Текст книги "Настольная книга по внутреннему аудиту. Риски и бизнес-процессы"
Автор книги: Олег Крышкин
сообщить о нарушении
Текущая страница: 9 (всего у книги 33 страниц) [доступный отрывок для чтения: 12 страниц]
Блок 1 – информация, необходимая для выявления и оценки факторов риска и рисков процесса;
Блок 2 – информация, необходимая для первоначального ознакомления с деятельностью предприятия;
Блок 3 – информация, необходимая для общей оценки состояния системы контроля процесса.
Правильным является такой запрос, который позволяет получить информацию, необходимую для проведения вышеуказанных мероприятий. В завершение еще раз обращу внимание на необходимость особо тщательного формирования первоначального запроса. Мало пользы от запроса, исполнение которого руководство объекта аудита просто игнорирует. Кроме того, это создает прецедент, чреватый негативными последствиями для команды внутренних аудиторов на проекте (например, игнорирование или затягивание исполнения дальнейших запросов).
Формирование матриц рисков и контрольных процедур
Ключевой целью формирования матрицы является соотнесение рисков, влияющих на деятельность объекта аудита, с системой внутреннего контроля бизнес-процессов этого объекта. В результате выявляются провалы в системе внутреннего контроля объекта аудита. Они возникают тогда, когда система внутреннего контроля упускает из виду конкретные риски. В таком случае возможны три ситуации:
1. В системе внутреннего контроля отсутствуют контрольные процедуры, направленные на оптимальное нивелирование параметров конкретного риска, например, выбор поставщика без проведения тендера приводит во многих ситуациях к выбору неоптимального поставщика.
2. Контроль воздействует на риск, однако оптимального нивелирования не достигается, например, процедура тендера вроде есть, но пул участников формируется дирекцией по закупкам, при этом база поставщиков не ведется. В этом случае также довольно часто выбирается неоптимальный поставщик.
3. Контроль способен оптимально нивелировать параметры риска, однако в силу различных причин этого не происходит, например, процедура тендера идеальна по своей структуре и содержанию. Однако для ее ускорения могут форсироваться те или иные этапы (например, сокращаться сроки приема коммерческих предложений без извещения всех потенциальных поставщиков), что в конечном итоге приводит к выбору неоптимального поставщика.
На этапе планирования матрица составляется для того, чтобы получить общую картину по управлению ключевыми рисками процесса. Кроме того, наличие матрицы позволяет оптимально распределять ресурсы и выстраивать правильную последовательность приоритетов.
В базовом варианте матрицы имеется четыре раздела – «Процесс», «Риск», «Цель контроля» и «Контроль». Информация из одного раздела увязывается с информацией из других трех разделов. По этой причине наиболее распространенным форматом матрицы рисков и контрольных процедур является таблица. Рассмотрим кратко содержание каждого раздела.
1. Раздел «Процесс». Здесь указывается процесс, который в остальных трех разделах анализируется на предмет рисков и контрольных процедур. В зависимости от детализации матрицы вместо процесса может указываться подпроцесс или даже этап подпроцесса.
2. Раздел «Риск». Здесь указывается риск, который негативно влияет на достижение целей рассматриваемого процесса. По каждому из процессов (подпроцессов, этапов подпроцесса), включенных в матрицу, может быть более одного риска. Максимальное количество рисков не ограничено. Однако при формировании перечня рисков не стоит увлекаться количеством ради количества. Необходимо придерживаться практического подхода и указывать только те риски, которые действительно могут встретиться в реальности, исходя из данных предварительного анализа процесса.
