Как оценить результативность внутреннего аудита
Как выявить качество аудита и каковы критерии его оценки?
Аудиторская деятельность относится к сфере профессиональных услуг, в которой заинтересован широкий круг потребителей. В силу специфики рынка услуг и услуги аудита в частности оценивать качество аудита по жестким критериям, принятым в сфере материального производства, невозможно. Потребность же в качественной оценке весьма велика.
Потребители и критерии оценки
Бухгалтерская финансовая отчетность составляется таким образом, чтобы дать объективную картину финансового состояния фирмы на определенный момент времени. Точно такая же задача стоит и в ходе аудиторской проверки.
Аудиторская деятельность – связующее звено между объектом проверки (фирмой) и потребителями информации. Потребители информации – это государственные структуры, деловые партнеры фирмы, инвесторы, внутренние потребители – управленческий персонал самой фирмы. Потребители информации оказывают влияние на формирование критериев оценки аудита в первую очередь. С другой стороны, и само аудиторское сообщество заинтересовано в повышении профессионального престижа, внося значительный вклад в процесс разработки и применения критериев аудита.
Таким образом, критерии могут устанавливаться:
Последняя группа самая многочисленная и разнообразная. Информационные потребности и ожидания представленных в ней экономических субъектов могут влиять на содержание критериев как прямо, так и косвенно.
На установление критериев влияют и свойства, присущие самой услуге: она неосязаема, несохраняема сама по себе в процессе оказания, можно говорить лишь о зафиксированных выводах аудиторов. В ходе аудиторской проверки аудитор неизбежно общается с клиентом, заказчиком (использует полученные от них сведения, знакомится с потребностями и ожиданиями), уровень его профессиональных навыков может влиять на результаты проверки. Иными словами, исключить влияние человеческого фактора удается далеко не всегда.
На сегодняшний день можно говорить о нескольких подходах к оценке качества аудиторских услуг. Оно определяется:
Указанные критерии можно считатьобъективными.
Имеют место и критерии, в основе которых выраженная субъективная оценка, связанная с выгодой и представлениями о качестве работы аудитора одной из сторон:
Законодательство и стандарты
Все указанные подходы прямо или косвенно базируются на действующем законодательстве и стандартах аудита, применяемых к работе аудиторских фирм, отдельных профессионалов.
ФЗ-307 от 30/12/08 «Об аудиторской деятельности» — основной документ, касающийся качества и порядка работы аудиторов в России. О контроле качества работы аудиторов говорится в ст.10 Закона.
Аудиторская фирма, аудиторы обязаны проходить внешний контроль качества работы, участвовать в осуществлении такого контроля через членство в саморегулируемой организации аудиторов. В ходе контроля проверяется соответствие услуг аудита указанному ФЗ; стандартам, правилам и кодексу профессиональной этики, принятым организацией аудиторов.
Важно! Некоторым организациям предписано проходить обязательный аудит (ст. 5-3 ФЗ-307), например, негосударственным пенсионным фондам, государственным корпорациям, государственным компаниям. Саморегулируемые аудиторские организации проверяют их вместе с уполномоченными на это государственными структурами (Указ Президента №41 2/02/16 п. 2-а).
Принципы контроля работы аудиторов и требования к организации контроля устанавливает Минфин (приказ№203н от 18/12/15), в частности уделяется внимание:
На основании этих принципов аудиторская организация разрабатывает и принимает планы, формы контроля своих членов, сроки контроля.
Статьей 16 ФЗ декларируется создание Совета по аудиторской деятельности. Этому органу определены широкие практические полномочия по установлению правил, стандартов и иных документов, регулирующих деятельность аудиторов, вплоть до общегосударственной политики в данной сфере.
Например, «Единые критерии оценки качества аудита», принятые им, по определенной шкале признаков оценивают качество от 1 до 5 баллов. Единица означает, что нарушений нет, организация полностью соблюдает требования ФЗ-307, стандарты, правила независимости аудиторов и другие документы, упомянутые в законодательстве, а 5 свидетельствует о грубых нарушениях в работе.
«Классификатор нарушений и недостатков, выявляемых в ходе внешнего контроля качества работы аудиторских организаций, аудиторов» (последняя ред. от 26/06/20) в числе грубых нарушений называет:
Система стандартов аудиторской деятельности, касающихся непосредственно рабочего процесса, представлена:
В них рассматриваются отдельные вопросы практической работы аудиторов, составления аудиторских заключений, например: формирование мнения о достоверности отчетности, обязанности аудитора по рассмотрению недобросовестных действий в ходе аудита, существенность в аудите, аудиторские доказательства, оценка рисков, проверка финансовых прогнозов и целый ряд других.
