В целом глава понравилась. Из позитивного – прямо написано, что:

  • разные задания могут планироваться по-разному и в зависимости от уровня внутреннего аудита (и, как я понимаю, аудитора);
  • анализ всего, что можно (политики и процедуры, рабочие документы предыдущих аудитов и т.п.), на этапе планирования нужно проводить коротко и выборочно, потому что в противном случае можно упустить из виду общую картину;
  • наибольшую пользу может принести анализ уже произошедших событий (убытки, мошенничество, жалобы клиентов, …) с последующим поиском закономерностей;
  • некоторые из заданий могут быть завершены еще на этапе планирования с указанием существенных замечаний

и т.д. Особенно понравилось, что «в действительности этап планирования никогда не завершается до тех пор, пока задание не будет выполнено». Конечно, IMHO, количество действий немного избыточно для планирования, избыточен и акцент на риски, но это личное мнение и вопрос вкуса. Комментарии к главе 11 будут разделю на две части: не рекомендую и спорно.

Что не рекомендую:

  1. В распределении ресурсов указано, что обязательно назначается супервайзер (цитата – «менеджмент внутреннего аудита назначает членов аудиторской команды и супервайзера»). Понятное дело, что супервайзером может быть кто-то из менеджмента. Тем не менее, не уверен, что в службе из 5 человек супервайзер должен быть. Да и в большой службе тоже. Вспоминается предыдущий опыт работы в Главгосэкспертизе, когда многие начальники отделов лично вычитывали каждый раздел, выходящий из-под пера подчиненного ему эксперта. Вот и мое мнение, что при численности аудиторов до 20-30 человек (а это большая служба) руководитель, в принципе, может лично выступать в роли супервайзера по большинству проектов (то есть и цели поставить, и программу утвердить, и отчет прочитать).
  2. Указано, что команда внутреннего аудита определяет цели и объем аудита. Все-таки не должно быть так, иначе могут быть разные варианты. Могут как приподсократить объем (по разным причинам, не обязательно лень, может быть и повышенный аппетит к риску), а могут и навключать чего не нужно (что приведет к бесполезной работе). Все-таки когда аудиторская команда и ставит цели, и отвечает за достижение результатов по поставленным целям – это не очень хорошо. А с начинающим супервайзером не рекомендую особенно: будет удовлетворение любопытства за счет остальных членов команды с последующей взаимной глубокой личной неприязнью (© «Мимино»).
  3. Категорически возражаю против тезиса, что если дизайн неэффективен, то тестирование не требуется, буквальная цитата – «Когда средства контроля разработаны ненадлежащим образом, дополнительное тестирование может не принести никакой пользу и запутать неопытных аудиторов». Бардак, безусловно, неопытного аудитора запутать может. Но как доказать неэффективность внутреннего контроля, не приводя примеры? Представьте себе, Вы говорите или пишите, что «дизайн процедуры продаж/закупок/учета ТМЦ/ …» не эффективен (и, как вариант – говорите, что задание прекращаете, потому что и так всё понятно). Есть два принципиально возможных ответа менеджмента – «Докажь!» и «И чо?» (если завуалировано написать – «представьте аргументы, на основании которых Вы сделали вывод о неэффективности дизайна внутреннего контроля» и «возможно, Вы и правы, но зачем нам изменения в процессе, который в целом эффективен, за исключением непринципиальных особенностей, на которые Вы указали?»). Достойный ответ менеджменту должен содержать именно результаты тестирования. Диалог будет вести проще, если помимо указания на неэффективность дизайна будут приведены случаи ненужных скидок или отсрочек/ сомнительных конкурсов/ «подвисших» между виртуальными складами ТМЦ и т.п.

