюдь не из вежливости, а для обеспечения взаимовыгодного сотрудничества ради процветания компании. Разумеется, пожелания могут быть нацелены на сдерживание особо прытких ПВА. Однако нередко их учет приносит немалую пользу. Управление данным нюансом во многом зависит от способностей руководителя ПВА. При этом стоит помнить, что необоснованный отказ от учета пожелания может осложнить работу ПВА в будущем.
Нюанс 3. План должен предусматривать резерв времени. Год – довольно продолжительный период. В течение года может произойти множество событий как способствующих исполнению плана, так и препятствующих его исполнению. К последним относятся временное отсутствие сотрудников ПВА по различным причинам, организационные накладки, отсутствие ключевых сотрудников объекта аудита, затягивание выполнения проектов и т. д.
Кроме того, довольно часто резерв времени создается под точечные проекты, возникающие в оперативном порядке. ПВА важно оказывать максимальную поддержку бизнесу. Обычно резерв составляет 10–15 % от времени всех плановых проектов.
Нюанс 4. План должен иметь достаточную детализацию. Как минимум он должен представлять собой план-график с указанием начальной и конечной дат каждого проекта и общей продолжительности проекта. При наличии нескольких команд внутренних аудиторов в составе ПВА необходимо распределить проекты между ними. При более детальном планировании каждый проект разбивается на ключевые этапы, которые расставляются в хронологической и процессной последовательности.
Нюанс 5. План должен иметь несколько вариантов. Это объясняется несколькими причинами. Во-первых, стороны, согласующие план, должны иметь несколько вариантов для выбора наилучшего с их точки зрения. Формируя несколько версий плана, руководитель ПВА предоставляет такую возможность. Во-вторых, различные сочетания ресурсов, имеющихся в распоряжении ПВА, могут предоставлять разные возможности проведения проектов. Чаще всего ПВА не хватает ресурсов для проведения всех проектов, результаты которых могли бы принести существенную пользу компании. Многие проекты приходится откладывать, а некоторые могут вообще не состояться. Поэтому руководитель ПВА должен постоянно напоминать своему руководству и руководству компании, что теряет компания, ограничивая ресурсы ПВА. Составление нескольких вариантов плана (с различными сочетаниями ресурсы/результаты) – один из способов напоминания. Однако основная цель – не напомнить об упущенных возможностях, а заинтересовать в максимальном использовании функционала внутреннего аудита. В-третьих, план дает руководителю ПВА некоторые возможности по манипулированию как своим руководством, так и руководством компании. Ведь всегда можно сделать один вариант более привлекательным, чем остальные. Самое главное – пользоваться этим, когда необходимость в целесообразной манипуляции действительно существует.
Процедура согласования плана проектов внутреннего аудита может иметь свои особенности в разных компаниях. Однако в целом она довольно типична – представление плана и сопутствующих материалов, рассмотрение их согласующей стороной, презентация и обсуждение плана на итоговой встрече (например, на одном из заседаний аудиторского комитета в четвертом квартале), вынесение окончательного решения (например, протокол заседания аудиторского комитета). В некоторых компаниях утвержденный план проектов внутреннего аудита может приниматься в виде отдельного распорядительного документа за подписью руководителя компании (например, приказ за подписью генерального директора). Нелишним будет известить руководство объектов аудита о деталях принятого плана, имеющих отношение к данным объектам аудита.
Планирование проекта. Формирование запроса информации. Исполнение запроса/интервью. В большинстве случаев процедура планирования проекта стартует именно с формирования запроса информации у объекта аудита, особенно если этот объект впервые попал в план. Содержание запроса полностью зависит от целей проекта. Запрос направляется руководству объекта аудита в виде официального письма. Так как основанием для исполнения запроса является начало проекта, имеет смысл описать в нем его основные параметры (сроки, участники команды аудиторов, ключевые требования к объекту аудита и т. д.).
В ряде случаев на этапе планирования проводятся встречи с руководством ключевых бизнес-процессов. Они могут преследовать различные цели, например:
• получить общую информацию по текущему статусу объекта аудита;
• узнать ожидания и пожелания руководства ключевых бизнес-процессов;
• представить общую информацию о проекте.
На этапе планирования происходит уточнение тех целей и задач, которые были сформированы при годовом планировании. Не исключено, что картина рисков для объекта аудита изменится с момента утверждения и согласования годового плана аудита. Поэтому, если план аудита формировался на основе оценки рисков, такую оценку необходимо уточнить. Для этого могут проводиться те же самые процедуры, что и на этапе годового планирования, но точечно (только в отношении конкретного объекта аудита и конкретных факторов риска). В некоторых случаях улучшение управления определенными рисками приводит к тому, что объект аудита перестанет представлять интерес для целей внутреннего аудита. В такой ситуации стоит исключить этот объект из плана и заняться другим объектом аудита.
При использовании риск-ориентированного метода аудита на этапе планирования составляется матрица рисков и контрольных процедур.
Более подробно процесс планирования проекта внутреннего аудита проанализирован в главе 7.
