Настольная книга по внутреннему аудиту. Риски и бизнес-процессы - Олег Крышкин
Шрифт:
Интервал:
Закладка:
Раздел 2 «Статус по системе контроля» – в данном разделе используются всего два пункта. Пометка в графе «Да» означает дублирование контрольных процедур и/или адекватное разделение полномочий. Необходимо пояснить, почему разделение полномочий адекватно. Пометка в графе «Нет» означает отсутствие дублирования контрольных процедур и/или адекватного разделения полномочий. Необходимо пояснить, почему дублирование контрольных процедур отсутствует.
Раздел 3 «Статус по эффективности процесса» – наиболее развернутый раздел, состоящий из 12 подпунктов, предназначен для всесторонней оценки фундаментальных параметров этапа процесса. Разберем каждый подпункт.
• Пункт 3.1 «Соблюдение концепции “затраты/выгоды”» в рамках процесса» – соблюдать данную концепцию – значит принимать ключевые решения из соображений экономической целесообразности. Пометка в графе «Да» означает, что решения именно так и принимаются. В этом случае необходимо пояснить на существенных примерах причину такой отметки.
• Пункт 3.2 «Соблюдение концепции Change Control – процесс способен адекватно меняться в ответ на влияние внешних и внутренних факторов» – примером такого механизма является наличие процесса изучения рынка в составе процесса «Продажи» (маркетинговые исследования и т. д.). Изучение рынка способствует многочисленным изменениям в процессе «Продажи» (например, изменение ценовой политики) и в ряде сопутствующих процессов (например, изменение линейки выпускаемой продукции). Пометка в графе «Да» означает, что концепция соблюдается. В этом случае надо пояснить, за счет чего это достигается.
• Пункт 3.3 «Распределение полномочий в процессе соответствует распределению ответственности» – за счет правильного соотношения полномочий и ответственности достигается балансировка процесса. Пометка в графе «Да» означает, что соотношение правильное. В этом случае необходимо на существенных примерах пояснить, что это так.
• Пункт 3.4 «Скорость исполнения этапов процесса адекватна» – в этом случае можно дать как субъективную оценку (исключительно мнение внутреннего аудитора), так и в определенной степени объективную оценку (например, по аналогии с сопоставимыми объектами аудита, на основании мнения экспертов). Разумеется, предпочтение отдается более объективным оценкам. Отметка в графе «Да» означает, что скорость адекватна. В этом случае необходимо пояснить, за счет чего это достигается.
• Пункт 3.5 «Достаточность ресурсов для осуществления процесса» – понятие ресурсов трактуется в расширительном смысле (кроме персонала). Отметка в графе «Да» означает, что ресурсов достаточно. В этом случае необходимо показать, что поступления ресурсов за вычетом оттока ресурсов соответствуют потребности процесса.
• Пункт 3.6 «Достаточность квалифицированного персонала для осуществления процесса» – по аналогии с предыдущим пунктом. Отметка в графе «Да» также требует пояснения.
• Пункт 3.7 «Дублирование этапов процесса» – дублирование приводит к неэффективному расходованию ресурсов. Отмечается как в рамках одного процесса, так в рамках нескольких процессов. Отметку в графе «Нет» необходимо прокомментировать.
• Пункт 3.8 «Повторы этапов процессов» – также приводит к неэффективному расходованию ресурсов. Отмечается как в рамках одного процесса, так и в рамках нескольких процессов. Отметку в графе «Нет» необходимо прокомментировать.
• Пункт 3.9 «Неэффективное дробление или укрупнение этапов процесса» – неэффективное дробление приводит к увеличению существенности рисков, связанных с организацией процесса (например, чем длиннее цепочка согласующих лиц, тем дольше проходит согласование). Неэффективное укрупнение этапов процесса увеличивает существенность рисков, связанных с качеством выполнения процесса (например, необходимость переключения с одного вида работ на другие виды работ может приводить к увеличению ошибок). Отметку в графе «Нет» необходимо прокомментировать.
• Пункт 3.10 «Наличие механизмов самосовершенствования процесса» – к механизмам такого рода относится, например, периодическая переаттестация сотрудников. Отметка в графе «Да» требует перечисления имеющихся в процессе механизмов.
• Пункт 3.11 «Необходимость и возможность автоматизации процесса» – отметка в графе «Нет» требует привести веские доводы отсутствия как необходимости, так и возможности. Бывают ситуации, когда необходимость присутствует, а возможность нет. Такие ситуации также требуют комментариев.
