Внутренние аудиторы (а также консультанты по управлению) делятся на два принципиально разных типа: 1-2 человека на 2-3 недели и 4 человека на 2-3 месяца. Речь идет о трудоемкости (не чистом времени), потребной для типового проекта: оценка системы внутреннего контроля предприятия (даже большого) или же анализ какого-либо процесса (например, условное управление персоналом).

Результат работы аудиторов первого типа – отчет о 5-6 страницах (иногда с картинками и фотками) либо же презентация из 10-15 слайдов. Результат работы вторых – отчет страниц на 50-100 (возможно, с приложениями), краткий отчет для топ-менеджмента / Совета директоров, презентация о 50 слайдах. У первых – краткие выводы и рекомендации по ключевым точкам в каждом процессе, у вторых – описание рисков, описание процессов, рекомендации по устранению всего-всего-всего.

Деление достаточно четкое, зависит от руководителя внутреннего аудита. В следующей статье расскажем, как появляется второй тип. В этой статье – об организации работы первого типа внутренних аудиторов.

Для рассмотрения выберем неизвестное предприятие (брундуляторный завод). Почему именно завод? Потому что процессы могут быть разными, даже у первого типа аудиторов трудоемкость анализа какого-нибудь ТОиР может быть и 3 месяца. Схема планирования работы по процессам изложена на соответствующей странице, раздел «Подходы к формированию программы тематического аудита».

Для анализа выберем почти те же процессы, что есть и на сайте, но добавим корпоративное управление. На этом сайте оно не рассматривается как процесс, а рассматривается как часть управления бизнесом, потому что в целом статично. На этой странице не будем описывать, как смотреть непрерывность бизнеса – это проверка еще на 2-3 недели и требует специальной юридическо-технологической подготовки в конкретной области (сами понимаете, что задачи по анализу непрерывности в подземной добыче и морском терминале – мягко говоря, разные задачи), то есть универсальных рекомендаций не предложить.

Итак, что, по нашему мнению, можно сделать за неделю анализа запрошенных документов и неделю выезда (с написанием короткого отчета и его согласования с менеджментом, если что). Из детальных программ аудита здесь приведены по 3 ключевых пункта. Очень желательно все программы прочитать и держать в памяти, возможно, увидите что-то очевидное, не включенное на этой странице. Самые сложные процессы для двухнедельной проверки – инвестиции, ТОиР, НИОКР, здесь действительно можно выявить только очень системные недостатки. Спасает то, что они бывают часто. 

Корпоративное управление.

  1. Наличие СД (или аналога), комитеты СД и персональный состав (например, очень философский вопрос – а кто председатель комитета по аудиту и чем раньше занимался?), чем занимается СД и комитеты (утверждает ли стратегию), есть ли ограничения для генерального директора.
  2. Участие в уставном капитале в других организациях: какие организации, зачем нужны, как управляются, приносят ли дивиденды. Последнее — если, естественно, должны, в этом случае проверяем наличие дивидендной политики и ее соблюдение. 
  3. Перечень доверенностей (кто, кому, почему – очень плохо, когда в средней организации директор по сбыту имеет доверенность на подписание договоров по сбыту, а директор по закупкам – на подписание договоров на закупку).

Договорная работа.

  1. Наличие контрольных процедур при заключении договора: отнесение сделок к крупным / сделкам с заинтересованностью, контроль соблюдения предусмотренных процедур (бюджет, для сбыта – положение о продажах, для закупок – положение о закупках и т.п.) при заключении, наличие разумного листа согласования (20 подписей нужно только для очень больших договоров), наличие журнала регистрации (в электронном или бумажном виде) и т.п.
  2. Рассмотрение заключения договора на 5, 50, 500 тыс. руб., 5 и 50 млн. руб. Процедуры должны отличаться.
  3. Тест «Найдите мне, пожалуйста, случайный договор и приложение №7 к нему. Вместе с листом согласования приложения, если не затруднит».

Претензионно-исковая работа.

