Опубликовано 26.10.18
Внутренние аудиторы (а также консультанты по управлению) делятся на два принципиально разных типа: 1-2 человека на 2-3 недели и 4 человека на 2-3 месяца. Речь идет о трудоемкости (не чистом времени), потребной для типового проекта: оценка системы внутреннего контроля предприятия (даже большого) или же анализ какого-либо процесса (например, условное управление персоналом).
Результат работы аудиторов первого типа – отчет о 5-6 страницах (иногда с картинками и фотками) либо же презентация из 10-15 слайдов. Результат работы вторых – отчет страниц на 50-100 (возможно, с приложениями), краткий отчет для топ-менеджмента / Совета директоров, презентация о 50 слайдах. У первых – краткие выводы и рекомендации по ключевым точкам в каждом процессе, у вторых – описание рисков, описание процессов, рекомендации по устранению всего-всего-всего.
Деление достаточно четкое, зависит от руководителя внутреннего аудита. В следующей статье расскажем, как появляется второй тип. В этой статье – об организации работы первого типа внутренних аудиторов.
Для рассмотрения выберем неизвестное предприятие (брундуляторный завод). Почему именно завод? Потому что процессы могут быть разными, даже у первого типа аудиторов трудоемкость анализа какого-нибудь ТОиР может быть и 3 месяца. Схема планирования работы по процессам изложена на соответствующей странице, раздел «Подходы к формированию программы тематического аудита».
Для анализа выберем почти те же процессы, что есть и на сайте, но добавим корпоративное управление. На этом сайте оно не рассматривается как процесс, а рассматривается как часть управления бизнесом, потому что в целом статично. На этой странице не будем описывать, как смотреть непрерывность бизнеса – это проверка еще на 2-3 недели и требует специальной юридическо-технологической подготовки в конкретной области (сами понимаете, что задачи по анализу непрерывности в подземной добыче и морском терминале – мягко говоря, разные задачи), то есть универсальных рекомендаций не предложить.
Итак, что, по нашему мнению, можно сделать за неделю анализа запрошенных документов и неделю выезда (с написанием короткого отчета и его согласования с менеджментом, если что). Из детальных программ аудита здесь приведены по 3 ключевых пункта. Очень желательно все программы прочитать и держать в памяти, возможно, увидите что-то очевидное, не включенное на этой странице. Самые сложные процессы для двухнедельной проверки – инвестиции, ТОиР, НИОКР, здесь действительно можно выявить только очень системные недостатки. Спасает то, что они бывают часто.
Корпоративное управление.
- Наличие СД (или аналога), комитеты СД и персональный состав (например, очень философский вопрос – а кто председатель комитета по аудиту и чем раньше занимался?), чем занимается СД и комитеты (утверждает ли стратегию), есть ли ограничения для генерального директора.
- Участие в уставном капитале в других организациях: какие организации, зачем нужны, как управляются, приносят ли дивиденды. Последнее — если, естественно, должны, в этом случае проверяем наличие дивидендной политики и ее соблюдение.
- Перечень доверенностей (кто, кому, почему – очень плохо, когда в средней организации директор по сбыту имеет доверенность на подписание договоров по сбыту, а директор по закупкам – на подписание договоров на закупку).
Договорная работа.
- Наличие контрольных процедур при заключении договора: отнесение сделок к крупным / сделкам с заинтересованностью, контроль соблюдения предусмотренных процедур (бюджет, для сбыта – положение о продажах, для закупок – положение о закупках и т.п.) при заключении, наличие разумного листа согласования (20 подписей нужно только для очень больших договоров), наличие журнала регистрации (в электронном или бумажном виде) и т.п.
- Рассмотрение заключения договора на 5, 50, 500 тыс. руб., 5 и 50 млн. руб. Процедуры должны отличаться.
- Тест «Найдите мне, пожалуйста, случайный договор и приложение №7 к нему. Вместе с листом согласования приложения, если не затруднит».
Претензионно-исковая работа.
- Просмотр картотеки арбитражных дел на сайте www.arbitr.ru, с кем судятся, почему судятся и т.п. Сбор статистики на предмет пустых действий (то бишь судимся за 100 рублей в трех инстанциях) и результатов по исполнительным производствам (то есть прочие доходы возникли, налог уплачен, а денег не увидели).
- Анализ расшифровки дебиторской задолженности с датой возникновения. Если есть просроченная – вопрос «почему до сих пор не подали»?
- Просмотр реестра входящих и исходящих претензий (по количеству, по качеству). Уточните, как ведется работа с претензиями (досудебная).
Платежи.
- Доступ к банк-клиенту. Допустимо, если все флешки у одного человека, но выписка разносится другим.
- Порядок согласования платежей (контроль соблюдения договорных условий). Обязательно уточнить, что происходит, если согласующий человек отсутствует.
- Управление ликвидностью (размещение свободных денежных средств, использование кредитов для пополнения оборотки и пр.).
Продажи.
- Анализ покупателей на предмет отсутствия «сидения на потоке» (по ИНН), то есть когда себестоимость контрагента очень подозрительно сопоставима с нашими поступлениями от него.
- Скидки и отсрочки. Построение корреляции между скидками и объемами. Ни разу не видел больше 0,4 (как правило – 0,2-0,3), при этом все коммерсанты говорят о прямой зависимости. Принятие решений об отсрочке платежа, построение динамики дебиторской задолженности.
- Всякие воронки продаж, или же работа с потенциальным покупателем: какая конверсия звонков во встречи, встреч — в заключение договоров и т.п.
Закупки.
- Анализ поставщиков на предмет отсутствия «сидения на потоке» (по ИНН), то есть когда поставщик почему-то поставляет только нам.
