Заказчик или руководство компании может проводить аудит выполнения проекта с позиций

Аудит критического проекта

Аудит проекта — что это?

Что такое аудит проекта и его процессов управления?

Проведение аудита часто происходит тогда, когда у Заказчика нет четкого представления о положении дел в критически важном проекте. Например, ИТ-внедрение сложной системы биллинга было рассчитано на 2 года. Однако, по завершению 14 месяцев, команда проекта затрудняется ответить, сколько еще времени нужно для завершения работ. Сколько времени еще нужно для завершения проекта — непонятно.

Другой пример. Компанию, которая разрабатывает сложные технологические устройства, хочет приобрести инвестор. В компании уже выполняется контракт, «завалить» который означает поставить под сомнение всю репутацию её менеджмента. В таком случае запрашивается независимая экспертиза (аудит) проекта и его процессов.

Аудит проекта — это независимая оценка состояния проекта всех параметров проекта. Аудит проводится на соответствие авторитетному стандарту управления проектами. Иногда проводится сравнение с несколькими стандартами, чтобы показать все тонкости сложившегося процесса.

Аудит процессов управления — это проверка, как команда проекта (Руководитель, Заказчик, участники) выполняют свою роль в проекте. Аудит должен выявить, насколько эффективно организованы все процессы управления (инициация, планирование, контроль, мониторинг). Если появляются несоответствия, то аудитор дает рекомендации.

В целом аудит проекта проводят в следующих случаях:

1. Проект критически важен для организации и нужно повысить вероятность его успешного завершения.
2. Происходит передача проекта от одной команды другой и требуется знать фактическое состояние проекта.
3. Проведение регулярного аудита является требованием Спонсора проекта и одним из условий финансирования.

Пример листа аудита в соответствии с требованиями стандарта PMBoK.

Аудит команды проекта

Часто у клиентов возникает необходимость оценить компетенции сотрудников, которые активно вовлечены в реализацию проектов. Это как правило руководители проектов, перспективные менеджеры, начальники отделов и управлений.

Аудит команды — независимая оценка управленческих компетенций каждого сотрудника. В результате по каждому сотруднику формируется карта компетенций с рекомендациями по личностному развитию.

Сложность в проведении такого вида аудита — необходимость деликатно и объективно оценить лучшие стороны каждого человека, сформировать ему индивидуальные программы обучения.

Лист аудитора (пример).

Какие стандарты мы используем?

• PMBoK
• Prince2
• Scrum
• ГОСТы
• методологию самого заказчика.

Диаграмма оценки процессов в соответствии со стандартом PMBoK

Аудитор почти никогда не высказывает свое субъективное мнение. Только если об этом его попросит сам заказчик.

Как проводится аудит?

В целом процесс аудита можно разделить на 3 этапа:

1. Подготовка к аудиту
2. Проведение аудита
3. Выработка рекомендаций

Пример методики проведения аудита процессов компании

Процесс подготовки достаточно стандартный. Проводятся встречи с заказчиком, выясняются причины и цели проведения экспертизы, документируются ожидания. Важной частью в подготовке является знакомство с персоналом и установление доброжелательных взаимоотношений. Результат подготовки — это согласованный план аудита, который включает в себя:

• список опрашиваемых лиц;
• список запрашиваемых документов;
• даты проведения встреч;
• и пр.

Проведение аудита проводится по согласованному плану аудита. На практике аудит проводится за 2-3 недели. Каждое интервью документируется. Документы, переданные аудитору, также изучаются и обсуждаются. Если аудиторов двое и больше, то время на оценку можно сократить. В ходе аудита мы задаем множество вопросов, цель которых — понять, как именно сотрудник выполняет свои функции, насколько эффективен этот процесс. Наиболее важные шаги проверяются и перепроверяются, чтобы быть полностью уверенным в своих выводах.

Выработка рекомендаций — заключительный этап в нашей работе. Все результаты проведенных интервью сводятся в единый документ, каждому сотруднику делается персональная оценка. Для всех найденных недостатков формируются предложения по улучшению ситуации. Сотрудникам предлагается индивидуальный план обучения и развития.

В результате аудита Заказчик получает:

1. Независимое заключение о ходе проекта (содержание, сроки, стоимость)
2. Оценку процессов управления проектами и план мероприятий по устранению несоответствий
3. Анализ рисков проекта

По запросу Заказчика заключение может содержать:

1. Персональную оценку руководителю и команде проекта
2. Оценку удовлетворенности Заказчика ходом проекта

Преимущества аудита

Аудит позволяет:

1. Знать реальное положение дел в проекте.
2. Получить возможность предвидеть проблемы до их появления.
3. Получить независимое экспертное мнение о состоянии проекта.
4. Оценить реальный бюджет проекта.
5. Вскрыть сильные и слабые стороны в управлении проекта.
6. Получить эталон процессов управления проектом.

Рекомендации Заказчику

• решите, какую задачу вы ставите перед аудиторами. Мы можем провести аудит процессов управления всеми проектами, конкретного проекта, аудит работы сотрудника или группы лиц. Только вы должны понять, что именно должны изучить эксперты.
• получите поддержку коллектива на проведение аудита. Это очень важный психологический нюанс. Чтобы результаты аудита были достоверными и неискаженными, все сотрудники без исключения должны помогать, а не мешать работе экспертов. Мы в своей практике раскручивали очень путанные процессы. Но если сотрудники нам не помогают, то шансы на успех уменьшаются, а сложность проекта растёт.
• выберите удобный момент для проведения аудита. На самом деле ограничений не так много. Но не хотелось бы проводить аудит в самый напряженный период работы, когда у сотрудников очень мало времени для общения с нами.

Нужна консультация?

Любой бизнес — это множество процессов. Хорошо, когда они прозрачны, и все участники работают, следуя согласованной схеме, а руководитель уверен, что все стандарты соблюдаются. На практике «‎сверху» чаще всего не видно, как на самом деле идут дела и на чем «спотыкаются» сотрудники, ведь со временем любой бизнес-процесс видоизменяется и начинает жить своей жизнью.

Согласно исследованию Сидни Йошида «Айсберг игнорирования», высшее руководство видит только верхушку — 4% проблем, менеджерам среднего звена известно о 9%, рядовые сотрудники видят почти весь айсберг — 74% проблем. Генеральный директор компании «ЛАНИТ — Би Пи Эм» Игорь Потоцкий рассказывает, как проанализировать бизнес-процессы компании и понять, что нужно оптимизировать.

Как проводится аудит

Аудит позволяет беспристрастно увидеть все взаимосвязи внутри компании и понять, где ошибается бизнес, и на чем теряет клиентов и деньги. Качественно проведенный аудит показывает, как выглядят процессы «на земле».

Аудит — это всегда независимая внешняя оценка, от компании-заказчика потребуется только команда экспертов, которая понимает, как работает бизнес и знает всю внутреннюю «кухню». Анализ процессов можно провести вручную. 

Что необходимо?

• опросить сотрудников;
• проверить документы;
• проследить путь каждого процесса;
• выявить узкие места. 

Нужно помнить, что метод опроса часто не отражает всю суть и слишком часто люди на местах боятся жаловаться на сложности, понимая, что получат от руководства только еще больше проблем и обвинений в плохой работе. Ручной анализ не поможет собрать данные и найти закономерности в разрезе разных подразделений компании и тем более многочисленных филиалов.

