Выбор тем аудитов.

Международные профессиональные стандарты внутреннего аудита (МПСВА) требуют формирования риск-ориентированного плана внутреннего аудита, в частности, на основании формализованной оценки рисков, проводимой не реже, чем один раз в год.

Каноничный подход.

Безусловно каноничным подходом можно назвать подход, который основан на существующей оценке рисков. На этом сайте есть вполне себе пример условного предприятия, на котором я и покажу подходы к формированию плана работы внутреннего аудита на год.

Итак, есть реестр рисков с рассчитанными математическими ожиданиями текущего и остаточного риска. Начать нужно с ранжирования рисков для внутреннего аудита.

Первое, что нужно определить – по какому из математических ожиданий нужно отранжировать риски. Мое мнение – нужно ранжировать по текущему. Логика примерно следующая: менеджмент всегда будет настаивать на том, что «да, у нас сейчас всё плохо (ну, или всё хорошо), но в ближайшем будущем «заколосицца» (ну, или станет «еще лучше»)». Как показывает практика, ближайшее будущее не всегда наступает быстро (в конце концов, продолжительность человеческой жизни ничтожна с точки зрения времени существования вселенной, и в этом масштабе ближайшее будущее – это и 100 лет). Поэтому план проверок составлен исходя из текущего математического ожидания. Но теоретически я допускаю ситуацию, когда план аудитов составляется исходя как из математического ожидания остаточных рисков, так и из изменения дельты между матожиданием текущего и остаточного риска. Логика последнего – аудит эффективности прилагаемых менеджментом усилий

Второе, что нужно определить – аудитопригодны либо неаудитопригодны мероприятия по управлению рисками из программы. Ну, например, можем ли мы проверить, куда пошла взятка руководителю ИФНС по крупнейшим налогоплательщикам? Как-то сомневаюсь, что он/она расписку даст. С другой стороны, любая выдача наличных на любое «стимулирование» (включая продажи) – это, скорее всего, не менее 50% прилипания к рукам передающего менеджера. А владельца бизнеса тоже не пошлешь передавать… Поэтому проверить можно только путем личной передачи, на что аудитор согласиться не должен (хотя бы из соображений, представленных в УК РФ). Другой пример: «активная работа по формированию «карманного» профсоюза». Мы должны повесить человеку вывеску «Председатель карманного профсоюза»? И будет ли он во всем «карманным»? В общем, управление некоторыми рисками практически невозможно проанализировать. Поэтому я предлагаю отказываться от включения в план аудитов мероприятий, аудитопригодность которых вызывает сомнения.

Третье, что нужно сделать – это оценить новизну потенциальных находок в рамках каких-нибудь плановых аудитов. Например, все знают, что с качеством (персоналом, ремонтами, оперативным учетом, логистикой и т.п.) у нас откровенно плохо. Знает владелец, знает совет директоров, знает менеджмент, знают исполнители. Из года в год пишутся мероприятия, что-то выполняется, лучше не становится. Нужно ли проводить аудит? Ну, вроде как да (подход-то риск-ориентированный, а риски значимы). А зачем? Потратить четверть человекогода для констатации всем давно известных фактов, при этом находящихся под личным контролем владельца? Да, можно систематизировать проблемы, обеспечить новый (четырнадцатый по номеру рассматриваемого доклада) взгляд и т.п. Но совсем уж новизна вряд ли будет. В общем, очень целесообразно оценить плановые аудиты при формировании программы на основании риск-ориентированного подхода с точки зрения интересности для всех.

Перейдем к непосредственно планированию. В ниже приведенной таблице остаточные (ожидаемые на конец года) риски отсортированы по математическому ожиданию. В пример не включены риски, которые лежат ниже линии толерантности (10% от EBITDA, или 100 млн. руб.). Но это не значит, что с ними не нужно работать (работа по многим из них целесообразна, 100 млн. руб. неплохо даже для большого предприятия).

Наименование риска

Мероприятие

М тек (млн. руб.)

