Пункт 7 – важный пункт, указанная информация помогает составить представление об особенностях осуществления одной из ключевых контрольных процедур в рассматриваемом процессе.
Пункт 8 – полезный пункт, наличие такого рода отчетов и, что самое главное, достойное содержание таких отчетов указывает на несколько обстоятельств. Во-первых, становится понятным, какая номенклатура ТМЦ наиболее уязвима. Во-вторых, очерчивается сфера деятельности службы безопасности. В-третьих, проясняется также то, что по каким-то причинам не попало в поле зрения службы безопасности. Отсутствие таких отчетов может означать либо отсутствие такой работы, либо недостаточность запроса и необходимость иного подхода к получению информации.
Пункт 9 – процедура управления МОЛ также является частью рассматриваемого процесса. Информацию по МОЛ необходимо рассматривать в контексте прочей информации по запросу. Например, если мест хранения (МХ) больше, чем численность МОЛ, и МХ разбросаны территориально, то можно предположить, что какие-то МХ обходятся без МОЛ. Так или иначе, информация по данному пункту помогает уточнить оценку рисков процесса.
Пункт 10 – на этапе планирования важна не столько точная информация об остатках, сколько понимание, оперирует ли предприятие такого рода категориями. Неснижаемые остатки являются важным элементом системы внутреннего контроля процесса.
Пункт 11 – как и в случае с инвентаризациями, наличие или отсутствие критериев защищенности влияет на обеспечение сохранности активов. Таким образом, в данном пункте речь идет об одном из ключевых элементов системы внутреннего контроля процесса.
Пункт 12 – по аналогии с п. 10. Первоначально более интересен факт наличия или отсутствия такого рода нормативов. Как и неснижаемые остатки, нормативы естественной убыли являются важным элементом системы внутреннего контроля процесса.
Пункт 13 – по аналогии с п. 10. Важен сам факт наличия или отсутствия.
Пункт 14 – по аналогии с п. 10. Кроме того, в дальнейшем пригодится при изучении операций получения и выдачи.
Пункт 15 – является продолжением п. 9. Кроме того, как и в п. 10, наличие такого реестра и списка является плюсом для предприятия – указывает на наличие регламентации процесса.
Пункт 16 – по содержанию данного реестра можно оценить наличие и существенность рисков, присущих процессу реализации активов предприятия на сторону.
Пункт 17 – является продолжением п. 9 и п. 15. Начиная с данного пункта появляется пометка о том, что его исполнение переносится на период осуществления работ по проекту. Однако предприятие должно быть готово оперативно представить обозначенную информацию.
Пункт 18 – аналогичен по срочности п. 17. Данная информация позволяет оценить напряженность взаимоотношений между МОЛ и руководством предприятия и может указывать на ряд дополнительных рисков (например, предъявление претензий сотрудникам при отсутствии оснований, попытки повесить на сотрудников недостачи, образовавшиеся не их вине).
Как видно из рассмотренного примера, информацию по запросу можно разделить на три крупных блока:
Блок 1 – информация, необходимая для выявления и оценки факторов риска и рисков процесса;
Блок 2 – информация, необходимая для первоначального ознакомления с деятельностью предприятия;
Блок 3 – информация, необходимая для общей оценки состояния системы контроля процесса.
Правильным является такой запрос, который позволяет получить информацию, необходимую для проведения вышеуказанных мероприятий. В завершение еще раз обращу внимание на необходимость особо тщательного формирования первоначального запроса. Мало пользы от запроса, исполнение которого руководство объекта аудита просто игнорирует. Кроме того, это создает прецедент, чреватый негативными последствиями для команды внутренних аудиторов на проекте (например, игнорирование или затягивание исполнения дальнейших запросов).
Формирование матриц рисков и контрольных процедур
Ключевой целью формирования матрицы является соотнесение рисков, влияющих на деятельность объекта аудита, с системой внутреннего контроля бизнес-процессов этого объекта. В результате выявляются провалы в системе внутреннего контроля объекта аудита. Они возникают тогда, когда система внутреннего контроля упускает из виду конкретные риски. В таком случае возможны три ситуации:
1. В системе внутреннего контроля отсутствуют контрольные процедуры, направленные на оптимальное нивелирование параметров конкретного риска, например, выбор поставщика без проведения тендера приводит во многих ситуациях к выбору неоптимального поставщика.