Например, федеральный телеком-оператор с огромным числом клиентов должен видеть срез по всем процессам во всех регионах. По каким вопросам идут обращения в службу поддержки? На каких этапах уходят клиенты? Как быстро на запросы клиентов отвечает колл-центр? Оценить это вручную нереально.

Технологии беспристрастны, и чтобы провести аудит гораздо более продвинутого уровня, сделать его можно с использованием специального ПО. 

Что для этого нужно

Для решения масштабных задач используют технологию process mining, которая позволяет строить граф процесса на основе цифровых следов и проводить его глубинный анализ. Например, когда клиент звонит провайдеру, информация об этом звонке фиксируется с точностью до секунды, а CRM-система получает данные о всех активностях этого клиента.

Когда клиент закрывает договор, можно восстановить и отрисовать весь его путь в компании: когда и с чем он обращался, и какие действия предшествовали закрытию договора. Что, если в определенный момент времени ушли сразу 100 клиентов? Process mining позволяет увидеть статистику сразу по всем и выявить закономерности.

Мы работали с компанией, которая предоставляла логистические услуги по всей стране — это сотни сотрудников, десятки подрядчиков и тонны документации. На определенном этапе стало понятно, что у бизнеса часто банально не сходится дебет с кредитом — пока на одном конце страны платили за доставку груза морем, в другом не хватало денег на его хранение или дальнейшую транспортировку.

Проведя аудит, мы поняли, что на проблему бухгалтерских нестыковок нужно смотреть шире, и сам процесс взаимодействия с клиентом начинается некорректно. 

Это значит, что на практике клиентский менеджер часто, не заключив договор и не определив стоимость услуги, уже начинал перевозку груза.

Соответственно, далее сумма и условия могли измениться — например, груз оставался в порту на два дополнительных дня, но счет на эту услугу клиенту вовремя не выставлялся. Дальше начинались споры, согласования, и в конечном итоге компания теряла деньги. 

Чтобы еще больше «заземлить» руководителя и показать, как устроены процессы в реальности, в дополнение к ПО отлично использовать японскую практику «гемба». 

Секрет японской практики

В привычном понимании, при использовании этого метода руководитель приходит на место подчиненного и делает его работу. Во время аудита консультант делает то же самое — приходит на место сотрудника и пытается разобраться, что тормозит его производительность, где пресловутые узкие места, которые снижают эффективность.

Так, в одном из банков мы увидели, что персоналу в отделениях нужно сканировать документы и отправлять их на рассмотрение. При этом документы часто сшиты и их нельзя разделить, складывать бумаги неудобно, человек стоит и часами мучается, чтобы собрать пакет сканов, а потом ждет, пока эти нечеткие кривые версии документов рассмотрят при оформлении кредита. 

Проблема опять же в том, что редкий сотрудник придет к руководству и скажет: мне так неудобно, нужно что-то менять, давайте оптимизируем процесс, а высший менеджмент абсолютно не в курсе ситуации и видит только, что заявки клиентов обрабатываются с черепашьей скоростью. 

«Гемба», правда, может ухватить только одну ниточку — за каждого не поработаешь и сотню проблем на местах не проанализируешь, но это хорошо помогает продемонстрировать бизнесу реальное положение дел. Поэтому лучше всего работает комбинация: «гемба» на ключевых позициях, а полноценный анализ в масштабе лучше делать уже с применением process mining.

Объективно, инструментов классического аудита давно недостаточно. Опрос сотрудников и анализ документов все чаще не способен ухватить все нити «сломавшегося» процесса.

Прошли времена, когда можно было год проводить анализ бизнеса, еще год писать рекомендации и потом пару лет внедрять согласованные ИТ-решения. Замечая ошибки, аудит должен сразу предлагать возможные решения, в том числе технологические.

Советы перед аудитом бизнес-процессов

• Определитесь с целями. Если нужно прежде всего найти узкие места и оптимизировать существующие процессы, достаточно будет верхнеуровневого анализа. Если же предстоит проект по автоматизации, нужна будет глубокая проработка, включающая детальную прорисовку процессов и планирование ИТ-
  инфраструктуры.
• Проясните для себя, какие процессы пора перевести в цифру, с чего стоит начать аудит в первую очередь — автоматизация уже стала «гигиеной» бизнеса. Чем позже вы решитесь на автоматизацию, тем больше шансов у ваших конкурентов. 
• Выделите ресурсы внутри компании — аудит требует времени и вовлеченности команды. Человек, который знает бизнес изнутри, станет драйвером изменений.
• Будьте готовы к тому, что аудит — это первый этап цифровых изменений, и после анализа перестроить придется не только бизнес-процессы, но и привычное мышление.
• Everybody lies. Доверьтесь ПО, которое может показать, как работает бизнес на самом деле. Ваши сотрудники не самый надежный источник информации.

Фото на обложке: Alones/shutterstock.com

Проекты по аудиту

В форме Проекты по аудиту приводится список созданных проектов по аудиту.

Состав хранимых данных по проекту на аудит

По проекту на аудит хранятся следующие данные:

• разделы аудита
• аудиторские процедуры
• рабочие документы аудитора
• выявленные нарушения
• загруженные данные бухгалтерского учета (проводки, сальдо)
• виды операций
• выявленные риски
• средства контроля
• задачи по аудиторской проверке

В базе данных на уровне контрагента хранятся следующие данные:

• отчетность
• постоянный файл

При открытии любого проекта по контрагенту будет доступна вся внесенная по нему отчетность и данные постоянного файла.

Открытие проекта по аудиту

Проект по аудиту может быть открыт несколькими способами:

Вариант 1. Открытие проекта из списка проектов по аудиту (форма Проекты по аудиту)

Вариант 2. Открытие проекта из формы Карточка контрагента

Создание проекта по финансовому аудиту

По аудируемому лицу может быть создано любое количество проектов.

Проект по аудиту может быть создан несколькими способами:

Вариант 1. Создание проекта из списка проектов по аудиту (форма Проекты по аудиту)

Вариант 2. Создание проекта из формы Карточка контрагента

Внесение информации о договоре на аудит

На вкладке Общая информация формы проекта по аудиту нажмите на пиктограмму Изменить. В открывшейся форме выберите ранее внесенный договор с данным контрагентом в модуле Документы.

При отсутствии лицензии на модуль Документы информация о номере и дате договора может быть внесена в поле Наименование по проекту.

Внесение информации о периоде проверки

В форме проекта по аудиту перейдите на вкладку Планирование. Установите курсор мыши на пиктограмме в необходимом поле и нажмите на кнопку Изменить. В открывшейся форме заполните необходимые поля:

Проверяемый период (начало / окончание)	Приводится дата начала аудируемого периода и дата окончания. Обратите внимание Дата окончания периода используется для определения отчетного периода при расчете формул в модуле Отчетность
Период выполнения задания (начало / окончание)	Дата начала проверки (первые процедуры по планированию аудиту) и дата ее окончания

Заполните поля Проверяемый период и Период Выполнения задания.

Значения поля Проверяемый период (начало / окончание) приводятся в форме Проекты по аудиту (столбец Начало и Окончание).

