Чтение онлайн

В завершение главы хотелось бы подробнее остановиться на двух ключевых ошибках, которые допускают руководители ПВА при проведении проектов, – отсутствие процесса додавливания и отсутствие разведки.

Отсутствие процесса додавливания во внутреннем аудите. Во внутреннем аудите правило Парето работает очень хорошо. Очень часто 80 % времени уходит на выполнение 20 % работы, причем для выполнения этой части работы требуются дополнительные усилия. Зачастую они направлены на преодоление различных факторов психологического (например, сопротивление переменам), эмоционального (например, антипатия), административного (например, слабая поддержка руководства) и политического (например, руководитель объекта аудита родственник генерального директора или акционера) характера. Необходимость додавливать появляется практически с самого начала проекта, например:

• до начала проекта – что касается запросов, то, если что-то запрашивается, необходимо обеспечивать исполнение, иначе будет складываться мнение, что аудиторы запрашивают все на всякий случай и предоставление всего не обязательно;

• во время проекта – при проведении тестирования необходимо учесть все существенные обстоятельства и детали, иначе есть риск, что при обсуждении результатов проверяемая сторона представит новые данные, которые поставят под сомнение результаты аудита;

• после завершения проекта – наиболее важно додавить внедрение результатов аудита, любое послабление в данном вопросе, особенно вынесенное на широкую публику, имеет фатально негативные последствия для ПВА.

Внутренний аудитор по роду своей деятельности создает угрозу статус-кво. Это неизбежно вызывает противодействие. Аудитору приходится не только выполнять свою работу, но и искать способы нивелирования противодействия. По этой причине руководитель ПВА должен стараться избегать поводов для возникновения дополнительного противодействия, не связанного напрямую с деятельностью ПВА (например, придерживаться распорядка рабочего дня, хотя работа внутреннего аудитора имеет проектный характер, т. е. не требует постоянного пребывания на рабочем месте и фиксированного начала рабочего дня). Также для дозирования нагрузки, связанной с противодействием, руководитель ПВА должен придерживаться правила «один на один». Это означает, что в любой момент не стоит пребывать в серьезном конфликте более чем с одним владельцем ключевого процесса.

Отсутствие разведки. Важность разведки уже упоминалась в разделе, посвященном нюансам детального тестирования. Однако значение разведывательных действий в работе ПВА намного выше. Во многом по причинам, изложенным в предыдущем абзаце, каждое мало-мальски значимое действие ПВА должно предваряться эффективными разведывательными мероприятиями, например:

• до начала проекта – необходимо выяснить позицию менеджмента в отношении ключевых рисков объекта аудита;

• во время проекта – при обнаружении серьезного недостатка спрогнозировать возможную реакцию (например, могут потребоваться дополнительные данные, вплоть до личных предпочтений) владельцев объекта аудита и пользователей отчета, чтобы лучше подготовиться к доказыванию своей позиции;

• по завершении проекта – необходимо определить наилучший подход к презентации результатов, в том числе исходя из личных предпочтений руководства объекта аудита и пользователей результатов аудита.

Большую помощь в поиске оптимального варианта действий в вышеописанных ситуациях могут оказать небольшие и/или не самые важные проекты. Они позволяют обкатать различные подходы и посмотреть на реакцию окружающих. Также полезно придерживаться принципа разумной дозировки. Это означает, что если сложно заранее представить последствия определенного сочетания фактов и обстоятельств, то лучше использовать минимальные дозы того и другого для получения и оценки реальных последствий. Например, если команда внутренних аудиторов впервые взаимодействует с сотрудниками объекта аудита, то объем запросов информации необходимо свести к минимуму, чтобы оценить динамику их исполнения при минимальном уровне. При отсутствии негативной реакции можно наращивать объем запросов, стараясь нивелировать возникающее противодействие по мере необходимости. Разумеется, такой подход будет практиковаться только теми ПВА, которым не хватает авторитета.

Важность процесса разведки напрямую зависит от таких факторов, как уровень развития корпоративного управления, толерантность руководства к ошибкам и уровень развития менеджмента.

