Основными участниками процесса являются:

• подразделение внутреннего аудита – напрямую заинтересовано в результатах процесса, поэтому в большинстве случаев должно выступать основным исполнителем, координатором и организатором;

• аудиторский комитет/генеральный директор – во многих случаях ПВА подчиняется либо аудиторскому комитету, либо генеральному директору, которые осуществляют общее руководство (что в том числе подразумевает необходимость согласования с ними, так скажем, крупных моментов);

• руководство ключевых бизнес-процессов – в большинстве случаев это топ-менеджмент, возглавляющий определенную функцию в компании и подчиняющийся единому исполнительному органу компании (например, генеральному директору). Типичным примером являются руководители ключевых подразделений (например, заместитель генерального директора по производству или заместитель генерального директора по экономике и финансам) управляющей компании холдинга. Потенциально такие руководители обладают максимумом информации по направлениям своей деятельности в целом по холдингу (функциональные руководители отдельных предприятий, входящих в холдинг, в большинстве случаев имеют отрывочное представление о факторах риска в деятельности других предприятий холдинга);

• руководство объектов аудита – в классическом варианте это топ-менеджмент отдельного предприятия (входящего в состав группы). Намного реже в качестве руководства объекта аудита выступает руководство одного из ключевых процессов независимо от того, в каком юридическом лице данный процесс начинается и/или заканчивается. Последний вариант формирования объекта аудита встречается значительно реже первого варианта по той причине, что возможности ПВА по проведению аудита разных юридических лиц несопоставимы. Например, во многих холдинговых структурах управляющая компания в той или иной степени неприкасаема для аудита. Практически всегда это неправильно, т. к. многие проблемы контроля и криво организованных бизнес-процессов растут именно из головной компании;

• дирекция по управлению рисками – наименование говорит само за себя. Однако основная задача такого рода подразделений заключается в построении процесса управления рисками. Результаты данной работы в чистом виде не всегда пригодны для формирования карты рисков. По этой причине в большинстве случаев дирекция по управлению рисками является просто одним из участников процесса выявления и оценки рисков.

Рис. 5. Общая структура и основные этапы процесса управления проектами внутреннего аудита

Рассмотрим бегло содержание этапов процесса.

Идентификация и оценка рисков. Содержание данного процесса описано в главе «Формирование риск-ориентированного подхода к проведению проектов внутреннего аудита». Идентификация и оценка рисков может осуществляться как в рамках упрощенного, так и продвинутого метода риск-ориентированного аудита. Участие руководства ключевых бизнес-процессов в этом процессе обязательно. Руководство объектов аудита может принимать участие в процессе в зависимости от ситуации – основными препятствиями являются ограниченность ресурсов ПВА и жесткие временные рамки, а также целесообразность привлечения руководства потенциальных объектов аудита к процессу формирования карты рисков (учитывая, например, его стремление скрывать проблемы).

Построение карты рисков. Согласование карты рисков. Карта рисков должна соответствовать ряду требований. Ключевое требование заключается в обеспечении максимальной пригодности такой карты для формирования плана и программ аудита. Разумеется, сама карта должна представлять исчерпывающую и объективную картину наиболее существенных рисков компании. Содержание этого процесса также описано в главе «Формирование риск-ориентированного подхода к проведению проектов внутреннего аудита».

Что касается согласования карты рисков, то здесь есть один нюанс. Если руководство ключевых бизнес-процессов и/или руководство объекта аудита не принимало участия в идентификации и оценке рисков, то процесс согласования в лучшем случае пойдет со скрипом, а часто может просто саботироваться. Согласование призвано способствовать как максимально полной и объективной оценке рисков компании, так и формированию заинтересованности в поиске и выработке способов управления выявленными рисками. Согласование может показаться способом манипуляции, однако такое восприятие ошибочно – это объективно полезная и позитивная процедура.

Формирование плана на год. Согласование плана на год. ПВА должно формировать план проектов на год с учетом ряда нюансов.

Нюанс 1. План должен быть по силам для ПВА с точки зрения ресурсоемкости, требований к компетенции и наличия административной поддержки. Все эти составляющие осуществимости плана зависят от разнообразных факторов.