Ключевые даты по проекту

В форме проекта по аудиту перейдите на вкладку Ключевые даты. Установите курсор мыши на пиктограмме в необходимом поле и нажмите на кнопку Изменить.

Значения полей на вкладке Ключевые даты могут использоваться для настройки рабочих документов на автоматическое заполнение необходимой датой в качестве соответствующего объекта документа.

Значение поля Передача проекта в архив (факт) используется при заполнении поля Архив в форме Проекты по аудиту.

Внесение информации по рискам в целом по отчетности

• Оцените аудиторские риски в рабочем документе Оценка рисков на уровне отчетности.

• На основании оцененных рисков заполните соответствующие поля в группе полей Риски карточки проекта.

  

  Карточка проекта. Риски по проекту

  В группе полей Риски нажмите на пиктограмму Изменить. В открывшейся форме Риски внесите рассчитанное в рабочем документе значение неотъемлемого риска и риска средств контроля в процентах. Значение риска существенного искажения (РСИ) будет рассчитано автоматически. РСИ рассчитывается, если поле не заполнено.

Внесение информации по существенности

После расчета существенности внесите показатели существенности на вкладке Риски и существенность проекта аудиту одним из способов:

• Вставка из форм отчетности.

  • В необходимом поле группы полей Существенность нажмите на пиктограмму Вставить из отчетности.
  • В открывшейся форме выберите форму по расчету существенности за необходимый период и нажмите на кнопку ОК.
  • В открывшейся форме (например, Существенность 2020) двойным кликом нажмите на необходимой ячейке. Выбранное значение будет вставлено в соответствующее поле. Значение существенности будет вставлено в национальных денежных единицах (например, руб.).
• Ручное заполнение. В группе полей Существенность нажмите на пиктограмму Изменить. В открывшейся форме Существенность внесите необходимые значения существенности в национальных денежных единицах (например, руб.).

Внесение дополнительной информации по проекту

На вкладке Дополнительно предусмотрено внесение дополнительной, в том числе заранее не систематизированной информации. Также по проекту может вноситься информация об обязательном или инициативном аудите, основе представления отчетности: предыдущий аудитор, РСБУ, МСФО и т.д. на основании созданных пользовательских справочников.

Чтобы добавить дополнительную информацию по проекту, в панели инструментов на вкладке Дополнительно нажмите на кнопку Добавить и выберите пункт:

• Из справочника. Откроется форма Пользовательский справочник. В поле Справочник открывшейся формы выберите необходимый справочник, а в поле Значение выберите необходимое значение. Затем нажмите на кнопку ОК.

  После заполнения формы нажмите на кнопку ОК. В таблицу на вкладку Дополнительно будет добавлена внесенная информация.

• Значение. Откроется форма Текстовое значение. В поле Наименование открывшейся формы выберите необходимое наименование вводимого значения, а в поле Содержание выберите необходимое значение.

  После заполнения формы нажмите на кнопку ОК. В таблицу на вкладку Дополнительно будет добавлена внесенная информация.

• Из файла. Выберите текстовый файл (расширение *.txt), содержащий необходимые пользовательские справочники и их значения.

  При необходимости внести не только сами справочники, но и их значений, в текстовом файле после содержания пользовательского справочника установите знак «=» (равно) и внесите необходимое значение. Каждый пользовательский справочник приводится с новой строки.

Внесенные значения могут использоваться для вставки объектов (переменных) в самостоятельно разработанные шаблоны рабочих документов и показываться в списке полей проектов по аудиту.

Удаление проекта по аудиту

• 

  Кнопка Проекты в карточке контрагента

• В форме Проекты выберите необходимый проект и нажмите на кнопку Удалить. Подтвердите удаление проекта. Данные по проекту будут удалены.

  

  Проекты по контрагенту

Поиск по проектам на аудит

Панель поиска в форме Проекты по аудиту позволяет найти необходимые проекты.

Контрагент. Наименование	Наименование контрагента, включая сокращенное и полное наименование
ИНН	ИНН контрагента
ОГРН	ОГРН контрагента
Проект. Наименование	Поиск по наименоваю проекта. Наименование проекта вводится в одноименное поле при создании проекта
Проект. Проверяемый период	Проверяемый период вводится на вкладке Планирование и ключевые даты карточки проекта
Проект. Период проверки	Период проверки период вводится на вкладке Планирование и ключевые даты карточки проекта
Проект. Дополнительно	Дополнительная информация по проекту приводится на вкладке Дополнительно карточки проекта

График проектов в виде диаграммы Ганта и календаря

В форме График проектов приводится информация о периодах проведения аудиторской проверки. График проектов может быть представлен в двух вариантах:

Информация для создания графика проектов приводится в поле Период выполнения задания (начало / окончание) на вкладке Планирование и ключевые даты формы карточка проекта.

Формирование отчетов по проектам на аудит. Управление аудиторским проектом

По данным проектов на аудит могут формироваться отчеты для управленческих целей и подготовки к внешнему контролю качества.

Для формирования отчетов по проектам на аудит в форме Проекты по аудиту нажмите на пиктограмму Отчет. Выберите необходимый отчет и нажмите на кнопку Сформировать. Будет создан выбранный отчет и открыт в редакторе Excel Viewer. При необходимости файл отчета может быть сохранен как отдельный файл в формате .xlsx.

Отчет «График проверок и состав группы»

Отчет График проверок и состав группы формируется по данным проектов на аудит, приведенных в форме Проекты по аудиту (при создании отчета фильтр в панели поиска не применяется). Данные по проектам выгружаются в отчет по дате начала выполнения задания.

В качестве даты начала проверки используется дата, установленная в поле Период выполнения задания карточки проекта. По дате начала проверки производится систематизация данных по проверкам в разрезе года проверки. Проверки соответствующего года приводятся на отдельной вкладке формируемого файла. Если дата начала проверки не установлена, данные по таким проектам обобщаются на отдельной вкладке отчета.

Отчет «Анализ выполнения аудиторских проектов»

По результатам внесения информации по аудиторскому проекту формируется отчет для оценки выполнения проекта по аудиту (Анализ выполнения аудиторских проектов).

Отчет формируется по нескольким проектам, соответствующих условиям фильтрации. Наряду с информацией о контрагенте и проекте приводится информация о плановой и фактической дате выполнения процедур, выпуска заключения, информация о выполненных процедурах и проверенных операциях, включая процент выполнения от общего количества.

При формировании отчета могут использоваться следующие поля фильтрации:

• Наименование аудируемого лица
• Наименование проекта по аудиту
• Проверяемый период (например, 2022 г.)
• Период проверки (например, можно отобрать текущие проекты)
• Партнер в аудиторском проекте (партнер, руководитель отдела может отобрать свои проекты или проекты своего отдела)
• Руководитель задания
• ФИО участника аудиторской группы
• ФИО участника группы по проверке качества

В индивидуальном порядке данный отчет может быть доработан для его автоматического формирования и направления по расписанию руководителю аудиторской фирмы, партнеру или руководителю задания. Например, руководитель отдела может периодически получать на электронную почту отчет о выполнении аудиторских проектов.

