Глава 12. Оценка внутреннего контроля.  

Фактически основная рекомендация раздела – это формирование матрицы рисков и контролей. Если внутренний аудит на начальном уровне развития – возможно, рекомендация целесообразна. Но на высшем уровне, а именно способствованию достижения целей – мягко говоря, не полезна. Безусловно, зависит от детализации рисков: если ограничиться 3-4 (ну, или 5-6) рисками, матрица получится относительно адекватной. Я даже сам делал (кстати, на этом сайте разделы для риск-менеджера в процессах можно использовать в качестве заготовок). Но если такого ограничения нет, а внутренние аудиторы дотошны, получаются какие-то огромные матрицы рисков (я легко к любому процессу напишу 100 рисков и еще больше контрольных процедур).

И вот этого ограничения, как показывает знакомство с другими командами внутренних аудиторов, частенько не возникает. Безусловно, написано, что результаты будут лучше, если внутренние аудиторы привлекут для анализа ответственного менеджера (что, кстати, сомнительно) или супервайзера. Но супервайзер может быть из отчетности, где такие риски можно заполнить достаточно точно. И эта точность, проецируемая на любой процесс (например, на R&D), только увеличит объем. Ну и с точки зрения «затраты-эффективность» идея сомнительна – описывать все риски, средства контроля и т.п. Слишком много времени пропадет впустую по причине того, что среди рисков будет много мелких, а, как признаются авторы, абсолютно эффективного внутреннего контроля не бывает.  

Несколько комментариев к рекомендациям по заполнению матрицы:

  • рекомендаций по определению целей, скажем так, маловато. 4 строчки с мудрой мыслью «Несогласованность целей может быть серьезной проблемой», а также пример про конфиденциальность. Можно дополнить, что не нужно начинать с самых верхних целей (выручка, какая-нибудь прибыль и т.п.), а сразу опускаться на один уровень вниз. А то рисков для цели «увеличить EBITDA в следующем году в 1,5 раза» может быть реально много;
  • даже если менеджмент соблюдает (и даже формализовал) все 17 принципов эффективного внутреннего контроля из COSO «Внутренний контроль. Интегрированная модель» в редакции 2013 года, не факт, что цели будут достигнуты;
  • несмотря на то, что рекомендуется отдельно оценивать вероятность и воздействие риска, в таблице предусмотрен один столбец. А как же нормирование данных?
  • очень интересная фраза «как правило, когда внутренний аудитор полагает, что риск является неприемлемым, менеджмент бизнес-единицы соглашается исправить ситуацию». Возможно, нам попадался какой-то «неправильный» менеджмент, но даже при достаточно очевидных рисках и реальной возможности их исправления старт работ откладывается на многие месяцы. Так что не обольщайтесь, возможно, авторы работали только с «правильным» менеджментом.

В качестве дополнительных инструментов к матрице рисков и контролей авторы рекомендуют блок-схемы и описание, то есть представить процессы в графическом и текстовом виде. Про блок-схемы уже писал в комментариях к предыдущей главе. Конечно, авторы в качестве примера приводят, скажем так, не очень детальную блок-схему: от момента получения отчета об остатках до приемки товара на складе – 6 квадратиков без развилок. Поэтому, если Вы являетесь большинством, то есть Вам нужна визуализация процесса, прежде чем прочитать описание – не возражаю. Как правило, можно сделать из оглавления регламента. Ну а описание чего-либо в рабочих документах с указанием перекрестных ссылок на соответствующую матрицу или блок-схему – возможно, интересное занятие. Но достижение его основного требования, а именно «полезности», будет затруднительно, поэтому рекомендация: не описывайте процесс, описывайте важные наблюдения к процессу.

Ну и еще замечание принципиальное. Авторы пишут, что «если внутренние аудиторы обнаруживают недостаток дизайна и менеджмент соглашается с этим, обычно нет необходимости проверять, работает ли система как положено или нет» (стр. 247), «В случае выявления внутренними аудиторами существенного недостатка дизайна обычно в тестировании нет необходимости» (стр. 261) и т.п.. Если речь идет об оценке внутреннего контроля в ходе работ, лишний раз напомним, что недостаточно получить простого согласия. В большинстве случаев в РФ менеджмент при рассмотрении отчета, даже если расписался на бумаге в том, что с внутренним контролем в процессе полный провал, внезапно вспомнит, что «он имел в виду не это», «не выспался», да и просто может оказаться хозяином слова («слово дал, слово взял обратно»). Сам сталкивался, причем по возвращении издалека. Поэтому доказательства должны быть, то есть, в традиционной терминологии, «тестирование контролей» проводить нужно всегда. Другое дело, что тестирование контрольных процедур можно проводить без особого энтузиазма, но примеры явной неэффективности за пазухой быть должны.  