В этой главе представлены программы процессного (тематического) внутреннего аудита семи ключевых процессов. Они составляют не менее 70 % ключевых процессов любого коммерческого предприятия. В их состав включены следующие процессы:

• процесс «Продажи»;

• процесс «Закупки»;

• процесс «Инвестиции (капитальные вложения и новые проекты)»;

• процесс «Управление запасами и складское хозяйство»;

• процесс «Управление активами»;

• процесс «Персонал»;

• процесс «Бизнес-планирование и бюджетирование».

Программа аудита по каждому процессу включает в себя следующие блоки:

• Перечень основных подпроцессов.

• Перечень основных этапов подпроцессов.

• Описание структуры и содержания (начинки) основных подпроцессов и их этапов. Описание знакомит как с общей сутью и предназначением процесса, так и с рядом нюансов его правильного построения и функционирования.

• Перечень и содержание базовых и специфичных рисков процесса. В соответствии с подходом, изложенным в данной книге, перечень включает в себя ряд наиболее актуальных крупных рисков процесса. Эффективное управление этими рисками способно принести ощутимую пользу. Перечень не является исчерпывающим. Аудитор должен взять за правило дополнять и уточнять матрицу рисков в ходе аудита процесса в зависимости от складывающихся обстоятельств. Тем не менее приведенный перечень рисков составляет базу, от которой аудиторы могут отталкиваться при формировании собственной программы аудита. Риски из серии «отсутствие регламента» или «отсутствие такого-то контроля» и прочие поверхностные и/или простые риски не рассматривались, т. к. в подавляющем большинстве случаев они являются факторами риска по отношению к описываемым рискам.

• Перечень и содержание базовых контрольных процедур процесса. У приведенного перечня есть несколько ограничений. Во-первых, все контрольные процедуры распределены на три группы – контрольные процедуры высокого приоритета (черный значок), среднего приоритета (серый значок) и низкого приоритета (белый значок). При ограниченности ресурсов, выделяемых на контроль процесса, в первую очередь необходимо уделить внимание контрольным процедурам с более высоким приоритетом. Однако такое распределение может иметь вариации в зависимости от отрасли, конкретных условий объекта аудита, бизнес-среды и прочего, хотя в большинстве ситуаций оно соответствует представленному варианту. Во-вторых, в данную главу намеренно не включена полная информация по дизайну контрольных процедур. Этот блок информации будет включен в следующую редакцию книги. В-третьих, указаны наиболее приоритетные цели контроля. Если в перечне целей отсутствует какая-либо цель контроля, это не означает, что соответствующий контроль не должен осуществляться. Например, такая цель контроля, как «Правильность», имеет низкий приоритет в большинстве случаев, за исключением, пожалуй, подачи материалов на рассмотрение в государственные органы с целью принятия решения. Вместе с тем правильное составление документов в ходе многих процессов так же важно, и поэтому контроль правильности должен осуществляться.

• Перечень и содержание базовых тестов. Приводимые тесты можно разделить на две категории – предназначенные для детального тестирования и предназначенные для аналитики по процессу. Эти тесты позволят получить определенный результат. Однако необходимо помнить, что содержание и структура тестов требуют тонкой настройки в зависимости от обстоятельств и содержания и структуры процесса. Навык тонкой настройки развивается у аудитора со временем и требует практики.

• Перечень и содержание ключевых лучших практик по процессу. Представленные практики применимы в большинстве ситуаций и в большинстве компаний. Их применение с высокой вероятностью принесет существенную пользу как с точки зрения экономики компании, так и с точки зрения процессного управления. Как говорится, проверено на практике.

Представленный набор процессов и ключевых подпроцессов позволяет, грубо говоря, собрать с процессной точки зрения вполне функциональное коммерческое предприятие практически любого масштаба и сферы деятельности. К некоммерческим организациям данный комплект применим ограниченно, т. к. ряд процессов в них просто отсутствует.

Я надеюсь, что каждый из вас сможет дополнить приведенные программы нюансами из собственной практики, чтобы сделать их еще более совершенными и исчерпывающими.