В предыдущей статье мы рассказали о том, что можно сделать за две недели. В этой попытаемся рассказать, как ту же самую программу можно выполнить не за 1 человеко-месяц, а за 5-10 (в некоторых, особо извращенных случаях – и за 1-1,5 человеко-года).
Для этого много думать не нужно, достаточно буквально воспринять документ от Института внутренних аудиторов под названием «Планирование аудиторского задания: Определение целей и объёма». Статус этого документа – Дополнительное руководство, то есть вроде как рекомендуется, но не является обязательным. Тем не менее, очень многие руководители внутреннего аудита (CAE) считают, что именно такое планирование может принципиально улучшить внутренний аудит под их чутким руководством. Попутно вспоминая всякие мудрые цитаты типа «Если бы у меня было восемь часов на то, чтобы срубить дерево, я потратил бы шесть часов на то, чтобы наточить топор».
Итак, что же произойдет, если следовать дополнительному руководству. Ниже описаны опасности, подстерегающие в каждом рекомендуемом пункте в отношении проверки какого-либо предприятия. Также представлена трудоемкость.
Уяснить условия и предназначение задания.
Здесь мысль здравая. Действительно, не понимая, что и зачем, хрен проверишь. Приведем цитату: «внутренним аудиторам необходимо понять, что представляет собой задание: услуги аудита или оказание консультационных услуг». Категорически нельзя не согласиться.
Трудоемкость понимания зависит от уровня IQ внутреннего аудитора. Считаем коллег смышлеными, поэтому время на осознание того, чем занимаешься (не вообще – это можно потратить годы, а в конкретной проверке), принимаем равным нулю.
Собрать информацию, чтобы получить представление о рассматриваемой сфере или процессе.
Документ рекомендует следующие четыре этапа:
- Ознакомиться с материалами предыдущих заданий, касавшихся рассматриваемой области или процесса.
- Уяснить и составить схему процесса и механизмов контроля применительно к рассматриваемой области или процессу.
- Опросить представителей актуальных заинтересованных сторон.
- Провести «мозговой штурм» для выявления потенциальных рисков.
Засада – четные буллиты.
Уяснить и составить блок-схемы процессов – работа на месяц. И работа, исходя из нашего опыта – бесполезна, во всяком случае мы если и описываем процессы, то сразу «to be», а не «as is». Потому что, во-первых, процесс может идти по-разному, а во-вторых – в описании будет минимум развилок (ромбиков «если»), а именно из этих развилок и состоит жизнь. Добьет процедуру рекомендация рассматриваемого документа с указанием источников – «справочники для персонала, руководства и/или вебсайты внутрикорпоративной локальной сети, где отражены политики и процедуры». Как говорится, «что подумал Кролик — никто не узнал. Потому что он был очень воспитанный».
Идентификация рисков – не столько трудозатратна, сколь бесполезна. Представьте группу вчерашних выпускников big4 («разумные» кандидаты», когда автор в гостинице останавливается – постоянно видит, слышит за завтраком/ужином разговоры, и представить может), которые «штурмуют мозги» в отношении технологических рисков предприятия, которое в глаза не видели. Кстати, отвечая на вопрос «Что мешает достижению целей организации?» (рекомендация из рассматриваемого документа). Много они там наштурмуют? Зато довольны собой будут – мама не горюй. Реестр рисков, конечно, возникнет. Правда, с очень высокой вероятностью – совсем не тех. Но, в принципе, не важно – на судьбу проекта не влияет.
В общем, буквальное следование рекомендациям отожрет у Вас от 1 до 1,5 месяцев времени (и занятости в полном составе группы). Когда аудиторы первого типа уже будут расслабляться в кабаке в ожидании вылета самолета с согласованным отчетом, у аудиторов второго типа как раз возникает предварительный проект блок-схемы процессов с «матрицей контролей». Если же вторые будут работать в темпе «выпрыгивания из штанов», то к моменту погрузки на самолет первых вторые, может быть, даже успеют провести первый мозговой штурм по выявлению рисков.
Наша рекомендация – забить на этот раздел в редакции рекомендаций практически полностью. Да, неплохо почитать предыдущие отчеты и поговорить с заинтересованными людьми, если есть регламенты и прочие СМК – прочитать, если нет – не читать (согласитесь, мудрый совет). Представление о процессе составить нужно, но немного другими методами. Если писать коротко, то информационный запрос можно составить исходя из действий в части 1, если подлиннее – читайте сайт. Нам не нужно детальное дистанционное понимание, потому что оно вряд ли будет соответствовать действительности. Ключевое для выводов о системе внутреннего контроля – это общение с последующим подтверждением / опровержением полученной информации, которое происходить будет непосредственно на предприятии. Пусть и не соответствует лучшим практикам.
Провести предварительную оценку рисков, связанных с заданием.
В отличие от предыдущего раздела от идентификации рисков, предварительная оценка в предлагаемом виде – не только бесполезная, но и трудоемкая работа. Трудоемкость связана с формированием «матрицы рисков и механизмов контроля» и построением тепловой карты. В предыдущем разделе поставлена под сомнение идентификация рисков. Но, в принципе, она может и получиться. Но на этом этапе делать матрицы и строить тепловые карты – скажем так, бесперспективно. В идеологии авторов сайта это сделать можно как производную по результатам самой аудиторской проверки.
