Настольная книга по внутреннему аудиту. Риски и бизнес-процессы - Олег Крышкин

• Пункт 3.11 «Необходимость и возможность автоматизации процесса» – отметка в графе «Нет» требует привести веские доводы отсутствия как необходимости, так и возможности. Бывают ситуации, когда необходимость присутствует, а возможность нет. Такие ситуации также требуют комментариев.

• Пункт 3.12 «Наличие лучших практик» – речь идет об оценке целесообразности тиражирования различных аспектов анализируемого процесса в прочих процессах. У начинающих аудиторов заполнение данного пункта вызывает максимум затруднений, поскольку способность выявления лучших практик напрямую зависит от опыта и кругозора внутреннего аудитора. Отметка в графе «Нет» требует пояснений.

В большинстве случаев (кроме пункта 3.12) наличие отметки в противоположной графе означает, что данный аспект процесса представляет собой фактор риска той или иной степени существенности.

В завершение главы хотелось бы подробнее остановиться на двух ключевых ошибках, которые допускают руководители ПВА при проведении проектов, – отсутствие процесса додавливания и отсутствие разведки.

Отсутствие процесса додавливания во внутреннем аудите. Во внутреннем аудите правило Парето работает очень хорошо. Очень часто 80 % времени уходит на выполнение 20 % работы, причем для выполнения этой части работы требуются дополнительные усилия. Зачастую они направлены на преодоление различных факторов психологического (например, сопротивление переменам), эмоционального (например, антипатия), административного (например, слабая поддержка руководства) и политического (например, руководитель объекта аудита родственник генерального директора или акционера) характера. Необходимость додавливать появляется практически с самого начала проекта, например:

• до начала проекта – что касается запросов, то, если что-то запрашивается, необходимо обеспечивать исполнение, иначе будет складываться мнение, что аудиторы запрашивают все на всякий случай и предоставление всего не обязательно;

• во время проекта – при проведении тестирования необходимо учесть все существенные обстоятельства и детали, иначе есть риск, что при обсуждении результатов проверяемая сторона представит новые данные, которые поставят под сомнение результаты аудита;

• после завершения проекта – наиболее важно додавить внедрение результатов аудита, любое послабление в данном вопросе, особенно вынесенное на широкую публику, имеет фатально негативные последствия для ПВА.

Внутренний аудитор по роду своей деятельности создает угрозу статус-кво. Это неизбежно вызывает противодействие. Аудитору приходится не только выполнять свою работу, но и искать способы нивелирования противодействия. По этой причине руководитель ПВА должен стараться избегать поводов для возникновения дополнительного противодействия, не связанного напрямую с деятельностью ПВА (например, придерживаться распорядка рабочего дня, хотя работа внутреннего аудитора имеет проектный характер, т. е. не требует постоянного пребывания на рабочем месте и фиксированного начала рабочего дня). Также для дозирования нагрузки, связанной с противодействием, руководитель ПВА должен придерживаться правила «один на один». Это означает, что в любой момент не стоит пребывать в серьезном конфликте более чем с одним владельцем ключевого процесса.

Отсутствие разведки. Важность разведки уже упоминалась в разделе, посвященном нюансам детального тестирования. Однако значение разведывательных действий в работе ПВА намного выше. Во многом по причинам, изложенным в предыдущем абзаце, каждое мало-мальски значимое действие ПВА должно предваряться эффективными разведывательными мероприятиями, например:

• до начала проекта – необходимо выяснить позицию менеджмента в отношении ключевых рисков объекта аудита;

• во время проекта – при обнаружении серьезного недостатка спрогнозировать возможную реакцию (например, могут потребоваться дополнительные данные, вплоть до личных предпочтений) владельцев объекта аудита и пользователей отчета, чтобы лучше подготовиться к доказыванию своей позиции;

• по завершении проекта – необходимо определить наилучший подход к презентации результатов, в том числе исходя из личных предпочтений руководства объекта аудита и пользователей результатов аудита.

Большую помощь в поиске оптимального варианта действий в вышеописанных ситуациях могут оказать небольшие и/или не самые важные проекты. Они позволяют обкатать различные подходы и посмотреть на реакцию окружающих. Также полезно придерживаться принципа разумной дозировки. Это означает, что если сложно заранее представить последствия определенного сочетания фактов и обстоятельств, то лучше использовать минимальные дозы того и другого для получения и оценки реальных последствий. Например, если команда внутренних аудиторов впервые взаимодействует с сотрудниками объекта аудита, то объем запросов информации необходимо свести к минимуму, чтобы оценить динамику их исполнения при минимальном уровне. При отсутствии негативной реакции можно наращивать объем запросов, стараясь нивелировать возникающее противодействие по мере необходимости. Разумеется, такой подход будет практиковаться только теми ПВА, которым не хватает авторитета.

Важность процесса разведки напрямую зависит от таких факторов, как уровень развития корпоративного управления, толерантность руководства к ошибкам и уровень развития менеджмента.

В этой главе представлены программы процессного (тематического) внутреннего аудита семи ключевых процессов. Они составляют не менее 70 % ключевых процессов любого коммерческого предприятия. В их состав включены следующие процессы:

• процесс «Продажи»;

• процесс «Закупки»;

• процесс «Инвестиции (капитальные вложения и новые проекты)»;

• процесс «Управление запасами и складское хозяйство»;

• процесс «Управление активами»;

• процесс «Персонал»;

• процесс «Бизнес-планирование и бюджетирование».

Программа аудита по каждому процессу включает в себя следующие блоки:

• Перечень основных подпроцессов.

• Перечень основных этапов подпроцессов.

• Описание структуры и содержания (начинки) основных подпроцессов и их этапов. Описание знакомит как с общей сутью и предназначением процесса, так и с рядом нюансов его правильного построения и функционирования.

• Перечень и содержание базовых и специфичных рисков процесса. В соответствии с подходом, изложенным в данной книге, перечень включает в себя ряд наиболее актуальных крупных рисков процесса. Эффективное управление этими рисками способно принести ощутимую пользу. Перечень не является исчерпывающим. Аудитор должен взять за правило дополнять и уточнять матрицу рисков в ходе аудита процесса в зависимости от складывающихся обстоятельств. Тем не менее приведенный перечень рисков составляет базу, от которой аудиторы могут отталкиваться при формировании собственной программы аудита. Риски из серии «отсутствие регламента» или «отсутствие такого-то контроля» и прочие поверхностные и/или простые риски не рассматривались, т. к. в подавляющем большинстве случаев они являются факторами риска по отношению к описываемым рискам.