Регламентация работы аудитора строится с учетоммеждународных аудиторских стандартов и документов, разрабатываемых Советом по международным стандартам аудита IAASB: «Концепция качества аудита: ключевые элементы, формирующие среду для обеспечения качества аудита», Международный стандарт аудита 220 «Контроль качества при проведении аудита финансовой отчетности» и иных, связанных с ними.
Важным элементом, определяющим качество работы аудитора, закон признает исполнение профессиональных этических норм. Они установлены «Кодексом профессиональной этики аудиторов» (прил. к прот. №47 заочного голосования Совета по аудиторской деятельности от 21/05/19).
Например, принцип профессиональной компетентности и должной тщательности кодекс раскрывает так:
Основные принципы профессиональной этики, согласно документу, используются для определения уровня профессионального скептицизма, рассмотрения новой информации и изменений в ней, выявления конфликта интересов и многого другого.
Анализ данных и оценка службы внутреннего аудита
Вопрос о пользе внедрения СВА в компании периодически волнует многих руководителей. Особенно, если она не обязательна в сфере работы организации. А руководство тех компаний, где служба уже существует, после каждого отчета решает, насколько доверять рекомендациям аудиторов и какие из них внедрять.
Как внутренним аудиторам повысить уровень доверия к СВА при помощи правильного анализа данных, а также, как поддерживать имидж отдела, который сам всех проверяет, рассказываем в статье.
Анализ результатов внутреннего аудита
План согласовали, аудит организовали и результаты собрали. Пора переходить к этапу, ради которого все начинали — к анализу результатов и выводам, что дальше делать, чтобы прибыль росла, продуктивность сотрудников не снижалась, а строгие проверки не находили нарушений. И тут оказывается, что данных для обработки хватит на месяц, а начальство отчет требует через 3 дня: скорость реакции и принятия решений нынче в приоритете.
На помощь приходит автоматизация данных. Она не просто повышает эффективность работы внутренних аудиторов, а способствует более глубокому пониманию бизнеса и изменению подходов к мониторингу. Главное условие — автоматизация не отдельных процедур (анализ данных, например), а всего жизненного цикла внутреннего аудита. Исследование об популярности аналитики больших данных и работы в специализированных системах провели на pwc.ru.
Специалисты Deloitte уточняют, что такой анализ приносит наилучшие результаты при работе аудиторов вместе с профильными специалистами и специалистами по интеллектуальному анализу данных. Перечислим преимущества командной работы и автоматизации аналитических функций.
Показатели эффективности сотрудников СВА
Отчет с выводами и рекомендациями оформили и отдали начальству. Руководитель СВА готовит презентацию для собственников компании и должен быть уверен в качестве результатов, полученных от аудитора.
Убедиться в профессионализме подчиненных можно с помощью ключевых показателей эффективности (КПЭ). Разрабатывает показатели и проводит оценку сотрудников на соответствие этим критериям руководитель службы внутреннего аудита. Он же определяет периодичность проверки сотрудников.
Мы перечислили примерные варианты КПЭ, которые можно адаптировать под задачи компании.
| Название | Шкала | Признак выполнения КПЭ | Примечания |
| Внутренняя оценка качества деятельности | от 1 до 5 баллов | от 3 до 5 баллов | руководитель может разработать свою шкалу и критерии соответствия |
| Соответствие кодексу этики | да/нет | да | |
| Нет замечаний по выполняемым обязанностям | 0–100 % | не менее 90% | |
| Достаточность доказательств и обоснованность выводов | 0–100 % | не менее 90% | |
| Выполнение плана аудиторских проверок | 0–100 % (отношение выполненных проверок к запланированным за определенный период) | 100 % | Руководитель может снижать признак выполнения в зависимости от специфики работы |
| Выполнение плана повышения квалификации | пройдены все запланированные курсы | При условии, что компания выделила финансирование | |
| Замечания внешнего аудитора по учету и отчетности | нет замечаний |
Оценка системы внутреннего аудита
Всех сотрудников отдела по отдельности оценили и в рейтинг по заслугам выстроили. Доложили результаты проделанной работы. Однако у руководства компании может возникнуть справедливый вопрос: насколько компетентна СВА в целом и стоит ли внедрять рекомендации. Как проконтролировать проверяющих?
Строгих предписаний по оценке деятельности службы внутреннего аудита не существует. Следовательно, в каждой компании критерии качества работы службы устанавливают самостоятельно.
Приведем в пример несколько классификаций показателей работы СВА.
Еще раз уточним, что эти критерии для оценки деятельности службы внутреннего аудита приведены для примера. Руководители компании могут адаптировать их к своим задачам или считать, что какие-то из представленных вариантов не показывают релевантную картину работы службы.
Например, не все согласны с тем, что надо ориентироваться на число нарушений, выявленных СВА. Если служба функционирует в компании не первый год, то с течением времени количество нарушений снижается. Это тоже может быть показателем хорошей работы в долговременной перспективе.