Ресурсоемкость в первую очередь соотносится со способностью конкретного аудитора или команды аудиторов выполнить определенную работу за определенное время с достижением необходимого качества. Повышение профессионального уровня аудиторов, увеличение их количества, поддержание высокой мотивации, уменьшение количества и снижение сложности проектов и многое другое способствуют повышению ресурсоемкости плана. Обратные тенденции способствуют снижению ресурсоемкости плана. Руководитель ПВА не должен забывать, что людям для того, чтобы хорошо работать, необходимо хорошо отдыхать. План не должен заставлять прыгать выше головы в течение слишком длительного времени.

Команда аудиторов должна быть способна выполнить план при текущем уровне знаний, опыта и навыков. Если руководитель ПВА формирует проект аудита, для исполнения которого уровень компетенции его команды недостаточен, он должен позаботиться о привлечении необходимой компетенции со стороны.

Отсутствие административной поддержки является серьезным препятствием на пути выполнения плана аудита. Чем ниже уровень корпоративной культуры и чем выше уровень бюрократии и политизированности в компании, тем большее значение имеет обеспечение достаточной административной поддержки для успешного выполнения плана аудита. Все это попахивает крысиными бегами, однако такова российская действительность.

Нюанс 2. План должен учитывать пожелания как непосредственного руководства ПВА (например, аудиторского комитета), так и пожелания генерального директора, руководства ключевых бизнес-процессов, а также, порой, руководства потенциальных объектов аудита. Пожелания учитываются отнюдь не из вежливости, а для обеспечения взаимовыгодного сотрудничества ради процветания компании. Разумеется, пожелания могут быть нацелены на сдерживание особо прытких ПВА. Однако нередко их учет приносит немалую пользу. Управление данным нюансом во многом зависит от способностей руководителя ПВА. При этом стоит помнить, что необоснованный отказ от учета пожелания может осложнить работу ПВА в будущем.

Нюанс 3. План должен предусматривать резерв времени. Год – довольно продолжительный период. В течение года может произойти множество событий как способствующих исполнению плана, так и препятствующих его исполнению. К последним относятся временное отсутствие сотрудников ПВА по различным причинам, организационные накладки, отсутствие ключевых сотрудников объекта аудита, затягивание выполнения проектов и т. д.

Кроме того, довольно часто резерв времени создается под точечные проекты, возникающие в оперативном порядке. ПВА важно оказывать максимальную поддержку бизнесу. Обычно резерв составляет 10–15 % от времени всех плановых проектов.

Нюанс 4. План должен иметь достаточную детализацию. Как минимум он должен представлять собой план-график с указанием начальной и конечной дат каждого проекта и общей продолжительности проекта. При наличии нескольких команд внутренних аудиторов в составе ПВА необходимо распределить проекты между ними. При более детальном планировании каждый проект разбивается на ключевые этапы, которые расставляются в хронологической и процессной последовательности.

Нюанс 5. План должен иметь несколько вариантов. Это объясняется несколькими причинами. Во-первых, стороны, согласующие план, должны иметь несколько вариантов для выбора наилучшего с их точки зрения. Формируя несколько версий плана, руководитель ПВА предоставляет такую возможность. Во-вторых, различные сочетания ресурсов, имеющихся в распоряжении ПВА, могут предоставлять разные возможности проведения проектов. Чаще всего ПВА не хватает ресурсов для проведения всех проектов, результаты которых могли бы принести существенную пользу компании. Многие проекты приходится откладывать, а некоторые могут вообще не состояться. Поэтому руководитель ПВА должен постоянно напоминать своему руководству и руководству компании, что теряет компания, ограничивая ресурсы ПВА. Составление нескольких вариантов плана (с различными сочетаниями ресурсы/результаты) – один из способов напоминания. Однако основная цель – не напомнить об упущенных возможностях, а заинтересовать в максимальном использовании функционала внутреннего аудита. В-третьих, план дает руководителю ПВА некоторые возможности по манипулированию как своим руководством, так и руководством компании. Ведь всегда можно сделать один вариант более привлекательным, чем остальные. Самое главное – пользоваться этим, когда необходимость в целесообразной манипуляции действительно существует.