Отчет «Карточка проекта по аудиту»

Для обобщения основной информации о ходе выполнения проекта по аудиту предназначен отчет Карточка проекта по аудиту.

В отчете приводится следующая информация:

• Основные данные по проекту, включая: аудируемое лицо, состав группы, существенность по проекту, плановые и фактические даты завершения выполнения аудиторских процедур и выпуска аудиторского заключения;
• Общее количество запланированных аудиторских процедур, операций, выявленных рисков, задокументированных средств контроля и выявленных нарушений, а также % их выполнения. Также приводится информация в разрезе данных, по которым проведена надзорная проверка и контроль качества;

  

  Общая информация по проекту

• Обобщенная информация об аудиторских процедурах по каждому разделу проверки, включая: общее количество процедур; количество выполненных процедур; % выполнения; количество процедур, в отношении которых проведена надзорная проверка и контроль качества

  

  Информация о выполнении процедур

• Обобщенная информация о видах операций, включая: общее количество проверяемых операций, остатков по счетам; количество операций, по которым проверка завершена; % выполнения; количества операций, в отношении которых проведена надзорная проверка и контроль качества

  

  Информация о проверке операций

При формировании отчета могут использоваться поля фильтрации, аналогичные отчету Анализ выполнения аудиторских проектов

Отчет «Реестр выданных аудиторских заключений»

В отчете Реестр выданных аудиторских заключений приводится необходимая информация, используемая для подготовки Анкеты внешнего контроля качества работы аудиторской организации СРО ААС (Таблица 4.1 АЗ).

Данный отчет формируется по данным проектов на аудит, приведенных в форме Проекты по аудиту (при создании отчета фильтр в панели поиска не применяется). Данные по проектам выгружаются в отчет по фактической дате выпуска аудиторского заключения.

Для подготовки отчета в пользовательский справочник необходимо внести следущие значения:

Наименование создаваемого справочника	Примеры значений
Вид аудиторского заключения	Немодифицированное мнение Мнение с оговоркой (существенное искажение) Мнение с оговоркой (ограничение объема) Отрицательное мнение Отказ от выражения мнения
Вид аудируемого лица	Кредитные организации, бюро кредитных историй Страховые организации, общества взаимного страхования Негосударственные пенсионные фонды Профессиональные участники рынка ценных бумаг Клиринговая организация Организаторы торгов Государственная корпорация Организации, ценные бумаги которых допущены к организованным торгам Акционерные общества Иные организации, в которых проводился обязательный аудит
Вид аудита	Обязательный Инициативный
Проверка качества	нет да
ФИО лица, подписавшего АЗ	внести
Консолидированная отчетность	нет да
Доля гос. собственности в УК, %	внести % ВАЖНО! При заполнении данными вносится цифровое значение (например, 0 или 100)
Объем выручки	внести в тыс.
Сумма активов	внести в тыс.
Отзыв лицензии	нет внести реквизиты документа
Признание аудируемого лица банкротом	нет внести реквизиты судебного акта
Виды деятельности	Производство Торговля и т.д.
Вид деятельности включен в 115-ФЗ	нет да

Для подготовки отчета используются данные, внесенные на вкладку Дополнительно карточки проекта и на вкладке «Дополнительно» карточки контрагента. На вкладку Дополнительно данные вносятся на основании заполненного Пользовательского справочника.

Пример заполнения вкладки Дополнительно карточки контрагента.

Для удобства, значения пользовательского справочника в карточку контрагента могут быть автоматически загружены из файла.

Пример заполнения вкладки Дополнительно карточки проекта по аудиту.

Для удобства, значения пользовательского справочника в карточку проекта могут быть автоматически загружены из файла.

Краснова И.А., заместитель начальника Отдела внутреннего аудита ОАО «УМЗ», член Института внутренних аудиторов

В настоящей статье автор подробно раскрывает методику проведения аудиторской проверки эффективности системы внутреннего контроля бизнес-процессов компании, успешно апробированную на практике Службами внутреннего аудита ряда крупных российских промышленных холдингов. Результаты данных внутренних аудиторских проверок, организованных в соответствии с представленной методикой, могут оказать существенную помощь менеджменту при построении надежной системы внутреннего контроля компании.

Материал, представленный в данной статье, предназначен для сотрудников Служб внутреннего аудита, менеджеров различного уровня, членов Комитетов по аудиту и Советов директоров и, по мнению автора, может быть интересен более широкому кругу читателей.

1. Общие понятия о системе внутреннего контроля в компании

При исследовании вопросов, касающихся системы внутреннего контроля (далее – СВК), автор столкнулся с достаточно парадоксальной ситуацией, сложившейся в настоящее время. С одной стороны, можно констатировать наличие повышенного интереса к данной экономической категории на протяжении последних десяти-пятнадцати лет. С другой стороны, общепризнанного однозначного определения СВК до сих пор не существует.

Тем не менее, в рамках настоящей статьи автор трактует понятие СВК как совокупность организационной структуры управления, мер, методик и процедур, принятых и постоянно осуществляемых Советом директоров, исполнительными и контрольными органами, должностными лицами и иными сотрудниками компании, направленных на:

• совершенствование деятельности компании и органов его управления;
• обеспечение результативности и эффективности финансово-хозяйственной деятельности компании;
• сохранность активов;
• предотвращение внутренних и внешних рисков;
• обеспечение надежности и достоверности всех видов отчетности Общества;
• соблюдение требований законодательства и внутренних документов и регламентов Общества.

Надежная СВК является ключевым элементом корпоративного управления компанией, который позволяет менеджменту принимать адекватные решения, направленные на:

• совершенствование организации бизнеса,
• оперативное выявление, предотвращение и ограничение операционных, финансовых и других видов рисков, и
• обеспечивать разумную уверенность в достижении стратегических целей компании и ее акционеров.

Современные системы построения внутреннего контроля, формируемые в соответствии с требованиями как российских, так и зарубежных принципов корпоративного управления1, акцентируют ответственность высшего руководства компании за формирование надежной СВК и поддержание надлежащего ее функционирования. При этом многие компании в настоящее время имеют в своей структуре Службу внутреннего аудита (далее — СВА). Внутренний аудит, являясь одним из незаменимых инструментом собственников компании и Совета директоров при организации корпоративного управления и контроля, представляет собой наиболее развитую форму внутреннего контроля в компании.

Основными задачами, стоящими перед СВА, являются:

• обеспечение соответствия принципам корпоративного управления;
• оценка надежности и эффективности СВК в компании, а так же оказание консультационной поддержки менеджменту компании на этапе разработки систем и процедур СВК;
• оценка системы управления рисками;
• оценка эффективности и экономичности управления бизнес-процессами.

Схема взаимодействия Совета директоров, СВА и менеджмента компании в рамках организации СВК представлена на рисунке 1.

Рис.1. Схема взаимодействия СВА и менеджмента компании

Необходимо отметить, что в действующем законодательстве и современной методической литературе по вопросам организации внутреннего контроля и аудита не определена методика проведения внутренних аудиторских проверок эффективности СВК компании, результатами которых и должны быть объективная оценка и предложения по оптимизации действующей СВК компании.