Как сделать процесс внутренних аудитов эффективным
Согласно идеологии стандарта ISO 9001, внутренние аудиты должны быть одним из самых важных инструментов для оценивания функционирования системы управления качеством. С точки зрения высшего руководства внутренние аудиты должны быть независимым источником объективной информации о состоянии дел в процессах/структурных подразделениях. Свидетельством важности внутренних аудитов является то, что процедура их проведения входит в число обязательных документированных процедур. Кроме того, стандарт требует анализа результатов аудитов высшим руководством организации на том же уровне, что и данных о потребностях потребителей или результативности процессов. Все это требует от организаций отнестись к разработке методики внутренних аудитов максимально ответственно.
К сожалению, на практике внутренние аудиты часто превращаются в ритуальные действия, которые выполняются в большей степени для органа по сертификации, чем для собственного руководства. Особенно ярко это становится видно через 2–3 цикла аудитов, когда все существенные несоответствия системы управления требованиям выбранных стандартов уже выявлены и устранены. После этого традиционные аудиты — аудиты проверки соответствия становятся особенно малоэффективными. Часто единственными результатами этих аудитов становится выявление мелких и формальных несоответствий: таких как отдельные неподписанные записи, незарегистрированные документы, неидентифицированные единицы продукции и т.п. Выявление подобных несоответствий, как правило, не оправдывает расходы на проведение внутренних аудитов. Также при этом снижается мотивированность внутренних аудиторов, которые не видят смысла в том, чтобы отвлекаться от основной работы ради поиска таких «мелочей». А самое главное, теряется заинтересованность высшего руководства в результатах аудитов, ведь тяжело убедить его серьезно анализировать такие «находки» аудиторов и использовать их для принятия управленческих решений. Хотя стандарт ISO 9001 и требует, чтобы результаты аудитов рассматривались в рамках анализа системы управления качеством со стороны высшего руководства, чаще всего это сводится к формальности типа «признать, что система отвечает требованиям стандарта, а ее функционирование является удовлетворительным».
Еще одним негативным последствием преобладающей ориентации аудитов только на проверку выполнения требований стандарта ISO 9001 или других системных стандартов является формирование соответствующего восприятия персоналом самой системы. Если сотрудники видят, что их спрашивают исключительно о выполнении требований стандарта, а не о реальной эффективности системы, ее связи со стратегией, ее влиянии на результаты для разных заинтересованных сторон — они сделают логический вывод, что система создана только для того, чтобы обеспечить организации получение сертификата, а совсем не как рабочий инструмент. Соответствующим образом сотрудники и будут относиться к ней.
Другой важной проблемой, запрограммированной в традиционной методике внутренних аудитов, являются трудности в обеспечении их положительной направленности, здоровой моральной атмосферы вокруг них. Безусловно, такая направленность декларируется во многих организациях, руководители часто делают важные шаги для этого (например, официальный отказ от наказания сотрудников за несоответствия, выявленные в ходе аудитов). Но проблемой остается то, что при традиционном аудите, направленном только на проверку соответствия, наилучшим вариантом для руководителя объекта аудита (структурного подразделения, процесса) является отсутствие любых задокументированных наблюдений по итогам аудита. Любое зафиксированное наблюдение может иметь только негативный характер (регистрация несоответствий). Можно сказать, что по итогам аудитов может выставляться или негативная оценка (имеющиеся факты несоответствий), или нейтральная (никакие наблюдения не зафиксированы — выполняются все обязательные требования). Возможность положительных оценок традиционной методикой просто не предусмотрена. С другой стороны, внутренние аудиторы заинтересованы в том, чтобы зарегистрировать определенные наблюдения, а следовательно — выявить определенные несоответствия, просто для того, чтобы подтвердить собственную квалификацию и беспристрастность (отсутствие любых записей может вызвать у руководства подозрения относительно самого факта проведения аудита или его глубины). Таким образом, основа для конфликта интересов между аудиторами и объектом аудита, заложена самой методикой.
Такая методика может быть приемлемой в организациях с репрессивным менеджментом, для которых является нормальной ситуация, когда высшее руководство «ловит» сотрудников, а они прячут от него информацию. Но в организациях с демократическим стилем управления, где персонал привык работать вместе для достижения общих целей, подобная схема внутренних аудитов практически не использует важнейший ресурс — потенциал партнерских отношений между аудиторами и персоналом, деятельность которого проверяется. Ведь для внутренних аудитов остается верным общее правило: наилучший результат может быть достигнут, если все участники процесса работают совместно, открыто обмениваясь информацией и принимая согласованные решения.
