Роман Гусельников
Внутренний аудит. Третья линия защиты, или Последний рубеж
2.4.3. Пост-аудит
На базе проведенного внутреннего аудита, а именно, по завершению трех перечисленных выше этапов, возможно проведение дополнительных контрольных мероприятий. Эти мероприятия известны в профессиональном сообществе, как Пост-аудит.
По мнению некоторых экспертов в области внутреннего аудита, Пост-аудит (мониторинг исполнения рекомендаций аудитора) является неотъемлемой частью всего процесса проверки, т. к. в противном случае, ценность от аудита далеко не полная.
Со своей стороны хочу отметить следующее. Безусловно, что после проведения Пост-аудита, у аудиторов и, соответственно, заинтересованных лиц возникает понимание факта исполнения владельцами рисков ранее представленных аудиторских рекомендаций.
Однако, по-моему мнению, Пост-аудит не является обязательным для проведения вместе с основными этапами внутреннего аудита. При этом данный вид аудита может проводиться, как самостоятельная независимая проверка и при этом являться одним из элементов СВА.
Тем не менее, Пост-аудит может быть проведен исключительно по результатам проведенного ранее внутреннего аудита.
Такое положение Пост-аудита в Системе Внутреннего Аудита объясняется отличием его целей от целей внутреннего аудита.
Главной целью внутреннего аудита является обнаружение и устранение рисков. А что касается Пост-аудита, то его основной целью является контроль за исполнением ответственными лицами рекомендаций аудиторов, предоставленных в отношении ранее проведенных внутренних проверок.
Таким образом, Пост-аудит может проводиться двумя способами:
• отдельно от процедур внутреннего аудита, как самостоятельная проверка;
• совместно с процедурами внутреннего аудита, по существу, являясь его составной частью.
В последнем случае пост-аудит проводится на основании ранее проведенной проверки до начала процедур текущего внутреннего аудита.
Именно такая последовательность действий: сначала пост-аудит, с целью проверки исполнения ранее представленных рекомендаций, а далее сам текущий внутренний аудит, позволяет обнаружить в проверяемом периоде ошибки, не устраненные владельцами рисков по итогам ранее проведенных проверок.
Результаты пост-аудита можно оформить в виде таблицы, составленной на основании Краткой справки по ранее проведенной проверке.
Учитывая, что Пост-аудит проводится с целью контроля за исполнением рекомендаций, то табличную часть Краткой справки, можно дополнить графами, содержащими сведения об исполнении каждой предоставленной рекомендации и при необходимости внести примечания.
Также важно оценить: носит ли фактическое исполнение рекомендации формальный характер и привело ли оно к устранению риска или нет. Далее, ориентируясь на эти знания, можно приступать к реализации основных этапов внутреннего аудита, представленных выше.
Раздел 2.4. «Переоценка» степени бизнес-риска. Обновленная Карта рисков: 2.0
Как было отмечено ранее, оценка степени бизнес-риска определяется аудитором, на основании его профессионального суждения. При этом он вправе ориентироваться на Карту рисков, подготовленную еще до начала самой проверки.
По итогам аудиторской проверки риска, который был отражен на Карте рисков еще до начала проверки, можно уточнить его местоположение на ней.
Иначе говоря: после окончания аудита, можно откорректировать предварительные сведения Карты рисков, внеся в нее фактические данные, в отношении рисков и уже по их местоположению на уточненной Карте определить степени этих рисков:
• низкая степень риска – риски в зеленой зоне уточненной Карты рисков;
• средняя степень риска – риски в желтой зоне уточненной Карты рисков;
• высокая степень риска – риски в красной зоне уточненной Карты рисков.
К примеру, по предварительным данным, отраженным на Карте рисков, операционный риск № 5, связанный с вероятностью не возврата работником подотчетных средств, на текущий момент находится в зеленой зоне. Напоминаем, что это зона рисков с наименьшим средним соотношением стоимости риска и вероятности его возникновения.
Не исключено, что после проведения аудита данного риска выясниться, что работник не намерен возвращать подотчетные средства, в результате чего данный риск перейдет в желтую зону рисков. А это уже зона рисков с увеличенным средним соотношением стоимости риска и вероятности его возникновения.
Таким образом, после проведенного аудита, операционный риск № 5 изменит свое местоположение на уточненной Карте рисков и фактическая степень данного риска возрастет.
Как видно, на практике может быть две Карты рисков:
– прогнозная Карта рисков с предварительными данными, сформированными до проведения аудита;
– фактическая Карта рисков с уточненными данными, сформированными уже после проведенного аудита.