Возможный аудит для годового плана

Комментарии

3

Усиление российских конкурентов

Разработка и продвижение более сложной продукции (брундуляторов пятого и шестого поколений).
Повышение качества продукции.

1600

Аудит НИОКР

Аудит системы контроля качества

 

7

Разрушение системы НИОКР

Открытие кафедры в профильном университете.
Разработка и реализации целевой программы по удержанию молодежи.

1250

Контроль целесообразности предложенных мероприятий по удержанию молодежи

К сожалению, результаты открытия кафедры можно проверить только через много-много лет.

25

Война с миноритариями

Выкуп пакета акций по немного завышенной цене.

1080

Прерогатива владельца.

29

Потери интеллектуальной собственности

Постановка системы управления интеллектуальной собственностью.
Ведение электронного архива.

1000

Аудит может быть запланирован в следующем году. Можно проверить и в текущем, но не будет патентной статистики.

1

Выход на рынок иностранного конкурента

Разработка и продвижение более сложной продукции (брундуляторов пятого и шестого поколений).
Повышение качества продукции.

800

См. первую строку.

14

Налоговые претензии

Взятка руководителю ИФНС по крупнейшим налогоплательщикам.

630

См. примеры выше.

32

Недружественное поглощение

Изменение юридической структуры и схемы финансово-хозяйственной деятельности.
Формирование плана действий в кризисных ситуациях.

600

Аудит плана действий в кризисных ситуациях

После разработки.

10

Незаинтересованность менеджеров в реализации стратегии

Разработка мотивации менеджеров на основании BSC.

480

Аудит эффективности разработанной BSC

 

24

Уход топ-менеджера

Заключение долгосрочных трудовых договоров.
Разработка мотивации менеджеров на основании BSC.

420

Контроль заключения долгосрочных трудовых договоров с мотивацией на основании BSC

Вообще говоря, по законодательству РФ такие договоры невозможны. Но мотивация возможна любая, соответственно, контролируем чтобы мотивация менеджмента была бы на основании проаудированной BSC.

5

Необходимость переноса производства

Глубокая проработка плана переноса производства.
Переговоры с властью о получении каких-либо преференций при выносе производства за черту города.

300

Аудит планов переноса производства

После проработки. Фактически это строительство нового завода, см. регламент по инвестициям, что при этом нужно учесть.

6

Неэффективные инвестиции

Постановка системы управления инвестициями, в частности, введение должности директора по инвестициям и разработка инвестиционного регламента.
Создание технического совета.

245

Аудит возможен в последующем. Нужно, чтобы проекты позаканчивались.

8

Невозможность найма квалифицированных рабочих

Инвестиционная программа, позволяющая заменить значительную долю непроизводительного труда.
Заключение договоров с колледжем о целевой подготовке студентов.

240

Аудит эффективности инвестиционной программы

 

12

Кредитный

Удержание риска.

200

Аудит управления дебиторской задолженностью

Включается в программу. Несмотря на то, что принято решение риск удержать. Возможно «изыскание внутренних резервов»

18

Недополучение выручки от продаж

Разработка и внедрение положения о заключении договоров.

200

Аудит может быть запланирован в следующем году. Логика – нужно прожить некоторое время, чтобы убедиться в отсутствии косяков.

21

Рост неликвидов

Разработка и внедрение положения о закупках, содержащего оптимальные партии и порядок реализации неликвидов.

200

Аудит действующей системы закупок

В отличие от аудита, связанного с предыдущим риском, этот лучше провести в начале года для того, чтобы в новом положении были учтены все ошибки предыдущих лет.

4

Отсутствие новой продукции

Разработка и продвижение более сложной продукции (брундуляторов пятого и шестого поколений).

200

См. первую строку.

31

PR-атака

Создание пресс-службы.

180

На самом деле процесс не является аудитопригодным. Пресс-служба всегда будет говорить, что если бы не она, то всё бы пропало, независимо от фактических последствий. Но это не значит, что специалистов по PR быть не должно.