Какие же действия могут осуществляться для устранения указанных недостатков традиционной схемы? Одним из возможных путей может быть повышение квалификации внутренних аудиторов, что позволит им задавать во время аудитов совсем другие вопросы, проверять действенность системы управления на другом уровне. Например, это могут быть вопросы о реальном использовании процессного подхода и функциях владельцев процессов, о мониторинге деятельности организации и результативности принимаемых решений по совершенствованию и т.д. Если внутренние аудиторы сумеют реально проверять соответствие системы на таком «глубинном» уровне, смысл аудитов может сохраниться надолго, а их результаты будут интересными для высшего руководства.
Но, независимо от квалификации аудиторов, уместно попробовать пересмотреть методику внутренних аудитов, сделать ее более инновативной, индивидуализированной под потребности организации. Ведь именно методика внутренних аудитов является одной из наиболее стандартных, «одинаковых» в разных организациях, независимо от их специфики, корпоративных ценностей, стратегии: везде разрабатываются подобные годовые графики аудиторов, определяются подобные квалификационные требования для аудиторов, составляются подобные программы и протоколы. Соответственно, редко когда можно сказать, что эффективная и глубокая система внутренних аудитов — это конкурентное преимущество организации, ее сильная сторона, которая выделяет ее из массы других. И именно на это могут быть направлены попытки внедрения новшеств и инноваций в проведении внутренних аудитов.
Основной философией поиска новых решений для внутренних аудитов (как и для любой другой деятельности) может быть их направленность на потребности потребителей, в данном случае — внутренних. Если считать, что главным результатом внутренних аудитов является информация о состоянии дел в структурном подразделении или процессе, то потребителями такой информации могут быть руководители объекта аудита и высшее руководство организации. Соответственно, можно попробовать найти ответы на два вопроса. Во-первых, какая именно информация из независимых источников о работе подразделения/процесса может быть интересна высшему руководству? Во-вторых, если подразделение или процесс изучит группа квалифицированных специалистов со свежим взглядом, чем именно она может быть полезна его руководителям? Ответы на эти вопросы могут быть разными, обе группы руководителей могут быть заинтересованы в информации относительно реализации стратегии, возможностей для усовершенствования, выявления потерь и многого другого. Но едва ли в числе их приоритетов будет получение информации о соответствии работы требованиям ISO 9001 или любого другого стандарта. А именно такую информацию им предлагают при традиционной схеме внутренних аудитов, игнорируя их реальные потребности.
Примером такого подхода: ориентации на потребителей — объектов проверки, может быть методика проведения внутренних аудитов в компании Siemens Netherland (призер Награды за совершенство EFQM). В этой компании на вопрос, чем аудиты могут быть полезны для руководителей подразделений и владельцев процессов, ответили: усилением процессного подхода, помощью в поиске возможностей для совершенствования процессов, привнесением новых знаний о возможных путях выполнения работы. Исходя из этих целей, было принято решение, что аудиты проводятся не по структурным подразделениям, а по процессам. Аудит проводится в виде круглого стола, в котором принимают участие представители всех структурных подразделений, задействованных в проверяемом процессе, а роль модератора выполняет внутренний аудитор. Задачей этой команды является построение алгоритма выполнения процесса, его согласование со всеми вовлеченными подразделениями, поиск возможностей для его оптимизации. Важно заметить, что во время этой работы группа не пользуется имеющимися документированными описаниями процессов, к ним обращаются только если представители разных структурных подразделений не могут согласовать свои позиции. Основной акцент делается на том, как процесс выполняется на самом деле, а не как он описан в документах. Также не проводится проверка «на рабочих местах» — с точки зрения корпоративной культуры Siemens Netherland некорректно проверять, действительно ли работа в подразделении выполняется так, как рассказал об этом его руководитель, демонстрируя тем самым свое недоверие к нему. Функциями аудитора в такой схеме является модерация, помощь участникам, провоцирование на более глубокий анализ, управление конфликтами, «подбрасывание» новых идей и т.п. Аудитор может задавать вопрос такого типа: «Зачем выполнять этот шаг?», «А как Вы будете действовать, если. », «Можно ли попробовать такой вариант. ». Результатом аудита является методика выполнения процесса, согласованная всеми его участниками. Безусловно, такая схема проведения аудита не позволяет выявить все несоответствия или случаи невыполнения требований документации системы, но в организации такого уровня это не является важным приоритетом.
Также надо заметить, что подобная схема выдвигает очень высокие требования к внутренним аудиторам. Они должны в совершенстве владеть техникой моделирования процессов, методами модерации, знать лучшую практику выполнения разных процессов, понимать стратегию и приоритеты организации.
Но этот выбор должен быть осознан и подкреплен соответствующими процедурами внутреннего аудита. Например, если аудиты используются для того, чтобы глубже понять результаты деятельности подразделения, описанные в его отчетности, и причины их тенденций, аудиторы должны изучать и анализировать эту отчетность, учитывать ее при составлении плана аудита.
