На практике одной из первопричин недостижения целей аудиторского задания является неадекватное планирование. Планирование аудита является одним из важных этапов выполнения аудиторского задания.
Важно не только знать и анализировать возникающие проблемы в ходе планирования аудиторского задания, но также понимать их влияние. Это позволит скорректировать работу по планированию и не допустить ошибок в будущем.
Ниже представлены несколько примеров плохого планирования, с которыми, возможно, вы уже сталкивались в своей практике:
● Аудиторы не смогли объяснить внутреннему клиенту на предварительных встречах и/или на стартовом собрании, почему они пришли и чего хотят достичь. Непонимание целей и задач аудита с высокой вероятностью приведет к оборонительному настроению и сложной коммуникации с держателями процесса;
● Период проведения аудиторского задания запланирован на «высокий» сезон работы проверяемого подразделения или на сезон отпусков его сотрудников. Предстоящее взаимодействие в таком случае будет стремиться к нулю и тем самым влиять либо на качество, либо на сроки аудита;
● Аудиторы не собрали информацию и не изучили результаты работ других поставщиков гарантий и, скорее всего, затронут аналогичные вопросы и проблемы. Повторные вопросы, без достаточного основания, могут вызвать раздражение внутреннего клиента, показать неэффективное использование его времени и непрофессионализм внутренних аудиторов;
● Аудиторы использовали предыдущую/ старую программу по аналогичной теме и выполнили задание по наработанной схеме с минимальным взаимодействием с внутренними клиентами, считая такое взаимодействие лишним, поскольку «итак все понятно». В таком случае на заключительном собрании они могут получить обратную связь о том, что функция внутреннего аудита неэффективна, поскольку не выявила насущные проблемы и пути их решения в быстро меняющихся условиях;
● Распределение задач между членами команды аудиторского задания не учитывало опыт и знания каждого. Аудитор, не имеющий соответствующей квалификации, потратит больше времени на выполнение сложного задания и/или выполнит его некачественно, что повлияет на сроки и качество;
● Запрос на командировочные расходы (бронирование гостиниц, авиа и/или ж/д билетов, такси и т.п.) был оформлен в последний момент перед командировкой и, как следствие, выбор вариантов проживания и билетов был ограничен. В итоге, команда потратит существенное время на передвижение в/из гостиницы, проведет выходные вне дома, и как следствие – получит дополнительную усталость, раздражительность и потерю концентрации.
Понимание того, зачем и как аудиторы планируют аудиторское задание, и следование простым советам помогут повысить эффективность и результативность аудита.
Основные правила и принципы предоставления услуг внутреннего аудита (включая планирование) отражены в Стандартах; также желательно, чтобы они были отражены в Положении о внутреннем аудите организации. Для наглядности Раздел V Стандартов можно представить в виде следующей схемы:
Этап планирования аудиторского задания следует после согласования Плана аудитов на предстоящий год. Руководитель аудиторского задания создает папку в специальном ПО или на внутрикорпоративном ресурсе. Структура папки может отличаться от компании к компании, но главная цель – это гарантия использования единых шаблонных документов по аудиту, например: рабочие документы аудиторов, рабочая программа, отчет, презентации и т.д.
Далее руководитель задания проводит 1-й бриф с командой, на котором обсуждаются цели и причины, по которым данное задание включили в годовой план аудитов, имеющиеся человеческие и временные ресурсы, а также приоритетные области для аудита. Особо отметим, что на данном этапе важно, чтобы аудиторы сформулировали понятные и конкретные цели и границы аудита и избегали расплывчатых, слишком общих целей. Например, вместо «Проверить процедуры отдела X» лучше обозначить «Оценить эффективность контрольных процедур в процессе X по состоянию на 30.09.2024 в соответствии с моделью COSO». Аудитор должен отчетливо понимать сам и уметь пояснить аудируемому лицу цели предстоящей проверки. Кроме того, конкретные цели способствуют тому, чтобы аудиторы направили свои усилия на ключевые моменты и рационально использовали своё время.
Немаловажно запланировать и, возможно, уже отправить приглашение на стартовое и заключительное собрание по аудиту. Заблаговременное приглашение увеличит вероятность присутствия ключевых участников и поможет обеспечить окончание аудита в срок. Кроме того, подобный прессинг помогает аудиторам придерживаться графика и рационально использовать свое время.
Также на данном этапе необходимо еще раз оценить имеющиеся совокупные знания, навыки и компетенции команды и необходимость в дополнительном внутреннем или внешнем обучении или привлечении эксперта.
После проведения 1-го брифа команда должна приступить к проведению предварительных встреч и анализу проверяемых процессов. Основная цель данного этапа – это сбор максимального количества полезной информации по периметру аудита.
Немаловажно предварительные встречи провести не только с владельцами процесса, но и с другими внутренними и внешними поставщиками гарантий, например с представителями подразделений по управлению рисками, внутреннему контролю, комплаенсу и, возможно, внешними экспертами и консультантами, если они привлекались для работ в исследуемом периметре.
В рамках анализа процессов аудиторы, как минимум, должны запросить, ознакомиться и оценить следующее:
● цели процесса и их соответствие стратегии развития компании;
● нормативные документы (внутренние и внешние), регламентирующие аудируемые процессы;
● существующие схемы бизнес-процессов, а в случае их отсутствия – сформировать схемы фактически реализуемых процессов с указанием существующих контрольных процедур;
● базы данных и программное обеспечение, используемые в рассматриваемых процессах;
● результаты прошлых аудиторских проверок и проектов прочих поставщиков гарантий;
● результаты проверок со стороны государственных органов;
● результаты оценки рисков, проводимой менеджментом компании (в случае ее наличия);
● систему оценки и показателей, используемых для определения эффективности процесса.