Проведение организационной встречи. Такого рода встреча проводится на территории объекта аудита. Она преследует несколько основных целей:
• представить общую информацию о проекте (цели, сроки, действующие лица, задачи, используемые процедуры, порядок согласования и обсуждения результатов и т. д.);
• ответить на вопросы по проекту;
• представить участников команды аудиторов;
• познакомиться с ключевыми сотрудниками объекта аудита;
• задать общий тон проекта;
• прочувствовать атмосферу объекта аудита.
Более подробно процесс проведения организационной встречи проанализирован в главе 9.
Составление описания процесса. Проведение сквозного тестирования. Обе процедуры являются ключевыми для большинства проектов внутреннего аудита при условии, что ПВА практикует аудит бизнес-процессов и системы внутреннего контроля. Если ПВА отдает предпочтение другому подходу (бухгалтерскому, ревизионному, комплаенс), то необходимость в составлении описания процессов и последующем сквозном тестировании в основном отсутствует.
При составлении описания процесса используются методологии, комбинирующие графическое и словесное описание. Ключевое преимущество графического представления заключается в его наглядности – картинки всегда воспринимаются легче, чем словесный поток. При необходимости описание процесса можно включить в финальный отчет.
Обеспечить достоверность описания процесса практически невозможно без сквозного тестирования. В целом чем меньше ПВА знакомо с объектом аудита, тем больше ресурсов необходимо для описания процесса и сквозного тестирования.
Более подробно процесс составления описания процесса и проведения сквозного тестирования проанализирован в главе 9.
Уточнение матрицы рисков. Если на этапе планирования проекта составлялась матрица рисков и контрольных процедур, ее необходимо уточнить после завершения описания процесса и сквозного тестирования. Такая последовательность имеет свою логику – после составления описания и сквозного тестирования значительно проясняется общая картина объекта аудита. Суть пересмотра матрицы рисков и контрольных процедур заключается в уточнении перечня рисков (факторов рисков) и оценок их существенности, а также в уточнении перечня существующих контрольных процедур и оценки их адекватности (эффективности). Результаты уточнения могут серьезно повлиять на выбор тематики для детального тестирования и проведения аналитических процедур.
Более подробно процесс уточнения матрицы рисков и контрольных процедур проанализирован в главе 9.
Проведение аналитических процедур. Сфера применения таких процедур может быть весьма обширной. Правильный и опытный аудитор умеет пользоваться этим инструментом. Аналитические процедуры используются как на этапе осуществления проекта, так и на этапе планирования. С их помощью можно нащупать потенциально интересные темы для последующего детального тестирования. Они позволяют получить дополнительные подтверждения правильности аудиторских выводов и оценить последствия имеющихся недостатков.
Более подробно процесс осуществления аналитических процедур проанализирован в главе 8.
Планирование детального тестирования. Формирование выборок. Проведение детального тестирования. В целом вся работа при осуществлении проекта внутреннего аудита выполняется с использованием различного рода выборок. Однако формирование выборок приходится в основном на этап детального тестирования. Во многих случаях детальное тестирование невозможно без предварительного планирования. Это связано с тем, что процесс детального тестирования часто сопряжен со сложностями (например, отсутствием систематизированных данных, отсутствием документальных следов осуществления тех или иных операций, сложными методами получения данных).
По ходу проекта цикл «план – выборка – тестирование» может повторяться неоднократно даже в отношении одной конкретной темы тестирования.
Более подробно процесс формирования выборок, а также процессы планирования и детального тестирования проанализированы в главе 9.
Формирование проектов отчета и плана мероприятий. Обсуждение проектов отчета и плана мероприятий. Понятно, что проект отчета формирует ПВА. Что касается плана исправительных мероприятий, то он должен быть результатом совместных усилий аудиторов и сотрудников (владельцев) объекта аудита. Однако в российских экономических реалиях довольно часто эти сотрудники ведут себя пассивно или, что хуже, пытаются саботировать процесс формирования плана мероприятий (например, предлагая заведомо неэффективные или поверхностные мероприятия). ПВА, однако, всегда должно формировать свою позицию в отношении подхода к нивелированию того или иного недостатка.
В большинстве ситуаций результаты работы команды внутренних аудиторов, оформленные в виде проекта отчета, имеет смысл сначала обсудить с сотрудниками (владельцами) объекта аудита и только потом представлять другим пользователям. Количество таких обсуждений, конечно, не ограничено, однако лучше не затягивать процесс.
Более подробно процессы формирования и обсуждения проекта отчета и плана мероприятий проанализированы в главе 11.
Формирование финального отчета и плана мероприятий. Презентация результатов проекта. После того как обсуждение с сотрудниками (владельцами) объекта аудита завершено, а необходимые корректировки и комментарии внесены, отчет готов для представления прочим пользователям. К ним относятся как минимум руководство ключевых бизнес-процессов, генеральный директор, аудиторский комитет.
Более подробно процессы формирования и представления финального отчета и плана мероприятий проанализированы в главе 11.