  1. Просмотр картотеки арбитражных дел на сайте www.arbitr.ru, с кем судятся, почему судятся и т.п. Сбор статистики на предмет пустых действий (то бишь судимся за 100 рублей в трех инстанциях) и результатов по исполнительным производствам (то есть прочие доходы возникли, налог уплачен, а денег не увидели). 
  2. Анализ расшифровки дебиторской задолженности с датой возникновения. Если есть просроченная – вопрос «почему до сих пор не подали»?
  3. Просмотр реестра входящих и исходящих претензий (по количеству, по качеству). Уточните, как ведется работа с претензиями (досудебная).

Платежи.

  1. Доступ к банк-клиенту. Допустимо, если все флешки у одного человека, но выписка разносится другим.
  2. Порядок согласования платежей (контроль соблюдения договорных условий). Обязательно уточнить, что происходит, если согласующий человек отсутствует. 
  3. Управление ликвидностью (размещение свободных денежных средств, использование кредитов для пополнения оборотки и пр.).

Продажи.

  1. Анализ покупателей на предмет отсутствия «сидения на потоке» (по ИНН), то есть когда себестоимость контрагента очень подозрительно сопоставима с нашими поступлениями от него.
  2. Скидки и отсрочки. Построение корреляции между скидками и объемами. Ни разу не видел больше 0,4 (как правило – 0,2-0,3), при этом все коммерсанты говорят о прямой зависимости. Принятие решений об отсрочке платежа, построение динамики дебиторской задолженности.
  3. Всякие воронки продаж, или же работа с потенциальным покупателем: какая конверсия звонков во встречи, встреч — в заключение договоров и т.п. 

Закупки.

  1. Анализ поставщиков на предмет отсутствия «сидения на потоке» (по ИНН), то есть когда поставщик почему-то поставляет только нам.
  2. Порядок выбора контрагентов (по самым большим суммам): есть ли предквалификация поставщиков, сколько компаний участвовали в закупочных процедурах, есть ли между ними зависимость и т.п.
  3. Мелкие закупки: есть ли листы альтернатив, насколько обоснованы.

Инвестиции.

  1. Наличие разных классов проектов. Для крупных проектов – наличие бизнес-плана / паспорта проекта. Инвестиционная программа рассматривается должным образом (крупные проекты – на уровне СД, остальные – в рамках бюджетирования).
  2. Наличие мониторинга хода реализации работ. Если отсутствуют договоры подряда с твердой ценой – разделение функций в части контроля стоимости строительства (сметный контроль осуществляется либо отделом в подчинении финансового директора, либо безопасностью, либо независимым сюрвейером).
  3. Анализ отчетности по инвестициям. «Джентльменский минимум»: первоначальная стоимость проекта не меняется, регулярно (вплоть до окончания) предоставляются данные о задержке по срокам и превышению бюджета, по окончании проекта осуществляется мониторинг заложенных показателей (NPV,IRR и т.п.).

IT.

  1. IT-инфраструктура: наличие описания, оборудование серверных, достаточность (серверы, каналы, …), доступность сервисов (снятие отчетов в service desk).
  2. Порядок разработки ПО: обоснованность решений о самостоятельной разработке/аутсорсинге, разделение разработки и администрирования.
  3. Информационная безопасность: наличие инструкции для пользователей, права доступа, резервное копирование, регистрация инцидентов, мониторинг компонентов по технике и т.п.

НИОКР.

  1. Разумность стратегии НИОКР: стратегия выполнима и полезна. 
  2. Достаточность ресурсов (кадровые, материальные, оборудование) для проведения НИОКР.
  3. Оценка эффективности НИОКР с точки зрения внедрения в производство (фактическая полезность, а не «план по рацухам», отсутствие ситуации «удовлетворение любопытства»).

ТОиР.

