Регламент взаимодействия с другими подразделениями. В данном регламенте можно прописать различные нюансы действий объекта аудита в ответ на действия ПВА. Например, можно определить следующие моменты:
• обязанности объекта аудита по обеспечению команды внутренних аудиторов рабочими местами установленного формата;
• обязанности объекта аудита по предоставлению информации в ответ на запрос ПВА в течение установленного времени;
• обязанность ПВА направлять запрос в соответствие с прописанной процедурой;
• обязанность ПВА предоставлять результаты проектов внутреннего аудита на рассмотрение руководства объектов аудита до их передачи другим адресатам;
• обязанность объекта аудита формировать план исправительных мероприятий по завершении проекта внутреннего аудита и согласовывать его с ПВА;
• обязанность объекта аудита обеспечить присутствие сотрудников, присутствие которых считается обязательным, по мнению ПВА.
В целом основной целью такого регламента является регулирование ключевых точечных организационных моментов, связанных с осуществлением основной функции внутреннего аудита. Разумеется, в условиях российской реальности наличие регламента не гарантирует его исполнения. Однако в одних случаях регламент может служить просто памяткой для сотрудников объекта аудита, а в других – действенным механизмом повышения эффективности работы ПВА (при условии, что регламент утвержден отдельным организационно-распорядительным документом, подписанным как минимум руководителем организации).
Руководство по осуществлению проектов внутреннего аудита (audit manual). В отличие от предыдущих двух документов данное руководство является исключительно внутренним регламентом. Основная его цель – регламентировать порядок осуществления подпроцессов и процедур в рамках процесса внутреннего аудита, а также во многих случаях методологию их осуществления. Другими словами, данный документ описывает, что и как делать до, во время и после выполнения проекта внутреннего аудита. Он формируется на усмотрение руководителя ПВА. Руководство частично решает задачу профессионального инструктажа, а также способствует унификации деятельности ПВА. Для относительно небольших по численности ПВА, в состав которых входят внутренние аудиторы высокой квалификации, составление руководства не имеет особого смысла. Однако крупным аудиторским подразделениям, особенно где высока текучесть кадров и работают аудиторы с разными уровнями подготовки, руководство может быть очень полезно. Разумеется, все зависит от качества подготовки документа. На подготовку более-менее вменяемого руководства для крупного правильного аудиторского подразделения (практикующего риск-ориентированный подход к аудиту) с нуля требуется не менее шести месяцев работы одного хорошего методолога.
Глава 3.
Принципы контроля
В своем исходном варианте деятельность внутренних аудиторов во многом направлена на совершенствование системы внутреннего контроля. Такая специализация требует существенных знаний в тех областях, которые напрямую связаны с системой внутреннего контроля, включая технические и даже психологические аспекты. В данной главе детально разобраны ключевые цели контроля, а также ряд принципов контроля, знание которых может существенно улучшить результаты работы внутреннего аудитора.
С фундаментальной точки зрения в основе системы внутреннего контроля предприятия лежит выбор оптимальной пропорции между контролем и риском (см. рис. 1). Оптимум практически всегда индивидуален. Выбор оптимальной пропорции часто осуществляется неосознанно. Одна из ключевых задач внутреннего аудитора – сделать процесс выбора осознанным.
Рис. 1. Корреляция контроля и риска
Необходимость выбора вытекает из того, что в любой момент времени предприятие не может одновременно максимизировать и контроль, и рост. Оно либо фокусируется на росте и подвергает свою деятельность большему количеству разных по существенности рисков, либо концентрируется на контроле деятельности, жертвуя возможностями. Условно говоря, предприятие, ориентированное на рост, движется больше по экстенсивному пути развития – завоевывает новые рынки, увеличивает штат сотрудников, наращивает производственные мощности и т. д. Предприятие, сконцентрированное на контроле, в большей степени тяготеет к интенсивному пути развития – пытается максимизировать имеющийся потенциал процессов, проводя при этом более консервативную политику в области управления рисками.