Нестандартные подходы к интеграции внутренних аудитов в систему отчетности применяются на одном из украинских пищевых предприятий — фирме «Панда». Там внутренние аудиты процессов проводятся в виде презентации и обсуждения результатов процесса его владельцем для команды высшего руководства. В роли аудиторов при этом выступают сами высшие руководители. А главным результатом аудита являются предложения и мероприятия по совершенствованию процесса.
Конечно, предложенный метод морфологических таблиц может быть применен в рамках системы управления для определения схем реализации разных процессов. В первую очередь он может применяться, если принято решение о полной перестройке процесса, о необходимости значительного повышения его эффективности.
Как оценить результативность внутреннего аудита
Раздел: Практика внутреннего аудита
Краснова И.А., заместитель начальника Отдела внутреннего аудита ОАО «УМЗ», член Института внутренних аудиторов
В настоящей статье автор подробно раскрывает методику проведения аудиторской проверки эффективности системы внутреннего контроля бизнес-процессов компании, успешно апробированную на практике Службами внутреннего аудита ряда крупных российских промышленных холдингов. Результаты данных внутренних аудиторских проверок, организованных в соответствии с представленной методикой, могут оказать существенную помощь менеджменту при построении надежной системы внутреннего контроля компании.
Материал, представленный в данной статье, предназначен для сотрудников Служб внутреннего аудита, менеджеров различного уровня, членов Комитетов по аудиту и Советов директоров и, по мнению автора, может быть интересен более широкому кругу читателей.
1. Общие понятия о системе внутреннего контроля в компании
При исследовании вопросов, касающихся системы внутреннего контроля (далее – СВК), автор столкнулся с достаточно парадоксальной ситуацией, сложившейся в настоящее время. С одной стороны, можно констатировать наличие повышенного интереса к данной экономической категории на протяжении последних десяти-пятнадцати лет. С другой стороны, общепризнанного однозначного определения СВК до сих пор не существует.
Тем не менее, в рамках настоящей статьи автор трактует понятие СВК как совокупность организационной структуры управления, мер, методик и процедур, принятых и постоянно осуществляемых Советом директоров, исполнительными и контрольными органами, должностными лицами и иными сотрудниками компании, направленных на:
Надежная СВК является ключевым элементом корпоративного управления компанией, который позволяет менеджменту принимать адекватные решения, направленные на:
Основными задачами, стоящими перед СВА, являются:
Схема взаимодействия Совета директоров, СВА и менеджмента компании в рамках организации СВК представлена на рисунке 1.
Рис.1. Схема взаимодействия СВА и менеджмента компании
Необходимо отметить, что в действующем законодательстве и современной методической литературе по вопросам организации внутреннего контроля и аудита не определена методика проведения внутренних аудиторских проверок эффективности СВК компании, результатами которых и должны быть объективная оценка и предложения по оптимизации действующей СВК компании.
В следующем разделе статьи автор предлагает к рассмотрению методику организации данных проверок, успешно используемую Службами внутреннего аудита некоторых крупных промышленных компаний2, реализующих процессный риск-ориентированный метод управления деятельностью. Особое внимание уделяется раскрытию технологии и порядка проведения проверок; подробно представлены основные инструменты и документы, используемые аудиторами; а также обозначены ключевые организационные мероприятия при поведении внутренней аудиторской проверки.
2. Организация внутренней аудиторской проверки эффективности СВК бизнес-процессов компании
Следует определить, что аудиторская проверка в контексте данной статьи представляет собой мероприятие, заключающееся в сборе, оценке и анализе аудиторских доказательств, касающихся СВК бизнес-процесса, подлежащего аудиту, и имеющее своим результатом выражение мнения аудитора о степени надежности СВК этого бизнес-процесса.
Проведение внутренней аудиторской проверки инициируется Руководителем СВА компании на основе раннее утвержденного плана работы СВА либо по отдельному внеплановому поручению уполномоченного лица3.
Процесс проведения внутренней аудиторской проверки СВК бизнес-процессов компании включает в себя несколько этапов (рис.2.), а именно:
Рис.2. Этапы проведения внутренней аудиторской проверки эффективности СВК бизнес-процессов компании
Ключевые этапы проведения аудиторской проверки эффективности системы внутреннего контроля проиллюстрированы на примере внутренней аудиторской проверки бизнес-процесса «Поиск, оценка и выбор поставщика ТМЦ для основного производства».
2.1. Планирование аудиторской проверки эффективности СВК бизнес-процессов компании
Планирование аудиторской проверки способствует тому, чтобы важным областям в ходе аудита было уделено необходимое внимание, чтобы были выявлены потенциальные проблемы и работа была выполнена с оптимальными затратами, качественно и своевременно. Планирование позволяет эффективно распределять работу между членами аудиторской группы, участвующими в аудиторской проверке, а также координировать такую работу.