Спорные тезисы:

  1. «Этап планирования завершается после того, как цели, объем, подход к проведению аудита и ожидания в отношении информирования будут задокументированы и согласованы с соответствующими сторонами». Если перевести с русского на русский, фактически это означает необходимость согласования программы с менеджментом. Лично я так никогда не делаю, даже при плановых «безобидных дежурных» проверках. Даже в образце регламенте проверок указал (см. п.4.4), хотя на вводной встрече и озвучиваю основные пункты. Кстати, про «соответствующие стороны» я правильно понял, это именно менеджмент в широком смысле, не волнуйтесь. Если озвучить всю программу – не то, чтобы «следы заметут», а регламенты прочитают наконец-то и отвечать начнут «правильно». В общем, сотрудничать с менеджментом, конечно, нужно, но программа – все-таки внутреннее дело.
  2. «Примечания для персонала внутреннего аудита» на стр. 226. Предостерегу от опасностей опроса менеджмента о целях подразделения. Особенно производственников, офисных как раз можно потроллить. Но, увы, из практики главный энергетик, борющийся с разными сетями (не компьютерными), на вопрос о своих целях с более высокой вероятностью скажет «дык», чем начальник любого другого подразделения на рисунке.

  1. «Разделение оценки дизайна контроля и разработки плана тестирования и тестирования контроля имеет свои преимущества». Вроде как правильно: оценка дизайна требует более высокого уровня аудиторских навыков, а тестирование в классическом случае – работа, близкая к механической. Однако, все-таки, мое мнение – если изучать процесс, то весь. В идеале – одновременно и анализировать «дизайн», и тестировать, то есть исходя из дизайна понимать, какими должны быть результаты, и одновременно контролировать достижение этих результатов (например, построением специализированных отчетов из учетных систем). Но это одно из мнений, дискутировать не буду. Кстати, одновременная оценка дизайна и тестирования методологической помощи со стороны старших товарищей не отменяет.
  2. В подходы к выполнению задания включено составление (или анализ имеющихся) блок-схем. Если блок-схем нет, составлять их – пустая трата времени. Понятное дело, что если блок-схема инвестиционного планирования представляет из себя 4 квадратика – ну, пусть будет, бумага всё стерпит. Но детальное описание процесса «как есть» в виде блок-схемы – это большой сизифов труд. Даже когда работал консультантом, этого избегал. Основная причина – в процессе важны «развилки», описать все развилки – как минимум, очень громоздко. А согласовать с заказчиком – еще сложнее. А самый главный вопрос, если процесс всё-таки удастся описать: а что Вы будете делать с бумажкой на А3 мелким-мелким шрифтом впоследствии? Риски оценивать? Ну-ну…
  3. «По окончании этапа планирования обычно составляется меморандум по планированию, в котором документируется ключевая информация, собранная в ходе планирования». Не знаю, зачем этот документ нужен. Фактически получается, что возникает промежуточный отчет по итогам этапа планирования (!), а пользователь отчета – супервайзер. На мой взгляд, итоговым документом должна стать рабочая программа задания.

Кстати, не согласен с необходимостью делить примечания на «для руководства» и «для персонала», потому что обидно, что ли… Например, в примечании на стр. 227 рекомендуется использовать весь мозг, а примечание предназначено для персонала. Значит ли это, что руководство внутреннего аудита может использовать только левое или, наоборот, только правое полушарие мозга при планировании? Риторический вопрос…

Ну и про уведомление о проверках. Авторы, на самом деле, пишут о том, что есть внеплановые (внезапные) аудиты. Но, говорят, что сейчас не особо актуально, потому что как бы всё автоматизировано, и в записи сложно вносить изменения. Не знаю, как у Вас в бизнесе, но мой опыт работы говорит, что внезапные проверки быть должны. И о них не нужно уведомлять за 6 недель.

Наш взгляд.

Наш подход к планированию – в материале 2015 года. Кстати, подхода «стратегия – планирование – исполнение – учет – мониторинг и обратная связь» в книжках раньше не видел, хотя, казалось бы, проще простого, если процесс тебе не очень известен. Обычное описание больше про планирование ресурсов, оценку рисков и прочую координацию работы с другими поставщиками услуг по предоставлению гарантий и консультаций. А приведенный на этом сайте подход позволит, как минимум, не растеряться при анализе чего-либо любому аудитору, даже если это «что-либо» он в глаза не видел.

Ну и рекомендую почитать про разные подходы к планированию аудиторского задания – здесь и здесь. Про вторую ссылку – на наш взгляд, хорошо получилось показать, что может получиться, если следовать «лучшим практикам» буквально. В анализируемой книге, кстати, получше описано будет.

Если вы нашли ошибку, пожалуйста, выделите фрагмент текста и нажмите Ctrl+Enter.