В следующем разделе статьи автор предлагает к рассмотрению методику организации данных проверок, успешно используемую Службами внутреннего аудита некоторых крупных промышленных компаний2, реализующих процессный риск-ориентированный метод управления деятельностью. Особое внимание уделяется раскрытию технологии и порядка проведения проверок; подробно представлены основные инструменты и документы, используемые аудиторами; а также обозначены ключевые организационные мероприятия при поведении внутренней аудиторской проверки.

2. Организация внутренней аудиторской проверки эффективности СВК бизнес-процессов компании

Следует определить, что аудиторская проверка в контексте данной статьи представляет собой мероприятие, заключающееся в сборе, оценке и анализе аудиторских доказательств, касающихся СВК бизнес-процесса, подлежащего аудиту, и имеющее своим результатом выражение мнения аудитора о степени надежности СВК этого бизнес-процесса.

Проведение внутренней аудиторской проверки инициируется Руководителем СВА компании на основе раннее утвержденного плана работы СВА либо по отдельному внеплановому поручению уполномоченного лица3.

Процесс проведения внутренней аудиторской проверки СВК бизнес-процессов компании включает в себя несколько этапов (рис.2.), а именно:

• планирование аудиторской проверки, в том числе проведение предварительного обследования;
• проведение аудиторских процедур:
  • оценка дизайна контроля,
  • оценка исполнения контрольных процедур (тестирование),
  • анализ элементов СВК (в том числе оценка контрольной среды),
  • общая оценка эффективности СВК;
• формирование результатов аудиторской проверки;
• работа СВА с материалами аудиторской проверки после утверждения окончательной редакции «Аудиторского отчета», в том числе мониторинг исполнения рекомендаций СВА.

Рис.2. Этапы проведения внутренней аудиторской проверки эффективности СВК бизнес-процессов компании

Ключевые этапы проведения аудиторской проверки эффективности системы внутреннего контроля проиллюстрированы на примере внутренней аудиторской проверки бизнес-процесса «Поиск, оценка и выбор поставщика ТМЦ для основного производства».

      2.1. Планирование аудиторской проверки эффективности СВК бизнес-процессов компании

Планирование аудиторской проверки способствует тому, чтобы важным областям в ходе аудита было уделено необходимое внимание, чтобы были выявлены потенциальные проблемы и работа была выполнена с оптимальными затратами, качественно и своевременно. Планирование позволяет эффективно распределять работу между членами аудиторской группы, участвующими в аудиторской проверке, а также координировать такую работу.

Для эффективного планирования предстоящей аудиторской проверки следует проводить предварительное обследование аудируемого объекта (бизнес-процесса). Задачей данного обследования является изучение фактических целей аудируемого бизнес-процесса, его структуры или изменений в нем, произошедших со времени прошлой проверки. Также должное внимание необходимо уделить оценке уровня материальности аудируемого бизнес-процесса, что позволит объективно говорить о существенности последствий неэффективной организации СВК данного процесса для компании в целом.

Аудиторы на этапе предварительного обследования:

• проводят анализ внутренней нормативной документации (далее – ВНД), регламентирующей организацию аудируемого процесса;
• проводят ознакомление с базами данных и программным обеспечением, обслуживающих рассматриваемый бизнес-процесс;
• анализируют результаты прошлых аудиторских проверок данного бизнес-процесса (в случае их наличия);
• идентифицируют и интервьюируют владельца и других участников процесса по вопросам организации процесса;
• анализируют фактические цели процесса на предмет их соответствия стратегии развития компании и принципам целеполагания (конкретизация, измеримость, согласованность, релевантность, временная ограниченность достижения);
• формируют фактическую схему организации рассматриваемого бизнес-процесса, с указанием существующих контрольных процедур;
• анализируют результаты оценки рисков, проводимой менеджментом компании (в случае ее наличия);
• анализируют систему оценки и показателей, используемых для определения эффективности и экономичности процесса.

По итогам анализа полученной информации о рассматриваемом бизнес-процессе и формирования адекватного понимания его фактического функционирования руководитель службы должен принять:

• решение о дальнейшем проведении аудита или
• решение об отказе от проведения проверки.

При этом решение об отказе от проведения проверки в настоящее время и причины данного решения должны быть доведены до лица, инициировавшего данную проверку. Обычно решение об отказе от проведения проверки в настоящее время принимается в случае если:

• оценка дизайна контроля и ограниченное тестирование на этапе проведения предварительного обследования дают положительный результат о приемлемой надежности СВК;
• по результатам предварительного обследования установлено, что риски бизнес-процесса несущественны или сам процесс нематериален;
• в ходе проведения предварительного обследования стало известно, что в настоящее время существенно изменяется структура изучаемого бизнес-процесса.

В случае принятия положительного решения о проведении проверки эффективности СВК бизнес-процесса в настоящее время по итогам предварительного обследования аудитор должен точно определить ключевые аспекты (в том числе сроки и объемы) предстоящего аудита и проинформировать о них аудируемое лицо. В качестве инструмента для достижения поставленной цели рекомендуется использовать рабочий документ «Задание на аудит».

Аудитор должен отчетливо понимать сам и уметь пояснить аудируемому лицу цели предстоящей проверки. Точное определение границ аудита снижает риск непреднамеренного смещения внимания аудитора в ходе проведения проверки на смежные и наименее проблемные области. Данные аспекты отражаются в разделе 1 «Обоснование проверки» «Задания на аудит».

По итогам изучения внутренних нормативных документов по анализируемому бизнес-процессу и интервью с владельцем и прочими участниками процесса аудитор должен оценить насколько цели, формализованные в регламентах, политиках и др. или обозначенные владельцем процесса, соответствуют стратегии развития компании и общим правилам целеполагания. Помимо этого аудитор должен оценить критерии, используемые менеджментом для определения эффективности и экономичности бизнес-процессов. Особое внимание аудитору следует уделить тому, как действующая система мотивации владельца и участников процесса соотносится с определенными целями процесса. В случае если цели бизнес-процесса не формализованы и владелец процесса также затрудняется их четко сформулировать, аудитор должен на основе собственных теоретических и практических знаний и навыков (в том числе на основе бенчмаркинга) предложить цели для данного процесса и показатели для их измерения и согласовать их с владельцем процесса. Данные аспекты отражаются в разделе 2 «Оценка целей процесса» «Задания на аудит».

Одним из ключевых результатов грамотно проведенного предварительного обследования является адекватное понимание аудитором фактической организации анализируемого бизнес-процесса (последовательность процедур, ответственные за исполнение, фактические сроки исполнения) и объективная оценка уровня его регламентации. Данные аспекты отражаются в разделе 3 «Описание процесса» «Задания на аудит».

Результаты обследования и оценки рисков, проводимых СВА при годовом риск-ориентированном планировании; материалы прошлых аудиторских проверок; результаты оценки рисков, проводимой менеджментом (анализ Карт рисков) являются основой для формирования перечня рисков изучаемого бизнес-процесса.

Оценка рисков в ходе предварительного обследования проводится аудитором экспертно по двум показателям – вероятность реализации и значимость последствий от реализации данных рисков.

Схематично результаты оценки идентифицированных рисков4 можно представить в Карте рисков бизнес-процесса. При этом для наглядности используется метод цветовой зональности рисков:

• красный цвет – высокие риски, требующие немедленного управления и предотвращения;
• желтый цвет – средние риски, требующие постоянного мониторинга;
• зеленый цвет – низкие риски, не требующие усиленного контроля.

