На этой странице будут рассмотрены общие подходы к планированию конкретных аудитов.

Безусловно, внутренним аудитором лично я работал только в двух организациях. Но с учетом эксперта сайта мы работали уже в пяти. Здесь приведены рекомендации исходя из нашего опыта, опять же, без раскрытия деталей.

Уровень детализации программы.

В Международных профессиональных стандартах внутреннего аудита (МПСВА) прямо написано, что в программах должны определяться процедуры сбора, анализа, оценки и документирования информации в процессе выполнения задания. Но есть такой нюанс (на примере сбора данных): «запросить у мужика, кидающего уголь, реестр осыпаний с кучи и документ, регламентирующий порядок учета, проверить соответствие сформированного реестра действующим документам, …» и «спроси у «кто там ответственного» чё есть, не забудь скопировать на диск G» – на мой взгляд, оба подхода соответствуют Стандартам. 

Каждое подразделение внутреннего аудита должно определиться с уровнем детализации программы. На мой взгляд, он должен быть вариативным и зависеть от конкретного сотрудника и конкретного аудита.

Идеальная ситуация для меня и как для исполнителя, и как для постановщика задачи: «у нас там в плане записано (чего-то свалилось) – это тебе, только планчик набросай и мне покажи через пару дней», через пару дней проговорили все 6 пунктов (1/5 листа формата А4) и поехали. Сами понимаете, руководитель проекта при такой постановке задачи должен обладать достаточной квалификацией. Большинству людей нужна более подробная программа, некоторым (особенно молодым) – вплоть до пошаговых действий.

С точки зрения конкретных аудитов многое зависит от понимания того, что нужно сделать. Для условного аудита движения ТМЦ понимание, думаю, есть у любого аудитора с опытом работы более года. И составить программу можно с любой детализацией. А вот для новой области я лично не смогу детально описать всю последовательность действий (при этом сам аудит, думаю, проведу разумно). Но именно на этапе планирования детализировать программу хотя бы до уровня программ, представленных на сайте – увы, не смогу.

В приведенных в разделе по бизнес-процессам примерах программ аудитов процессов детализация – «где-то посередине». Крайними случаями являются (на примере регламента закупок):

Вариант 1. Максимально пошаговый. Много писать не буду, но на примере анализа проведения конкурсов будет выглядеть примерно так:

1. Запросить регламент закупочной деятельности.

2. Проанализировать раздел «Проведение конкурса» на предмет возможных недостатков в организации контрольных процедур.

3. Сформировать перечень вопросов для интервью с начальником отдела снабжения Горбунковым С.С.

4. Согласовать план интервью с руководителем проекта.

5. Провести интервью с начальником отдела снабжения Горбунковым С.С.

6. Сформировать протокол интервью с указанием недостатков в организации контрольных процедур.

7. Согласовать протокол интервью с начальником отдела снабжения Горбунковым С.С.

8. Подготовить перечень возможных недостатков в организации контрольных процедур для включения в отчет.

9. Сформировать выборку для тестирования в соответствии с действующей методикой.

10. Запросить полные комплекты документов по выборке в электронном и бумажном виде.

Продолжать не буду, думаю, что понятно. Да, еще ради интереса можно шаги нумеровать не подряд, а А110, А111, В204, В205 и т.д.

Вариант 2. Минималистский. Программа будет выглядеть примерно так:

1. Анализ долгосрочного планирования закупок (стратегических установок, при наличии).

2. Анализ планирования закупок на год, квартал, месяц.

3. Анализ порядка аккредитации поставщиков.

4. Анализ порядка выбора поставщика.

5. Анализ порядка контрактации.

6. Анализ порядка контроля исполнения договоров.

7. Анализ отчетности по закупкам.

Можно еще добавить про сквозное тестирование и определить количество анализируемых конкурсов по неслучайным выборкам.

Минус детализации. При избыточной детализации можно скатиться в формальное выполнение пунктов. То есть человек перестанет думать, анализировать, и будет только стремиться к тому, чтобы «ничего не забыть». На примере анализа раздела «Проведение конкурса». Аудитор формально найдет 2 проблемы, вроде как задание выполнено. На самом деле проблем 20. Если руководитель проекта в этот момент приподзашьется в делах, то, бегло прочитав регламент, он добавит еще только 3 проблемы, а не 18. Семен Семенович из снабжения с удовольствием подтвердит наличие 5 дыр из 20 лично ему известных, для виду поторговавшись о трех. Хотя, конечно, и при минималистской программе такая ситуация возможна, но вероятность меньше: если нацеливать человека на «подумать», а не на выполнение формальных пунктов, будет лучше. Также нужно отметить, что формирование таких программ требует значительного времени. При этом, сами понимаете, держать в памяти 10 страниц (а примерно столько и получится для того же аудита закупок) немного затруднительно. Плюс максимальной детализации – это удобство для молодых сотрудников. Но для более возрастных это становится минусом (как известно, инструкции читают только в тех случаях, когда что-то уже не получилось).

Плюсы минималистских программ. Во-первых, человек достаточно свободен в процессе. Для многих аудиторов, в т.ч. для меня, это важно. Во-вторых, искусственно не сужается область поиска. В-третьих, ты реально тратишь значительно меньше времени на планирование. Минусы – это плюсы детализации, то есть можно что-то и подзабыть.

Выбирать вам, я допускаю наличие разных программ даже для одного и того же сотрудника и похожего аудита.

Подход к формированию программы проверки обособленного подразделения.

