Олег Крышкин - Настольная книга по внутреннему аудиту. Риски и бизнес-процессы
Несмотря на указанные недостатки, децентрализованная функция внутреннего аудита имеет одно существенное преимущество – потенциал увеличения объема и качества работ, а также потенциал увеличения процента выполнения и эффективности выполнения мероприятий, разрабатываемых по результатам проектов внутреннего аудита. Это связано с тем, что, находясь непосредственно на предприятии, сотрудники локального ПВА имеют возможность более глубоко вникнуть в специфику его работы. Также постоянное присутствие аудиторов создает определенное давление на сотрудников управляемой компании, что, при правильном приложении силы, может благотворно сказаться на выполнении планов мероприятий. Для управляемых компаний с низкой исполнительской дисциплиной наличие аудитора за спиной играет решающую роль в исполнении плана мероприятий. Кроме того, сотрудники локальных ПВА всегда могут оказать помощь на месте и непосредственно в момент возникновения проблем.
Подход к аудиту
Под термином «подход» к аудиту понимается проведение проектов внутреннего аудита по определенной тематике и с использованием определенной методологии. Разумеется, базовая методология внутреннего аудита довольно универсальна – необходимо составлять рабочие документы, необходимо формировать доказательную базу, необходимо использовать выборочное тестирование и т. д. Однако тематика проекта предполагает использование методологических приемов, специфичных только для конкретных задач того или иного проекта. В целом можно выделить пять ключевых подходов к аудиту, а именно:
• операционный;
• бухгалтерский;
• комплаенс;
• ревизионный;
• риск-ориентированный.
Операционный подход к аудиту. В первую очередь при использовании данного подхода анализируется структура и содержание бизнес-процессов, а также их систем контроля. Основная задача заключается в выявлении факторов, препятствующих достижению целей бизнес-процессов. В большинстве случаев перед анализом бизнес-процесса и его системы внутреннего контроля необходимо задокументировать данный процесс, т. е. составить графическое и словесное описание. Также широко применяется тестирование адекватности и эффективности внутренних контрольных процедур бизнес-процессов, имеющее специфичную методологию. Операционный подход к аудиту позволяет получить максимум информации о нюансах работы любого предприятия. Это имеет колоссальное значение для понимания деятельности предприятия и формирования подхода к эффективному управлению. К сожалению, большинство российских управленцев не обладают достаточной информацией и не представляют деятельность предприятия как систему взаимодействующих бизнес-процессов.
Бухгалтерский подход к аудиту. Типичным примером данного подхода является деятельность внешних аудиторов. Как известно, их основной задачей является аудит финансовой отчетности для подтверждения ее достоверности. Внешние аудиторы не документируют бизнес-процессы, не оценивают адекватность и эффективность внутренних контрольных процедур. Поле их деятельности весьма ограниченно. Многие внутренние аудиторы были в прошлом внешними аудиторами, однако нередко данное обстоятельство является скорее недостатком, а не достоинством. Многие внутренние аудиторы после ухода из сферы внешнего аудита продолжают использовать тот же подход в работе. Это приводит к тому, что ряд ПВА во многом дублируют работу внешних аудиторов, занимаясь аудитом достоверности финансовой отчетности и оценкой правильности расчета налоговых отчислений. На мой взгляд, эти задачи по силам самой дирекции по экономике и финансам. Все, что нужно, – это создать методологический отдел по бухгалтерскому и налоговому учету, а также проводить регулярное обучение сотрудников по данной тематике. Услугами внешних аудиторов необходимо пользоваться для оценки, в том числе, эффективности деятельности методологического отдела и эффективности программ обучения.
