Настольная книга по внутреннему аудиту. Риски и бизнес-процессы - Олег Крышкин

Что касается формата плана мероприятий, то наиболее подходящим является табличный формат.

Определение ответственных за выполнение мероприятия. При выборе ответственных необходимо придерживаться ключевого принципа – ответственный за выполнение мероприятия должен обладать необходимыми полномочиями и возможностями. Под возможностями в первую очередь подразумеваются технические (экспертные) возможности. Также на роль ответственного необходимо выбирать такого сотрудника объекта аудита, который максимально заинтересован, исходя из своих целей и задач, в выполнении мероприятия. Уточнение «исходя из своих целей и задач» весьма важно, так как оно показывает, что персональный интерес к решению проблемы и прилив энтузиазма ответственный сотрудник испытывать не обязан. Выбор ответственного определяется его местом и ролью в процессе, а не субъективными ощущениями и соображениями.

Также не стоит увлекаться назначением в качестве ответственного за выполнение мероприятия руководителя объекта аудита, особенно генерального директора. В большинстве случаев это противоречит ключевому принципу выбора ответственного – генеральный директор обладает максимальными административными возможностями, но вряд ли он всегда будет иметь максимальные технические (экспертные) возможности.

Определение даты выполнения мероприятия. В большинстве случаев план мероприятия не требует срочного выполнения. Кроме того, большая часть мероприятий возлагает дополнительную нагрузку на сотрудников, которая нечасто компенсируется, в первую очередь материально. По этой причине, предлагая очень оптимистичную дату, аудитор оказывает давление на сотрудников объекта аудита, что приводит к излишнему негативу. В определении даты выполнения мероприятия уместно пойти на максимальные уступки.

Согласование плана. Существует два основных варианта инициирования процедуры согласования плана мероприятий.

• Внутренний аудит самостоятельно формирует исходный план. Такой подход целесообразно применять в большинстве российских компаний, особенно если план в компании видят впервые. Логика здесь проста – в большинстве случаев мероприятия скорее будут вычеркиваться, чем добавляться. По этой причине внутреннему аудиту проще составить план мероприятий самостоятельно, т. к. в этом случае он будет максимально расширенным. Затем план мероприятий по версии внутреннего аудита направляется руководству объекта аудита на рассмотрение, после которого руководство возвращает план мероприятий с корректировками. Такая перепасовка может продолжаться какое-то время, особенно если план мероприятий касается сложных проблем.

• Руководство объекта аудита самостоятельно формирует исходный план. Этот вариант полностью соответствует международным стандартам внутреннего аудита. В соответствии с ними менеджмент объекта аудита несет ответственность за управление рисками, поэтому он и должен определять необходимый объем и масштаб изменений (исправлений). Однако в российских условиях при таком подходе план мероприятий может не появиться никогда. Только в компаниях с высоким уровнем корпоративной культуры и продвинутым менеджментом возможна подготовка исходного плана мероприятий руководством объекта аудита. В остальном все аналогично первому варианту – также возможны перепасовки, и чем сложнее проблемы, тем их больше.

Нередко обсуждение плана мероприятий приводит к необходимости дополнительных уточнений и анализа. Таким образом, аудитор должен быть готов к тому, что проект не всегда заканчивается после написания финального отчета. При наличии существенных расхождений внутренний аудит должен приложить максимум усилий для доказательства большей полезности своей позиции. В моей практике бывали случаи, когда план мероприятий согласовывался в два-три месяца и при этом проводилось дополнительное уточняющее тестирование. Кроме того, обсуждения могут выходить за рамки объекта аудита, особенно в случае, как говорится, непримиримых разногласий по плану. В такой ситуации требуется привлечение третьей стороны в качестве третейского судьи. Обычно в этой роли выступают вышестоящие пользователи отчета внутреннего аудита, вплоть до совета директоров.

При согласовании необходимо придерживаться принципа – чем существеннее объем и значимость изменений, тем выше уровень согласующего, хотя в большинстве случаев это будет руководитель юридического лица, в состав которого входит объект аудита. Также важно официально зафиксировать факт согласования либо путем визирования документа, либо путем выполнения соответствующих процедур в системе электронного документооборота. Наличие формализованного согласования служит однозначным основанием для дальнейших действий (мониторинг, наложение взысканий за невыполнение и т. д.).