На рис. 1 представлена общая логика перехода от стратегии роста к стратегии контроля и наоборот. Такая логика обусловлена в первую очередь тем, что ресурсы, имеющиеся в распоряжении любого предприятия, всегда ограниченны. Например, можно не испытывать дефицита денежных средств, но все равно не иметь возможности сочетать обе стратегии, роста и контроля, по максимуму, так как контроль требует дополнительных затрат времени, а в условиях стратегии роста любое промедление может означать проигрыш. При движении в сторону стратегии абсолютного роста уровень риска растет (от Y2 к Y1), при этом расходы на контроль падают (от X2 к X1). При движении в сторону стратегии абсолютного контроля происходит обратное. Понятие «расходы» используется в широком смысле (денежные средства, время, оборудование, энтузиазм и т. д.).
Каждое предприятие в разные периоды своего развития тяготеет к одной из двух ключевых стратегий. Внутренние аудиторы по определению являются адептами стратегии контроля. Однако правильный внутренний аудитор должен стимулировать своими действиями выбор руководством оптимального сочетания риска и контроля, оптимального сочетания двух ключевых стратегий.
Ключевые цели контроля
Можно выделить шесть ключевых, унифицированных целей контроля:
1) обоснованность;
2) правильность;
3) полнота;
4) своевременность;
5) соответствие;
6) сохранность.
Обоснованность. При прочих равных условиях данная цель контроля является, пожалуй, наиболее важной с точки зрения последствий, которые возникают в результате ее недостижения. Во многих случаях, чтобы обеспечить достижение данной цели, необходимо ответить на вопрос «почему?». По сути, контроль обоснованности заключается в оценке того, насколько объект контроля соотносится с взаимодействующими с ним объектами и/или явлениями, событиями сообразно определенным правилам. Обоснованность обеспечивает наличие истинной причинно-следственной связи. Контролировать обоснованность – значит следить за тем, чтобы события развивались в соответствии именно с истинной причинно-следственной связью. Контроль обоснованности часто осложняется потребностью в специальных знаниях. В среде российских управленцев популярен такой механизм контроля обоснованности, как экспертное мнение, даже тогда, когда достаточно выполнить несложные расчеты. Последствия такого выбора – сотни миллиардов рублей, неэффективно потраченных и порой откровенно сворованных.
Правильность. Основной вопрос, на который нужно ответить для достижения данной цели контроля, – это «как?». Если для оценки обоснованности необходимо оценить соотношения, то для оценки правильности требуется сравнение с эталоном. Чаще всего контролируют правильность цифр. Обоснованность часто ситуативна, т. е. сейчас это обоснованно, а завтра нет. Правильность более универсальна, так как часто подчиняется общим правилам.
Полнота. Эта цель контроля при прочих равных условиях является, пожалуй, наиболее редкой. Чтобы оценить полноту, необходимо ответить на вопрос «есть ли что-то еще?». Контроль полноты может осложняться отсутствием точного представления о конечном значении. Контроль полноты относится исключительно к количественным характеристикам.
Своевременность. Основной вопрос, на который нужно ответить для достижения данной цели контроля, – это «когда?». Чтобы обеспечить своевременность, необходимо создать условия для того, чтобы конкретное событие произошло в конкретный момент. По этой причине понятие своевременности всегда связано либо с действием, либо с бездействием. Контроль своевременности – это прямой контроль порядка использования такого ключевого ресурса, как время.
Соответствие. Это довольно специфичная цель контроля. Отчасти она напоминает контроль правильности, однако при контроле соответствия в первую очередь обращают внимание на форму, а не на содержание. Соответствие часто означает именно внешнее, формальное соответствие. Оценить соответствие – значит ответить на вопрос «насколько?» или «в какой степени?».
Сохранность. Это также специфичная цель контроля. Контроль сохранности в первую очередь направлен на обеспечение физической целостности и сохранение исходных физических свойств объекта контроля. По этой причине в большинстве случаев контроль сохранности связан с понятиями, характеризующими движимое и недвижимое материальное имущество. Часто, чтобы оценить контроль сохранности, нужно ответить на вопрос «как?».
Может показаться, что шести базовых целей контроля маловато, особенно с учетом того, что они формируют практически исчерпывающий перечень целей контроля для любого процесса и любой системы. Однако не стоит забывать, что шесть целей контроля образуют 120 сочетаний. Это особенно важно в связи с тем, что на практике очень часто цели контроля присутствуют в различных сочетаниях. Например, при формировании параметров бюджета необходимо обеспечить как обоснованность параметров, так и их правильный расчет и подготовку к определенному моменту. Таким образом, в данном примере мы имеем сочетание трех целей контроля, а это приводит к созданию определенного дизайна сочетания контрольных процедур, который отличается от дизайна каждой контрольной процедуры в отдельности. Кроме того, не стоит забывать, что структура и содержание контроля очень сильно зависят от структуры и содержания объектов контроля, например процессов. А ведь даже одинаковые процессы могут сильно отличаться друг от друга в зависимости от различных факторов, например таких элементарных, как владельцы процессов.