Из рекомендаций непосредственно по проведению аудита приводятся концепции и принципы контроля, решения относительно тестирования и т.п. вплоть до компьютеризированных приемов аудита. Информация является справочной/обучающей, комментировать не буду, в целом согласен. Как можно не согласиться с тем, что «документальные доказательства содержаться в документах»… А лично мне очень понравилась фраза, что «Некоторые службы внутреннего аудита даже разрабатывают и внедряют методы и инструменты аналитики данных и передают их подразделениям первой или второй линий для использования». Стремитесь к этому, можно принести реальную пользу.

А вот на разделе «Составление рабочей документации аудита», которой и должна завершаться проверка, остановлюсь. Потому что прямое и буквальное её исполнение процентов 15 времени «выкидывает в пропасть». Это признают и авторы: «иногда внутренние аудиторы расстраиваются из-за количества времени, которое им приходиться тратить на документирование своей работы».

Документирование, по мнению авторов, нужно для (передаю своими словами, последовательность сохранена):

  • борьбы с менеджментом в случае оспаривания результатов;
  • потребностью во внутреннем контроле при проведении проверки;
  • сохранения информации для последующих аудитов;
  • для внешних аудиторов и регулирующих органов;
  • для оценки качества и эффективности внутреннего аудита при внешних проверках;
  • для расследования мошенничества.

Ничего не имею против первого и последнего пункта, что нужно, то нужно. Однако самый трудоемкий пункт (по моим оценкам, около 90% времени на документирование), а именно второй нужен исключительно для того, чтобы внутри подразделения внутреннего аудита было как бы хорошо. Буквальная цитата – «супервайзерам необходимо знать, какая работа была выполнена». И основное допущение – супервайзер может это сделать только путем анализа рабочей документации. Именно из-за этого возникает и потребность во времени, и объем хранимой информации. Наиболее яркие примеры, которые просто увеличивают трудоемкость без какого-либо дополнительного эффекта:

  • «по каждому сегменту задания внутреннему аудитору следует представить общую информацию, такую как цель проверяемой операции, а также справочную информацию, например, о структуре и эффективности деятельности организации». Чтаа? То есть я должен при сквозном тесте приемки ТМЦ включать в описание справочную информацию об эффективности деятельности организации? Может, авторы что-то другое имели ввиду?;
  • «для каждого сегмента аудита аудитору следует подробно изложить цели сегмента, включив, а при необходимости и расширив вопросы, изложенные в рабочей программе аудита». Зачем? В рабочей программе этого всего нет? Если возникли дополнительные вопросы – да, нужно как-то отметить. Но по основной программе – сомневаюсь;
  • каждый рабочий документ должен содержать: описательный заголовок, ссылку на аудиторское задание, галочки и прочие символы, дату составления и подпись или инициалы аудитора и проверяющего, идентификационные номера рабочих документов, источники данных… Вопрос: а будет ли супервайзер читать всю эту макулатуру, или же просто распишется (понятное дело, что в электронном виде будет «прокомпличивать степы»)?;
  • описание интервью и совещаний. Даже если писать на диктофон, время на документирование – x2 ко времени записи, и только для того, чтобы супервайзер прочитал протокол. Нужно ли?;
  • документы по управлению рабочими процессами, такие как бюджеты времени и ведомости распределения ресурсов. Если честно, внутренний аудитор не всегда осилит, супервайзеру это зачем впоследствии?

И вся эта макулатура только для того, чтобы «каждый рабочий документ должен быть проанализирован руководителем внутреннего аудита или назначенным лицом».

Так вот, допущение о том, что контролировать качество можно (и нужно) только через рабочую документацию, неверно. Несколько соображений:

  • руководитель проверки, скорее всего, квалифицированный человек. Большую часть я бы оставил на доверие ему, заставлять документировать то, что он делал – жалко времени. Но если очень хочется – можно ассистента взять, дешевле будет (типа стенографистки);
  • контроль сотрудников может осуществлять сам руководитель проверки. Я бы оценил трудоемкость такого контроля не более, чем в 1 час (а скорее – в 0,5 часа) обсуждения результатов ежедневно. Для группы из 2-3 человек – вполне приемлемо. В этом случае контроль со стороны супервайзера – это контроль контроля;
  • можно в ходе работ обсуждать всё вместе с супервайзером для того, чтобы он был в курсе. Особенно если, как следует из рекомендаций книги, проверки длительны (еженедельное совещание), на выезде бывает затруднительно, но мы всё равно организовывали при необходимости;
  • супервайзер, исходя из своего опыта, должен сам оценивать наиболее рисковые области, и контролировать проект именно точечно (если в рисковой области всё в порядке – это странно, нужно поподробнее, если не всё в порядке – ну и что еще контролировать…).

Поэтому основная рекомендация – документируйте и проверяйте только то, что попало в отчет, то есть то, что менеджмент захочет оспорить. Это значительно менее трудоемко, потому что далеко не всё выявленное достойно отчета (я бы не стал включать что-то до 1 млн. руб.). А вот для доказательства своей работы супервайзеру и 700 руб. можно указать. Чтобы потом, как ни удивительно, совместным решением прийти к тому, что слишком мелко для отчета.