Итого трудозатрат – недели две. Участвует весь коллектив, матрицы в Excel с нуля заполнить для предприятия – это не шутки. Наша рекомендация – если и делать такие упражнения, то после выезда, но никак не до. Может оказаться полезным.
Сформулировать цели задания.
Это, безусловно, важно. «Оценка СВК», «Оценка непрерывности» или «Оценка системы корпоративного управления» — чем не цель. Трудоемкость – ровно столько, сколько нужно написать фразу «оценка СВК».
По поводу других возможных целей – они, как правило, очевидны исходя из названия проверки. Хотя, безусловно, мы уважаем аудиторов, которые каждый раз придумывают разные цели.
Определить объём и содержание задания.
На наш взгляд, из криво выявленных и оцененных рисков возникнет не менее кривое задание. Причина очевидна – копать придется там, где наштурмовалось (причем людьми, которые не очень в курсе работы предприятия).
Но, в принципе, этот раздел изложен в стиле «за все хорошее против всего плохого», и текст документа не ограничивает руководителя проверки при формировании нормального плана. Однако отметим, что время, потраченное на все предыдущее, можно было потратить с пользой. Например, значительно увеличить хоть выборку, хоть любое другое измерение объема и содержания задания.
Рекомендация – смотри предыдущую статью.
Выделить надлежащие и достаточные ресурсы.
Раздел интересный. Буквальная цитата – «Внутренним аудиторам следует проанализировать, потребуется ли привлечение внешних ресурсов (например, специалистов или дополнительных ресурсов) или технологий, если у подразделения внутреннего аудита отсутствуют необходимые или достаточные ресурсы».
Представьте себе руководителя проверки, который через 2 месяца после начала работы, составив блок-схемы процессов, сформировав «матрицы рисков и контролей», построив тепловую карту, определив выборку, приходит к CAE и говорит: «отсутствуют у меня, как у руководителя проверки, достаточные ресурсы. И нужен мне сметчик и IT-аудитор в нашу дружную команду». IMHO, смешно и маловероятно (как минимум – в знакомых нам местах). Но рекомендация интересная, жаль, что не прописан запрет кар в отношении руководителя проверки, который так поступит.
Документально зафиксировать план.
Здесь достаточно большой цитаты. В соответствии с документом, «В процессе формулирования целей и объёма задания может быть подготовлен любой из следующих рабочих документов (или все такие документы):
- Блок-схема процесса.
- Обобщённые результаты опроса и «мозгового штурма».
- Результаты предварительной оценки рисков (напр., матрица рисков и контроля и «тепловая карта»).
- Обоснование решений о включении тех или иных рисков в задание.
- Критерии, которые будут применяться для оценки рассматриваемой области или процесса.
Руководитель внутреннего аудита и/или уполномоченное лицо, отвечающее за выполнение задания, должны ознакомиться со всеми рабочими документами и подтвердить их полноту и точность.».
Цитировать можно и дальше. Но один момент: как думаете, сколько у квалифицированного внутреннего аудитора (руководитель внутреннего аудита и/или уполномоченное лицо – думаем, что квалифицирован) может возникнуть вопросов к перечисленным документам (если что, около 2 месяцев работы)? С учетом того, что они делались «на берегу» (то есть предприятие пока никто не видел)? По нашему мнению, в предлагаемой концепции обсуждать план можно еще недели две, а потом еще месяц дописывать и согласовывать.
При этом, когда доберешься до предприятия, план может разрушиться в течение первого рабочего дня, при этом возникнут явно необходимые другие пункты программы. Жизнь показывает, что примерно 20-30% из предварительного задания делать, скорее, не нужно, а еще 10-15% возникает дополнительно (причем находки очевидные) в процессе работы.
Выход – план делать в виде высокоуровневой (но не поверхностной) программы и отдавать на откуп руководителю проверки, который поедет. Понятное дело, что зависит от уровня руководителя, но считаем, что руководитель достоин быть менеджером проектов внутреннего аудита. Качество работы проверить достаточно просто – если есть пара толковых рисков / наблюдений сверху программы, значит, человек не халявил.
Подводя итоги.
Надеемся, что из этой статьи все заинтересованные люди поймут, что при буквальном следовании дополнительному руководству два месяца работы из трех – непроизводительный труд. При этом легко можно извести коробку бумаги. Но если Вы в восторге (или так сложились непреодолимые обстоятельства корпоративной культуры) от следования методологии – выбор Ваш.
В заключение – пару слов о том, что выявляется. Не поверите, но аудиторы первого типа частенько выявляют больше, чем аудиторы второго. Причины:
- во-первых, все-таки при следовании от анализа исполнения БДДС (то есть от финансовых потоков) пропустить многое – достаточно сложно;
- во-вторых, если смотришь на мир напрямую, а не через призму схем, матриц и тепловых карт, оказывается, что незашоренный взгляд видит больше. Идеальные бизнес-процессы (за исключением коммерческой и производственной деятельности) везде почти одинаковы, поэтому в исполнении квалифицированного аудитора анализ отчетности о процессе, контрольных процедур в регламенте и интервью о фактически проводимых действиях с получением доказательств их проведения даст значительно больший эффект, чем некая работа на основании сфантазированной «матрицы рисков и контролей».
И уж совершенно точно трудоемкость в разы меньше. То есть аудит первого типа однозначно эффективнее: времени меньше, находок больше (с высокой вероятностью). Но лучшим практикам не соответствует, увы.