Также хотелось бы обратить внимание на еще пару нюансов. Первый касается понятия «достоверность». Ряд аудиторов считают, что достоверность – это отдельная цель контроля. Однако она, по сути, всего лишь сочетание нескольких целей контроля – обоснованности, правильности, полноты и в меньшей степени своевременности.
Второй нюанс касается понятия «авторизация». В соответствии с определением, данным в Википедии, «авториза́ция (от англ. authorization – разрешение, уполномочивание) – предоставление определенному лицу или группе лиц прав на выполнение определенных действий; а также процесс проверки (подтверждения) данных прав при попытке выполнения этих действий». Классическим примером авторизации является подпись сотрудника на документе, согласующего осуществление определенных действий определенным лицом в будущем. В последнее время понятие авторизации все чаще ассоциируется с компьютерными программами, но суть от этого не меняется и заключается в том, что авторизация не является контролем, а в идеале представляет собой только свидетельство проведения определенного контроля. Однако нередко люди, осуществляющие авторизацию, не совсем представляют себе, какие именно контрольные действия они должны осуществить, а само построение процесса оставляет это им на откуп. По этой причине необходимо расшифровывать и уточнять, проведение каких контрольных действий и в каком объеме означает авторизацию.
Принцип пирамиды приоритетов
Данный принцип основывается на постулатах теории ограничений (Theory of Constraints). Одним из фундаментальных понятий теории ограничений является понятие так называемого бутылочного горлышка (bottleneck) или, другими словами, узкого места в процессе, мешающего достижению цели процесса. По аналогии в большинстве случаев набор контрольных процедур любого процесса может быть выстроен в пирамиду контрольных процедур, расставленных на основе их приоритета. Приоритет определяется способностью контрольной процедуры влиять на достижение целей процесса. Можно утверждать, что в каждом процессе существует одна-две ключевые контрольные процедуры, в отсутствие которых любые усилия по контролю процесса будут напрасны. Возьмем, например, процесс «Закупки». Он начинается с процедур формирования обоснованной потребности в закупках. Отсутствие или неэффективность контроля обоснованности на данном этапе ведет к формированию необоснованной потребности и ряду негативных последствий, таких как затоваривание складов (покупают больше, чем нужно, и не то, что нужно), воровство (если заказано больше, чем нужно, то можно часть заказанного получить только на бумаге), неэффективное расходование ресурсов (если заказали больше, чем нужно, то можно особо не экономить). Эти последствия можно отчасти нивелировать, например проводить более регулярные и масштабные инвентаризации с целью выявления невостребованных остатков ТМЦ и организации их реализации. Однако такие меры не имеют профилактического характера, влекут за собой дополнительные расходы и сами по себе обладают лишь определенной степенью надежности.
Основной вывод, который следует из данного принципа, заключается в том, что правильный аудитор должен всегда фокусировать свою деятельность на оценке контрольных процедур в порядке убывания их приоритетности. До тех пор пока не будут налажены ключевые контрольные процедуры процесса, процесс всегда будет работать с пониженным КПД, независимо от состояния менее приоритетных контрольных процедур. Конечно, в практике внутреннего аудита возникают ситуации, когда внутренние аудиторы не могут особо повлиять на структуру и содержание ключевых контрольных процедур (например, владельцы процесса на особом положении у владельца компании). В этом случае им необходимо способствовать созданию максимально действенных компенсирующих контрольных процедур, а также воспользоваться принципом охотника (см. далее). Однако в подавляющем большинстве случаев система компенсирующих контрольных процедур имеет ограниченный эффект и обычно связана с дополнительными затратами.
Принцип адаптивности системы контроля
Правильная система внутреннего контроля должна подстраиваться как к изменениям целей процессов, так и к изменениям их структуры и содержания. С течением времени значимость одних контрольных процедур может падать, а других – повышаться. Факты изменения процессов и/или их целей должны привлекать внимание аудитора. В таких случаях высока вероятность обнаружения расхождения между темпами изменения процесса и темпами изменения системы внутреннего контроля данного процесса.