Яна Дерюгина, руководитель контрольно-ревизионного управления ГК «Автомир»

В крупных компаниях сплошной аудит таких бизнес-процессов, как продажи, снабжение или производство, — крайне трудоемкая работа. Лучших результатов можно добиться, если сконцентрировать усилия службы внутреннего аудита на отдельных подпроцессах. Чтобы правильно выделить область для проверки,  следует определить контрольные точки, идентифицировать и оценить существующие риски. В статье  описан подход к планированию внутреннего аудита, реализованный в группе компаний «Автомир».

Функции службы внутреннего аудита в группе компаний «Автомир» возложены на контрольно-ревизионное управление (КРУ), сформированное в 2003 году. Численность сотрудников – 13 человек. Управление подчиняется генеральному директору. При этом больший объем работ, выполняемых КРУ, приходится на аудит системы внутреннего контроля продаж. Для «Автомира» реализация автомобилей, сопутствующих товаров и услуг – основной вид деятельности, и от того, как  работают контрольные процедуры именно в этой области, во многом зависит успех реализации всех стратегических целей компании.

Справка о компании
Группа компаний «Автомир» основана в 1993 году.
Выручка за 2006 год составила 1073 млн долл. США.
В группу компаний входит 16 центров, расположенных в Москве, и 7 региональных торгово-сервисных комплексов.
Общая численность сотрудников – свыше 5000 человек.

Любая аудиторская проверка, в том числе аудит продаж, начинается с составления плана аудита, основная задача которого ответить на вопрос: какие составляющие процесса и системы внутреннего контроля следует проверять. 

Екатерина Сурикова, руководитель департамента внутреннего аудита ОАО «Автофрамос» (Renault)
На практике проведение сплошного тестирования не всегда целесообразно. Принимая во внимание то, что время на аудит всегда ограниченно, чаще всего в нашей компании применяется выборочное тестирование, вне зависимости от той или иной степени существующего риска. Разумеется, когда количество элементов, подлежащих проверке,  невелико либо  всю их совокупность можно без значительных трудозатрат проверить с помощью программного обеспечения, проводится сплошная проверка. Во всех остальных случаях применяется выборочное тестирование на основе использования нестатистической выборки. Главное при этом  – обеспечить,  насколько это возможно, максимальную репрезентативность. Универсальных рекомендаций нет. Все зависит от целей теста и характера анализируемых элементов. Понимание сути рисков в процессах (подпроцессах) и их оценка,  сформированные на стадии планирования аудита, могут значительно варьировать состав элементов выборки. Например, если в течение аудируемого периода произошло внедрение новой информационной системы или ее модификации, то в выборку мы обязательно включаем элементы, относящиеся к периодам до и после внедрения системы. Также для формирования выборки мы обязательно отбираем элементы, относящиеся к периодам, в которых имели место смена, замещение или отсутствие ответственных лиц.

Для того чтобы в кратчайшие сроки выявить существующие нарушения в системе внутреннего контроля и минимизировать риски, в ГК «Автомир» был разработан комплексный подход к планированию аудита продаж, состоящий из следующих основных этапов:
– анализ и детализация бизнес-процесса;
– идентификация и оценка рисков;
– оценка системы внутреннего контроля и результатов предшествующих проверок;
– формирование плана аудита.
Остановимся на перечисленных этапах подробнее.

Анализ и детализация бизнес-процесса
Внутренний аудит эффективен, если его итоги дают ответ на вопрос: что мешает развитию компании в конкретной области. Поэтому на начальной стадии планирования аудита необходимо разобраться, что представляет собой аудируемый процесс, каковы его основные составляющие (подпроцессы) и как они взаимосвязаны. В группе компаний «Автомир» именно подпроцессы считаются минимальными объектами аудита.
Анализ процесса «Продажи» предполагает сбор и изучение внутрифирменных положений, приказов по предприятию, протоколов совещаний.

Документы, необходимые для анализа процесса «Продажи»
Для изучения бизнес-процесса «Продажи» следует запросить следующие документы:
– организационную структуру коммерческой службы;
– положение о коммерческой службе;
– должностные инструкции сотрудников коммерческой службы;
– схему документооборота по бизнес-процессу «Продажи»;
– регламент бизнес-процесса «Продажи»;
– учетную политику компании;
– формы типовых договоров.
Приведенный перечень документов не универсален и может изменяться в зависимости от специфики продаж в различных  организациях.

Не менее важно проведение предварительного интервью с владельцем процесса – коммерческим директором. Цель беседы – составить общее представление о том, кто из сотрудников отвечает за решение отдельных локальных задач (например, общение с клиентами), каковы основные типы товаров (работ и услуг), реализуемых компанией, кто покупатели и т.д. 

Екатерина Сурикова, руководитель департамента внутреннего аудита ОАО «Автофрамос» (Renault)
При оценке системы внутреннего контроля в нашей компании значительное внимание уделяется анализу информационных систем, которые сопровождают проверяемые бизнес-процессы. Поэтому на этапе планирования аудиторской проверки необходимо получить детальное представление об информационных системах: их описание и данные о функциональности, сведения о наличии системы контроля и проверок, особенности определения и использования прав доступа, возможность получения различных отчетных данных. 
Необходимо также отметить, что внедрение в проверяемом периоде новых информационных систем или их модификация всегда влекут за собой дополнительные риски и требуют проведения дополнительных аудиторских процедур, даже если по результатам предыдущих аудитов в процессе или подпроцессе не было выявлено системных проблем.

На основании полученных сведений и результатов анализа в рамках бизнес-процесса «Продажи» выделяются подпроцессы, которые представляют собой набор последовательных операций, ориентированных на решение локальных задач. Основной принцип группировки действий в подпроцессы – отсутствие существенных отличий в организации работ. Четкого критерия существенности нет, и многое зависит от аудиторского суждения. 
По мнению автора, самая сложная задача при выделении подпроцессов – определить уровень детализации. Например, в качестве подпроцесса можно выделить «Продажу новых автомобилей», «Продажу подержанных автомобилей», «Страхование»,  или «Формирование счета на оплату», «Подписание договора», «Прием заказа». 
Детальное описание позволяет точно определить, что следует проверить в ходе аудита, однако потребует много времени. В ГК «Автомир» выбор был сделан в пользу укрупненных подпроцессов (см. схему 1), которые были выделены по типам покупателей, видам продукции (услуг и работ) и с учетом схем ценообразования.
Следует отметить, что, если бизнес-процессы в компании устоялись, нет необходимости каждый раз начинать аудит с анализа процесса продаж – можно сразу переходить на этап идентификации рисков.

 Схема 1. Пример детализации бизнес-процесса «Продажи» в группе компаний «Автомир»

Наталья Иванова, руководитель направления «Внутренний контроль и управление рисками» Невской Консалтинговой Компании
Любой бизнес-процесс можно условно разделить на основные этапы. Результаты выполнения каждого  из них должен соответствовать установленным требованиям, включающим такие показатели, как срок, качество, стоимость, ресурсоемкость и т.д. 
Мы начинаем анализ бизнес-процесса с направления запроса его владельцу или руководителю функционального подразделения, который отвечает за бизнес-процесс. В запросе мы указываем перечень документов и регламентов, относящихся к процессу и необходимых для его анализа. Получение документов оформляется актом приема-передачи, что позволяет избегать ситуаций типа: «запрашивали, но не получили», «взяли и не вернули» или «взяли и потеряли». 
Вместе с тем я считаю не менее важным и непосредственное общение с участниками бизнес-процесса. Сначала следует составить список лиц, с которыми необходимо побеседовать. Причем начинать следует с сотрудников, которые могут дать общее представление о процессе в целом — как правило, это руководители подразделений. После этого  можно перейти к рядовым исполнителям. Интервью получается более информативным, если участникам встречи предварительно направить вопросы, которые  планируется обсудить. 
Тщательно продуманные вопросы позволят получить не только более полную информацию о том, как выполняется бизнес-процесс и насколько он соответствует утвержденному порядку, но и выявить проблемные зоны и участки, требующие повышенного внимания.
Результаты интервью желательно оформить в виде протокола,  подписанного всеми участниками встречи. В дальнейшем это значительно упростит процедуру согласования результатов проверки.

 

Петр Скуридин, внутренний аудитор HBCCoca-Cola
Выделяя крупные блоки, сложно выявить и оценить существующие риски. На мой взгляд, описанный подход оправдан для небольших компаний, в которых немного структурных подразделений, нет централизованных функций и широкой сети филиалов. На более крупных прелприятиях идентификация подпроцессов должна быть на один-два уровня глубже. 
В ассортименте торговой компании может быть несколько сотен наименований, поэтому выделение подпроцессов по ассортиментной линейке и способу оплаты не всегда осуществимо. В таких случаях необходим функциональный подход. Например, выделить подпроцессы приема заказов, формирования документации на отгрузку, обработки платежей клиентов и т.д.

Идентификация и оценка рисков
Процедура идентификации предполагает тестирование каждого подпроцесса на предмет наличия ключевых рисков, а именно: 
– хищение активов (риск № 1);
– несоблюдение нормативной базы и внутренних регламентов компании (риск № 2);
– неэффективность процессов (риск № 3);
– недостоверность учетной информации (риск № 4).

Юрий Жеймо, начальник департамента внутреннего аудита ОАО «МегаФон»
Предложенная классификация рисков - обобщенная, основана на целях системы внутреннего контроля предприятия. Продажа автомобилей – относительно простой бизнес-процесс, поэтому выделения укрупненных рисков может быть и достаточно. Но чем сложнее процесс, тем более детальное указание рисков может потребоваться. Например, процесс продаж в отрасли связи содержит достаточно большое количество подпроцессов, и сами они значительно сложнее. И здесь уже нельзя просто указать на риск, скажем, неоптимальности. Он может быть всегда и везде. Необходима конкретика, детализация. Недостаточно выделить категории рисков, надо четко описать сами риски для правильного планирования аудиторской работы.

