Стадия предварительного исследования процесса

Частые изменения в бизнес-процессах компании в совокупности с низким уровнем формализации процессов существенно усложняют работу функции внутреннего аудита. В частности, эти факторы сказываются на способности выявлять и точно оценивать риски в аудируемом бизнес-процессе, а также увязывать их с контролями.

В итоге эти факторы могут привести к следующему:

·         ключевые риски не попадут в периметр аудита

·         рекомендации по итогам наблюдений будут иметь низкую проработанность

·         существенно возрастёт трудоёмкость аудита.

Обычно риски выявляются и увязываются с контролями на стадии предварительного обследования процесса. От успешного выполнения данной стадии часто зависит эффективность всего проекта, особенно в случаях, когда это первый аудит данного процесса.

К сожалению, в российской практике данной стадии не уделяется должного внимания или она вообще игнорируется. При этом во многих российских компаниях бизнес-процессы подвержены постоянным изменениям и не формализованы в достаточной мере.

Одним из мероприятий способных повысить качество оценки рисков и контролей в ПАО «ФосАгро» является подготовка отчета, агрегирующего ключевые наблюдения, собранные аудиторами на этапе предварительного обследования. Основная цель такого отчета сделать прозрачным процесс оценки рисков и выявления ключевых контролей, повысить его точность путём предметного обсуждения наблюдений с заинтересованными сторонами уже после того, как аудиторы изучили процесс. В практике нашей компании такой отчет называется ознакомительным.

Такой подход позволяет существенно повысить эффективность коммуникаций, и в результате аудиторы получают возможность:

·         более точно оценить риски бизнес-процесса с учетом мнения заказчика

·         выяснить коренные причины существенных изменений в процессе

·         учесть будущие изменения в процессе при формировании программы тестирования

·         пересмотреть периметр аудита с учетом переоценки рисков

·         выявить проблемы, в которых менеджмент заинтересован получить помощь от аудиторов.

Обычно в ознакомительный отчет включают аналитическую информацию, собранную на этапе предварительного исследования из корпоративных систем учета, отражающую состояние каждого бизнес процесса: материальность подпроцессов, ключевые тренды, ключевые риски и контроли. Помимо этого, отчет может дополняться иной информацией, которая по мнению аудитора важна для обсуждения с объектом аудита и с заказчиком.

Также для успешного обсуждения ознакомительного отчета важно, чтобы он имел понятную структуру (например, структурирован в логике подпроцессов) и был прост для прочтения. Этого можно добиться, оформляя его в виде короткой презентации, где на каждом слайде показан один подпроцесс, указана материальность подпроцесса, наблюдения аудитора представлены инфографикой и даны краткие выводы по оценки рисков и контролей. Вначале презентации рекомендуется показать общую структуру процесса, его ключевые этапы или подпроцессы. Последним слайдом имеет смыл демонстрировать матрицу ключевых рисков (сокращённая версия полной матрицы рисков и контролей) с учётом оценки объекта аудита, если она применима.

При подготовке такого отчёта важно исключить из презентации информацию, которая может нанести ущерб следующим стадиям аудита, в частности, тестированию контролей. Например, если ещё на этапе сквозного тестирования установлены не работающие контроли и имеется высокая вероятность того, что это привело мошенничеству, но доказательства планируется собирать в процессе детального тестирования, то такую информацию в презентацию для обсуждения с объектом аудита лучше не включать, особенно если источники данных могут быть подвержены изменениям.

Ознакомительный отчёт целесообразно сначала обсудить с объектом аудита, а уже затем представлять заказчику аудита с учётом комментариев объекта аудита.

При обсуждении отчёта с объектом аудита, следует получить от него следующую информацию:

·         Интерпретацию отражённых в отчёте трендов, особенно в увязке со стратегическими целями бизнес-процесса

·         Представление о материальности подпроцессов

·         Задачи, которые объект аудита считает ключевыми для своей функции

·         Ожидаемые существенные изменения в процессах и ближайшие планы

·         Оценку присущих процессу рисков.

Презентацию отчёта заказчику лучше сопровождать комментариями объекта аудита к каждому слайду. У заказчика аудита следует выяснить:

·         Стратегические цели в аудируемом процессе,

·         Мнение по поводу полноты рисков, отраженных аудиторами, и точности их оценки

·         Необходимую глубину проработки рекомендаций

·         Периметр аудита

Часто в ходе обсуждения отчета заказчик может отметить, какие изменения ждут данный процесс в ближайшем будущем. В таких случаях, аудиторы, обладающие необходимыми компетенциями, могут предложить провести параллельно с проектом аудита дополнительные мероприятия, например, консалтинг. Такая готовность со стороны аудита может существенно повысить значимость функции и ее статус, как ключевого помощника менеджмента.

Помимо вышеперечисленного презентация ознакомительного отчета имеет ряд дополнительных преимуществ по сравнению со стандартным процессом аудита:

·         Для руководителя проекта это хорошая возможность более предметно проанализировать достаточность компетенций команды в аудируемых бизнес-процессах и, если это необходимо, своевременно привлечь на проект сторонних экспертов

·         Это возможность систематизировать и вести архив знаний внутреннего аудита по процессам, с помощью которого легко освежить знания перед началом аудита. Причём таким архивом могут пользоваться не только аудиторы, но и менеджмент.

Несмотря на множество достоинств, включение в процесс аудита этапа подготовки ознакомительного отчёта имеет ряд рисков, о которых лучше знать заранее.

Первым риском является возможное увеличение продолжительности проекта в связи с подготовкой ознакомительного отчёта. Такой риск можно минимизировать, при обсуждении отчета с заказчиком обычно удаётся точнее выявить ключевые направления для тестирования и далее сконцентрировать основные усилия команды на них.

Второй риск – неверная оценка рисков в связи с принятием мнения заказчика и/или объекта аудита как единственного верного. Аудиторы всегда подвержены такому риску; необходимо помнить, что мнение любой внешней по отношению к аудиту стороны должно восприниматься объективно.

Благодаря такому подходу аудиторам в ПАО «ФосАгро» удалось сделать более эффективным процесс коммуникации с менеджментом, что в итоге привело к росту доверия со стороны заказчика, а также повышению актуальности наблюдений. Помимо этого, появился спрос на дополнительные проекты для менеджмента.