Глава 13. Информирование по вопросам внутреннего аудита.

Особо ничего плохого в этой главе не написано, но основная мысль – чаще общайтесь. Есть несколько предостережений от буквального следования этой рекомендации. Во-первых, менеджмент не всегда готов и хочет общаться, а людей, которые могут наладить общение с произвольным человеком, среди внутренних аудиторов не очень много. Опасения у менеджмента самые разные. Например, про риски – зачем рассказывать про них. Неужели, чтобы тебе в отчете написали и план мероприятий делать заставили? Во-вторых, про движение информации от внутреннего аудита менеджменту: ну зачем менеджменту знать всё, да еще через точки регулярной связи, специально созданные внутренним аудитом?… Как-то более «традиционные» отношения, особенно с людьми, которых видишь в первый раз – «особо не беспокоишь, и хорошо», а визит переживем…

Несколько конкретных не очень рабочих вещей:

  • предлагается сделать «график обновления статуса». При этом сразу говорится, что «сообщения могут быть отменены или отложены, <…> или же могут быть дополнены в случае появления важного замечания». Интересно, а по обстоятельствам и без графика нельзя никак действовать? А появление важного замечания, IMHO, если нет угрозы жизни – особого информирования не требует;
  • информирование о замечаниях в ходе выполнения задания, да еще младшему менеджменту. Во-первых, помните, что далеко не все замечания можно устранить в ходе проверки, об этом и авторы пишут. Во-вторых, уверяю Вас, лучше общаться со «старшим по объекту» сразу (генеральный директор, директор филиала, начальник управления и т.п.). Потому что в противном случае младший менеджмент тщательно проанализирует Ваши аргументы, Вам ничего не сообщит, но как только Вы эти аргументы озвучите на любом совещании, в мгновение ока окажетесь идиотом с помощью нехитрой демагогии, к которой будете не готовы. Ложечки потом с вероятностью 95% найдутся, но осадочек останется. Поэтому если уж информировать – то обязательно с копией максимально широкому кругу;
  • выпуск заключительного отчета в течение 24-48 часов после заключительного совещания – а как же менеджменту итоговую версию на согласование? Или не предполагается?;
  • составление отчета в соответствии со всеми возможными рекомендациями приведет к продукту страниц на 50 минимум. Эффективность отчета такого объема сомнительна, но дело вкуса. Мне лично нравится 3-5 страниц с описанием ключевых наблюдений, причем с протоколом, в котором менеджмент согласен с отчетом.

И, самое главное: ключевой продукт внутреннего аудита – не аудиторский отчет, а изменения. Но уважаемым авторам виднее…

Что делать?

Да ничего не делать. Я не встречал ни одного «прошитого» матрицей рисков и контролей аудитора, который с легкостью от нее откажется, и наоборот. Или же если человек считает ключевым продуктом внутреннего аудита отчет… Столько будет аргументов «за»… 

Если же Вас всё-таки заинтересует, что можно и должно делать внутреннему аудиту в ежедневной работе – сайт состоит из рекомендаций по оценке внутреннего контроля чуть менее, чем полностью. Наиболее универсальная ссылка применительно к данному разделу (то есть, исходя из логики повествования, как провести проверку), раздел «Процессы», столбец «Программа проверки». Помимо самих программ в файлах есть индикаторы эффективного и неэффективного внутреннего контроля. Еще можно почитать «Настольную книгу по внутреннему аудиту» О.В. Крышкина. А затем ответить на вопрос, «а чьи рекомендации полезнее»…

В заключение – про информирование. Жизнь показывает, что как сумеете построить отношения, так и построите, у меня бывали случаи очень разумных отношений с менеджментом. Но лучше быть готовым к сопротивлению к общению, которое должно лечиться присутствием на заседаниях и совещаниях, доступом к инфо разного уровня, включая прямой доступ ко всем информационным системам (в т.ч. документооборота) и т.п. Практика показывает, что дополнительные риски, в т.ч. в оперативном режиме, выявляются именно таким образом, а не путем «регулярных связей с менеджментом». Ну и не забывайте о том, что есть традиционное поведение под названием демагогия, нужно уметь бороться, хотя бы для сокращения собственных трудозатрат.

Перейти к разделу:

Общие впечатления и глава 1 «Разработка стратегии ВА»

Глава 2 «Продукты и услуги ВА» и глава 3 «Развитие деятельности и возможностей ВА»

Глава 4 «Определение команды и ресурсной модели ВА», глава 5 «Развитие руководителей и персонала ВА»

Главы 6-8. Про взаимоотношения внутри организации.

Глава 10. Оценка рисков и календарное планирование.

Глава 11. Планирование аудиторского задания. 

Глава 14 «Формирование и надзор за работой команды внутреннего аудита» и глава 15 «Области специализированных навыков».

По итогам прочтения. 

Если вы нашли ошибку, пожалуйста, выделите фрагмент текста и нажмите Ctrl+Enter.