2. Контроль воздействует на риск, однако оптимального нивелирования не достигается, например, процедура тендера вроде есть, но пул участников формируется дирекцией по закупкам, при этом база поставщиков не ведется. В этом случае также довольно часто выбирается неоптимальный поставщик.
3. Контроль способен оптимально нивелировать параметры риска, однако в силу различных причин этого не происходит, например, процедура тендера идеальна по своей структуре и содержанию. Однако для ее ускорения могут форсироваться те или иные этапы (например, сокращаться сроки приема коммерческих предложений без извещения всех потенциальных поставщиков), что в конечном итоге приводит к выбору неоптимального поставщика.
На этапе планирования матрица составляется для того, чтобы получить общую картину по управлению ключевыми рисками процесса. Кроме того, наличие матрицы позволяет оптимально распределять ресурсы и выстраивать правильную последовательность приоритетов.
В базовом варианте матрицы имеется четыре раздела – «Процесс», «Риск», «Цель контроля» и «Контроль». Информация из одного раздела увязывается с информацией из других трех разделов. По этой причине наиболее распространенным форматом матрицы рисков и контрольных процедур является таблица. Рассмотрим кратко содержание каждого раздела.
1. Раздел «Процесс». Здесь указывается процесс, который в остальных трех разделах анализируется на предмет рисков и контрольных процедур. В зависимости от детализации матрицы вместо процесса может указываться подпроцесс или даже этап подпроцесса.
2. Раздел «Риск». Здесь указывается риск, который негативно влияет на достижение целей рассматриваемого процесса. По каждому из процессов (подпроцессов, этапов подпроцесса), включенных в матрицу, может быть более одного риска. Максимальное количество рисков не ограничено. Однако при формировании перечня рисков не стоит увлекаться количеством ради количества. Необходимо придерживаться практического подхода и указывать только те риски, которые действительно могут встретиться в реальности, исходя из данных предварительного анализа процесса.
3. Раздел «Цель контроля». Существуют различные подходы к заполнению данного раздела. Во-первых, можно привести расширенную формулировку цели контроля (см. пример в табл. 10). С одной стороны, она может способствовать более точному пониманию того, каким должен быть контроль. Например, в нашем случае указывается конкретное действие, которое должно произойти в результате выполнения контрольной процедуры, – прерывание процесса «Формирование потребности в материалах для закупки». С другой стороны, существенным минусом расширенной формулировки является утрата унификации и универсальности. При использовании расширенной формулировки необходимо иметь детальное представление о структуре и содержании процесса, например, в одном случае целью контроля может быть прерывание процесса, а в другом – уведомление о возникшей ситуации для принятия точечного решения. Так или иначе, в большинстве случаев на этапе планирования не предполагается, что команда внутренних аудиторов обладает таким детальным представлением. Кроме того, как бы странно это ни звучало, но нередко выбор расширенной формулировки – это дело вкуса, а вкус – понятие субъективное, например, разные люди могут по-разному понимать слово «прервать» (например, запретить или потребовать дополнительного согласования). Также разные люди склонны использовать разную лексику для обозначения одних и тех же явлений и действий. Все эти факторы могут вносить дополнительный сумбур в понимание информации, изложенной в матрице рисков и контрольных процедур. В то же время в качестве целей контроля можно использовать определенную терминологию. Один из ее вариантов представлен в главе 3. В ней описываются семь ключевых целей контроля. Если использовать предлагаемую терминологию, то цель контроля будет иметь иную формулировку (см. табл. 11). Она обозначается не каким-либо действием, а некой качественной характеристикой, которую контрольная процедура должна достичь. Таким образом, обеспечивается унификация и отсутствие привязки к конкретному содержанию контрольной процедуры, которое неизвестно на этапе планирования проекта. Кроме того, использование унифицированных целей контроля позволяет быстрее и правильнее оценить, насколько конкретная контрольная процедура достигает цели.