Комплаенс-подход к аудиту. Суть данного подхода заключается в оценке полноты и правильности соблюдения разного рода внешних и внутренних правил. Внешние правила определяются законами, постановлениями, приказами, предписаниями и прочими в основном письменными директивами государственных и негосударственных регулирующих органов. Внутренние – корпоративными и локальными регламентами и стандартами, внутренней организационно-распорядительной документацией (приказы, распоряжения и прочее). Условно комплаенс-подход можно разделить на поверхностный и углубленный. При поверхностном подходе фиксируется только факт нарушения без оценки его последствий. Рекомендации по исправлению нарушения довольно прямолинейны, так как в основном рекомендуется соблюдать нарушенные правила. При углубленном подходе могут оцениваться последствия нарушения, а также предлагаться варианты исправления ситуации, включающие внесение изменений в сами правила (например, в случае их устаревания). Однако использование углубленного подхода требует довольно высокой квалификации команды внутренних аудиторов, наличия интегрированных знаний. По этой причине чаще встречается поверхностный подход, что в большинстве случаев создает минимальную добавленную стоимость для компании. Исключением являются две ситуации, когда нарушение грозит очевидными серьезными последствиями, например отсутствие лицензии, влекущее приостановку деятельности (внешние правила), и когда регламенты и стандарты компании оптимальны (внутренние правила). Однако в отношении первой ситуации все равно необходима оценка последствий, а это под силу не каждому комплаенс-аудитору и не в каждом случае. Что касается второй ситуации, то есть один нюанс. Большинство регламентов подобны автомобилям – как новый автомобиль теряет определенную стоимость сразу после схода с конвейера (и теряет ее на протяжении всей своей жизни), так и новый регламент теряет часть своей актуальности сразу после выпуска (и продолжает терять ее в дальнейшем). Этот процесс ускоряется, если компания находится в стадии активных перемен и/или развития. Таким образом, возвращаясь к оценке полезности поверхностного подхода, можно сделать следующий вывод: полезность является во многом случайной величиной, поэтому здесь нужно брать количеством проанализированного материала. Многое зависит от позитивного внимания менеджмента к работе команды внутренних аудиторов (необходимость в дополнительной оценке полезности, просеивании информации). Если менеджмент будет штудировать результаты работы команды внутренних аудиторов, то он найдет полезное для себя. В этой ситуации для команды внутренних аудиторов на первое место выходит способность обеспечить достаточно большой охват анализируемого материала и доступность результатов своей работы для восприятия и понимания.
Ревизионный подход к аудиту. При данном подходе в чистом виде основная работа ПВА состоит в оценке системы обеспечения сохранности имущества компании. При использовании данного подхода ПВА направляет много ресурсов, попросту говоря, на работу с риском мошенничества. В силу ограниченности перечня анализируемых вопросов ревизионная деятельность нередко приводит к типовым однотипным проверкам. Особенно ярко данная тенденция прослеживается, например, в розничной торговле. В некоторых случаях ревизионная деятельность может требовать специальных знаний (техпроцессы, технология и т. д.), однако даже такая серьезная подготовка направлена на выявление только случаев злоупотребления и халатности. Обычно ревизоры не рассматривают проблему в комплексе. От этого их рекомендации или даже требования по исправлению негативной ситуации зачастую имеют карательный характер – наказать, оштрафовать, объявить выговор и т. п. В отличие от правильного внутреннего аудитора, который при обнаружении проблемы старается создать систему предотвращения ее повтора, ревизор при обнаружении проблемы старается вызвать перманентное ощущение неотвратимости наказания. Однако нельзя сказать, что тактика ревизионной деятельности в корне неправильна. Просто основной слабостью данного подхода является отсутствие системного анализа и признания того, что причинно-следственные связи могут оказаться сложнее, чем кажется.
Риск-ориентированный подход к аудиту. Ключевым ограничением предыдущих четырех подходов является их тематическая и методологическая предопределенность. С одной стороны, это хорошо, так как узкоспециализированный подход позволяет повысить качество и увеличить объем выполняемой работы на единицу используемых ресурсов. С другой стороны, все эти подходы страдают ограничениями и не позволяют выполнять более приоритетные задачи, если они не попадают в поле экспертизы. Простой пример – с точки зрения бухгалтерского и даже налогового учета приобретение имущества по завышенной цене (при условии правильного и полного составления всех первичных документов и правильного и полного отражения операций в учете) не идентифицируется как проблема. При использовании риск-ориентированного подхода данная проблема с высокой вероятностью попадет в поле зрения команды внутренних аудиторов, так как, во-первых, изначально риск возникновения подобных ситуаций довольно высок, во-вторых, в большинстве случаев такие ситуации являются следствием пробелов в системе внутреннего контроля. Таким образом, риск-ориентированный подход позволяет избавиться от большинства ограничений других подходов и нацелен на выявление наиболее приоритетной тематики работы ПВА. При его использовании вся деятельность предприятия рассматривается с точки зрения рисков и возможностей. Как только риск обретает определенные параметры (в результате сочетания риск-образующих факторов), ключевым из которых является способность препятствовать достижению целей предприятия, он включается в тематику работы ПВА. К сожалению, риск-ориентированный подход не лишен собственных ограничений. Наиболее серьезным из них являются повышенные требования к составу и квалификации сотрудников ПВА, так как наиболее существенные риски могут быть связаны с разными аспектами деятельности предприятия и касаться разных бизнес-процессов. Хорошая новость заключается в том, что правильное использование методологии анализа и оценки бизнес-процессов и систем внутреннего контроля способно существенно нивелировать ключевое ограничение риск-ориентированного подхода. Более подробно нюансы риск-ориентированного подхода к аудиту представлены в следующей главе.