28

Откаты

Постановка системы внутреннего контроля.

180

Аудит может быть запланирован в следующем году. Смысл в том, что, судя по описанию, все уже понимают, что всё плохо. Поэтому нужно дать время менеджменту «побарахтаться».

15

Увеличение стоимости ведущегося строительства

Аутсорсинг функции технического надзора.

171

Аудит эффективности технического надзора

Аудит нужно проводить в конце года: если косяки будут, они уже повылезут.

23

Неэффективная автоматизация

Удержание риска.

150

Аудит концепции автоматизации

Внутреннему аудиту очень желательно контролировать автоматизацию на каждом этапе. Возможно, концепция – не самый важный документ (потому что всё равно автоматизаторы скажут, что детали – не предмет концепции). Тем не менее, сам аудит полезен в первую очередь для внутреннего аудита (чтобы быть в курсе дел).

9

Усиление профсоюза

Активная работа по формированию «карманного» профсоюза.

150

Процесс не является аудитопригодным, см. выше.

2

Негативные последствия от вступления России в ВТО

Лоббирование на уровне органов исполнительной власти дополнительных требований к брундуляторам, которым не будут соответствовать зарубежные образцы.

150

Процесс не является аудитопригодным

19

Рост расходов на устранение производственного брака

Инвестиционная программа
Заключение договоров с колледжем о целевой подготовке студентов.

120

Аудит эффективности инвестиционной программы был упомянут выше.

Контроль эффективности договора с колледжем (то бишь бывшим ПТУ) о целевой подготовке студентов нужно проводить через несколько лет, после устройства на работу первых выпусков.

Итоговая программа, отсортированная по алфавиту, выглядит примерно так:

  • Аудит действующей системы закупок.
  • Аудит концепции автоматизации.
  • Аудит НИОКР.
  • Аудит плана действий в кризисных ситуациях.
  • Аудит планов переноса производства.
  • Аудит системы контроля качества.
  • Аудит управления дебиторской задолженностью.
  • Аудит эффективности инвестиционной программы.
  • Аудит эффективности разработанной BSC.
  • Аудит эффективности технического надзора.
  • Контроль заключения долгосрочных трудовых договоров с мотивацией на основании BSC.
  • Контроль целесообразности предложенных мероприятий по удержанию молодежи.

В эту программу нужно добавить время на:

  • ежегодный мониторинг системы управления рисками. В МПСВА не говорится о том, как часто нужно проводить эту оценку. Но при наличии системы управления рисками на уровне описанной на этом сайте хотя бы раз в год очень полезно поинтересоваться, а что, собственно говоря, менеджмент сделал для управления рисками, и какими рисками и как планируется управлять в следующем году. Кстати, в интерпретации к Стандарту 2120 «Управление рисками» отмечено, что информация для оценки системы управления рисками может быть собрана в рамках нескольких аудиторских заданий, то есть ключевые риски будут затронуты в рамках плановых аудитов и мониторинга исполнения мероприятий, необходимо проконтролировать только остальные;
  • инвентаризации, мониторинги и прочие обязательные действия;
  • резервное время (внеплановые поручения, текущие вопросы, отпуска / болезни).

Если внутренних аудиторов на заводе два (что представляется разумным для завода из 2000 человек), то их, скорее всего, не хватит для выполнения программы. В этом случае:

  • либо ранжируем по математическому ожиданию до «выполнибельной» программы;
  • либо идем к владельцу / председателю комитета по аудиту для того, чтобы нам с помощью пишущего предмета показали, что делать;
  • либо предлагаем увеличить бюджет подразделения (взять еще одного человека).

Если же на существующую численность аудиторов программы хватать не будет, то нужно спускаться вниз по математическому ожиданию и дойти до полной загрузки каждого аудитора. Но отмечу, что если человек с зарплатой 3 млн. руб. в год месяцами занимается риском в 300 тыс. руб., то численность явно избыточна. Хотя, с другой стороны, если владелец доволен – то почему бы и нет.