Процедура мониторинга

Основной целью мониторинга является оценка полноты, правильности и своевременности выполнения плана мероприятий. Исходя из этого, если план мероприятий отсутствует, то отсутствуют и основания для проведения мониторинга. Во многих случаях трудозатраты на проведение мониторинга и внесение изменений и дополнений в план мероприятий сопоставимы как минимум с трудозатратами на проведение проекта, по результатам которого сформирован исходный план мероприятий. По мере увеличения количества завершенных проектов объем мониторинга и сопутствующих процедур только возрастает. В сложных условиях (низкая исполнительская дисциплина, ограниченность ресурсов, низкий уровень корпоративной культуры, объемные планы мероприятий и т. д.) теоретически может сложиться ситуация, когда у ПВА все рабочее время будет уходить только на мониторинг. Однако на практике такое маловероятно, хотя вероятность приблизиться к такой ситуации всегда имеется. В любом случае мониторинг и сопутствующие процедуры со временем могут начать отнимать существенную часть ресурсов ПВА. В процессе мониторинга необходимо определиться в отношении следующих ключевых вопросов:

• подход к проведению мониторинга;

• определение периодичности проведения мониторинга;

• нюансы проведения мониторинга;

• результаты мониторинга и план последующих действий.

Подход к проведению мониторинга. При проведении мониторинга используются три основных подхода:

• Проверка по формальным признакам (есть документ, есть зачет). Этот подход используется в первую очередь для проверки, как говорится, «по диагонали», т. е. в основном обращают внимание на форму и на наличие базовых признаков исполнения плана мероприятий. Он оправдан в ряде случаев, например при существенных временны`х ограничениях, при недостаточности квалификации участников команды внутреннего аудита, осуществляющих мониторинг, при уверенности в достаточности такого подхода (например, при наличии высокой исполнительской дисциплины сотрудников объекта аудита), при проверке исполнения относительно малозначительных пунктов плана мероприятий.

• Мини-аудит (проверка фактуры). Этот подход наиболее распространен. В большинстве случаев он одновременно является оптимальным. В целом используется стандартная методология внутреннего аудита. Наиболее существенное отличие от методологии, используемой при проведении внутреннего аудита, заключается в цели – при проведении аудита необходимо выявить проблемы и оценить их эффект, а при проведении мониторинга необходимо выявить только факт хотя бы единичного неисполнения плана мероприятия. Таким образом, в процессе аудита определяется масштаб и существенность проблем (анализируются массивы данных), а в процессе мониторинга – только наличие исключений (правила установлены в плане мероприятий). Наличие хотя бы единичных фактов неисполнения того или иного пункта плана мероприятий является достаточным основанием для признания этого пункта неисполненным.

• Расширенный мини-аудит (проверяется действенность плана мероприятий). В ряде случаев имеет смысл не только установить адекватность (своевременность, полнота, правильность) исполнения плана мероприятий, но и проанализировать его на наличие предполагаемого воздействия. Ключевой причиной является отсутствие возможности отслеживать все изменения, происходящие в процессе с момента окончания аудита до момента и в момент проведения мониторинга. Изменения в процессе могут приводить к ситуациям, когда выполненные мероприятия оказываются, по-простому говоря, не к месту. Подобные ситуации могут провоцироваться искусственно сотрудниками объекта аудита.

Определение периодичности проведения мониторинга. Возможно, это покажется странным, но периодичность проведения мониторинга влияет на объем и качество выполнения плана мероприятий. Например, если проводить мониторинг в компании с низкой исполнительской дисциплиной не чаще раза в год, то исполнение плана мероприятий может растянуться на годы. Особенностью большинства планов мероприятий является разброс дат исполнения отдельных мероприятий. Таким образом, некоторые планы могут выполняться в течение года и более даже при адекватном исполнении. С точки зрения периодичности возможны следующие три ключевых варианта организации мониторинга: