Как уже говорилось, формирование плана мероприятий необходимо начинать с первого дня проекта. В первую очередь это связано с тем, что ряд проблем может не иметь простых решений и для их проработки требуется время и дополнительная информация. В процессе формирования плана мероприятий необходимо определиться в отношении следующих ключевых вопросов:
• подход к формированию плана;
• структура и содержание разделов плана;
• определение ответственных за выполнение мероприятия;
• определение даты выполнения мероприятия;
• согласование плана.
Подход к формированию плана. В целом при формировании плана мероприятий возможны три ключевых подхода.
• Внутренний аудит формирует план самостоятельно. Такой подход встречается довольно редко, т. к. для его использования необходимы существенные полномочия и административная поддержка. Его ключевое преимущество, декларативность, является одновременно и существенным недостатком – любое принуждение приводит к сопротивлению и саботажу. Однако этот подход обеспечивает высокую оперативность принятия решений, что может быть весьма критично в ряде ситуаций. Также при использовании такого подхода очень важно разбираться в той сфере, где планируются изменения. Ведь в случае неудачи ответственность во многом будет возложена на внутренний аудит.
• Сотрудники объекта аудита формируют план самостоятельно. Такой подход встречается намного чаще. И очень часто его использование вызвано банальной причиной – внутренние аудиторы слабо разбираются в нюансах тематики плана мероприятий. Многие аудиторы часто допускают критическую ошибку – они призывают к изменениям не на основании фактов, а на основании ощущения того, что что-то здесь (в процессе, в контроле, в ситуации и т. д.) неправильно. В результате аудиторы не понимают конкретики и скатываются к абстрактным формулировкам. В результате процесс формирования плана мероприятий превращается в игру «угадай, что нужно сделать». Неудивительно, что при таком раскладе большинство сотрудников объекта аудита «не угадывают». Еще одним результатом отсутствия осведомленности внутреннего аудита о лучших вариантах исправления недостатков является культивирование карательного подхода (применение дисциплинарных, материальных, административных и уголовных наказаний), разумеется, при наличии достаточной административной поддержки. Суть такого подхода заключается в простом правиле презумпции виновности – если что-то не так, то всегда виноват человек независимо от того, осознавал он это или нет. Использование такого подхода сопровождается иллюзией его эффективности не только у самих внутренних аудиторов, но и у руководства и владельцев компании. Действительно встречаются случаи продуманного мошенничества. Однако намного чаще люди поступают неправильно не потому, что к этому стремятся, а потому, что просто не знают, как поступать правильно, либо структура и/или содержание процесса не позволяет им этого делать. Например, частенько инвентаризации проводятся формально, т. е. данные учета подгоняются под фактические данные или наоборот. При карательном подходе аудиторы не будут разбираться и назначат виноватыми членов инвентаризационной комиссии. В плане мероприятий они обяжут предприятие усилить контроль за проведением инвентаризаций. Однако при более пристальном анализе ситуации может оказаться, что члены инвентаризационной комиссии участвовали в инвентаризации впервые, инструктаж перед проведением инвентаризации не проводился, на инвентаризацию было выделено слишком мало времени и т. д. Единственным однозначным эффектом, которого добьются аудиторы в такой ситуации, будет озлобленность по отношению и к ним самим, и к руководству компании. Это не способствует формированию здоровой и позитивной корпоративной культуры.
• Совместное формирование плана мероприятий. В данном случае возможны разные схемы взаимодействия, например круглые столы, совещания, привлечение сторонних экспертов. Такой подход наиболее продуктивен в компаниях с высоким уровнем корпоративной культуры. Очень важно, чтобы у внутреннего аудита была собственная обоснованная позиция в отношении деталей мероприятий. Иначе высока вероятность того, что внутреннему аудиту навяжут план мероприятий, исполнение которого не приведет к существенным позитивным изменениям. При таком варианте высока вероятность претензий к внутреннему аудиту. В условиях российского подхода к менеджменту внутреннему аудиту будет очень непросто в ответ на претензии апеллировать к международным стандартам внутреннего аудита, которые возлагают ответственность по управлению рисками на менеджмент.
Совместное формирование плана мероприятий – это всегда столкновение мнений и позиций. Часто руководство объекта аудита стремится ограничиться формальными или косметическими изменениями. Внутренние аудиторы, напротив, должны до последнего настаивать на изменениях, создающих дополнительную добавленную стоимость.
Структура и содержание разделов плана. План мероприятий должен содержать как минимум следующие разделы.
• Пункт отчета. Указание пункта отчета необходимо исключительно для обеспечения связи между отчетом и планом мероприятий.
• Описание недостатка. Оно соответствует описанию, указанному в отчете. По большей части этот раздел, как и раздел «Пункт отчета», необходим для связи между отчетом и планом мероприятий. Он также необходим в тех случаях, когда в пункте отчета описывается несколько недостатков, для которых существуют различные варианты рекомендаций.
• Содержание мероприятия. Здесь указывается мероприятие, которое направлено на устранение соответствующего недостатка.
• Дата исполнения. Здесь указывается дата завершения всех действий, направленных на выполнение мероприятия. Необходимо иметь в виду, что в ряде случаев результат этих действий не обязательно проявится сразу. Он может проявиться спустя какое-то время, и это необходимо учитывать при планировании мониторинга.
