Настольная книга по внутреннему аудиту. Риски и бизнес-процессы
Шрифт:
Более подробно процессы формирования и представления финального отчета и плана мероприятий проанализированы в главе 11.
Исполнение плана мероприятий. Мониторинг. План мероприятий направляется сотрудникам (руководству, владельцам) объекта аудита для исполнения. ПВА должно проводить оценку степени и качества исполнения до момента его завершения. В силу различных обстоятельств (например, улучшений с момента завершения аудита) не исключено формирование второй, третьей и последующих версий плана.
Более подробно процессы проведения мониторинга исполнения плана мероприятий проанализированы в главе 12.
Глава 7.
Планирование проекта
Базовые принципы
В данном разделе рассмотрен ряд базовых установок, которые применимы на всем протяжении процесса планирования. К их числу можно отнести следующие:
• Четкое понимание позиции ключевых топ-менеджеров по тематике предстоящего проекта. Иначе говоря,
• Готовность к сопротивлению принимающей стороны. Чаще всего деятельность правильного внутреннего аудита ведет к переменам. Большинство людей сознательно или неосознанно относятся без энтузиазма к переменам, даже к позитивным. Поэтому вероятность как минимум вялотекущего сопротивления со стороны сотрудников, управляющих объектом аудита, высока, особенно на этапе согласования плана мероприятий. Будьте готовы к такой реакции и предусмотрите резерв времени и ресурсов.
• Ясное определение подхода к существенности доказательств – либо верим на слово, либо копируем все, что влезает в ксерокс или сканер. Подход к определению существенности доказательств зависит от ряда факторов. Ключевым из них является, попросту говоря, серьезность вопросов, попавших в поле деятельности внутреннего аудитора. Одно дело, когда вы обращаете внимание на проблему, очевидность которой не вызывает сомнений у большинства вовлеченных в проект сотрудников, включая пользователей результатов аудита и руководство объекта аудита. Другое дело, когда вы затрагиваете вопрос сложный для восприятия и осознания. Типичным примером первой группы вопросов является факт мошенничества или халатности. Одним из распространенных примеров второй группы вопросов является, как ни странно, экономическое моделирование. Сюда относятся ситуации, когда аудитор производит расчеты, показывающие, например, что внедрение новой контрольной процедуры позволит получить определенный положительный экономический эффект. Чаще всего доказательство целесообразности предлагаемых мер наталкивается на неспособность менеджмента управлять изменениями на предлагаемом уровне детализации. Справедливости ради стоит заметить, что и аудиторы порой форсируют события и пытаются заставить предприятие прыгнуть выше головы либо предлагают не до конца проработанные варианты мероприятий. Более подробно нюансы этих ситуаций рассматриваются в следующих разделах.
• Увеличение объема коммуникации с другими подразделениями и аффилированными предприятиями начиная с этапа планирования проекта внутреннего аудита или консалтинга. Поэтому постарайтесь на данном этапе следовать принципу снайпера [10] . В приложении к деятельности внутреннего аудитора принцип снайпера означает минимизацию проигрышных ситуаций при взаимодействии с сотрудниками, управляющими объектом аудита. Для простоты под проигрышными понимаются ситуации, когда аудитор не получает того, чего хочет; большинство заинтересованных лиц в курсе этого и считают это проигрышем; аудитор не предпринимает никаких действий для нивелирования ситуации. Например, на основании результатов аудита был разработан план мероприятий по устранению недостатков. Он, возможно, даже был согласован с руководством объекта аудита. Если аудитор допустит неисполнение данного плана полностью или в существенной части, то это будет прямым нарушением принципа снайпера. Это с высокой вероятностью станет известным руководству других потенциальных объектов аудита. Конечным результатом будет общепринятое мнение, что рекомендации и планы мероприятий внутреннего аудита можно не исполнять без существенных последствий для себя (управляющего объектом аудита). Особенно фатально подобная ситуация развивается в компаниях с низким уровнем корпоративного управления и низким уровнем менеджмента. Контролируйте свои действия, будьте снайперами!
10
Снайпер не делает лишних движений, он выжидает наиболее подходящий момент, производит минимум действий с максимальным эффектом. Хороший снайпер работает по правилу «один выстрел – одно попадание». Сопоставимая эффективность также наблюдается в работе сапера, однако в отличие от сапера у снайпера часто есть возможность исправить ошибку. Но лучше до этого не доводить.