- Порядок выбора контрагентов (по самым большим суммам): есть ли предквалификация поставщиков, сколько компаний участвовали в закупочных процедурах, есть ли между ними зависимость и т.п.
- Мелкие закупки: есть ли листы альтернатив, насколько обоснованы.
Инвестиции.
- Наличие разных классов проектов. Для крупных проектов – наличие бизнес-плана / паспорта проекта. Инвестиционная программа рассматривается должным образом (крупные проекты – на уровне СД, остальные – в рамках бюджетирования).
- Наличие мониторинга хода реализации работ. Если отсутствуют договоры подряда с твердой ценой – разделение функций в части контроля стоимости строительства (сметный контроль осуществляется либо отделом в подчинении финансового директора, либо безопасностью, либо независимым сюрвейером).
- Анализ отчетности по инвестициям. «Джентльменский минимум»: первоначальная стоимость проекта не меняется, регулярно (вплоть до окончания) предоставляются данные о задержке по срокам и превышению бюджета, по окончании проекта осуществляется мониторинг заложенных показателей (NPV,IRR и т.п.).
IT.
- IT-инфраструктура: наличие описания, оборудование серверных, достаточность (серверы, каналы, …), доступность сервисов (снятие отчетов в service desk).
- Порядок разработки ПО: обоснованность решений о самостоятельной разработке/аутсорсинге, разделение разработки и администрирования.
- Информационная безопасность: наличие инструкции для пользователей, права доступа, резервное копирование, регистрация инцидентов, мониторинг компонентов по технике и т.п.
НИОКР.
- Разумность стратегии НИОКР: стратегия выполнима и полезна.
- Достаточность ресурсов (кадровые, материальные, оборудование) для проведения НИОКР.
- Оценка эффективности НИОКР с точки зрения внедрения в производство (фактическая полезность, а не «план по рацухам», отсутствие ситуации «удовлетворение любопытства»).
ТОиР.
- Наличие формализованной либо неформализованной технической политики по эксплуатации и оценка ее эффективности (не должно быть «пока не сломалось» для ключевого оборудования).
- Утвержденные неснижаемые запасы исходя из технической политики.
- Акты расследования инцидентов: что было, почему было, насколько глубоко определили причины (всегда ли виноват стрелочник или же нет).
Бюджетирование (и отчетность).
- Эффективность планирования (насколько совпадают план и факт). Наличие нормативов, используемых при планировании.
- Разумность методологии (разумное количество форм, детальная проработка значительных затрат, нет завышенной трудоемкости для мелких затрат, наличие данных в аналитических разрезах для планирования и т.п.).
- Анализ достаточности управленческой отчетности (взгляд со стороны, контроль наличия ключевых показателей, в т.ч. показателей процессов).
Управление персоналом.
- Премирование (и мотивация в целом). Кому, сколько и почему. Внезапно оказывается, что топ-менеджмент себя не обижает.
- Потенциальные конфликты интересов: кто чем владеет. Просто интересно, но иногда можно выявить и работу в параллели. Как относиться к этому (наличию условного кабака) – вопрос интересный. Один спикер на конференции ACFE сказал, что категорически против. Потому что как минимум бумагу будут воровать. Если есть какая-либо политика по раскрытию — контроль соблюдения политики.
- Обеспеченность персоналом в целом: наличие вакансий, средний возраст по подразделениям, текучесть и пр. Вопросы привлечения кадровых агентств.
Управление движением ТМЦ.
- Выявление неликвидов (материалы без движения более 0,5-1 года). Легко делается из анализа счета 10 любых учетных систем.
- Списание ТМЦ – как и кто выдает, не нужно ли потратить на получение полдня, есть ли контроль со стороны экономистов.
- Сохранность активов (материальная ответственность + организация хранения). По последнему – текущая крыша, хранение под открытым небом (особенно какой-нибудь ленты резиновой в течение лет 3-5), новые и б/у вместе, дыры в складе и заборах и т.п.
После этого пишется отчет с 2-3-4 абзацами по каждой теме. Дополнение к отчету – фотки. Мне нравятся серверные и ТМЦ. Последнее – общий бардак, а как вишенку на торте – какую-нибудь фотку унитаза с сантиметровым слоем пыли c карточкой учета на нем (снабдив подписью «в залоге у банка»).
Об организации работы.
В заключение страницы – как организовать работу. Примерный график выглядит так:
- минус 2-3 недели до выезда – направление запроса. Время от направления запроса до получения инфо свободно для других дел (например, для другого выезда);
- минус 3-4 рабочих дня до выезда (то есть со вторника-среды недели, предшествующей неделе выезда) – начало анализа информации. До конца недели смотрим все, что получено (анализируем отчетность, читаем регламенты, выявляем «сидение на потоках» с помощью систем раскрытия информации, анализируем ведомости зарплат, рассчитываем оборачиваемость и выявляем неликвиды и т.д. и т.п.). Как раз 3-4 дня и занимает;
- неделя выезда (с понедельника по пятницу):
- понедельник – организационный. Чтобы не терять день, можно сразу пройти по предприятию. Раньше можно было проставить печать в командировочном удостоверении, сейчас этот символизм отменили (так была мысль «не зря съездил»);
- со вторника по четверг – работа (интервью, запросы дополнительной инфо, чтение договоров и т.п.);
- вечер четверга – написание отчета;
- утро пятницы – получение дополнительных комментариев, обсуждение и согласование отчета. После обеда – либо домой (если есть вечерние рейсы), либо в кабак, праздновать окончание проверки.
Такая технология отработана что мной, что экспертом сайта многажды. И это работает, ручаюсь. При этом, за исключением четверга – работа в соответствии с ТК РФ, то есть с 9 до 18 (в пятницу – до 16:45) с перерывом на обед.
Пояснения, почему именно так случается – во второй части.