Разумеется, в ряде случаев количество и содержание рекомендаций в отчете отличаются от количества и содержания рекомендаций в плане мероприятий по следующим вполне легитимным причинам:
• Низкий уровень развития управленческих технологий. Попросту говоря, рекомендации внутреннего аудита могут опережать время. Например, сложно реализовать проект по внедрению процесса управления рисками, если в компании никто до этого даже и не задумывался об этом.
• Отсутствие ресурсов на внесение существенных изменений. Компания может осознавать необходимость изменений, однако не может осуществить их из-за отсутствия необходимых сотрудников, свободных денежных средств и т. д. Особенно это касается изменений, имеющих отсроченный экономический эффект (например, разработка новых видов продукции), а также изменений, имеющих косвенный экономический эффект (например, внедрение ERP-систем).
• Отсутствие опыта внесения изменений в систему управления. Многие компании не меняются не потому, что не хотят, а потому, что не могут решиться на значительные изменения. В этой ситуации аудитору имеет смысл активно участвовать в реализации проектов по внедрению своих рекомендаций, иначе они так и останутся на бумаге.
Однако в наш век повышенной неопределенности способность проводить своевременные и эффективные изменения является одним из ключевых конкурентных преимуществ.
Процедура формирования плана мероприятий
Как уже говорилось, формирование плана мероприятий необходимо начинать с первого дня проекта. В первую очередь это связано с тем, что ряд проблем может не иметь простых решений и для их проработки требуется время и дополнительная информация. В процессе формирования плана мероприятий необходимо определиться в отношении следующих ключевых вопросов:
• подход к формированию плана;
• структура и содержание разделов плана;
• определение ответственных за выполнение мероприятия;
• определение даты выполнения мероприятия;
• согласование плана.
Подход к формированию плана. В целом при формировании плана мероприятий возможны три ключевых подхода.
• Внутренний аудит формирует план самостоятельно. Такой подход встречается довольно редко, т. к. для его использования необходимы существенные полномочия и административная поддержка. Его ключевое преимущество, декларативность, является одновременно и существенным недостатком – любое принуждение приводит к сопротивлению и саботажу. Однако этот подход обеспечивает высокую оперативность принятия решений, что может быть весьма критично в ряде ситуаций. Также при использовании такого подхода очень важно разбираться в той сфере, где планируются изменения. Ведь в случае неудачи ответственность во многом будет возложена на внутренний аудит.
• Сотрудники объекта аудита формируют план самостоятельно. Такой подход встречается намного чаще. И очень часто его использование вызвано банальной причиной – внутренние аудиторы слабо разбираются в нюансах тематики плана мероприятий. Многие аудиторы часто допускают критическую ошибку – они призывают к изменениям не на основании фактов, а на основании ощущения того, что что-то здесь (в процессе, в контроле, в ситуации и т. д.) неправильно. В результате аудиторы не понимают конкретики и скатываются к абстрактным формулировкам. В результате процесс формирования плана мероприятий превращается в игру «угадай, что нужно сделать». Неудивительно, что при таком раскладе большинство сотрудников объекта аудита «не угадывают». Еще одним результатом отсутствия осведомленности внутреннего аудита о лучших вариантах исправления недостатков является культивирование карательного подхода (применение дисциплинарных, материальных, административных и уголовных наказаний), разумеется, при наличии достаточной административной поддержки. Суть такого подхода заключается в простом правиле презумпции виновности – если что-то не так, то всегда виноват человек независимо от того, осознавал он это или нет. Использование такого подхода сопровождается иллюзией его эффективности не только у самих внутренних аудиторов, но и у руководства и владельцев компании. Действительно встречаются случаи продуманного мошенничества. Однако намного чаще люди поступают неправильно не потому, что к этому стремятся, а потому, что просто не знают, как поступать правильно, либо структура и/или содержание процесса не позволяет им этого делать. Например, частенько инвентаризации проводятся формально, т. е. данные учета подгоняются под фактические данные или наоборот. При карательном подходе аудиторы не будут разбираться и назначат виноватыми членов инвентаризационной комиссии. В плане мероприятий они обяжут предприятие усилить контроль за проведением инвентаризаций. Однако при более пристальном анализе ситуации может оказаться, что члены инвентаризационной комиссии участвовали в инвентаризации впервые, инструктаж перед проведением инвентаризации не проводился, на инвентаризацию было выделено слишком мало времени и т. д. Единственным однозначным эффектом, которого добьются аудиторы в такой ситуации, будет озлобленность по отношению и к ним самим, и к руководству компании. Это не способствует формированию здоровой и позитивной корпоративной культуры.
• Совместное формирование плана мероприятий. В данном случае возможны разные схемы взаимодействия, например круглые столы, совещания, привлечение сторонних экспертов. Такой подход наиболее продуктивен в компаниях с высоким уровнем корпоративной культуры. Очень важно, чтобы у внутреннего аудита была собственная обоснованная позиция в отношении деталей мероприятий. Иначе высока вероятность того, что внутреннему аудиту навяжут план мероприятий, исполнение которого не приведет к существенным позитивным изменениям. При таком варианте высока вероятность претензий к внутреннему аудиту. В условиях российского подхода к менеджменту внутреннему аудиту будет очень непросто в ответ на претензии апеллировать к международным стандартам внутреннего аудита, которые возлагают ответственность по управлению рисками на менеджмент.
Совместное формирование плана мероприятий – это всегда столкновение мнений и позиций. Часто руководство объекта аудита стремится ограничиться формальными или косметическими изменениями. Внутренние аудиторы, напротив, должны до последнего настаивать на изменениях, создающих дополнительную добавленную стоимость.
Структура и содержание разделов плана. План мероприятий должен содержать как минимум следующие разделы.
• Пункт отчета. Указание пункта отчета необходимо исключительно для обеспечения связи между отчетом и планом мероприятий.
• Описание недостатка. Оно соответствует описанию, указанному в отчете. По большей части этот раздел, как и раздел «Пункт отчета», необходим для связи между отчетом и планом мероприятий. Он также необходим в тех случаях, когда в пункте отчета описывается несколько недостатков, для которых существуют различные варианты рекомендаций.
• Содержание мероприятия. Здесь указывается мероприятие, которое направлено на устранение соответствующего недостатка.
• Дата исполнения. Здесь указывается дата завершения всех действий, направленных на выполнение мероприятия. Необходимо иметь в виду, что в ряде случаев результат этих действий не обязательно проявится сразу. Он может проявиться спустя какое-то время, и это необходимо учитывать при планировании мониторинга.
• Ответственный. В данном разделе указывается сотрудник объекта аудита, который отвечает за исполнение мероприятия в установленный срок и достижение определенного эффекта в результате выполнения этого мероприятия.
• Свидетельство исполнения. В данном разделе оговаривается, каким образом ответственный исполнитель будет подтверждать исполнение мероприятия. Если нельзя выделить однозначное свидетельство, то исполнение мероприятия должно подтверждаться в ходе мониторинга с использованием соответствующих аудиторских процедур.
В определенных ситуациях имеет смысл включать в состав плана мероприятий другие разделы. Например, в моей практике встречались планы мероприятий, в составе которых был еще раздел «Приоритетность». Он предназначался для того, чтобы руководство объекта аудита могло эффективно распределять ресурсы на выполнение план мероприятий. Однако шести основных разделов чаще всего достаточно.
Что касается формата плана мероприятий, то наиболее подходящим является табличный формат.