  1. Наличие формализованной либо неформализованной технической политики по эксплуатации и оценка ее эффективности (не должно быть «пока не сломалось» для ключевого оборудования).
  2. Утвержденные неснижаемые запасы исходя из технической политики.
  3. Акты расследования инцидентов: что было, почему было, насколько глубоко определили причины (всегда ли виноват стрелочник или же нет).

Бюджетирование (и отчетность).

  1. Эффективность планирования (насколько совпадают план и факт). Наличие нормативов, используемых при планировании.
  2. Разумность методологии (разумное количество форм, детальная проработка значительных затрат, нет завышенной трудоемкости для мелких затрат, наличие данных в аналитических разрезах для планирования и т.п.).
  3. Анализ достаточности управленческой отчетности (взгляд со стороны, контроль наличия ключевых показателей, в т.ч. показателей процессов).

Управление персоналом.

  1. Премирование (и мотивация в целом). Кому, сколько и почему. Внезапно оказывается, что топ-менеджмент себя не обижает.
  2. Потенциальные конфликты интересов: кто чем владеет. Просто интересно, но иногда можно выявить и работу в параллели. Как относиться к этому (наличию условного кабака) – вопрос интересный. Один спикер на конференции ACFE сказал, что категорически против. Потому что как минимум бумагу будут воровать. Если есть какая-либо политика по раскрытию — контроль соблюдения политики.
  3. Обеспеченность персоналом в целом: наличие вакансий, средний возраст по подразделениям, текучесть и пр. Вопросы привлечения кадровых агентств. 

Управление движением ТМЦ.

  1. Выявление неликвидов (материалы без движения более 0,5-1 года). Легко делается из анализа счета 10 любых учетных систем.
  2. Списание ТМЦ – как и кто выдает, не нужно ли потратить на получение полдня, есть ли контроль со стороны экономистов.
  3. Сохранность активов (материальная ответственность + организация хранения). По последнему – текущая крыша, хранение под открытым небом (особенно какой-нибудь ленты резиновой в течение лет 3-5), новые и б/у вместе, дыры в складе и заборах и т.п.

После этого пишется отчет с 2-3-4 абзацами по каждой теме. Дополнение к отчету – фотки. Мне нравятся серверные и ТМЦ. Последнее – общий бардак, а как вишенку на торте – какую-нибудь фотку унитаза с сантиметровым слоем пыли c карточкой учета на нем (снабдив подписью «в залоге у банка»).

Об организации работы.

В заключение страницы – как организовать работу. Примерный график выглядит так:

  • минус 2-3 недели до выезда – направление запроса. Время от направления запроса до получения инфо свободно для других дел (например, для другого выезда);
  • минус 3-4 рабочих дня до выезда (то есть со вторника-среды недели, предшествующей неделе выезда) – начало анализа информации. До конца недели смотрим все, что получено (анализируем отчетность, читаем регламенты, выявляем «сидение на потоках» с помощью систем раскрытия информации, анализируем ведомости зарплат, рассчитываем оборачиваемость и выявляем неликвиды и т.д. и т.п.). Как раз 3-4 дня и занимает;
  • неделя выезда (с понедельника по пятницу):
    • понедельник – организационный. Чтобы не терять день, можно сразу пройти по предприятию. Раньше можно было проставить печать в командировочном удостоверении, сейчас этот символизм отменили (так была мысль «не зря съездил»);
    • со вторника по четверг – работа (интервью, запросы дополнительной инфо, чтение договоров и т.п.);
    • вечер четверга – написание отчета;
    • утро пятницы – получение дополнительных комментариев, обсуждение и согласование отчета. После обеда – либо домой (если есть вечерние рейсы), либо в кабак, праздновать окончание проверки.

Такая технология отработана что мной, что экспертом сайта многажды. И это работает, ручаюсь. При этом, за исключением четверга – работа в соответствии с ТК РФ, то есть с 9 до 18 (в пятницу – до 16:45) с перерывом на обед.

Пояснения, почему именно так случается – во второй части

Если вы нашли ошибку, пожалуйста, выделите фрагмент текста и нажмите Ctrl+Enter.