3. Раздел «Цель контроля». Существуют различные подходы к заполнению данного раздела. Во-первых, можно привести расширенную формулировку цели контроля (см. пример в табл. 10). С одной стороны, она может способствовать более точному пониманию того, каким должен быть контроль. Например, в нашем случае указывается конкретное действие, которое должно произойти в результате выполнения контрольной процедуры, – прерывание процесса «Формирование потребности в материалах для закупки». С другой стороны, существенным минусом расширенной формулировки является утрата унификации и универсальности. При использовании расширенной формулировки необходимо иметь детальное представление о структуре и содержании процесса, например, в одном случае целью контроля может быть прерывание процесса, а в другом – уведомление о возникшей ситуации для принятия точечного решения. Так или иначе, в большинстве случаев на этапе планирования не предполагается, что команда внутренних аудиторов обладает таким детальным представлением. Кроме того, как бы странно это ни звучало, но нередко выбор расширенной формулировки – это дело вкуса, а вкус – понятие субъективное, например, разные люди могут по-разному понимать слово «прервать» (например, запретить или потребовать дополнительного согласования). Также разные люди склонны использовать разную лексику для обозначения одних и тех же явлений и действий. Все эти факторы могут вносить дополнительный сумбур в понимание информации, изложенной в матрице рисков и контрольных процедур. В то же время в качестве целей контроля можно использовать определенную терминологию. Один из ее вариантов представлен в главе 3. В ней описываются семь ключевых целей контроля. Если использовать предлагаемую терминологию, то цель контроля будет иметь иную формулировку (см. табл. 11). Она обозначается не каким-либо действием, а некой качественной характеристикой, которую контрольная процедура должна достичь. Таким образом, обеспечивается унификация и отсутствие привязки к конкретному содержанию контрольной процедуры, которое неизвестно на этапе планирования проекта. Кроме того, использование унифицированных целей контроля позволяет быстрее и правильнее оценить, насколько конкретная контрольная процедура достигает цели.
Таблица 10. Пример расширенной формулировки цели контроля
4. Раздел «Контроль». В большинстве случаев суть контроля заключается в осуществлении того или иного действия, которое направлено на достижение цели контроля. Отсюда широко используется термин «контрольная процедура», который лишний раз подчеркивает направленность контроля на создание активности. Разумеется, на этапе планирования формулировки многих контрольных процедур могут выглядеть обобщенно. Необходимо иметь в виду, что крайне важно уточнять содержание и структуру контрольных процедур в процессе работы по проекту – детализация процесса и контрольных процедур процесса должны быть сопоставимыми. Кроме того, раздел «Контроль» можно разбить на два подраздела. В первом указывается оптимальный контроль (исходя из предполагаемого содержания и структуры процесса), а во втором – фактический контроль (исходя из имеющегося на этапе планирования представления о фактическом содержании и структуре процесса). Если есть подозрение отсутствия контроля на том или ином этапе подпроцесса, информация по фактическому контролю не заносится. Такие случаи подлежат уточнению по мере выполнения проекта.
Таким образом, на этапе планирования матрица рисков и контрольных процедур в базовом варианте представляет собой таблицу, состоящую из четырех разделов. В ряде случаев раздел «Контроль» может быть разбит на два подраздела. В дальнейшем, в процессе выполнения проекта внутреннего аудита матрица уточняется и обрастает новыми графами. Более подробно мы рассмотрим этот процесс в разделе «Документирование работы внутреннего аудита» главы 9.
Формирование программ аудита отдельных процессов
Существуют разнообразные подходы к формированию программ аудита, однако основных всего два – процедурный и тематический.
Процедурный подходПри использовании данного подхода аудитору предлагается провести ряд отдельных тестов, порой даже не связанных друг с другом. Результаты тестирования передаются более опытному аудитору, который на их основании формирует как минимум промежуточные выводы о состоянии объекта анализа. Использование такого подхода базируется на нескольких взаимосвязанных факторах.
• Ограниченная компетенция участников команды внутреннего аудита – уровень развития участников команды внутренних аудиторов ограничивает целесообразность предоставления им права принятия самостоятельных решений. Способность принимать правильные и полезные решения приходит к аудитору с опытом.
• Фиксированная тематика (перечень вопросов) аудита – ряд проектов могут быть сформулированы в виде ограниченного перечня вопросов, которые не предполагают глубоких изысканий и изощренных методик. Например, процедура по проведению выборочной инвентаризации вполне конкретна и перечень задач ограничен естественным образом.
• Технология использования большого количества малоопытных аудиторов под руководством одного или двух аудиторов высокой квалификации – такая технология целесообразна, когда требуется много ручной работы во время проекта, например сбор данных в определенном формате. Подобная технология активно используется, например, компаниями Большой четверки при проведении аудита по стандартам МСФО и ГААП, когда за короткий период необходимо провести анализ (а порой и конвертировать в приемлемый для анализа формат) огромного объема информации.