Для эффективного планирования предстоящей аудиторской проверки следует проводить предварительное обследование аудируемого объекта (бизнес-процесса). Задачей данного обследования является изучение фактических целей аудируемого бизнес-процесса, его структуры или изменений в нем, произошедших со времени прошлой проверки. Также должное внимание необходимо уделить оценке уровня материальности аудируемого бизнес-процесса, что позволит объективно говорить о существенности последствий неэффективной организации СВК данного процесса для компании в целом.
Аудиторы на этапе предварительного обследования:
По итогам анализа полученной информации о рассматриваемом бизнес-процессе и формирования адекватного понимания его фактического функционирования руководитель службы должен принять:
При этом решение об отказе от проведения проверки в настоящее время и причины данного решения должны быть доведены до лица, инициировавшего данную проверку. Обычно решение об отказе от проведения проверки в настоящее время принимается в случае если:
В случае принятия положительного решения о проведении проверки эффективности СВК бизнес-процесса в настоящее время по итогам предварительного обследования аудитор должен точно определить ключевые аспекты (в том числе сроки и объемы) предстоящего аудита и проинформировать о них аудируемое лицо. В качестве инструмента для достижения поставленной цели рекомендуется использовать рабочий документ «Задание на аудит».
Аудитор должен отчетливо понимать сам и уметь пояснить аудируемому лицу цели предстоящей проверки. Точное определение границ аудита снижает риск непреднамеренного смещения внимания аудитора в ходе проведения проверки на смежные и наименее проблемные области. Данные аспекты отражаются в разделе 1 «Обоснование проверки» «Задания на аудит».
По итогам изучения внутренних нормативных документов по анализируемому бизнес-процессу и интервью с владельцем и прочими участниками процесса аудитор должен оценить насколько цели, формализованные в регламентах, политиках и др. или обозначенные владельцем процесса, соответствуют стратегии развития компании и общим правилам целеполагания. Помимо этого аудитор должен оценить критерии, используемые менеджментом для определения эффективности и экономичности бизнес-процессов. Особое внимание аудитору следует уделить тому, как действующая система мотивации владельца и участников процесса соотносится с определенными целями процесса. В случае если цели бизнес-процесса не формализованы и владелец процесса также затрудняется их четко сформулировать, аудитор должен на основе собственных теоретических и практических знаний и навыков (в том числе на основе бенчмаркинга) предложить цели для данного процесса и показатели для их измерения и согласовать их с владельцем процесса. Данные аспекты отражаются в разделе 2 «Оценка целей процесса» «Задания на аудит».
Одним из ключевых результатов грамотно проведенного предварительного обследования является адекватное понимание аудитором фактической организации анализируемого бизнес-процесса (последовательность процедур, ответственные за исполнение, фактические сроки исполнения) и объективная оценка уровня его регламентации. Данные аспекты отражаются в разделе 3 «Описание процесса» «Задания на аудит».
Результаты обследования и оценки рисков, проводимых СВА при годовом риск-ориентированном планировании; материалы прошлых аудиторских проверок; результаты оценки рисков, проводимой менеджментом (анализ Карт рисков) являются основой для формирования перечня рисков изучаемого бизнес-процесса.
Оценка рисков в ходе предварительного обследования проводится аудитором экспертно по двум показателям – вероятность реализации и значимость последствий от реализации данных рисков.
Схематично результаты оценки идентифицированных рисков4 можно представить в Карте рисков бизнес-процесса. При этом для наглядности используется метод цветовой зональности рисков:
Данные аспекты отражаются в разделе 4 «Оценка бизнес-рисков процесса» «Задания на аудит».
В целях достижения общего мнения о фактической организации аудируемого процесса, его целей и целей предстоящей аудиторской проверки руководителю аудиторской группы следует согласовать данные вопросы с представителем (-ями) аудиторского предприятия /подразделения (как правило, владельцем процесса). Данные аспекты отражаются в разделе 5 «Мнение представителей аудируемого предприятия / подразделения» «Задания на аудит».
Необходимо отметить, что «Задание на аудит» формируется руководителем аудиторской группы и после согласования с представителем аудируемого лица обязательно утверждается Руководителем СВА компании. Какие-либо последующие корректировки данного документа возможны только при согласовании с Руководителем СВА с объяснением причин необходимости данных корректировок и при условии информирования владельца процесса.
На этом предварительный этап аудиторской проверки завершен. Далее, начинается так называемый этап «Работа в поле», когда аудитор для формирования адекватных выводов о фактической СВК получает аудиторские доказательства путем выполнения соответствующих процедур (тестов).