Данные аспекты отражаются в разделе 4 «Оценка бизнес-рисков процесса» «Задания на аудит».

В целях достижения общего мнения о фактической организации аудируемого процесса, его целей и целей предстоящей аудиторской проверки руководителю аудиторской группы следует согласовать данные вопросы с представителем (-ями) аудиторского предприятия /подразделения (как правило, владельцем процесса). Данные аспекты отражаются в разделе 5 «Мнение представителей аудируемого предприятия / подразделения» «Задания на аудит».

Необходимо отметить, что «Задание на аудит» формируется руководителем аудиторской группы и после согласования с представителем аудируемого лица обязательно утверждается Руководителем СВА компании. Какие-либо последующие корректировки данного документа возможны только при согласовании с Руководителем СВА с объяснением причин необходимости данных корректировок и при условии информирования владельца процесса.

На этом предварительный этап аудиторской проверки завершен. Далее, начинается так называемый этап «Работа в поле», когда аудитор для формирования адекватных выводов о фактической СВК получает аудиторские доказательства путем выполнения соответствующих процедур (тестов).

      2.2. Проведение аудиторских процедур

Проведение аудиторских процедур предназначено для сбора достаточных надлежащих доказательств с целью формулирования обоснованных выводов, на которых основывается мнение аудиторов об эффективности СВК, выраженное в «Аудиторском отчете» и подкрепленное соответствующими рабочими документами.

Одной из основных аудиторских процедур, направленных на получение адекватных выводов о надежности и эффективности функционирования СВК бизнес-процесса, является тестирование фактических процедур управления рисками, присущих анализируемому процессу.

Тестирование надежности СВК направлено на определение аудитором вероятности достижения цели контрольной процедуры, с помощью которой владелец анализируемого риска может эффективно управлять данным риском. При этом цель контрольной процедуры определяется аудитором либо на основе анализа ВНД по процессу, интервью с владельцем процесса, либо самостоятельно на основе «лучших практик» организации данных процессов в аналогичных компаниях.

Как правило, тестирование проводится аудитором выборочным методом. Объем выборки должен обеспечивать достаточную уверенность аудитора в том, что выводы, сделанные на основе анализа выборочных данных будут приемлемы для всего объема данных (генеральной совокупности), из которого произведена выборка. Объем выборки может определяться с применением специальных формул, полученных на основе теории вероятности и математической статистики, либо определяться на основе профессионального суждения аудитора.

При проведении тестирования аудитор располагает довольно широким спектром инструментов — процедур, исполнение которых позволит сформировать объективные выводы об эффективности СВК, как то: сравнение / сопоставление, анализ данных и др.

По результатам тестирования аудитор должен дать оценку надежности действующей СВК бизнес-процесса в части управления анализируемым риском, с указанием возможных последствий от реализации данного риска (с учетом экстраполяции результатов проверки выборочных данных на всю генеральную совокупность). В случае необходимости аудитор формирует рекомендации по построению или оптимизации действующей СВК для достижения целей бизнес-процесса.

В качестве инструмента для отражения процедуры тестирования СВК рекомендуется использовать рабочий документ «Аудиторский тест».

После проведения предварительного обследования и тестирования фактических процедур управления рисками, присущих анализируемому бизнес-процессу, аудитор должен сформировать общее мнение о надежности и эффективности действующей СВК изучаемого процесса. В качестве инструмента для достижения поставленной цели рекомендуется использовать рабочий документ «Оценка дизайна контроля».

Необходимо конкретизировать, что дизайн внутреннего контроля бизнес-процесса представляет собой фактическое содержание и место расположение контрольных процедур в структуре процесса.

В ходе проведения оценки дизайна контроля аудитор использует следующие приемы, результаты которых отражает в вышеуказанном рабочем документе:

• формирование идеальной схемы бизнес-процесса («как должно быть»). Схема идеального процесса формируется таким образом, чтобы гарантировать достижение целей данного процесса.
• сравнение фактической схемы бизнес-процесса («как есть») с идеальной;
• анализ наличия и эффективности контрольных процедур5 , предусмотренных в регламентирующих и распорядительных документах по аудируемому процессу;
• анализ наличия, качества исполнения и эффективности контрольных процедур, фактически присущих процессу;
• сравнение содержания и качества исполнения фактических процедур контроля с требованиями ВНД по бизнес-процессу;
• оценка эффективности процедуры с помощью статистического анализа происшествий за длительный период (3-5 лет);
• бенчмаркинг и поиск «лучшей практики» для оптимизации контрольных процедур.

Кроме того, оценка дизайна контроля должна проводиться с учетом стоимости как отдельной контрольной процедуры, так и затрат на создание и поддержание всей СВК. Рекомендации по созданию и оптимизации действующей СВК должна быть обоснована с точки зрения стоимостного анализа «выгоды – затраты». В случае функционирования нескольких контрольных процедур, направленных на управление одним риском или зависимыми рисками, следует провести оценку различных вариантов использования контрольных процедур для исключения излишних (дублирующих) процедур.

Аудитор на основе результатов оценки дизайна контроля бизнес-процесса должен совместно с менеджментом компании выработать рекомендации по построению и оптимизации действующей системы внутреннего контроля анализируемого процесса. Рекомендации аудитора, в основном, направлены на:

• повышение качества исполнения контрольной процедуры, формализованной в ВНД компании, в том числе и за счет построения эффективной системы мотивации сотрудников-исполнителей данной контрольной процедуры (в случае если формализованная контрольная процедура эффективна, но имеются отклонения при ее фактическом исполнении);
• легализацию фактически исполняемой контрольной процедуры (в случае если фактически реализуемая контрольная процедура эффективна, но не предусмотрена требованиями ВНД);
• разработку и формализацию контрольной процедуры и контроля за ее надлежащим исполнением (в случае если контрольная процедура не предусмотрена ВНД и фактические действия сотрудников не позволяют эффективно управлять риском).

После проведения всех необходимых аудиторских процедур и формирования общего мнения о надежности СВК изучаемого бизнес-процесса на основе полученных аудиторских доказательств аудитор приступает к обобщению полученных результатов и формированию «Аудиторского отчета».

      2.3. Формирование результатов аудита

Мнение СВА о надежности действующей СВК изучаемого бизнес-процесса, выраженное в письменной форме, представляется аудитором в «Аудиторском отчете».

Для формирования объективного окончательного мнения о действующей СВК процесса и снижения риска ошибок аудитора при проведении проверки рекомендуется предварительно формировать «Проект аудиторского отчета». Данный документ используется как предварительный черновой вариант «Аудиторского отчета», который предоставляется на согласование владельцу и участникам аудируемого бизнес-процесса, которые:

• в случае наличия аргументированных документально подтвержденных возражений и замечаний предоставляют в СВА «Протокол разногласий по результатам аудита»;
• в случае согласия с изложенными аудитором информацией и выводами предоставляют в СВА «План корректирующих мероприятий по результатам аудита», который должен предусматривать описание мероприятий, ответственных, сроки выполнения.

