При проведении аудитов перед некоторыми службами внутреннего аудита возникает ряд проблем. В первую очередь, это недостаток времени и ограниченность ресурсов. Поэтому сложно за небольшой промежуток времени охватить все важные сферы проверяемых бизнес-процессов, при этом без потери качества и с извлечением максимальной пользы от аудита.
Многие бизнес-процессы, подверженные проверкам, кросс-функциональны, когда в них задействуется несколько подразделений. Таким образом, более детальный анализ деятельности каждого такого подразделения (или подпроцесса) требует дополнительных ресурсов.
Для успешного начала аудита внутреннему аудитору желательно обратить особое внимание не на последовательную оценку эффективности отдельных подразделений (или подпроцессов), а на определении рисков, присущих процессу, подверженному аудиту, в целом. После такого определения рисков необходимо оценить их и выявить наиболее серьезные риски, то есть которые могут существенно повлиять на бизнес. Определение самых важных рисков и сфер может базироваться на результатах аудитов прошлых лет, наблюдениях службы внутреннего аудита, данных риск-менеджмента, дополнительных данных от объектов аудита и др.
Оценка рисков также способствует прозрачности коммуникации и эффективному диалогу с внутренними клиентами службы аудита (СЕО, правлением, советом директором, акционерами и самими проверяемыми подразделениями), чтобы устранить такие вопросы, как: «Где риск?», «Где приоритет?», «На что нам обратить внимание в первую очередь?» или даже уведомления о том, что риска не предвидится.
Анализ рисков предусмотрен Международными профессиональными стандартами внутреннего аудита (МПСВА). Этот анализ является одним из методов использования риск-ориентированного подхода.
Ниже приведен список руководств и стандартов, в которых раскрыта методология оценки рисков:
Стандарты и руководства:
- Международные профессиональные стандарты внутреннего аудита:
2100 – Сущность работы внутреннего аудита. Внутренний аудит направлен на проведение оценки и должен способствовать совершенствованию процессов корпоративного управления, управления рисками и контроля в организации с использованием последовательного и системного риск-ориентированного подхода.
2210 – Цели аудиторского задания. Для каждой аудиторской процедуры должны быть определены ее цели.
2210.А1 — Внутренний аудитор должен провести предварительную оценку рисков, которые являются объектом аудита. Цели аудиторского задания не должна противоречить результатам этой оценки.
- Дополнительное руководство Международного института внутренних аудиторов:
«Планирование аудиторского задания: Определение целей и объема» (август 2017 г.; «Engagement Planning: Establishing Objectives and Scope»).
На этапе планирования, составления алгоритма аудита и предварительной оценки рисков аудиторам очень важно грамотно изложить получаемую информацию. Она должна быть понятна, систематизирована, однозначна и понятна как руководителю службы внутреннего аудита, так и внутренним клиентам. Одним из практических инструментов систематизации необходимых данных является, к примеру, матрица рисков и контролей. Такая подобная матрица может составляться на протяжении каждого аудита и быть важным дополнением к аудиторскому отчету.
Матрица состоит из трех основных блоков, которые заполняются в следующей последовательности:
- Вероятный риск. Аудитор составляет перечень рисков, присущих бизнес-процессу в целом, и распределяет их в порядке приоритета (значимости и влияния на бизнес).
- Контрольные процедуры. В процессе аудита определяется, какие ручные и автоматизированные контрольные процедуры (в частности, отчеты, регламенты, инвентаризации, сверки, распределение полномочий, «вторая пара глаз» и пр.) выполняются подразделениями для снижения опасности возникновения рисков. Проводится оценка данных контрольных процедур по дизайну и эффективности выполнения.
- Остаточный риск. По итогам тестирования эффективности контрольных процедур на завершающем этапе аудита проводится количественная (или качественная) оценка величины остаточного риска на основе оценки «вероятности – влияния».
На основе опыта практикующих аудиторов можно сделать вывод, что матрица рисков и контрольных процедур (контролей) – довольно практичный инструмент и для внутренних аудиторов, и для внутренних клиентов. Матрица способствует аудитору сформулировать рекомендации для усовершенствования неэффективных контролей или для устранения причин недостатков, выявленных в ходе аудита, и при этом не упустить из внимания рисковых моментов.
Матрица дискутируется при передаче результатов аудита владельцам бизнес-процессов и иным внутренним клиентам, так как оценка СВК процесса, подверженного аудиту, непосредственно зависит от количества остаточных рисков и их значимости. Благодаря матрице внутренний клиент может увидеть «весь набор» всех рисков и контролей своего процесса фактически на одном листе, а потом обсудить с аудитором величину остаточного риска, отсутствующие и избыточные контроли, а также контрольные процедуры, которые требуют усовершенствования. А потом сформировать эффективный алгоритм мероприятий по устранению выявленных недостатков.
К тому же открытая и прозрачная коммуникация с внутренними клиентами («being on common page») – это залог повышения ценности внутреннего аудита и успеха в целом. Также такой подход способствует повышению уровня риск-культуры компании.