2.2. Проведение аудиторских процедур
Проведение аудиторских процедур предназначено для сбора достаточных надлежащих доказательств с целью формулирования обоснованных выводов, на которых основывается мнение аудиторов об эффективности СВК, выраженное в «Аудиторском отчете» и подкрепленное соответствующими рабочими документами.
Одной из основных аудиторских процедур, направленных на получение адекватных выводов о надежности и эффективности функционирования СВК бизнес-процесса, является тестирование фактических процедур управления рисками, присущих анализируемому процессу.
Тестирование надежности СВК направлено на определение аудитором вероятности достижения цели контрольной процедуры, с помощью которой владелец анализируемого риска может эффективно управлять данным риском. При этом цель контрольной процедуры определяется аудитором либо на основе анализа ВНД по процессу, интервью с владельцем процесса, либо самостоятельно на основе «лучших практик» организации данных процессов в аналогичных компаниях.
Как правило, тестирование проводится аудитором выборочным методом. Объем выборки должен обеспечивать достаточную уверенность аудитора в том, что выводы, сделанные на основе анализа выборочных данных будут приемлемы для всего объема данных (генеральной совокупности), из которого произведена выборка. Объем выборки может определяться с применением специальных формул, полученных на основе теории вероятности и математической статистики, либо определяться на основе профессионального суждения аудитора.
По результатам тестирования аудитор должен дать оценку надежности действующей СВК бизнес-процесса в части управления анализируемым риском, с указанием возможных последствий от реализации данного риска (с учетом экстраполяции результатов проверки выборочных данных на всю генеральную совокупность). В случае необходимости аудитор формирует рекомендации по построению или оптимизации действующей СВК для достижения целей бизнес-процесса.
В качестве инструмента для отражения процедуры тестирования СВК рекомендуется использовать рабочий документ «Аудиторский тест».
После проведения предварительного обследования и тестирования фактических процедур управления рисками, присущих анализируемому бизнес-процессу, аудитор должен сформировать общее мнение о надежности и эффективности действующей СВК изучаемого процесса. В качестве инструмента для достижения поставленной цели рекомендуется использовать рабочий документ «Оценка дизайна контроля».
Необходимо конкретизировать, что дизайн внутреннего контроля бизнес-процесса представляет собой фактическое содержание и место расположение контрольных процедур в структуре процесса.
В ходе проведения оценки дизайна контроля аудитор использует следующие приемы, результаты которых отражает в вышеуказанном рабочем документе:
Кроме того, оценка дизайна контроля должна проводиться с учетом стоимости как отдельной контрольной процедуры, так и затрат на создание и поддержание всей СВК. Рекомендации по созданию и оптимизации действующей СВК должна быть обоснована с точки зрения стоимостного анализа «выгоды – затраты». В случае функционирования нескольких контрольных процедур, направленных на управление одним риском или зависимыми рисками, следует провести оценку различных вариантов использования контрольных процедур для исключения излишних (дублирующих) процедур.
Аудитор на основе результатов оценки дизайна контроля бизнес-процесса должен совместно с менеджментом компании выработать рекомендации по построению и оптимизации действующей системы внутреннего контроля анализируемого процесса. Рекомендации аудитора, в основном, направлены на:
После проведения всех необходимых аудиторских процедур и формирования общего мнения о надежности СВК изучаемого бизнес-процесса на основе полученных аудиторских доказательств аудитор приступает к обобщению полученных результатов и формированию «Аудиторского отчета».
2.3. Формирование результатов аудита
Мнение СВА о надежности действующей СВК изучаемого бизнес-процесса, выраженное в письменной форме, представляется аудитором в «Аудиторском отчете».
Для формирования объективного окончательного мнения о действующей СВК процесса и снижения риска ошибок аудитора при проведении проверки рекомендуется предварительно формировать «Проект аудиторского отчета». Данный документ используется как предварительный черновой вариант «Аудиторского отчета», который предоставляется на согласование владельцу и участникам аудируемого бизнес-процесса, которые:
«Лучшей практикой» при согласовании материалов аудита является процедура проведения завершающего совещания между аудиторами и представителями аудируемого лица по уточнению окончательных мнений и позиций сторон по предмету проверки.
Стандартная форма «Аудиторского отчета» законодательно не определена. Поэтому данный рабочий документ СВА формируется аудитором по форме, разработанной непосредственно в самой компании, но должен отвечать требованиям объективности, ясности, лаконичности, конструктивности и своевременности.
В вводной части «Аудиторского отчета» аудитор представляет общую информацию о проверке, как то:
Описательная часть «Аудиторского отчета» является наиболее объемным и информативным блоком, содержащим все результаты аудита.
