В компании должна быть разработана карта (матрица) рисков с оценкой возможных потерь, которая на периодической основе актуализируется. На практике такие оценки могут носить формальный характер и не всегда соответствуют действительности. По этой причине разработанные менеджментом карты и матрицы рисков не должны являться единственным источником информации для годового планирования.
Источники для планирования
Выделяют 3 основных источника информации о рисках и деятельности компании, которые впоследствии становятся основой для наполнения вселенной аудита и формирования годового плана аудитов.
1. Реестр рисков, оценка которых обновляется менеджментом один раз в полгода. Реестр рисков полностью включается в состав вселенной аудита, однако дополняется наблюдениями и аудиторскими оценками, которые формируются в ходе проверок прошлых лет.
2. Информация о принимаемых управленческих решениях. Она собирается непосредственно от менеджмента, главным образом за счет участия аудиторов во всех ключевых коллегиальных органах (естественно, без права голоса). Участие в заседаниях правления, инвестиционного, закупочного, проектного, бюджетного и других комитетов – залог своевременного получения информации о деятельности компании, принимаемых решениях и актуальных проблемах. Это помогает внутреннему аудиту держать руку на пульсе бизнеса.
3. Доступ к ключевым базам данных. У внутреннего аудита должен быть такой доступ, что существенно облегчает планирование и проведение проверок. Практически вся необходимая для аудита информация доступна онлайн, нет необходимости направлять официальные письма и дожидаться получения запрошенных материалов и документов.
Ранжирование рисков и вселенная аудита
Баланс между ресурсными ограничениями и потенциальными областями аудитов достигается за счет ранжирования бизнес-процессов по степени их влияния на компанию, вероятности возникновения негативного события (риска) и актуальности проверки.
Вселенная аудита - это документ с бизнес-процессами, ключевыми показателями и рисками компании, которые сведены в одну таблицу. Каждый процесс ранжируется по единой методике, ключевыми критериями в которой являются:
- материальность бизнес-процесса,
- присущие процессу риски и их существенность,
- результаты оценки контрольной среды процесса,
- произошедшие в процессе за прошедший год изменения в части его организации и контрольных процедур,
- наличие и значимость выявленных внутренним аудитом недостатков в процессе за последний год.
Оценка выставляется по каждому из перечисленных критериев, имеющих свой вес, и затем суммируется. Чем выше итоговый балл, тем больше внимания этому процессу необходимо уделить внутреннему аудиту. В результате получается своеобразный рейтинг, «лидеров» которого в обязательном порядке необходимо проверять.
Важно отметить, что есть отдельные процессы и риски, которые включаются либо в годовой план аудитов, либо как обязательная часть плановых аудитов, хотя их материальность или итоговый балл невысокий. Например, охрана труда и промышленная безопасность. Также есть процессы, которым присущ повышенный риск нарушений или мошенничества, например, закупочная деятельность и продажи. Они также в обязательном порядке учитываются при формировании годового плана аудитов.
Сколько плановых аудитов включить в план?
Необходимо определить годовой фонд рабочего времени внутреннего аудита и постепенно вычесть из него трудозатраты, несвязанные с плановыми аудитами. Также важно создать резерв времени на внеплановые проверки, повышение квалификации и профессиональное обучение сотрудников.
Резерв на внеплановые проверки у каждой компании свой и зависит, прежде всего, от заказчиков. В большинстве случаев внеплановые проверки требуют меньше времени и ресурсов, однако для целей годового планирования советуем закладывать около 30% резерва времени на их проведение.
Непрерывное обучение и повышение квалификации – отдельная важная тема. Советуем закладывать минимум 2 недели на обучение каждого сотрудника. Цифра взята на основании бенчмарка от Международного Института внутренних аудиторов (IIA). Платная, но полезная информация: в отчете сравниваются показатели вашей функции с другими подразделениями по внутреннему аудиту и внутреннему контролю компаний, сопоставимых с вами по отрасли, размеру выручки, количеству персонала.
В итоге остается фонд времени, который можно распределить на плановые проверки.
Источник: audit-it.ru
