Настольная книга по внутреннему аудиту. Риски и бизнес-процессы - Олег Крышкин
Шрифт:
Интервал:
Закладка:
Процедура согласования плана проектов внутреннего аудита может иметь свои особенности в разных компаниях. Однако в целом она довольно типична – представление плана и сопутствующих материалов, рассмотрение их согласующей стороной, презентация и обсуждение плана на итоговой встрече (например, на одном из заседаний аудиторского комитета в четвертом квартале), вынесение окончательного решения (например, протокол заседания аудиторского комитета). В некоторых компаниях утвержденный план проектов внутреннего аудита может приниматься в виде отдельного распорядительного документа за подписью руководителя компании (например, приказ за подписью генерального директора). Нелишним будет известить руководство объектов аудита о деталях принятого плана, имеющих отношение к данным объектам аудита.
Планирование проекта. Формирование запроса информации. Исполнение запроса/интервью. В большинстве случаев процедура планирования проекта стартует именно с формирования запроса информации у объекта аудита, особенно если этот объект впервые попал в план. Содержание запроса полностью зависит от целей проекта. Запрос направляется руководству объекта аудита в виде официального письма. Так как основанием для исполнения запроса является начало проекта, имеет смысл описать в нем его основные параметры (сроки, участники команды аудиторов, ключевые требования к объекту аудита и т. д.).
В ряде случаев на этапе планирования проводятся встречи с руководством ключевых бизнес-процессов. Они могут преследовать различные цели, например:
• получить общую информацию по текущему статусу объекта аудита;
• узнать ожидания и пожелания руководства ключевых бизнес-процессов;
• представить общую информацию о проекте.
На этапе планирования происходит уточнение тех целей и задач, которые были сформированы при годовом планировании. Не исключено, что картина рисков для объекта аудита изменится с момента утверждения и согласования годового плана аудита. Поэтому, если план аудита формировался на основе оценки рисков, такую оценку необходимо уточнить. Для этого могут проводиться те же самые процедуры, что и на этапе годового планирования, но точечно (только в отношении конкретного объекта аудита и конкретных факторов риска). В некоторых случаях улучшение управления определенными рисками приводит к тому, что объект аудита перестанет представлять интерес для целей внутреннего аудита. В такой ситуации стоит исключить этот объект из плана и заняться другим объектом аудита.
При использовании риск-ориентированного метода аудита на этапе планирования составляется матрица рисков и контрольных процедур.
Более подробно процесс планирования проекта внутреннего аудита проанализирован в главе 7.
Проведение организационной встречи. Такого рода встреча проводится на территории объекта аудита. Она преследует несколько основных целей:
• представить общую информацию о проекте (цели, сроки, действующие лица, задачи, используемые процедуры, порядок согласования и обсуждения результатов и т. д.);
• ответить на вопросы по проекту;
• представить участников команды аудиторов;
• познакомиться с ключевыми сотрудниками объекта аудита;
• задать общий тон проекта;
• прочувствовать атмосферу объекта аудита.
Более подробно процесс проведения организационной встречи проанализирован в главе 9.
Составление описания процесса. Проведение сквозного тестирования. Обе процедуры являются ключевыми для большинства проектов внутреннего аудита при условии, что ПВА практикует аудит бизнес-процессов и системы внутреннего контроля. Если ПВА отдает предпочтение другому подходу (бухгалтерскому, ревизионному, комплаенс), то необходимость в составлении описания процессов и последующем сквозном тестировании в основном отсутствует.
При составлении описания процесса используются методологии, комбинирующие графическое и словесное описание. Ключевое преимущество графического представления заключается в его наглядности – картинки всегда воспринимаются легче, чем словесный поток. При необходимости описание процесса можно включить в финальный отчет.
Обеспечить достоверность описания процесса практически невозможно без сквозного тестирования. В целом чем меньше ПВА знакомо с объектом аудита, тем больше ресурсов необходимо для описания процесса и сквозного тестирования.
Более подробно процесс составления описания процесса и проведения сквозного тестирования проанализирован в главе 9.
Уточнение матрицы рисков. Если на этапе планирования проекта составлялась матрица рисков и контрольных процедур, ее необходимо уточнить после завершения описания процесса и сквозного тестирования. Такая последовательность имеет свою логику – после составления описания и сквозного тестирования значительно проясняется общая картина объекта аудита. Суть пересмотра матрицы рисков и контрольных процедур заключается в уточнении перечня рисков (факторов рисков) и оценок их существенности, а также в уточнении перечня существующих контрольных процедур и оценки их адекватности (эффективности). Результаты уточнения могут серьезно повлиять на выбор тематики для детального тестирования и проведения аналитических процедур.
Более подробно процесс уточнения матрицы рисков и контрольных процедур проанализирован в главе 9.
Проведение аналитических процедур. Сфера применения таких процедур может быть весьма обширной. Правильный и опытный аудитор умеет пользоваться этим инструментом. Аналитические процедуры используются как на этапе осуществления проекта, так и на этапе планирования. С их помощью можно нащупать потенциально интересные темы для последующего детального тестирования. Они позволяют получить дополнительные подтверждения правильности аудиторских выводов и оценить последствия имеющихся недостатков.
Более подробно процесс осуществления аналитических процедур проанализирован в главе 8.
Планирование детального тестирования. Формирование выборок. Проведение детального тестирования. В целом вся работа при осуществлении проекта внутреннего аудита выполняется с использованием различного рода выборок. Однако формирование выборок приходится в основном на этап детального тестирования. Во многих случаях детальное тестирование невозможно без предварительного планирования. Это связано с тем, что процесс детального тестирования часто сопряжен со сложностями (например, отсутствием систематизированных данных, отсутствием документальных следов осуществления тех или иных операций, сложными методами получения данных).
По ходу проекта цикл «план – выборка – тестирование» может повторяться неоднократно даже в отношении одной конкретной темы тестирования.
Более подробно процесс формирования выборок, а также процессы планирования и детального тестирования проанализированы в главе 9.
Формирование проектов отчета и плана мероприятий. Обсуждение проектов отчета и плана мероприятий. Понятно, что проект отчета формирует ПВА. Что касается плана исправительных мероприятий, то он должен быть результатом совместных усилий аудиторов и сотрудников (владельцев) объекта аудита. Однако в российских экономических реалиях довольно часто эти сотрудники ведут себя пассивно или, что хуже, пытаются саботировать процесс формирования плана мероприятий (например, предлагая заведомо неэффективные или поверхностные мероприятия). ПВА, однако, всегда должно формировать свою позицию в отношении подхода к нивелированию того или иного недостатка.
В большинстве ситуаций результаты работы команды внутренних аудиторов, оформленные в виде проекта отчета, имеет смысл сначала обсудить с сотрудниками (владельцами) объекта аудита и только потом представлять другим пользователям. Количество таких обсуждений, конечно, не ограничено, однако лучше не затягивать процесс.
Более подробно процессы формирования и обсуждения проекта отчета и плана мероприятий проанализированы в главе 11.
Формирование финального отчета и плана мероприятий. Презентация результатов проекта. После того как обсуждение с сотрудниками (владельцами) объекта аудита завершено, а необходимые корректировки и комментарии внесены, отчет готов для представления прочим пользователям. К ним относятся как минимум руководство ключевых бизнес-процессов, генеральный директор, аудиторский комитет.
Более подробно процессы формирования и представления финального отчета и плана мероприятий проанализированы в главе 11.