Для привлечения внимания высшего руководства компании к наиболее важным аспектам, выявленным при аудите, а также для упрощения процесса формирования отчетности СВА о деятельности службы рекомендуется обособить:
Для удобства восприятия заинтересованными пользователями результатов аудита целесообразно придерживаться следующей схемы представления информации:
Необходимо отметить, что если в ходе согласования «Проекта аудиторского отчета» достичь единого мнения с аудируемым не удалось, в окончательном «Аудиторском отчете» следует также указать мнение аудируемого с пояснением, почему его возражения не были приняты аудитором.
При формировании «досье аудита»6 необходимо к «Аудиторскому отчету» прилагать «Протокол разногласий по результатам аудита» и «План корректирующих мероприятий по результатам аудита».
Порядок подписания «Проекта аудиторского отчета» и «Аудиторского отчета» и доведения данных документов до заинтересованных пользователей должен быть регламентирован в ВНД, регулирующих организацию функции внутреннего аудита в компании. Как правило, данные рабочие документы по проверке авторизируются руководителем СВА, который и принимает решение о направлении данных документов заинтересованным пользователям.
Обычно окончательная версия «Аудиторского отчета» предоставляется:
Следует отметить, что направление СВА окончательной редакции «Аудиторского отчета» заинтересованным пользователем является лишь промежуточным этапом проведения аудиторской проверки эффективности СВК бизнес-процессов. Только последующая совместная работа СВА и менеджмента компании может обеспечить надлежащее формирование и внедрение надежной СВК бизнес-процессов, обеспечивающую разумную уверенность в достижении стратегических целей компании и ее акционеров.
2.4. Работа СВА с материалами аудита после утверждения окончательной редакции «Аудиторского отчета»
Работу СВА с материалами аудита после утверждения и доведения окончательной редакции «Аудиторского отчета» заинтересованным пользователям можно разделить на два типа:
Работа СВА с менеджментом компании по построению и оптимизации СВК бизнес-процессов
Основное направление совместной работы СВА с менеджментом компании по построению и оптимизации СВК бизнес-процессов связано с контролем исполнения плана корректирующих мероприятий, необходимость которых была выявлена по результатам аудита. Контроль может осуществляться посредством:
По результатам осуществления контрольных действий СВА формирует «Отчет об исполнении корректирующих мероприятий» по конкретной проверке с указанием выполнения мероприятий, их достаточности, своевременности и эффективности, который доводится до тех же лиц, кому направлялся ранее сам «Аудиторский отчет».
Другое направление совместной работы СВА с менеджментом компании связано с оказанием консалтинговой поддержки менеджменту. Как уже было отмечено выше, ответственным за формирование надежной СВК и поддержание надлежащего ее функционирования, согласно как российским, так и зарубежным принципам корпоративного управления, является высшее руководство компании. Тем не менее, как показывает практика, менеджменту компаний обычно требуются дополнительные специальные знания и помощь в таких областях управления, как внутренний контроль и управление рисками. В связи с этим СВА может привлекаться в качестве консультанта по вопросам тестирования вводимых процедур внутреннего контроля, оценки дизайна контроля, проверки исполнения процедур внутреннего контроля, а также обеспечить методологическую поддержку при организации процессов внутреннего контроля и управления рисками.
Работа СВА с материалами аудита для удовлетворения собственных потребностей службы
Информация, полученная в ходе проведения аудиторской проверки и последующего контроля исполнения корректирующих мероприятий по результатам аудита, является основой для решения задач, поставленных непосредственно перед самой СВА, как то:
Подводя итоги, можно констатировать следующее.
Построение надежной СВК, содействующей повышению эффективности бизнеса и защите интересов акционеров, является зоной ответственности менеджмента компании. Но даже хорошо выстроенная и организованная СВК нуждается в оценке своей эффективности как с точки зрения достижения поставленных целей, так и с точки зрения экономичности. Наиболее независимо и профессионально оценить надежность и эффективность существующей СВК бизнес-процессов компании, а так же предложить рекомендации по ее усовершенствованию может СВА.
Представленная в статье методика проведения внутренних аудиторских проверок, по сути, является руководством по построению процесса оценки СВК. При этом для организации эффективного практического применения данной методики требуется легализация во внутренних регламентирующих документах компании как порядка и инструментов проведения проверки, так и схемы взаимоотношений СВА и аудируемыми предприятиями /подразделениями.
Оценка дизайна контроля бизнес-процесса «Поиск, оценка и выбор поставщика ТМЦ для основного производства»
СВА ОАО «Наименование компании»
Бизнес-цель подпроцесса или операции
Риск, препятствующий достижению цели
Цель контроля данного риска
Тест 11
Контрольная процедура (из ВНД)
Тест 2
Контрольная процедура (факт)
Тест 3
Тест 4
Тест 5
Оценка СВК