В терминологии, приведенной на начальной странице раздела, этот план – первый шаг к стратегически-ориентированному аудиту, так как в первую очередь контролируется управление стратегическими рисками.

Подход на основании оценки денежных потоков.

На мой взгляд, значительно интереснее подход, когда риски оцениваются на основании денежного потока. Этот подход является развитием подхода, изложенного в книге в таблицах 3 и 4 на стр. 31 и 32. Подход банален: мы запрашиваем расшифровку БДДС, и около каждого значения проставляем «возможный процент неэффективности». БДДС должен быть детализирован с разумной точностью.

Некоторые значения вполне понятны. Например, всяческого рода консалтинги, скорее всего, будут иметь возможный «процент потенциальной неэффективности» в районе 90%. То есть по факту всяческих консультационных услуг мы не сможем оценить, сколько именно они стоят, поэтому нужно присвоить максимально высокое значение. А вот по статье «Услуги ФГУП «Почта России» можно смело ставить 0%. Причина очевидна: ну, не украдешь там ничего…

Вообще такая оценка не так проста, как можно подумать. Потому что одна и та же статья затрат может иметь разный признак «неэффективности». Примеры:

  • ремонт самолетных двигателей в LuftHansa Technik и у прибалтов будет обладать явно разной «взяткоемкостью» для ответственного за ТОиР: если у люфтов откаты практически невозможны, то за страны бывшего СССР (даже пусть теперь и европейские) я не ручаюсь;
  • закупка кабеля у завода и у посредников будет обладать не меньшей разницей во взяткоемкости, чем в примере, указанном выше

и т.д.

Дальше нужно составить банальную табличку и отсортировать её по последнему столбцу (риск). В данную таблицу нужно включать все платежи (как по продажам, так и по закупкам). Что должно получиться:

Платежи, млн. руб.

Возможный % неэффективных затрат

Риск, млн. руб.

 

   

Собственно, по отсортированному последнему столбцу можно по идеологии, описанной для каноничного подхода, и сформулировать план проверок.

Такой подход напоминает подход от «уровня существенности», который любим бывшими аудиторами отчетности, но значительно интереснее с точки зрения потенциальных результатов. Эта таблица позволяет сосредоточиться именно на потенциальной неэффективности конкретных строк, а не анализировать «основные средства» или «финансовые вложения» в целом. Естественно, если на основании этой таблицы проводить аудиты типа «аудит порядка выбора консультантов» и «аудит порядка закупки брундуляторов», а не только анализировать отражение этих аспектов жизни предприятия в отчетности.

Одновременно отмечу, что такая таблица плоха тем, что не очень значительные затраты даже при присвоении 100% значения неэффективности могут выпасть из рассмотрения. К примеру, безопасность, персонал, учет и прочие не очень затратные, но очень важные вещи. Но они в целом известны, можно добавить руками.

Данный подход, в моем понимании, соответствует операционно-ориентированному аудиту: стратегия не измеряется БДДСами. Безусловный плюс такого подхода – план работы внутреннего аудита на год формируется за полдня.

Какой подход выбрать?

Как уже было сказано на вводной странице к этому разделу, если подразделение внутреннего аудита достаточно зрелое, то нужно выбрать именно каноничный подход.

А вот если подразделение внутреннего аудита только создается, то, на мой взгляд, вряд ли. Предположим идеальную ситуацию: мы, прежде чем заниматься внутренним аудитом, провели очень правильную работу с точки зрения управления рисками (значительно фундаментальнее, чем в приведенных на этом сайте примерах). И сформировали замечательный план работы на год.