• Простота тематики аудита – существует ряд проектов, когда требуется выполнение ограниченного круга простых действий. Например, проверка достоверности показателя какой-либо отчетности, который собирается путем суммирования данных определенных первичных документов.
Данный подход имеет множество недостатков, ключевыми из которых являются следующие:
• Формальное выполнение – по своей сути процедурный подход предполагает следование определенному шаблону. Если рассматриваемый объект не вписывается в параметры шаблона, он не представляет интереса для анализа, хотя во многих случаях он мог бы дать интересные результаты. Например, во время инвентаризации аудитор может обращать внимание только на соответствие инвентарного номера, нанесенного на объект инвентаризации, номеру по данным бухгалтерского учета. При этом он может не обращать своего внимания на саму суть объекта и его техническое состояние. В результате, например, можно не придать значение тому, что объект основных средств по факту законсервирован в течение длительного времени, хотя по данным учета он должен активно использоваться.
• «Не сказали – не сделал» – данный недостаток также является следствием шаблонного подхода к проведению процедуры. Например, аудитору могут поручить подготовить выборку закупок ТМЦ определенной номенклатуры в разрезе цены. Однако он запросто может упустить из виду то, что расхождения в цене могут быть вызваны, например, разными условиями поставки. Таким образом, для обеспечения сопоставимости ему придется проводить дополнительный сбор информации.
Основным преимуществом процессного подхода является скорость выполнения проекта, возможность обработки большого объема данных и возможность унификации результатов работы, а значит, и сопоставимости данных результатов.
Тематический подходОсновным отличием этого подхода от процедурного является нацеленность на анализ объекта аудита во взаимодействии с совокупностью факторов, влияющих на его параметры, а также влияние самого объекта на систему, в рамках которой он существует. В такой ситуации глубина анализа и полезность результатов работы во многом зависят от квалификации команды внутренних аудиторов и от наличия ресурсов. Исходя из этого, у тематического подхода имеются следующие недостатки:
• Общий повышенный уровень сложности аудиторского процесса – усложнению могут подвергаться как один, так и несколько параметров и процедур аудиторского процесса. При использовании тематического подхода сложнее выполнять работу и контролировать ее ход и результаты. Ключевым усложняющим фактором является нелинейность аудиторского процесса в конкретном проекте. Она зависит от количества и параметров изменений аудиторских процедур в ходе проекта. Способность действовать нелинейно или, другими словами, способность импровизировать является отличительной особенностью внутреннего аудитора, обладающего высокой квалификацией.
• Дефицит ресурсов – при выполнении более сложной работы требуются как более высокая квалификация участников команды внутренних аудиторов, так и достаточный запас ресурсов. Ресурсы нужны как для выполнения работы, так и для нивелирования последствий возможных ошибок и безрезультативной работы.
• Низкий уровень квалификации менеджмента – результаты работы команды внутренних аудиторов должны быть понятны их пользователям. Во многих случаях, особенно при проведении аудита процессов, менеджмент российских предприятий просто не в состоянии понять содержание и смысл аудиторских рекомендаций. И во многих случаях особой вины аудиторов в этом нет, так как речь идет о таких на первый взгляд банальных вещах, как необходимость проведения тендеров и т. д.
• Низкий уровень корпоративной культуры – в большинстве случаев это резко ограничивает возможности по внедрению рекомендаций. Если менеджменту объекта аудита вдруг покажется, что рекомендации требуют для внедрения большего, чем вялые движения языком, то они будут саботироваться.
Несмотря на довольно серьезные недостатки тематического подхода, его преимущества с лихвой их перекрывают. Ключевое преимущество данного подхода заключается в комплексном подходе к решению обнаруженной проблемы – системные решения почти всегда эффективнее тактики затыкания дыр.