• Ответственный. В данном разделе указывается сотрудник объекта аудита, который отвечает за исполнение мероприятия в установленный срок и достижение определенного эффекта в результате выполнения этого мероприятия.
• Свидетельство исполнения. В данном разделе оговаривается, каким образом ответственный исполнитель будет подтверждать исполнение мероприятия. Если нельзя выделить однозначное свидетельство, то исполнение мероприятия должно подтверждаться в ходе мониторинга с использованием соответствующих аудиторских процедур.
В определенных ситуациях имеет смысл включать в состав плана мероприятий другие разделы. Например, в моей практике встречались планы мероприятий, в составе которых был еще раздел «Приоритетность». Он предназначался для того, чтобы руководство объекта аудита могло эффективно распределять ресурсы на выполнение план мероприятий. Однако шести основных разделов чаще всего достаточно.
Что касается формата плана мероприятий, то наиболее подходящим является табличный формат.
Определение ответственных за выполнение мероприятия. При выборе ответственных необходимо придерживаться ключевого принципа – ответственный за выполнение мероприятия должен обладать необходимыми полномочиями и возможностями. Под возможностями в первую очередь подразумеваются технические (экспертные) возможности. Также на роль ответственного необходимо выбирать такого сотрудника объекта аудита, который максимально заинтересован, исходя из своих целей и задач, в выполнении мероприятия. Уточнение «исходя из своих целей и задач» весьма важно, так как оно показывает, что персональный интерес к решению проблемы и прилив энтузиазма ответственный сотрудник испытывать не обязан. Выбор ответственного определяется его местом и ролью в процессе, а не субъективными ощущениями и соображениями.
Также не стоит увлекаться назначением в качестве ответственного за выполнение мероприятия руководителя объекта аудита, особенно генерального директора. В большинстве случаев это противоречит ключевому принципу выбора ответственного – генеральный директор обладает максимальными административными возможностями, но вряд ли он всегда будет иметь максимальные технические (экспертные) возможности.
Определение даты выполнения мероприятия. В большинстве случаев план мероприятия не требует срочного выполнения. Кроме того, большая часть мероприятий возлагает дополнительную нагрузку на сотрудников, которая нечасто компенсируется, в первую очередь материально. По этой причине, предлагая очень оптимистичную дату, аудитор оказывает давление на сотрудников объекта аудита, что приводит к излишнему негативу. В определении даты выполнения мероприятия уместно пойти на максимальные уступки.
Согласование плана. Существует два основных варианта инициирования процедуры согласования плана мероприятий.
• Внутренний аудит самостоятельно формирует исходный план. Такой подход целесообразно применять в большинстве российских компаний, особенно если план в компании видят впервые. Логика здесь проста – в большинстве случаев мероприятия скорее будут вычеркиваться, чем добавляться. По этой причине внутреннему аудиту проще составить план мероприятий самостоятельно, т. к. в этом случае он будет максимально расширенным. Затем план мероприятий по версии внутреннего аудита направляется руководству объекта аудита на рассмотрение, после которого руководство возвращает план мероприятий с корректировками. Такая перепасовка может продолжаться какое-то время, особенно если план мероприятий касается сложных проблем.
• Руководство объекта аудита самостоятельно формирует исходный план. Этот вариант полностью соответствует международным стандартам внутреннего аудита. В соответствии с ними менеджмент объекта аудита несет ответственность за управление рисками, поэтому он и должен определять необходимый объем и масштаб изменений (исправлений). Однако в российских условиях при таком подходе план мероприятий может не появиться никогда. Только в компаниях с высоким уровнем корпоративной культуры и продвинутым менеджментом возможна подготовка исходного плана мероприятий руководством объекта аудита. В остальном все аналогично первому варианту – также возможны перепасовки, и чем сложнее проблемы, тем их больше.
Нередко обсуждение плана мероприятий приводит к необходимости дополнительных уточнений и анализа. Таким образом, аудитор должен быть готов к тому, что проект не всегда заканчивается после написания финального отчета. При наличии существенных расхождений внутренний аудит должен приложить максимум усилий для доказательства большей полезности своей позиции. В моей практике бывали случаи, когда план мероприятий согласовывался в два-три месяца и при этом проводилось дополнительное уточняющее тестирование. Кроме того, обсуждения могут выходить за рамки объекта аудита, особенно в случае, как говорится, непримиримых разногласий по плану. В такой ситуации требуется привлечение третьей стороны в качестве третейского судьи. Обычно в этой роли выступают вышестоящие пользователи отчета внутреннего аудита, вплоть до совета директоров.
При согласовании необходимо придерживаться принципа – чем существеннее объем и значимость изменений, тем выше уровень согласующего, хотя в большинстве случаев это будет руководитель юридического лица, в состав которого входит объект аудита. Также важно официально зафиксировать факт согласования либо путем визирования документа, либо путем выполнения соответствующих процедур в системе электронного документооборота. Наличие формализованного согласования служит однозначным основанием для дальнейших действий (мониторинг, наложение взысканий за невыполнение и т. д.).