После проведения встреч и предварительного анализа аудитор должен определить степень соответствия между целями, указанными в документах и озвученными руководителем, и стратегией компании, изучить критерии, которые использует руководство для оценки эффективности бизнес-процессов. Важно обратить внимание на то, как существующая система мотивации владельцев процесса соотносится с поставленными целями. Если цели бизнес-процесса не определены или владельцы испытывают трудности с их формулировкой и/или показатели эффективности отсутствуют или неадекватны, аудитор должен предложить свои варианты целей и показателей для их измерения, основываясь на своих знаниях и опыте (включая использование сравнительного анализа), и согласовать их с руководителем.
Важным результатом качественного предварительного исследования является точное понимание аудитором реальной структуры анализируемого бизнес-процесса (порядок действий, ответственные лица, сроки исполнения) и объективная оценка уровня его регламентации. Все это поможет с последующим этапом – оценкой присущих рисков.
Оценка присущих рисков и формирование матрицы рисков и контролей позволяет отобрать значимые вопросы деятельности, которые будут рассматриваться в качестве приоритетных целей аудита. Команда аудита начинает с общего представления о проверяемой деятельности и постепенно углубляется в наиболее критические и значимые вопросы.
Оценка рисков в ходе предварительного обследования проводится аудитором экспертно по двум показателям – вероятность реализации и значимость последствий от реализации данных рисков. При этом для наглядности используется тепловая карта рисков:
● красный цвет – высокие риски, требующие немедленных действий для их снижения или передачи;
● желтый цвет – средние риски, требующие постоянного мониторинга;
● зеленый цвет – низкие риски, не требующие усиленного контроля.
В целях достижения общего мнения о фактической организации аудируемого процесса, его целях, присущих рисках и целях предстоящей аудиторской проверки руководителю аудиторской группы следует согласовать данные вопросы с владельцем процесса.
Далее команда может начать работу над формированием рабочей программы, информационного письма о начале аудита и по подготовке к стартовому собранию.
Цель составления рабочей программы – формализовать пункты, которые команда аудита хочет проконтролировать во время проверки, и тесты, которые необходимо провести.
В зависимости от целей и задач аудиторского задания, структура рабочей программы может отличаться, но для стандартизации работы и последующего облегчения контроля можно задать необходимый минимум, например:
Наполнение программы должны осуществлять все члены команды на основании информации из проведенных встреч, анализа процессов и оценки присущих рисков, чтобы на этапе полевых работ у всех было ясное понимание целей, рисков и что необходимо выполнить.
Необходимо отметить, что рабочая программа обязательно утверждается Руководителем СВА на 2-м брифе. Если по мере выполнения аудиторского задания необходимы будут корректировки, то обязательно повторное согласование с Руководителем СВА с объяснением причин необходимости данных корректировок.
Параллельно с рабочей программой готовится анонс/ информационное письмо о предстоящем аудите, в котором должны, как минимум, содержаться тема задания, цели и задачи, присущие риски, период проведения и команда аудита. Анонс рассылается всем ключевым сотрудникам по проверяемым процессам заблаговременно, чтобы предупредить о прибытии команды аудита и убедиться, что проверяемые лица будут на местах.
Если аудиторское задание предполагает командировку, то это самое время забронировать билеты, гостиницы и прочее, чтобы выбрать наиболее подходящие варианты.
При описании этапа планирования, немаловажно отметить стартовое собрание, которое служит некой отправной точкой аудиторской проверки. На данном собрании аудиторам, как минимум, необходимо рассказать о себе (своем подразделении), причинах выбора темы аудита, задачах, периметре и сроках проверки, а также собрать пожелания аудируемых. Стартовое собрание желательно планировать заблаговременно, чтобы найти пересечение свободных слотов в календарях участников и обеспечить максимальное их присутствие. Хорошей практикой будет проведение интерактивного собрания, например показ видеоролика о деятельности внутреннего аудита, а также избежание монотонности и однообразия на слайдах презентации.
Продолжительность этапа планирования при выполнении аудиторских заданий, конечно же, может корректироваться как в бОльшую так и в меньшую сторону, в зависимости от целей и задач, наличия ресурсов и прочих внутренних и внешних факторов.
Далее начинается так называемый этап «Работа в поле», когда аудитор для формирования адекватных выводов получает аудиторские доказательства путем запроса документов и выполнения соответствующих процедур (тестов).
На практике по завершению аудиторского задания команда аудита обсуждает положительные и отрицательные моменты выполнения аудиторского задания и часто первопричинами недостижения целей, срыва сроков и т.п. являются ошибки планирования. Чтобы избежать этого, необходимо начинать планировать немного раньше и, например, разработать и использовать чек-лист, чтобы не упустить детали. Он не только помогает повысить эффективность, но еще и структурирует аудиторский процесс и обеспечивает общность подхода разных аудиторов.
Планирование аудита — это стратегический шаг, который помогает завоевать доверие и наладить отношения с внутренними клиентами. Это также ключевой фактор для повышения результативности аудиторских проверок.
Авторы: Азиз Бакаев, старший аудитор "АШАН Ритейл Россия" Ирина Долгушева, директор по внутреннему аудиту "АШАН Ритейл Россия"