В главе 10 приведены программы для проведения процессного (тематического) аудита в отношении следующих процессов:
1) процесс «Продажи»;
2) процесс «Закупки»;
3) процесс «Инвестиции (капитальные вложения и новые проекты)»;
4) процесс «Управление запасами и складское хозяйство»;
5) процесс «Управление активами»;
6) процесс «Персонал»;
7) процесс «Бизнес-планирование и бюджетирование».
Данные программы могут использоваться на практике, т. к. в их основе лежит десятилетний опыт работы во внутреннем аудите. Это не эталон, но они способны дать четкое представление о процессном аудите.
Постановка целей для участников проекта – листы оценки персонала, примеры, зачем нужно
При правильной организации проекта внутреннего аудита достижение персональных целей участников проекта должно обеспечить достижение целей самого проекта. Каждый участник команды внутреннего аудита выполняет определенную часть работы, используя свои знания, способности и навыки. Логично предположить, что правильная постановка персональных целей обеспечит выполнение целей проекта. Именно такой подход использовался мной на протяжении многих лет и не раз доказывал свою практичность. Рассмотрим его нюансы.
До начала проекта каждому участнику команды выдается оценочный лист (см. пример в табл. 12). По результатам его заполнения формируется общая оценка работы аудитора на проекте. В дальнейшем оценка может использоваться для принятия решений в отношении оцениваемого сотрудника ПВА (повышение, перевод на руководящую позицию, программа обучения, пересмотр компенсационного пакета и т. д.). Оценочный лист имеет шесть граф.
• Графа 1 «Направление» – название данной графы несколько условное. По сути, речь идет о направлениях развития компетенции аудитора в рамках предстоящего проекта. В целом выделяется три направления: 1) повышение квалификации внутреннего аудитора (включая управленческие навыки); 2) развитие ПВА и повышение его имиджа; и 3) персональное развитие (знания и личностные навыки). Повышение квалификации внутреннего аудитора в части управленческих навыков целесообразно в основном для руководителей проектов и руководителей структурных подразделений в составе ПВА.
• Графа 2 «Цель» – указывается конкретная задача, которая должна быть выполнена в рамках конкретного направления. Разумеется, наиболее объективной является формулировка цели с использованием принципа SMART.
• Графа 3 «Вес» – имеются категории веса: 1) вес самого проекта (с точки зрения сложности) и 2) вес конкретной цели. Для веса проектов использовалась шкала со значениями от 1 до 1,5:
Таблица 12. Пример оценочного листа
1 – стандартный по сложности проект внутреннего аудита и стандартный для возможностей команды внутренних аудиторов, выполняющих проект. Другими словами, выполнение проекта не вызывает заметного напряжения у членов команды;
1,1 – трудный проект (большой объем работы, ошибки в данных, прочее). Выполнение проекта требует определенного напряжения;
1,3 – тяжелый проект (характеристики трудного проекта плюс сложности коммуникативного, административного, политического характера, например сопротивление, конфликты, срыв сроков);
1,5 – проект «кошмар аудитора», т. е. тяжелый проект, осложненный угрозами, разбирательствами, провокациями и прочим (в основном агрессивного характера по отношению к команде внутреннего аудита). Выполнение такого рода проектов периодически прерывается в связи с необходимостью устранения возникающих трудностей. Довольно часто трудности можно устранить только с привлечением стороннего арбитра, в роли которого может выступить, например, руководство управляющей компании (если, например, проект проводится в управляемой компании), служба безопасности, иногда аудиторский комитет. Многие аудиторы в своей карьере не сталкиваются с такими проектами, однако они все же встречаются в практике внутреннего аудита.
Для веса цели используется шкала от 0 до 3. Эти веса используются исключительно с целью придания приоритета одним целям перед другими. Значение 3 означает наивысший приоритет цели. Значение 0 означает, что достижения конкретной цели в проекте не требуется.
• Графа 4 «Максимальное значение» – показатели в этой графе делятся на две группы: 1) показатели по направлениям в целом и 2) показатели по отдельным целям. Показатели по направлениям в целом проставляются вручную. Сумма должна быть равна 100 % исходя из используемой методики оценки. Показатели по направлениям рассчитываются по формуле: Вес по строке/Сумма весов по направлению × Максимальное значение показателя по направлению. Таким образом, мы распределяем максимальное значение по направлению между целями, составляющими это направление, в зависимости от веса цели.
