Глава 6.
Общая структура и основные этапы проекта внутреннего аудита
ПВА может участвовать в различных проектах. Сама деятельность ПВА является, по сути, проектной. Все многообразие данных проектов можно свести к пяти основным категориям, а именно:
1) аудит системы внутреннего контроля бизнес-процессов (включая аудит эффективности построения бизнес-процессов);
2) консалтинговые проекты;
3) выявление и расследование фактов мошенничества и иного несанкционированного распоряжения имуществом компании;
4) аудит финансовой отчетности;
5) аудит соблюдения требований законодательства и внутренних регламентирующих документов.
Правильный аудит в основном занимается проектами, относящимися к первым трем категориям с большим уклоном в сторону первых двух. К консалтинговым обычно относятся проекты, в которых достижение цели не связано с необходимостью осуществления полного спектра аудиторских процедур. К ним относятся, например, проекты по:
• созданию регламентов, форм отчетности, процедур, процессов;
• осуществлению процедуры дью дилидженс
[9];
• оптимизации бизнес-процессов;
• реорганизации юридических лиц, включая продажу, слияния и поглощения;
• оценке стоимости имущества компании.
С точки зрения аудиторских процедур наиболее насыщенными являются проекты по аудиту системы внутреннего контроля бизнес-процессов (включая аудит эффективности построения бизнес-процессов). Остальные категории проектов выполняются с применением лишь отдельных аудиторских процедур. Например, при аудите финансовой отчетности не составляются описания процессов, не проводится сквозное тестирование, не формируются матрицы рисков, ограниченно используются аналитические процедуры и детальное тестирование. По этой причине мы рассмотрим структуру и содержание основных этапов аудиторского процесса при выполнении проектов первой категории. Также хотелось бы обратить внимание на формулировку проектов первой категории. Большинство аудиторов являются специалистами в первую очередь в области внутреннего контроля. Способность команды внутренних аудиторов оценивать эффективность построения бизнес-процессов во многом зависит от ее опыта и ряда других навыков и знаний. Однако система внутреннего контроля бизнес-процесса и структура и содержание данного бизнес-процесса очень тесно взаимосвязаны. Поэтому для повышения ценности своей работы каждый внутренний аудитор должен стремиться стать экспертом не только по системе внутреннего контроля процессов, но и по нюансам организации и построения ключевых бизнес-процессов.
Общая структура и основные этапы процесса управления проектами внутреннего аудита представлены на рис. 5. Данная структура и основные этапы процесса наиболее типичны для холдинговых компаний с централизованной функцией внутреннего аудита. Разумеется, в разных компаниях этот процесс может иметь вариации. Тем не менее в большинстве компаний, в которых есть ПВА, процесс управления проектами внутреннего аудита в целом имеет указанную структуру и содержание.
Основными участниками процесса являются:
• подразделение внутреннего аудита – напрямую заинтересовано в результатах процесса, поэтому в большинстве случаев должно выступать основным исполнителем, координатором и организатором;
• аудиторский комитет/генеральный директор – во многих случаях ПВА подчиняется либо аудиторскому комитету, либо генеральному директору, которые осуществляют общее руководство (что в том числе подразумевает необходимость согласования с ними, так скажем, крупных моментов);
• руководство ключевых бизнес-процессов – в большинстве случаев это топ-менеджмент, возглавляющий определенную функцию в компании и подчиняющийся единому исполнительному органу компании (например, генеральному директору). Типичным примером являются руководители ключевых подразделений (например, заместитель генерального директора по производству или заместитель генерального директора по экономике и финансам) управляющей компании холдинга. Потенциально такие руководители обладают максимумом информации по направлениям своей деятельности в целом по холдингу (функциональные руководители отдельных предприятий, входящих в холдинг, в большинстве случаев имеют отрывочное представление о факторах риска в деятельности других предприятий холдинга);
• руководство объектов аудита – в классическом варианте это топ-менеджмент отдельного предприятия (входящего в состав группы). Намного реже в качестве руководства объекта аудита выступает руководство одного из ключевых процессов независимо от того, в каком юридическом лице данный процесс начинается и/или заканчивается. Последний вариант формирования объекта аудита встречается значительно реже первого варианта по той причине, что возможности ПВА по проведению аудита разных юридических лиц несопоставимы. Например, во многих холдинговых структурах управляющая компания в той или иной степени неприкасаема для аудита. Практически всегда это неправильно, т. к. многие проблемы контроля и криво организованных бизнес-процессов растут именно из головной компании;
• дирекция по управлению рисками – наименование говорит само за себя. Однако основная задача такого рода подразделений заключается в построении процесса управления рисками. Результаты данной работы в чистом виде не всегда пригодны для формирования карты рисков. По этой причине в большинстве случаев дирекция по управлению рисками является просто одним из участников процесса выявления и оценки рисков.
Рис. 5. Общая структура и основные этапы процесса управления проектами внутреннего аудита
Рассмотрим бегло содержание этапов процесса.
Идентификация и оценка рисков. Содержание данного процесса описано в главе «Формирование риск-ориентированного подхода к проведению проектов внутреннего аудита». Идентификация и оценка рисков может осуществляться как в рамках упрощенного, так и продвинутого метода риск-ориентированного аудита. Участие руководства ключевых бизнес-процессов в этом процессе обязательно. Руководство объектов аудита может принимать участие в процессе в зависимости от ситуации – основными препятствиями являются ограниченность ресурсов ПВА и жесткие временные рамки, а также целесообразность привлечения руководства потенциальных объектов аудита к процессу формирования карты рисков (учитывая, например, его стремление скрывать проблемы).