• Пункт 3.12 «Наличие лучших практик» – речь идет об оценке целесообразности тиражирования различных аспектов анализируемого процесса в прочих процессах. У начинающих аудиторов заполнение данного пункта вызывает максимум затруднений, поскольку способность выявления лучших практик напрямую зависит от опыта и кругозора внутреннего аудитора. Отметка в графе «Нет» требует пояснений.
В большинстве случаев (кроме пункта 3.12) наличие отметки в противоположной графе означает, что данный аспект процесса представляет собой фактор риска той или иной степени существенности.
Фундаментальные ошибки
В завершение главы хотелось бы подробнее остановиться на двух ключевых ошибках, которые допускают руководители ПВА при проведении проектов, – отсутствие процесса додавливания и отсутствие разведки.
Отсутствие процесса додавливания во внутреннем аудите. Во внутреннем аудите правило Парето работает очень хорошо. Очень часто 80 % времени уходит на выполнение 20 % работы, причем для выполнения этой части работы требуются дополнительные усилия. Зачастую они направлены на преодоление различных факторов психологического (например, сопротивление переменам), эмоционального (например, антипатия), административного (например, слабая поддержка руководства) и политического (например, руководитель объекта аудита родственник генерального директора или акционера) характера. Необходимость додавливать появляется практически с самого начала проекта, например:
• до начала проекта – что касается запросов, то, если что-то запрашивается, необходимо обеспечивать исполнение, иначе будет складываться мнение, что аудиторы запрашивают все на всякий случай и предоставление всего не обязательно;
• во время проекта – при проведении тестирования необходимо учесть все существенные обстоятельства и детали, иначе есть риск, что при обсуждении результатов проверяемая сторона представит новые данные, которые поставят под сомнение результаты аудита;
• после завершения проекта – наиболее важно додавить внедрение результатов аудита, любое послабление в данном вопросе, особенно вынесенное на широкую публику, имеет фатально негативные последствия для ПВА.
Внутренний аудитор по роду своей деятельности создает угрозу статус-кво. Это неизбежно вызывает противодействие. Аудитору приходится не только выполнять свою работу, но и искать способы нивелирования противодействия. По этой причине руководитель ПВА должен стараться избегать поводов для возникновения дополнительного противодействия, не связанного напрямую с деятельностью ПВА (например, придерживаться распорядка рабочего дня, хотя работа внутреннего аудитора имеет проектный характер, т. е. не требует постоянного пребывания на рабочем месте и фиксированного начала рабочего дня). Также для дозирования нагрузки, связанной с противодействием, руководитель ПВА должен придерживаться правила «один на один». Это означает, что в любой момент не стоит пребывать в серьезном конфликте более чем с одним владельцем ключевого процесса.
Отсутствие разведки. Важность разведки уже упоминалась в разделе, посвященном нюансам детального тестирования. Однако значение разведывательных действий в работе ПВА намного выше. Во многом по причинам, изложенным в предыдущем абзаце, каждое мало-мальски значимое действие ПВА должно предваряться эффективными разведывательными мероприятиями, например:
• до начала проекта – необходимо выяснить позицию менеджмента в отношении ключевых рисков объекта аудита;
• во время проекта – при обнаружении серьезного недостатка спрогнозировать возможную реакцию (например, могут потребоваться дополнительные данные, вплоть до личных предпочтений) владельцев объекта аудита и пользователей отчета, чтобы лучше подготовиться к доказыванию своей позиции;
• по завершении проекта – необходимо определить наилучший подход к презентации результатов, в том числе исходя из личных предпочтений руководства объекта аудита и пользователей результатов аудита.
Большую помощь в поиске оптимального варианта действий в вышеописанных ситуациях могут оказать небольшие и/или не самые важные проекты. Они позволяют обкатать различные подходы и посмотреть на реакцию окружающих. Также полезно придерживаться принципа разумной дозировки. Это означает, что если сложно заранее представить последствия определенного сочетания фактов и обстоятельств, то лучше использовать минимальные дозы того и другого для получения и оценки реальных последствий. Например, если команда внутренних аудиторов впервые взаимодействует с сотрудниками объекта аудита, то объем запросов информации необходимо свести к минимуму, чтобы оценить динамику их исполнения при минимальном уровне. При отсутствии негативной реакции можно наращивать объем запросов, стараясь нивелировать возникающее противодействие по мере необходимости. Разумеется, такой подход будет практиковаться только теми ПВА, которым не хватает авторитета.