Автор: Мария Кедрова, директор управления внутреннего аудита, лауреат Национальной премии «Внутренний аудитор года» в номинации «Руководитель службы внутреннего аудита года» 2019, член Ассоциации «Институт внутренних аудиторов»
Зачастую при проведении аудитов некоторые СВА сталкиваются с нехваткой времени и ограниченности ресурсов и задаются вопросом, как за короткий промежуток времени без потери качества охватить все существенные области проверяемых бизнес-процессов и максимизировать пользу аудита.
Многие проверяемые бизнес-процессы кросс-функциональны, и в них задействовано несколько подразделений. Таким образом, детальный анализ деятельности каждого такого подразделения/ подпроцесса требует дополнительных ресурсов. Также нередки случаи, когда анализ отдельного подпроцесса оказывается трудоемким для внутреннего аудитора, при этом недостатки данного подпроцесса не вызывают существенных рисков для бизнеса.
Поэтому для успешного старта аудита внутреннему аудитору целесообразно сфокусироваться не на последовательной оценке эффективности подпроцессов или деятельности отдельных подразделений, а на идентификации рисков, присущих аудируемому процессу в целом. После идентификации рисков необходимо провести их предварительную оценку и выявить приоритетные риски, исходя из существенности и влияния на бизнес. Определение наиболее существенных рисков и областей может базироваться на данных риск-менеджмента, наблюдениях службы внутреннего аудита, результатах аудитов прошлых лет, дополнительных вводных от объектов аудита и пр.
Оценка рисков также обеспечивает прозрачность в коммуникации и конструктивный диалог с внутренними клиентами службы внутреннего аудита (акционерами, советом директором, CEO, правлением и непосредственно проверяемыми подразделениями), чтобы нивелировать такие вопросы как: «Где риск?», «Где приоритет?», «На что нам обратить внимание в первую очередь?» или даже заявления о том, что риска нет.
Проведение оценки рисков в ходе отдельных аудитов также предусмотрено Международными профессиональными стандартами внутреннего аудита (МПСВА), поскольку является одним из методов реализации риск-ориентированного подхода.
Перечень Стандартов и Руководств, в которых раскрывается тема оценки рисков, приведены ниже:
Применимые Стандарты и Руководства:
- Международные профессиональные стандарты внутреннего аудита:
2100 – Сущность работы внутреннего аудита
Внутренний аудит должен проводить оценку и способствовать совершенствованию процессов корпоративного управления, управления рисками и контроля в организации, используя систематизированный, последовательный и риск-ориентированный подход.
2210 – Цели аудиторского задания
Для каждого аудиторского задания должны быть определены его цели.
2210.А1 — Внутренний аудитор должен провести предварительную оценку рисков, относящихся к объекту аудита. Цели аудиторского задания должны соответствовать результатам этой оценки.
- Дополнительное руководство Международного института внутренних аудиторов:
«Планирование аудиторского задания: Определение целей и объема» (август 2017г.; «Engagement Planning: Establishing Objectives and Scope»).
На этапе планирования, составления программы аудита и предварительной оценки рисков аудиторам очень важно грамотно структурировать получаемую информацию, чтобы она была прозрачна и понятна как руководителю службы внутреннего аудита, так и внутренним клиентам. Одним из практических инструментов систематизации информации является, например, матрица рисков и контролей. Например, подобная матрица может составляться на протяжении каждого аудита и являться приложением к аудиторскому отчету:
Матрица состоит из трех основных блоков, которые заполняются по следующему алгоритму:
- Присущий риск. Идентифицируем перечень рисков, присущих бизнес-процессу в целом, и располагаем их в порядке приоритета (существенности и влияния на бизнес).
- Контрольные процедуры. В ходе аудита определяем, какие ручные и автоматизированные контроли (например, регламенты, отчеты, сверки, инвентаризации, распределение полномочий, «вторая пара глаз» и пр.) выполняются подразделениями для снижения вероятности возникновения рисков. Проводим оценку данных контролей по дизайну и эффективности выполнения.
- Остаточный риск. По итогам тестирования эффективности контрольных процедур на завершающем этапе аудита проводим количественную (либо качественную) оценку величины остаточного риска на основе оценки вероятности-влияния.
Пример заполнения информации по риску. Аудит тендерных процедур:
Перечень блоков матрицы рисков и контролей может быть различным. К примеру, можно расширить добавлением информации по факторам (причинам) возникновения риска и последствиям его реализации.
Мой опыт говорит о том, что матрица рисков и контролей – очень практичный инструмент как для внутренних аудиторов, так и для внутренних клиентов. Матрица помогает аудитору сформулировать рекомендации как на доработку неэффективных контролей, так и на устранение причин выявленных недостатков, и при этом не упустить рисковых моментов.
Матрица обсуждается при передаче результатов аудита владельцам бизнес-процессов и иным внутренним клиентам, т.к. оценка СВК аудируемого процесса напрямую зависит от количества остаточных рисков и их величины. Матрица позволяет внутреннему клиенту увидеть «наглядную раскладку» всех рисков и контролей своего процесса на одном листе, а затем обсудить с аудитором величину остаточного риска, отсутствующие и избыточные контроли, а также контроли, которые требуют доработки, и затем сформировать эффективный план действий по устранению выявленных недостатков.
В свою очередь, открытая и прозрачная коммуникация с внутренними клиентами («being on common page») – это залог успеха и повышения ценности внутреннего аудита. Кроме того, такой подход способствует повышению уровня риск-культуры организации.