Отмечу, что уточнять Карту рисков после каждой проверки не обязательно. Тем не менее, корректировка местоположения рисков является желательной. Дело в том, что уточненная (обновленная) или, другими словами, фактическая Карта рисков дает руководству компании и, прежде всего, ее собственникам наиболее полную и, самое главное, точную картину в отношении обнаруженных рисков и их влияния на бизнес.
Именно, по этой причине внесение уточнений в уже существующую Карту рисков играет важнейшую роль в управлении рисками в компании.
После того, как аудитор обновит Карту рисков «круг замыкается» и можно говорить о завершении процедур внутреннего аудита. Пора готовиться к новой проверке!
Раздел 2.5. Оценка эффективности внутреннего аудита
Отдельного внимания заслуживает вопрос эффективности внутреннего аудита. Ведь проведение аудиторских проверок и любых других мероприятий внутреннего контроля, является таким же бизнес-процессом, как и закупка сырья, производство продукции, реализация товаров, логистика и т. д.
Поэтому для контроля за деятельностью внутренних аудиторов и с целью оценки эффективности используемых аудиторских процедур, в компании должны быть разработаны соответствующие критерии такой оценки.
Они могут быть подготовлены, на основе такого документа, как, например, Инструкция Института внутренних аудиторов (далее по тексту – ИВА) по оценке качества деятельности внутреннего аудита (Quality Assessment Manual).
Рекомендуем использовать именно этот документ для разработки системы оценки деятельности внутреннего аудита, т. к. он в достаточной степени соответствует целям этой оценки, содержит понятийные и технические аспекты ее проведения. При этом в целях наиболее приближенного практического применения с учетом всех особенностей вашей компании вы вправе самостоятельно дополнять и вносить любые необходимые с вашей точки зрения изменения в этот документ. Есть один нюанс – сама Инструкция составлена на английском языке и для ее применения необходим адаптированный перевод. Если у вас «не очень» с английским или нет возможности получить ее перевод, вы вполне может придумать свои собственные критерии оценки, либо составить опросные листы, базирующиеся на основе четырех компонентов оценки функционирования внутреннего аудита, представленных в Инструкции.
Так, согласно данной Инструкции, оценка эффективности внутреннего аудита рассматривается в разрезе четырех компонентов, представленных на рисунке 13:
Рисунок 13. Компоненты эффективности ВА
Как следует из Инструкции ИВА, каждая компонента имеет свой собственный набор ключевых показателей, который соотносится с целями деятельности подразделения внутреннего аудита.
Так, показатели первой компоненты отражают уровень удовлетворенности Комитета по аудиту работой внутреннего аудита и, соответственно, степень достижения аудиторами целей, установленных Комитетом по аудиту.
Показатели второй компоненты отражают уровень удовлетворенности руководства и топ-менеджмента компании работой внутреннего аудита и степень достижения аудиторами целей, установленных руководством.
Показатели компоненты «Операционная деятельность», отражают качество текущей деятельности внутреннего аудита, в том числе, качество проводимых аудиторских проверок и процедур Пост-аудита по контролю устранения замечаний, выявленных по результатам ранее проведенных проверок.
Показатели, соответствующие компоненте «Инфраструктура внутреннего аудита», отражают уровень технического и информационного оснащения внутренних аудиторов, степень использования этих ресурсов в течение всей аудиторской проверки, а также качество и профессионализм внутренних аудиторов.
Отмечу, что анализ выполнения показателей, относящихся к двум вышеперечисленным компонентам, позволяет получить представление о репутации внутреннего аудита в компании и ответить на два важных вопроса:
– считают ли Аудиторский комитет и руководство компании, что результаты аудита являются достаточными для принятия на их основе управленческих бизнес-решений?
– насколько высоко Аудиторский комитет и руководство компании оценивают качество деятельности внутреннего аудита и является ли функция внутреннего аудита ценной для компании?
Таким образом, применение показателей оценки внутреннего аудита позволит заинтересованным сторонам определиться с тем, насколько эффективными и экономичными являются для компании мероприятия внутреннего аудита.
При этом как мы отмечали выше, качество внутреннего аудита в компании напрямую зависит от разработанных Стандартов, определяющих его деятельность. Если эти Стандарты отсутствуют, либо не соблюдаются, то деятельность внутреннего аудита в компании не будет эффективной. Данное обстоятельство еще раз подтверждает важность разработки Стандартов аудиторских проверок и их точного исполнения.