• Графа 5 «Оценка» – данную графу заполняет оценивающий (например, руководитель проекта). Для этого используется шкала от 0 до 5:
0 – степень достижения цели не оценивается на данном проекте;
1 – фатальная ошибка. Другими словами, аудитор не только не справился с заданием, но и нанес значительный урон репутации как команды, так и ПВА в целом. Кроме того, он не приобрел никакого полезного опыта и знаний;
2 – требуется приложить усилия. Аудитор допустил множество ошибок при выполнении своей части работы. Для исправления этих ошибок потребовались существенные затраты ресурсов, в первую очередь времени, а также вмешательство других участников команды. Репутация ПВА существенно не пострадала. Аудитор получил минимум полезного опыта и знаний;
3 – необходимо слегка подшлифовать. При выполнении работы аудитор допустил некоторые ошибки. Негативное влияние на репутацию ПВА отсутствовало. Получен некоторый полезный опыт и знания;
4 – хорошая работа. Аудитор допустил незначительные ошибки. Его действия способствовали созданию позитивного отношения к действиям команды и ПВА в целом. При выполнении работы приобретен полезный опыт и получены полезные знания;
5 – может учить других. При достижении цели аудитор превзошел стандартные ожидания, привнес что-то новое и полезное в практику ПВА, например использовал новую и эффективную методологию выполнения теста или вызвал прилив энтузиазма у сотрудников объекта аудита в отношении результатов проекта.
• Графа 6 «Итоговая оценка» – показатели этой графы получают расчетным путем в зависимости от показателей граф 4 и 5. Значение графы 5 показывает, какая часть значения графы 4 переносится в графу 6. Например, если в графе 4 стоит 4 %, а в графе 5–5 %, то в графу 6 перейдет 4 % (полное значение графы 4). Однако если в графе 5 стоит значение 4, то в графу 6 перейдет только 80 % (4 балла из 5 возможных) значения 4 % (т. е. 3,2 %). Соответственно, оценка 3 обеспечивает перенос 60 % значения графы 4 и т. д. Таким образом, оценки по отдельным целям складываются в общие оценки по направлению, а оценки по направлению в итоговую оценку (строка «Всего»).
Итоговая оценка индексируется на вес проекта (графа 3) и сравнивается с установленными интервалами качества. Например, могут использоваться четыре интервала: 1) отличная работа (85 % и выше), 2) хорошая работа (75–85 %), 3) удовлетворительная работа (60–75 %) и 4) плохая работа (меньше 60 %). Итоговую оценку можно использовать для различных целей – от определения задач аудитора в следующем проекте до определения бонуса по итогам периода.
При использовании описанной методики оценки, а также в целом при проведении оценки работы аудиторов целесообразно придерживаться следующих принципов:
• Принцип 1. Очень важно придерживаться унифицированного подхода к эталону оценки. Это означает, что при оценке аудитора на проекте необходимо сопоставлять его работу с работой эталонного аудитора. Например, при оценке своих сотрудников в качестве эталона я использовал абстрактного старшего аудитора, обладающего квалификацией выше средней. Другими словами, при оценке я представлял, как конкретную цель в условиях проекта выполнил бы старший аудитор с подготовкой выше среднего. Такая оценка сотрудников показывает, сколько и чего им не хватает до достижения такого уровня.
• Принцип 2. Независимо от того, какую методику вы выберете, она должна использоваться в течение продолжительного времени. В этом случае эффективность ее применения возрастает, т. к. накапливается статистика по результатам ее использования.
• Принцип 3. В приведенном примере (см. табл. 12) есть графы 7–9. Они используются для того, чтобы сотрудник сам оценил свою работу на проекте. Предоставление возможности самооценки – хорошая практика. Она обеспечивает обратную связь, а также позволяет руководителю ПВА оценить объективность руководителя проекта.
• Принцип 4. Методики, подобные описанной выше, предназначены для того, чтобы максимально снизить субъективность оценки действий сотрудников, участвующих в проекте. Целесообразно стремиться к устранению субъективных факторов, мешающих адекватной оценке, в том числе за счет математизации методологии оценки.