Пусть в этом плане оказался, к примеру, аудит НИОКР. Что будет, если его проведет новый человек? Как мне кажется, ничего хорошего. Итак, есть руководитель подразделения НИОКР. Занимается разработкой условных брундуляторов более 30 лет, выглядит, как хороший консультант (седина – чтобы выглядеть солидно, геморрой – чтобы обеспокоено). Тут приходит молодой «хрен с горы» (возраст «хрена» меньше стажа руководителя НИОКР на предприятии) и говорит, что у этого самого человека всё плохо. Причем выводы неоднозначные, потому что «идеальный» процесс НИОКР организовать сложно, возможны разные варианты, так как сам процесс – творческий. Скажем, аудитор требует, чтобы все идеи при опытно-промышленных испытаниях протоколировались (запишите всё, о чём говорили). Такая ситуация принципиально НИОКР не улучшит, а нездоровый конфликт возникнет практически со 100%-ой вероятностью.

А теперь представьте, что риски сформулированы таким образом, что нужно провести какой-нибудь неосязаемой (в деньгах или штуках) природы аудит. Например, аудиты корпоративной культуры, контрольной среды, «эффективности клиентоориентированности» и т.п. Мое мнение – результаты того же аудита корпоративной культуры могут быть восприняты только при хорошей корпоративной культуре. А если корпоративная культура хорошая – то зачем проводить аудит? Делать выводы на основании документов мне тоже представляется бесперспективным, потому что наличие кодекса этики или его отсутствие, по-хорошему, на той же контрольной среде не сказывается (воровать можно и при наличии, не воровать и при отсутствии). Кстати, про кодекс этики. Штука интересная, я как-то попытался написать. Коллеги из безопасности сказали, что получился хороший справочник злоупотреблений (писал в стиле «мы не делаем …») и почему-то не поддержали его утверждение.

В общем, решайте сами, но мое мнение: к стратегическим аудитам – через 2-3 года лучше.

Включение дополнительных идей.

В соответствии с МПСВА при формировании плана необходимо учитывать мнение менеджмента (высшего исполнительного руководства) и совета директоров. Понятное дело, что мнение совета директоров (особенно председателя) лучше всё-таки учесть (ну, если хочется дальше работать в компании).

А вот с мнением высшего исполнительного руководства не все так однозначно. Неоднократно встречалась ситуация, при которой менеджер хочет использовать внутренних аудиторов в качестве инструмента борьбы с неугодными («натравить ревизию»). Этим инструментом особенно часто пользуется менеджмент среднего звена, вплоть до требования проверки конкретных сотрудников (при наличии такой возможности). К сожалению, понять это на этапе планирования не всегда возможно. Но оценивать разумность включения в план аудитов идей от менеджмента всегда нужно.

Определение трудоемкости.

Трудоемкость, как мне кажется, штука очень философская. На мой взгляд, практически для любого аудита в средне-большой компании достаточно двух месяцев и одного человека. Есть одно «но»: во многом трудоемкость зависит от организации работы в службе. Подробнее написано на странице про выполнение проверок.

При определении трудоемкости не нужно учитывать скорость принятия решения менеджментом. Если конкретный руководитель взял паузу на три недели из-за отпуска, человека из подразделения внутреннего аудита нужно загрузить чем-то другим. Да, есть разные психотипы, и среди внутренних аудиторов тоже. У меня ощущение, что чем больше у меня дел, тем больше я делаю. Возможно, это только моя особенность: кому-то стрессы помогают, кому-то мешают. Но стрессоустойчивость вроде как требуется по всем вакансиям.

Календарное планирование.

Несколько очевидных советов по календарному планированию.

Совет №1. Если в течение года планируются большие изменения кривых процессов, аудит желательно запланировать на январь-февраль (однозначный пример из программы выше – аудит действующей системы закупок).

Совет №2. Если менеджмент указал дату исполнения 33 мартобря, то аудит исполнения процесса целесообразно начинать 34 мартобря.

Совет №3. Не планируйте выездные командировки на июль-август. Конечно, летом экскурсии значительно интереснее, чем зимой (хотя по мне так в зиму комфортнее, потому что пОтом не обливаешься). Но билеты и прочее проживание значительно дешевле в феврале или ноябре. Речь не идет о внеплановых заданиях – здесь если что-то нужно, то сразу нужно.

Если вы нашли ошибку, пожалуйста, выделите фрагмент текста и нажмите Ctrl+Enter.