«Лучшей практикой» при согласовании материалов аудита является процедура проведения завершающего совещания между аудиторами и представителями аудируемого лица по уточнению окончательных мнений и позиций сторон по предмету проверки.

Стандартная форма «Аудиторского отчета» законодательно не определена. Поэтому данный рабочий документ СВА формируется аудитором по форме, разработанной непосредственно в самой компании, но должен отвечать требованиям объективности, ясности, лаконичности, конструктивности и своевременности.

Следует отметить, что положительно зарекомендовало себя на практике выделение в «Аудиторском отчете» отдельных тематических блоков — вводной и описательной частей.

В вводной части «Аудиторского отчета» аудитор представляет общую информацию о проверке, как то:

• цель, объект и предметы проверки;
• состав аудиторской группы, сроки проведения проверки.

Описательная часть «Аудиторского отчета» является наиболее объемным и информативным блоком, содержащим все результаты аудита.

Для привлечения внимания высшего руководства компании к наиболее важным аспектам, выявленным при аудите, а также для упрощения процесса формирования отчетности СВА о деятельности службы рекомендуется обособить:

• наиболее существенные выводы о недостатках организации анализируемого бизнес-процесса и системы внутреннего контроля;
• рекомендации аудитора по устранению причин и снижению последствий наиболее высоких рисков, присущих данному процессу и оказывающих негативное влияние на достижение целей компании.

Для удобства восприятия заинтересованными пользователями результатов аудита целесообразно придерживаться следующей схемы представления информации:

• описание предмета проверки (подпроцесса);
• описание и оценка рисков, присущих данному подпроцессу;
• описание и оценка фактически используемого воздействия на риски;
• результаты фактически используемого воздействия на риск (по результатам аудиторского тестирования);
• описание причин, обусловивших реализацию рисков;
• описание и оценка последствий от реализации рисков;
• рекомендации аудитора по управлению данными рисками за счет построения и оптимизации СВК данного подпроцесса.

Необходимо отметить, что если в ходе согласования «Проекта аудиторского отчета» достичь единого мнения с аудируемым не удалось, в окончательном «Аудиторском отчете» следует также указать мнение аудируемого с пояснением, почему его возражения не были приняты аудитором.

При формировании «досье аудита»6 необходимо к «Аудиторскому отчету» прилагать «Протокол разногласий по результатам аудита» и «План корректирующих мероприятий по результатам аудита».

Порядок подписания «Проекта аудиторского отчета» и «Аудиторского отчета» и доведения данных документов до заинтересованных пользователей должен быть регламентирован в ВНД, регулирующих организацию функции внутреннего аудита в компании. Как правило, данные рабочие документы по проверке авторизируются руководителем СВА, который и принимает решение о направлении данных документов заинтересованным пользователям.

Обычно окончательная версия «Аудиторского отчета» предоставляется:

• заказчику аудита – лицу, инициировавшему данную проверку;
• владельцу аудируемого бизнес-процесса;
• другим заинтересованным пользователям на усмотрение руководителя СВА компании.

Следует отметить, что направление СВА окончательной редакции «Аудиторского отчета» заинтересованным пользователем является лишь промежуточным этапом проведения аудиторской проверки эффективности СВК бизнес-процессов. Только последующая совместная работа СВА и менеджмента компании может обеспечить надлежащее формирование и внедрение надежной СВК бизнес-процессов, обеспечивающую разумную уверенность в достижении стратегических целей компании и ее акционеров.

      2.4. Работа СВА с материалами аудита после утверждения окончательной редакции «Аудиторского отчета»

Работу СВА с материалами аудита после утверждения и доведения окончательной редакции «Аудиторского отчета» заинтересованным пользователям можно разделить на два типа:

• работа СВА с менеджментом компании по построению и оптимизации СВК бизнес-процессов;
• работа СВА с материалами аудита для удовлетворения собственных потребностей службы.

Работа СВА с менеджментом компании по построению и оптимизации СВК бизнес-процессов

Основное направление совместной работы СВА с менеджментом компании по построению и оптимизации СВК бизнес-процессов связано с контролем исполнения плана корректирующих мероприятий, необходимость которых была выявлена по результатам аудита. Контроль может осуществляться посредством:

• анализа отчетов аудируемого объекта о выполнении запланированных корректирующих мероприятий;
• проведения проверок объекта.

По результатам осуществления контрольных действий СВА формирует «Отчет об исполнении корректирующих мероприятий» по конкретной проверке с указанием выполнения мероприятий, их достаточности, своевременности и эффективности, который доводится до тех же лиц, кому направлялся ранее сам «Аудиторский отчет».

Другое направление совместной работы СВА с менеджментом компании связано с оказанием консалтинговой поддержки менеджменту. Как уже было отмечено выше, ответственным за формирование надежной СВК и поддержание надлежащего ее функционирования, согласно как российским, так и зарубежным принципам корпоративного управления, является высшее руководство компании. Тем не менее, как показывает практика, менеджменту компаний обычно требуются дополнительные специальные знания и помощь в таких областях управления, как внутренний контроль и управление рисками. В связи с этим СВА может привлекаться в качестве консультанта по вопросам тестирования вводимых процедур внутреннего контроля, оценки дизайна контроля, проверки исполнения процедур внутреннего контроля, а также обеспечить методологическую поддержку при организации процессов внутреннего контроля и управления рисками.

Работа СВА с материалами аудита для удовлетворения собственных потребностей службы

Информация, полученная в ходе проведения аудиторской проверки и последующего контроля исполнения корректирующих мероприятий по результатам аудита, является основой для решения задач, поставленных непосредственно перед самой СВА, как то:

• своевременное формирование и предоставление отчетности о результатах аудиторской деятельности, существенных рисках, проблемах контроля и корпоративного управления в компании лицу (лицам), которому подотчетна СВА в компании согласно ВНД по организации внутреннего аудита (как правило, Комитет по аудиту при Совете директоров, Генеральный директор и др.);
• планирование дальнейшей деятельности СВА.

Подводя итоги, можно констатировать следующее.

Построение надежной СВК, содействующей повышению эффективности бизнеса и защите интересов акционеров, является зоной ответственности менеджмента компании. Но даже хорошо выстроенная и организованная СВК нуждается в оценке своей эффективности как с точки зрения достижения поставленных целей, так и с точки зрения экономичности. Наиболее независимо и профессионально оценить надежность и эффективность существующей СВК бизнес-процессов компании, а так же предложить рекомендации по ее усовершенствованию может СВА.

Представленная в статье методика проведения внутренних аудиторских проверок, по сути, является руководством по построению процесса оценки СВК. При этом для организации эффективного практического применения данной методики требуется легализация во внутренних регламентирующих документах компании как порядка и инструментов проведения проверки, так и схемы взаимоотношений СВА и аудируемыми предприятиями /подразделениями.

