Настольная книга по внутреннему аудиту. Риски и бизнес-процессы
Шрифт:
• Сотрудники объекта аудита формируют план самостоятельно. Такой подход встречается намного чаще. И очень часто его использование вызвано банальной причиной – внутренние аудиторы слабо разбираются в нюансах тематики плана мероприятий. Многие аудиторы часто допускают критическую ошибку – они призывают к изменениям не на основании фактов, а на основании ощущения того, что что-то здесь (в процессе, в контроле, в ситуации и т. д.) неправильно. В результате аудиторы не понимают конкретики и скатываются к абстрактным формулировкам. В результате процесс формирования плана мероприятий превращается в игру «угадай, что нужно сделать». Неудивительно, что при таком раскладе большинство сотрудников объекта аудита «не угадывают». Еще одним результатом отсутствия осведомленности внутреннего аудита о лучших вариантах исправления недостатков
• Совместное формирование плана мероприятий. В данном случае возможны разные схемы взаимодействия, например круглые столы, совещания, привлечение сторонних экспертов. Такой подход наиболее продуктивен в компаниях с высоким уровнем корпоративной культуры. Очень важно, чтобы у внутреннего аудита была собственная обоснованная позиция в отношении деталей мероприятий. Иначе высока вероятность того, что внутреннему аудиту навяжут план мероприятий, исполнение которого не приведет к существенным позитивным изменениям. При таком варианте высока вероятность претензий к внутреннему аудиту. В условиях российского подхода к менеджменту внутреннему аудиту будет очень непросто в ответ на претензии апеллировать к международным стандартам внутреннего аудита, которые возлагают ответственность по управлению рисками на менеджмент.
Совместное формирование плана мероприятий – это всегда столкновение мнений и позиций. Часто руководство объекта аудита стремится ограничиться формальными или косметическими изменениями. Внутренние аудиторы, напротив, должны до последнего настаивать на изменениях, создающих дополнительную добавленную стоимость.
Структура и содержание разделов плана. План мероприятий должен содержать как минимум следующие разделы.
• Пункт отчета. Указание пункта отчета необходимо исключительно для обеспечения связи между отчетом и планом мероприятий.
• Описание недостатка. Оно соответствует описанию, указанному в отчете. По большей части этот раздел, как и раздел «Пункт отчета», необходим для связи между отчетом и планом мероприятий. Он также необходим в тех случаях, когда в пункте отчета описывается несколько недостатков, для которых существуют различные варианты рекомендаций.
• Содержание мероприятия. Здесь указывается мероприятие, которое направлено на устранение соответствующего недостатка.
• Дата исполнения. Здесь указывается дата завершения всех действий, направленных на выполнение мероприятия. Необходимо иметь в виду, что в ряде случаев результат этих действий не обязательно проявится сразу. Он может проявиться спустя какое-то время, и это необходимо учитывать при планировании мониторинга.
• Ответственный. В
• Свидетельство исполнения. В данном разделе оговаривается, каким образом ответственный исполнитель будет подтверждать исполнение мероприятия. Если нельзя выделить однозначное свидетельство, то исполнение мероприятия должно подтверждаться в ходе мониторинга с использованием соответствующих аудиторских процедур.
В определенных ситуациях имеет смысл включать в состав плана мероприятий другие разделы. Например, в моей практике встречались планы мероприятий, в составе которых был еще раздел «Приоритетность». Он предназначался для того, чтобы руководство объекта аудита могло эффективно распределять ресурсы на выполнение план мероприятий. Однако шести основных разделов чаще всего достаточно.
Что касается формата плана мероприятий, то наиболее подходящим является табличный формат.
Определение ответственных за выполнение мероприятия. При выборе ответственных необходимо придерживаться ключевого принципа – ответственный за выполнение мероприятия должен обладать необходимыми полномочиями и возможностями. Под возможностями в первую очередь подразумеваются технические (экспертные) возможности. Также на роль ответственного необходимо выбирать такого сотрудника объекта аудита, который максимально заинтересован, исходя из своих целей и задач, в выполнении мероприятия. Уточнение «исходя из своих целей и задач» весьма важно, так как оно показывает, что персональный интерес к решению проблемы и прилив энтузиазма ответственный сотрудник испытывать не обязан. Выбор ответственного определяется его местом и ролью в процессе, а не субъективными ощущениями и соображениями.
Также не стоит увлекаться назначением в качестве ответственного за выполнение мероприятия руководителя объекта аудита, особенно генерального директора. В большинстве случаев это противоречит ключевому принципу выбора ответственного – генеральный директор обладает максимальными административными возможностями, но вряд ли он всегда будет иметь максимальные технические (экспертные) возможности.
Определение даты выполнения мероприятия. В большинстве случаев план мероприятия не требует срочного выполнения. Кроме того, большая часть мероприятий возлагает дополнительную нагрузку на сотрудников, которая нечасто компенсируется, в первую очередь материально. По этой причине, предлагая очень оптимистичную дату, аудитор оказывает давление на сотрудников объекта аудита, что приводит к излишнему негативу. В определении даты выполнения мероприятия уместно пойти на максимальные уступки.
Согласование плана. Существует два основных варианта инициирования процедуры согласования плана мероприятий.
• Внутренний аудит самостоятельно формирует исходный план. Такой подход целесообразно применять в большинстве российских компаний, особенно если план в компании видят впервые. Логика здесь проста – в большинстве случаев мероприятия скорее будут вычеркиваться, чем добавляться. По этой причине внутреннему аудиту проще составить план мероприятий самостоятельно, т. к. в этом случае он будет максимально расширенным. Затем план мероприятий по версии внутреннего аудита направляется руководству объекта аудита на рассмотрение, после которого руководство возвращает план мероприятий с корректировками. Такая перепасовка может продолжаться какое-то время, особенно если план мероприятий касается сложных проблем.
• Руководство объекта аудита самостоятельно формирует исходный план. Этот вариант полностью соответствует международным стандартам внутреннего аудита. В соответствии с ними менеджмент объекта аудита несет ответственность за управление рисками, поэтому он и должен определять необходимый объем и масштаб изменений (исправлений). Однако в российских условиях при таком подходе план мероприятий может не появиться никогда. Только в компаниях с высоким уровнем корпоративной культуры и продвинутым менеджментом возможна подготовка исходного плана мероприятий руководством объекта аудита. В остальном все аналогично первому варианту – также возможны перепасовки, и чем сложнее проблемы, тем их больше.