Настольная книга по внутреннему аудиту. Риски и бизнес-процессы
Шрифт:
Раздел 2 «Статус по системе контроля» – в данном разделе используются всего два пункта. Пометка в графе «Да» означает дублирование контрольных процедур и/или адекватное разделение полномочий. Необходимо пояснить, почему разделение полномочий адекватно. Пометка в графе «Нет» означает отсутствие дублирования контрольных процедур и/или адекватного разделения полномочий. Необходимо пояснить, почему дублирование контрольных процедур отсутствует.
Раздел 3 «Статус по эффективности процесса» – наиболее развернутый раздел, состоящий из 12 подпунктов, предназначен для всесторонней оценки фундаментальных параметров этапа процесса.
• Пункт 3.1 «Соблюдение концепции “затраты/выгоды”» в рамках процесса» – соблюдать данную концепцию – значит принимать ключевые решения из соображений экономической целесообразности. Пометка в графе «Да» означает, что решения именно так и принимаются. В этом случае необходимо пояснить на существенных примерах причину такой отметки.
• Пункт 3.2 «Соблюдение концепции Change Control – процесс способен адекватно меняться в ответ на влияние внешних и внутренних факторов» – примером такого механизма является наличие процесса изучения рынка в составе процесса «Продажи» (маркетинговые исследования и т. д.). Изучение рынка способствует многочисленным изменениям в процессе «Продажи» (например, изменение ценовой политики) и в ряде сопутствующих процессов (например, изменение линейки выпускаемой продукции). Пометка в графе «Да» означает, что концепция соблюдается. В этом случае надо пояснить, за счет чего это достигается.
• Пункт 3.3 «Распределение полномочий в процессе соответствует распределению ответственности» – за счет правильного соотношения полномочий и ответственности достигается балансировка процесса. Пометка в графе «Да» означает, что соотношение правильное. В этом случае необходимо на существенных примерах пояснить, что это так.
• Пункт 3.4 «Скорость исполнения этапов процесса адекватна» – в этом случае можно дать как субъективную оценку (исключительно мнение внутреннего аудитора), так и в определенной степени объективную оценку (например, по аналогии с сопоставимыми объектами аудита, на основании мнения экспертов). Разумеется, предпочтение отдается более объективным оценкам. Отметка в графе «Да» означает, что скорость адекватна. В этом случае необходимо пояснить, за счет чего это достигается.
• Пункт 3.5 «Достаточность ресурсов для осуществления процесса» – понятие ресурсов трактуется в расширительном смысле (кроме персонала). Отметка в графе «Да» означает, что ресурсов достаточно. В этом случае необходимо показать, что поступления ресурсов за вычетом оттока ресурсов соответствуют потребности процесса.
• Пункт 3.6 «Достаточность квалифицированного персонала для осуществления процесса» – по аналогии с предыдущим пунктом. Отметка в графе «Да» также требует пояснения.
• Пункт 3.7 «Дублирование этапов процесса» – дублирование приводит к неэффективному расходованию ресурсов. Отмечается как в рамках одного процесса, так в рамках нескольких процессов. Отметку в графе «Нет» необходимо прокомментировать.
• Пункт 3.8 «Повторы этапов процессов» – также приводит к неэффективному расходованию ресурсов. Отмечается как в рамках одного процесса, так и в рамках нескольких процессов. Отметку в графе «Нет» необходимо прокомментировать.
• Пункт 3.9 «Неэффективное дробление или укрупнение этапов процесса» – неэффективное дробление приводит к увеличению существенности рисков, связанных с организацией процесса (например, чем длиннее цепочка согласующих лиц, тем дольше проходит согласование). Неэффективное укрупнение этапов процесса увеличивает существенность рисков, связанных с качеством выполнения процесса (например, необходимость переключения с одного вида работ на другие виды работ может приводить к увеличению ошибок). Отметку в графе «Нет» необходимо прокомментировать.
• Пункт 3.10
• Пункт 3.11 «Необходимость и возможность автоматизации процесса» – отметка в графе «Нет» требует привести веские доводы отсутствия как необходимости, так и возможности. Бывают ситуации, когда необходимость присутствует, а возможность нет. Такие ситуации также требуют комментариев.
• Пункт 3.12 «Наличие лучших практик» – речь идет об оценке целесообразности тиражирования различных аспектов анализируемого процесса в прочих процессах. У начинающих аудиторов заполнение данного пункта вызывает максимум затруднений, поскольку способность выявления лучших практик напрямую зависит от опыта и кругозора внутреннего аудитора. Отметка в графе «Нет» требует пояснений.
В большинстве случаев (кроме пункта 3.12) наличие отметки в противоположной графе означает, что данный аспект процесса представляет собой фактор риска той или иной степени существенности.
Фундаментальные ошибки
В завершение главы хотелось бы подробнее остановиться на двух ключевых ошибках, которые допускают руководители ПВА при проведении проектов, – отсутствие процесса додавливания и отсутствие разведки.
Отсутствие процесса додавливания во внутреннем аудите. Во внутреннем аудите правило Парето работает очень хорошо. Очень часто 80 % времени уходит на выполнение 20 % работы, причем для выполнения этой части работы требуются дополнительные усилия. Зачастую они направлены на преодоление различных факторов психологического (например, сопротивление переменам), эмоционального (например, антипатия), административного (например, слабая поддержка руководства) и политического (например, руководитель объекта аудита родственник генерального директора или акционера) характера. Необходимость додавливать появляется практически с самого начала проекта, например:
• до начала проекта – что касается запросов, то, если что-то запрашивается, необходимо обеспечивать исполнение, иначе будет складываться мнение, что аудиторы запрашивают все на всякий случай и предоставление всего не обязательно;
• во время проекта – при проведении тестирования необходимо учесть все существенные обстоятельства и детали, иначе есть риск, что при обсуждении результатов проверяемая сторона представит новые данные, которые поставят под сомнение результаты аудита;
• после завершения проекта – наиболее важно додавить внедрение результатов аудита, любое послабление в данном вопросе, особенно вынесенное на широкую публику, имеет фатально негативные последствия для ПВА.
Внутренний аудитор по роду своей деятельности создает угрозу статус-кво. Это неизбежно вызывает противодействие. Аудитору приходится не только выполнять свою работу, но и искать способы нивелирования противодействия. По этой причине руководитель ПВА должен стараться избегать поводов для возникновения дополнительного противодействия, не связанного напрямую с деятельностью ПВА (например, придерживаться распорядка рабочего дня, хотя работа внутреннего аудитора имеет проектный характер, т. е. не требует постоянного пребывания на рабочем месте и фиксированного начала рабочего дня). Также для дозирования нагрузки, связанной с противодействием, руководитель ПВА должен придерживаться правила «один на один». Это означает, что в любой момент не стоит пребывать в серьезном конфликте более чем с одним владельцем ключевого процесса.