---

1. В ходе написания статьи были проанализированы положения Internal control Guidance for Directors on the Combined Code (The Institute of Chartered Accountants, in England & Wales); Кодекса корпоративного поведения ФКЦБ, Пособия по корпоративному управлению МФК, Международных профессиональных стандартов внутреннего аудита, кодексов корпоративного управления различных компаний.
2. Например, в ОАО «УМЗ» — предприятии, входящем в состав ОАО «Концерн ПВО «Алмаз-Антей», крупнейшего военно-ориентированного предприятия РФ; ОАО «ПОЛАИР» — крупнейшем в России и Европе предприятии-производителе торгового холодильного оборудования и др.
3. Перечень уполномоченных лиц, по решению которых СВА проводит аудиторские проверки, как правило, закреплен в «Положении о СВА компании» и зависит от уровня подчиненности СВА (в основном это Комитет по аудиту при Совете Директоров, Ревизионная комиссия, Генеральный директор либо Финансовый директор компании).
4. Оценка рисков определяется как произведение коэффициентов вероятности реализации риска и значимости последствий от его реализации.
5. Анализ эффективности контрольной процедуры проводится на предмет обеспечения разумной гарантии достижения соответствующих целей изучаемого бизнес-процесса.
6. Досье аудита – полный пакет рабочих документов, аудиторских доказательств и др. документации аудитора по конкретной внутренней аудиторской проверке.

Приложение 1.

Оценка дизайна контроля бизнес-процесса «Поиск, оценка и выбор поставщика ТМЦ для основного производства»

СВА ОАО «Наименование компании»

Название аудита

Аудит закупок ТМЦ для основного производства

Код бизнес-процесса

ОП-3 (из утвержденного в компании классификатора бизнес-процессов)

№ аудита

2006/01

№

Бизнес-цель подпроцесса или операции

№

Риск, препятствующий достижению цели

Цель контроля данного риска

Тест 11

Контрольная процедура (из ВНД)

Тест 2

Контрольная процедура (факт)

Тест 3

Тест 4

Тест 5

Оценка СВК

1

2

3

4

5

6

7

8

9

10

11

12

13

1

Поиск, оценка и выбор поставщика ТМЦ для основного производства.

1.1

Потенциальный поставщик не знает о том, что компания нуждается в поставке ТМЦ, которыми он располагает.

Убедиться в том, что информация о закупаемых ресурсах (их количестве, номенклатуре, сроках поставки и пр.) известна максимально широкому кругу поставщиков.

нет

Процедура оповещения потенциальных поставщиков о потребностях компании в ТМЦ для основного производства не формализована в действующем Регламенте «Выбор поставщика продукции и услуг производственного назначения».

да

Специалист по закупкам отправляет заявки (оферты) всем потенциальным поставщикам необходимых ТМЦ из базы данных, отмечая в электронном документе номер отправленной заявки каждому поставщику.

нет

нет

нет

Ненадежная

1.2

Рассмотрены не все поступившие коммерческие предложения потенциальных поставщиков.

Убедиться в том, что все ответы поставщиков приняты к рассмотрению

да

Специалист по закупкам в срок окончания приема ответов проводит сверку принятых оферт со списком направленных (п.2.1 Регламента «Выбор поставщика продукции и услуг производственного назначения»)

да

Специалист по закупкам в срок окончания приема ответов проводит сверку принятых оферт со списком направленных.

да

да

да

Надежная

1.3

В сводную таблицу оценки поставщиков внесена не полная или искаженная информация о потенциальных поставщиках необходимых ТМЦ.

Убедиться в том, что получена достаточная информация о поставщике и условиях работы с ним.

нет

Процедура аккумулирования достоверной информации о потенциальных поставщиках ТМЦ для основного производства не формализована в действующем Регламенте «Выбор поставщика продукции и услуг производственного назначения».

нет

Фактически управление данным риском отсутствует.

нет

нет

нет

Ненадежная

1. Тест 1 — убедиться в том, что в ВНД предусмотрена контрольная процедура, с помощью которой риск управляется и цель контроля данного риска будет достигнута.
   Тест 2 — убедиться в том, что фактически существует контрольная процедура, с помощью которой риск управляется и цель контроля данного риска будет достигнута.
   Тест 3 — убедиться в том, что контрольные процедуры из ВНД и фактически исполняемая идентичны.
   Тест 4 — убедиться в том, что регламентированная контрольная процедура обеспечивает разумную гарантию достижения соответствующей бизнес-цели.
   Тест 5 — убедиться в том, что фактически исполняемая контрольная процедура обеспечивает разумную гарантию достижения соответствующей бизнес-цели (тест по последствиям).

Когда слышишь про аудит, кажется: это что-то большое, сложное и трудное. Но на самом деле вы просто оцениваете, насколько эффективно работают все части компании.

Польза от аудита:

1. Вы понимаете, что идёт не так, и можете это исправить;
2. Вы начинаете видеть точки развития бизнеса, с которыми можно работать.

Если вы директор или собственник, у вас уже есть все возможности для аудита. Если — руководитель отдела или ответственный за развитие бизнес-направлений, пообщайтесь с директором, чтобы он дал нужные полномочия.

Расскажем о 8 этапах аудита, после которых вы получите полное представление о том, что происходит в компании, и как сделать её лучше. Некоторые могут показаться очевидными, но их тоже нужно сделать, иначе не будет картины целиком.

1. Список сотрудников

Самый простой этап: записываем, кто работает в компании и на какой должности.

2. Роли и обязанности

Пропишите обязанности каждого сотрудника, кто чем должен в идеале заниматься. А затем рядом, что этот работник делает по факту.

Это поможет оптимизировать рабочие обязанности и увидеть несоответствие между тем, что должно быть, и тем, что на самом деле. Иногда становится очевидно: работник занимается совсем не тем, что от него требуется.

3. Слабые места

Когда у вас есть все обязанности, посмотрите: нет ли такого, что один человек выполняет несколько ролей? Или выявились задачи, которые не делает никто?

Например, вы написали, что секретарь должен фиксировать входящие звонки и регистрировать бумажную почту. Но по факту звонки принимает зам.директора, а почту складывают на угол стола без фиксации в журнале. Значит, нужно задать несколько вопросов:

• Действительно ли нужно регистрировать всю почту?

• Случилось ли что-то плохое, пока мы её не регистрировали?

• Почему на звонки отвечает заместитель?

• Зачем нам вообще секретарь?

4. Точки входа в компанию

Составьте список всех способов, как клиент может взаимодействовать с компанией:

• звонок,

• письмо,

• реклама,

• личный визит в офис,

• сообщение на сайте,

• заказ в корзине,

• …

Сравните список с ролями и обязанностями. Все ли они закрыты, или есть точки входа, за которые никто не отвечает?

5. Бизнес-процессы

Бизнес-процессы показывают, как нужно действовать в той или иной ситуации. Бизнес-процесс нужно составить к каждой операции, у которой есть чёткое начало и окончание с понятным результатом.

Например, бизнес-процесс для входящего звонка может выглядеть так:

1. Принять звонок.

2. Записать имя звонящего и его вопрос.

3. Если есть возможность — ответить сразу или перевести на нужного специалиста.

4. Если нет — взять номер из CRM и назвать время, когда ему перезвонят.

5. Перезвонить в выбранное время.

6. Поставить задачу на менеджера через два дня перезвонить и выяснить, решена или проблема у клиента.

6. Контроль и отчётность

Можно вводить любые параметры, которые помогут следить за работой всей системы: KPI, отчёты, время звонков, клики.

Эти простые действия помогут оптимизировать работу компании и выйти на новый уровень. При этом не нужно привлекать сторонний аудит — реально осуществить его собственными силами.