Настольная книга по внутреннему аудиту. Риски и бизнес-процессы
Шрифт:
Перечень и содержание базовых и специфичных рисков процесса
Рис. 16. Базовая схема процесса «Бизнес-планирование и бюджетирование» с указанием ключевых точек контроля
Перечень и содержание базовых контрольных процедур процесса (см. рис. 16)
Перечень
Перечень и содержание лучших практик по процессу
Глава 11.
Подготовка отчетов – что делать до, во время и после написания отчета
В подавляющем большинстве случаев по результатам работы внутренний аудитор формирует отчет. На его качество и восприятие влияют как объективные (существенность затронутых проблем и т. д.), так и субъективные (уровень интеллекта руководства и т. д.) факторы. Также не последнее значение имеет уровень профессиональных и коммуникативных навыков внутреннего аудитора. Таким образом, результат работы внутреннего аудитора частично зависит не от него самого. Однако существуют подходы, которые помогают минимизировать эту часть.
На форму и содержание отчета влияют следующие ключевые факторы.
Масштаб проекта. В целом должна существовать прямая зависимость между масштабом проекта и как минимум количественными характеристиками отчета. Она должна проявляться уже потому, что в большинстве случаев от аудитора этого ожидают. Попросту говоря, если аудитор потратил на проект два-три месяца, перелопатил большой объем материала, общался с большим количеством сотрудников объекта аудита, то его не поймут, если в результате всей этой бурной деятельности получится отчет на пару страниц. Есть, однако, маленький нюанс. По разным причинам команда внутренних аудиторов может получить скромные результаты, стремясь к достижению конкретной цели проекта. Например, если целью было выявление недостатков системы внутреннего контроля процесса, то недостатки могут быть или не выявлены, или оказаться незначительными, т. е. особо не влияющими на достижение цели процесса. В подобных случаях аудитору все равно необходимо показать, что он приложил максимальные усилия для достижения цели проекта и получил определенные результаты. Например, если не получилось выявить недостатки, необходимо составить обзор достоинств системы внутреннего контроля процесса и, возможно, порекомендовать распространить достижения на прочие сопоставимые процессы.
Аудитория отчета. В деловой коммуникации существует глобальный принцип, согласно которому коммуникация должна быть максимально адаптирована для восприятия целевой аудиторией. Таким образом, отчет ПВА должен учитывать характеристики его целевой аудитории. Справедлива обратная зависимость между объемом и сложностью отчета и уровнем руководства, для которого отчет предназначен. Ее логика проста – чем выше уровень руководителя, тем меньше у него времени для ознакомления с отчетом и восприятия его смысла. Возможно, это прозвучит издевательски, но весьма часто идеальным для генерального директора является отчет, в котором смысл изложен на одной странице в виде картинки. Однако отчеты по результатам большинства проектов внутреннего аудита предназначены для широкой аудитории. По этой причине имеет смысл формировать отчет в нескольких вариантах, рассчитанных на разные возможности по восприятию, – более подробные для линейного менеджмента, более обобщенные отчеты для высшего руководства.
Цель проекта. Масштаб и цель проекта могут быть взаимосвязаны. Однако вектор такой взаимосвязи часто непредсказуем. Допустим, что целью проекта является подтверждение остатков материалов на складах предприятия на определенную дату путем проведения инвентаризации. Для одних компаний
Цель проекта во многом влияет на процедуры и методологию его проведения, а также во многом определяет содержание будущего отчета. Зная цель проекта и аудиторию отчета, можно более точно спланировать, какие именно процедуры приведут к формированию материала, оптимального для восприятия конкретной аудиторией.
Разделы отчета
Структурированные отчеты намного лучше воспринимаются, чем отчеты, написанные сплошным текстом и предложениями длиной в полстраницы. Намного проще охватить взглядом и запомнить вещи, когда они аккуратно разложены по полочкам, а не свалены в кучу. Информация отчета, имеющего определенную структуру, легче запоминается. Структурой отчета можно манипулировать, чтобы выпятить один материал и отвести внимание от другого.
Для начала рассмотрим классическую, если так можно сказать, структуру отчета, которая содержит следующие разделы:
• наблюдение;
• причина;
• последствия;
• рекомендации.
Наблюдение. В этом разделе описывается суть того, на что аудитор хочет обратить внимание пользователя отчета. Это может быть недостаток процесса, недостаток системы внутреннего контроля процесса, отсутствие какого-либо элемента процесса, уязвимость перед определенным риском или рисками и т. д. Все зависит от того, какую причинно-следственную цепочку хочет построить аудитор. Раздел «Наблюдение» в этом смысле является ключевым, т. к. от его содержания зависят остальные разделы. Он, в определенном смысле, является серединой причинно-следственной цепочки. Обсудим нюансы построения такой цепочки чуть далее.
Причина. С точки зрения причинно-следственной связи содержание этого раздела как бы предшествует содержанию раздела «Наблюдение». В разделе «Причина» описываются факторы, которые привели к возникновению ситуации, описываемой в разделе «Наблюдение».
Последствия. С точки зрения причинно-следственной связи этот раздел как бы следует за разделом «Наблюдение». Причина приводит нас к текущей ситуации, описываемой в разделе «Наблюдение». Развитие этой ситуации порождает определенные последствия, описываемые в разделе «Последствия». В зависимости от подхода к аудиту в этом разделе могут указываться как предполагаемые, так и реальные последствия.
Рекомендации. Данный раздел должен быть напрямую увязан с разделом «Причины». Выражаясь математически, содержание раздела «Рекомендации» должно равняться содержанию раздела «Причины», но с обратным знаком. Например, если в качестве причины негативной ситуации указывается отсутствие того или иного этапа или элемента процесса, то в разделе «Рекомендации» должно быть указание на необходимость разработки и/или внедрения этого этапа или элемента процесса. Выполнение рекомендаций должно приводить к устранению причин возникновения негативной ситуации, описываемой в разделе «Наблюдение».
Классическую структуру отчета можно дополнить рядом других разделов, например разделом «Риски» перед разделом «Последствия». В нем могут указываться ключевые риски, которые провоцируются текущей ситуацией (раздел «Наблюдение»), а в разделе «Последствия» те риски, которые уже реализовались. Также возможно такое построение разделов отчета, при котором в разделе «Риски» указываются ключевые риски текущей ситуации, а в разделе «Последствия» – либо последствия текущей ситуации и указанных рисков, либо последствия только текущей ситуации, либо последствия только указанных рисков. В любом случае выбор остается за руководителем ПВА. Однако ему необходимо быть уверенным в том, что выбранная структура отчета наилучшим образом отвечает потребностям пользователей отчета. Практика показывает, что для достижения этой цели раздел «Риски» во многих случаях целесообразно опустить, т. к. понятие риска все еще с трудом воспринимается российскими управленцами.