Особенности внутреннего аудита в динамичных компаниях
Раздел: Статьи российских авторов
Стадия предварительного исследования процесса
Автор: Артём Горлов, начальник управления внутреннего аудита ПАО «ФосАгро», член Некоммерческого партнерства «Институт внутренних аудиторов»
Частые изменения в бизнес-процессах компании в совокупности с низким уровнем формализации процессов существенно усложняют работу функции внутреннего аудита. В частности, эти факторы сказываются на способности выявлять и точно оценивать риски в аудируемом бизнес-процессе, а также увязывать их с контролями.
В итоге эти факторы могут привести к следующему:
· ключевые риски не попадут в периметр аудита
· рекомендации по итогам наблюдений будут иметь низкую проработанность
· существенно возрастёт трудоёмкость аудита.
Обычно риски выявляются и увязываются с контролями на стадии предварительного обследования процесса. От успешного выполнения данной стадии часто зависит эффективность всего проекта, особенно в случаях, когда это первый аудит данного процесса.
К сожалению, в российской практике данной стадии не уделяется должного внимания или она вообще игнорируется. При этом во многих российских компаниях бизнес-процессы подвержены постоянным изменениям и не формализованы в достаточной мере.
Одним из мероприятий способных повысить качество оценки рисков и контролей в ПАО «ФосАгро» является подготовка отчета, агрегирующего ключевые наблюдения, собранные аудиторами на этапе предварительного обследования. Основная цель такого отчета сделать прозрачным процесс оценки рисков и выявления ключевых контролей, повысить его точность путём предметного обсуждения наблюдений с заинтересованными сторонами уже после того, как аудиторы изучили процесс. В практике нашей компании такой отчет называется ознакомительным.
Такой подход позволяет существенно повысить эффективность коммуникаций, и в результате аудиторы получают возможность:
· более точно оценить риски бизнес-процесса с учетом мнения заказчика
· выяснить коренные причины существенных изменений в процессе
· учесть будущие изменения в процессе при формировании программы тестирования
· пересмотреть периметр аудита с учетом переоценки рисков
· выявить проблемы, в которых менеджмент заинтересован получить помощь от аудиторов.
Обычно в ознакомительный отчет включают аналитическую информацию, собранную на этапе предварительного исследования из корпоративных систем учета, отражающую состояние каждого бизнес процесса: материальность подпроцессов, ключевые тренды, ключевые риски и контроли. Помимо этого, отчет может дополняться иной информацией, которая по мнению аудитора важна для обсуждения с объектом аудита и с заказчиком.
Также для успешного обсуждения ознакомительного отчета важно, чтобы он имел понятную структуру (например, структурирован в логике подпроцессов) и был прост для прочтения. Этого можно добиться, оформляя его в виде короткой презентации, где на каждом слайде показан один подпроцесс, указана материальность подпроцесса, наблюдения аудитора представлены инфографикой и даны краткие выводы по оценки рисков и контролей. Вначале презентации рекомендуется показать общую структуру процесса, его ключевые этапы или подпроцессы. Последним слайдом имеет смыл демонстрировать матрицу ключевых рисков (сокращённая версия полной матрицы рисков и контролей) с учётом оценки объекта аудита, если она применима.
При подготовке такого отчёта важно исключить из презентации информацию, которая может нанести ущерб следующим стадиям аудита, в частности, тестированию контролей. Например, если ещё на этапе сквозного тестирования установлены не работающие контроли и имеется высокая вероятность того, что это привело мошенничеству, но доказательства планируется собирать в процессе детального тестирования, то такую информацию в презентацию для обсуждения с объектом аудита лучше не включать, особенно если источники данных могут быть подвержены изменениям.
Ознакомительный отчёт целесообразно сначала обсудить с объектом аудита, а уже затем представлять заказчику аудита с учётом комментариев объекта аудита.
При обсуждении отчёта с объектом аудита, следует получить от него следующую информацию:
· Интерпретацию отражённых в отчёте трендов, особенно в увязке со стратегическими целями бизнес-процесса
· Представление о материальности подпроцессов
· Задачи, которые объект аудита считает ключевыми для своей функции
· Ожидаемые существенные изменения в процессах и ближайшие планы
· Оценку присущих процессу рисков.
Презентацию отчёта заказчику лучше сопровождать комментариями объекта аудита к каждому слайду. У заказчика аудита следует выяснить:
· Стратегические цели в аудируемом процессе,
· Мнение по поводу полноты рисков, отраженных аудиторами, и точности их оценки
· Необходимую глубину проработки рекомендаций
· Периметр аудита
Часто в ходе обсуждения отчета заказчик может отметить, какие изменения ждут данный процесс в ближайшем будущем. В таких случаях, аудиторы, обладающие необходимыми компетенциями, могут предложить провести параллельно с проектом аудита дополнительные мероприятия, например, консалтинг. Такая готовность со стороны аудита может существенно повысить значимость функции и ее статус, как ключевого помощника менеджмента.
Помимо вышеперечисленного презентация ознакомительного отчета имеет ряд дополнительных преимуществ по сравнению со стандартным процессом аудита:
· Для руководителя проекта это хорошая возможность более предметно проанализировать достаточность компетенций команды в аудируемых бизнес-процессах и, если это необходимо, своевременно привлечь на проект сторонних экспертов
· Это возможность систематизировать и вести архив знаний внутреннего аудита по процессам, с помощью которого легко освежить знания перед началом аудита. Причём таким архивом могут пользоваться не только аудиторы, но и менеджмент.
Несмотря на множество достоинств, включение в процесс аудита этапа подготовки ознакомительного отчёта имеет ряд рисков, о которых лучше знать заранее.
Первым риском является возможное увеличение продолжительности проекта в связи с подготовкой ознакомительного отчёта. Такой риск можно минимизировать, при обсуждении отчета с заказчиком обычно удаётся точнее выявить ключевые направления для тестирования и далее сконцентрировать основные усилия команды на них.
Второй риск – неверная оценка рисков в связи с принятием мнения заказчика и/или объекта аудита как единственного верного. Аудиторы всегда подвержены такому риску; необходимо помнить, что мнение любой внешней по отношению к аудиту стороны должно восприниматься объективно.
Благодаря такому подходу аудиторам в ПАО «ФосАгро» удалось сделать более эффективным процесс коммуникации с менеджментом, что в итоге привело к росту доверия со стороны заказчика, а также повышению актуальности наблюдений. Помимо этого, появился спрос на дополнительные проекты для менеджмента.
Статья была опубликована в журнале "Аудит" №10, 2017.