Определение цели и расчет параметров проекта
Четкое понимание цели проекта внутреннего аудита крайне важно для его успешного и эффективного проведения. Аудитору необходимо определить максимально точно, какого эффекта проект должен достичь – либо, например, просто обобщить имеющуюся информацию по какому-либо аспекту деятельности компании, либо доказать какую-то реакционную точку зрения на известную проблему. От цели проекта зависят как его параметры, так и методические особенности работы по проекту и содержания отчета. Разберем пример, представленный
Таблица 7. Пример взаимосвязи между содержанием отчета по проекту и объемом работ
В табл. 7 приведена взаимосвязь содержания отчета по проекту и объема работ по проекту. Содержание отчета по проекту внутреннего аудита всегда зависит от количественных и качественных характеристик параметров проекта. В графах «Наблюдение» и «Последствия» указаны четыре варианта формулировок содержания отчета, в графах «Объем работы» и «Время, дни» – четыре варианта параметров проекта. Здесь необходимо обратить внимание на один нюанс – применение тех или иных параметров проекта не означает автоматического достижения сопоставимого результата. Параметры проекта могут благоприятствовать работе аудитора, однако если ими безалаберно управлять, ожидать достойного результата не стоит.
По большому счету в табл. 7 представлена основная зависимость цели проекта (результата проекта) и его параметров. Более точные формулировки, дополнительные расчеты (включая расчет последствий), использование крупных выборок данных, многофакторный анализ проблем всегда будут требовать более существенных значений параметров проекта. Например, чтобы понять, отсутствует ли контроль обоснованности затрат по инвестиционным проектам (включая предположение о высокой вероятности превышения фактической себестоимости проектов над нормативной – плановой), в большинстве случаев достаточно просто описать процесс и провести его сквозное тестирование. Выполнение данной работы у квалифицированного аудитора занимает в среднем четыре рабочих дня. Однако в большинстве случаев простая констатация отсутствия какого-либо контроля и упоминание о вероятности взаимосвязанных рисков не особо впечатляет как менеджмент, так и прочих пользователей результатов работы внутреннего аудитора. Вместе с тем любое усложнение цели проекта (и, соответственно, содержания конечного результата работы) приводит к усложнению его параметров. Например, чтобы добиться результата, указанного в последней графе табл. 7, требуется как минимум расширить арсенал применяемых аудиторских процедур, а также увеличить затраты времени.
К ключевым количественным параметрам аудиторского проекта относятся следующие:
• Количество аудиторов. Основополагающий параметр. Оценку тенденций изменения численности подразделений внутреннего аудита регулярно и с разных сторон проводят компании Большой четверки, и не только они. Универсального рецепта, возможно, никогда не придумают. Существуют гигантские компании (например, Komatsu) с микроскопической командой внутренних аудиторов (2–4 человека) и менее крупные компании (например, одна из трех крупнейших российских компаний – операторов мобильной связи) с колоссальными подразделениями (более 100 человек). Понятно, что количество аудиторов, участвующих в конкретном проекте, зависит от численности подразделения. В качестве ориентира предложу следующее соотношение, применимое к ПВА, практикующим аудит бизнес-процессов. В компаниях среднего размера (выручка от $500 млн до $2 млрд) команда внутренних аудиторов из двух человек (например, старший и младший аудитор) должна быть способна провести аудит одного бизнес-процесса верхнего уровня (например, бизнес-процесса «Закупки») за 2,5–3 месяца. Этот срок предусматривает выполнение полного цикла работ (описание и сквозное тестирование бизнес-процесса, обновление матрицы рисков, проведение детального тестирования, предварительное согласование результатов с владельцами процесса). Он должен позволить уделить внимание наиболее крупным рискам процесса (не менее трех).
• Продолжительность этапов проекта. Данный параметр зависит от целого набора факторов.
– Сложность проекта (организационная) – в процессе исполнения проекта могут возникнуть трудности организационного и административного характера. Предприятие может быть погружено в бюрократические дебри, что ведет к дополнительным согласованиям и подтверждениям при взаимодействии с персоналом объекта аудита. Предприятие может быть расположено в удаленном часовом поясе и вдали от ближайшего аэропорта, что увеличивает время на перемещение команды аудиторов. Предприятие может предоставлять своим сотрудникам продолжительные отпуска (что нормально для предприятий, находящихся в районах Крайнего Севера), поэтому может возникнуть необходимость продлить проект в ожидании ключевого сотрудника. Предприятие может просто саботировать процесс предоставления информации. Перечисление возможных ситуаций займет много места. Аудитору просто необходимо помнить о важности учета организационных и административных нюансов при планировании продолжительности этапов проекта.
– Сложность проекта (техническая) – по своей воле или по указанию руководства команда аудиторов может столкнуться с необходимостью осуществления работы на грани и за гранью своих профессиональных возможностей. Например, немало российских предприятий имеют запутанные бизнес-процессы и многоуровневую структуру управления, что требует дополнительного времени для понимания. Время от времени требуется помощь технических экспертов в ходе анализа тех или иных этапов бизнес-процесса. Если эксперты не были привлечены изначально, то потребуется дополнительное время для их поиска и подключения к работе. Также периодически команда аудиторов сталкивается с необходимостью использовать ИТ-системы, специфичные для конкретного предприятия. В общем, нюансов, технически усложняющих проект, ничуть не меньше, чем организационных и административных нюансов.