При проверке обособленного подразделения целесообразно использовать такие же подходы, как и при планировании на год. И здесь, как мне кажется, не нужно думать о стратегии, достаточно применить анализ движения денежных средств. Естественно, добавив то, что является актуальным для бизнеса. Почему не нужно думать о стратегии? Да банально, вопросы решаются «на крыше».

Кроме того, я бы рекомендовал формировать «обязательную» и «произвольную» программу. Во-первых, аудиторы могут случайно выполнить запланированное раньше срока. А даже один день, как показывает практика, может привести к паре дополнительных находок. Во-вторых, что-то может стать ясным уже в первый день. Наиболее яркий случай из практики: в программу по всяческого рода внешней информации включено аж 7 пунктов. Смысл в том, что из разрешительной документации оформлено маловато. Приезжаешь на предприятие, одна из первых фраз юриста: «в районе кадастра нет». То есть менеджмент хоть испляшется, но сделать ничего не сможет. 7 пунктов сразу пропадают. Соответственно, наличие «произвольной» программы позволяет не халявить, а заняться чем-то еще интересным.

Подходы к формированию программы тематического аудита.

Каждый аудитор когда-либо сталкивался с тем, что нужно поизучать доселе неизведанное. Понятное дело, что лучше, когда у тебя уже как минимум 2-3 аналогичных аудита, но всё в жизни бывает в первый раз. Я рекомендую совершенно не опасаться таких ситуаций и подойти к формированию программы проверки с помощью подхода «стратегия – планирование – исполнение – учет – мониторинг/улучшения».

Начать нужно с того, а, собственно, как мог бы выглядеть идеальный процесс. Я сторонник «подумать», некоторые предпочтут «бенчмаркинг». Проблема бенчмаркинга: плохо может оказаться у всех. Вспоминается история про нашего плаврука в пионерлагере, который на вопрос старшего пионервожатого «Ты чего за детьми не следишь? Вдруг утонет кто?» ответил «Ну и что, в соседнем лагере потопим, у них народу меньше, поэтому наши показатели будут лучше». То есть, если у соседей хуже, то из бенчмаркинга можно будет сделать вывод, что у нас хорошо, хотя на самом деле и не очень хорошо. Ну и вспомните про то, что не все предприятия сравнимы друг с другом, даже одинаковые заводы с советских времен.

Примерный перечень вопросов любого нестандартного аудита:

1. Анализ стратегии (стратегических установок). Отмечу, что если стратегии нет, то для большинства вопросов это плохо (понятное дело, за исключением планово-учетных дел). Ключевой вопрос – анализ обоснованности стратегии. Проводится анализ учета рисков в стратегии, проверяется полнота, достижимость, разумность стратегии с точки зрения «не слишком ли низко летим» и т.п.

2. Анализ порядка планирования. Традиционные вопросы: порядок расчета и согласования нормативов (если применимо), анализ системы планирования на предмет достаточности/избыточности, методы планирования (факт предыдущего периода с экспертной корректировкой / нормативные расчеты / пол-палец-потолок), взаимосвязь с другими процессами, своевременность осуществления и т.д.

3. Анализ порядка исполнения. Зависит от процесса (производство – это одно, закупки – другое). Здесь нужно проанализировать эффективность процесса. Естественно, это самое сложное. Но что всегда можно сделать – это понять причины отклонений фактических значений от плановых.

4. Учет результатов. Вопросы самые простые: достоверность, полнота и т.п.; применение принципа «четырех глаз» (а не рассчитывают ли эффективность самих себя); достаточность контрольных процедур над учетными данными; достаточность аналитики; отсутствие использования методов, искажающих информацию; своевременность отражения учетных данных.

5. Мониторинг и улучшения. Вопросы: какие действия предпринимаются при выявлении отклонений, как изменился процесс за последнее время, кто осуществляет мониторинг эффективности и т.п.

Надеюсь, эта страничка поможет сформулировать план работы по каждому аудиту. Кстати, именно поэтому, вообще говоря, не нужно таскать материалы с предыдущих работ: информационный запрос и, впоследствии, программа по этой схеме пишется для любого стандартного и нестандартного аудита за полдня.

Подходы к выборке.

Формированию выборок посвящено достаточно большое количество литературы, поэтому подробно останавливаться не буду. Единственное, во что я не верю – это в то, что выборки должны быть случайными. О том, как сделать неслучайные выборки, многое написано в разделах про бизнес-процессы.

Общий принцип примерно следующий:

  • в обязательном порядке делаем сквозное тестирование;
  • анализируем имеющиеся факты негативных последствий;
  • используем ABC, но помним, что интересным может оказаться именно сегмент C (то есть плохо именно в тех 5%, которые считаются «несущественными» с точки зрения бизнеса).

Также посоветую экспресс-методы тестирования всяческих математических моделей. Предположим, есть набор файлов в Excel, которые условно называются «модель» и на основании расчетов из которых менеджмент принимает решения. Сделать анализ такой модели – избыточно трудоемко (особенно если макросами напичкали), документирования, скорее всего, нет (что, кстати, плохо, потому что есть зависимость от конкретного человека, поддерживающего эту модель). Рекомендуемый вариант в этом случае – проанализировать работу моделей на граничных значениях (то есть всё, что можно, обнулить или сделать максимальным). Если моделька крива – то через 5-6 упражнений всё поймете. Кстати, именно поэтому я недолюбливаю всяческие программы для хитрых расчетов (типа инвестиционных): черный ящик.

Если вы нашли ошибку, пожалуйста, выделите фрагмент текста и нажмите Ctrl+Enter.