Однако определить, какие риски свойственны, например, подпроцессу «Продажа новых автомобилей», не углубляясь в отдельные операции, практически невозможно. Для решения этой проблемы сотрудники контрорльно-ревизионного управления компании «Автомир» в рамках подпроцессов выделяют так называемые контрольные точки (операции,  проверка которых обязательна и предусмотрена системой внутреннего контроля). При аудите продаж применяется следующий набор контрольных точек:
– взаимодействие с покупателями на этапе заказа продукции;
– ценообразование;
– соблюдение установленных условий продаж;
– отпуск продукции покупателю (выполнение работ, оказание услуг);
– расчеты с покупателями;
– отражение в учете поступления, движения и реализации продукции;
– контроль дебиторской задолженности.
Каждая из перечисленных позиций имеет свои особенности. Например, для контрольной точки «соблюдение установленных условий продаж», как правило, характерны такие виды рисков, как несоблюдение нормативной базы и внутренних регламентов компании, хищение активов. 
Результат работы по идентификации рисков - распределение их по выделенным подпроцессам.
Следующий шаг – оценка вероятности наступления неблагоприятного события и ожидаемого ущерба. Стоит отметить, что на данном этапе риски анализируются без учета контрольных процедур, предусмотренных в компании для снижения риска. 
В ГК «Автомир» вероятность каждого вида риска и возможный ущерб от него оцениваются по трехбалльной шкале на основании экспертных оценок сотрудников контрольно-ревизионного управления. Баллы присваиваются следующим образом: 
– 1 балл – высокая вероятность (большой ущерб);
– 2 балла – средняя вероятность (средний ущерб);
– 3 балла – низкая вероятность (незначительный ущерб).
Исключение составляет оценка ущерба для риска хищения активов (баллы присваиваются в зависимости от суммы ожидаемых потерь): 
– 1 балл – потери свыше 10 тыс. долл. США;
– 2 балла – потери до 10 тыс. долл. США;
– 3 балла – потери до 1 тыс. долл. США. 
Итоговая оценка риска определяется как среднее значение баллов по показателям «вероятность наступления неблагоприятного события» и «ожидаемый ущерб». Риски со средним итоговым баллом больше двух в план аудита не включаются. 
Для преемственности результатов проверок в разделы рабочих документов, где дается  оценка риска, можно включать  суждения проверяющих о наличии риска, вероятности его реализации и ожидаемых потерях.

Оценка системы внутреннего контроля и результатов предшествующих проверок
После выявления значимых рисков и их оценки специалисты, проводящие аудиторскую проверку, должны ответить на следующие вопросы:
– возможно ли за счет изменения процесса снизить риски;
– как организовать подпроцесс, чтобы снизить уровень риска;
– какие контрольные процедуры, предусмотренные существующими регламентами, наиболее эффективны. 
Информацию для анализа можно получить из описаний процессов,  составленных в ходе предыдущих этапов планирования и бесед с сотрудниками компании.

Наталья Иванова, руководитель направления «Внутренний контроль и управление рисками» Невской Консалтинговой Компании
Для оценки существующей системы внутреннего контроля необходимо выяснить:

– какие процедуры внутри бизнес-процесса предусмотрены для предотвращения негативных событий;
– какие действия  должны выполняться для оперативного и экономичного восстановления нормального процесса в случае реализации негативных событий;
– насколько персонализирована ответственность в контрольных точках;
– как распределены права и полномочия между исполнителями контрольных процедур;
– каким образом подтверждаются факты проведения контрольных процедур.

Система внутреннего контроля, как и вероятность рисков, сотрудниками КРУ оценивается по 3-балльной шкале:
– 1 балл – предусмотренная система контроля не действует;
– 2 балла – уровень контрольных процедур  ниже, чем требуется;
– 3 балла – достаточный уровень контроля, процедуры описаны во внутренних регламентах.
При планировании необходимо также учитывать результаты предшествующих аудиторских проверок, позволяющих судить о том, применяются ли контрольные процедуры на практике или нет. Другими словами, нужно выяснить, встречались ли раньше нарушения и проблемы, связанные с выполнением предусмотренных регламентов; какие меры были приняты для устранения выявленных недостатков и т.д. Итоги предшествующих аудиторских проверок также оцениваются по 3-балльной шкале:
– 1 балл – аудит подпроцесса не проводился или были выявлены многочисленные нарушения и системные проблемы;
– 2 балла – в ходе аудита были выявлены неэффективные контрольные процедуры и нарушения, связанные с недостатками составленных регламентов;
– 3 балла – по результатам аудита существующая система внутреннего контроля признана достаточно эффективной.
Перечисленные оценки необходимы, чтобы при составлении плана аудита определить не только подпроцессы, которые будут охвачены аудиторской проверкой, но и ее объем.

Формирование плана аудита
Применяемый в ГК «Автомир» подход к составлению плана аудита отличается от распространенной аудиторской практики, когда решение о проверке принимается на основании суммы всех баллов, присвоенных выявленным рискам, системе внутреннего контроля и результатам предыдущих аудитов. В обязательном порядке проводится аудит тех подпроцессов, где уровень риска равен 1 баллу. Это позволяет исключить вероятность ошибки, допущенной в ходе предыдущих проверок. 
От полученной оценки системы внутреннего контроля и результатов предшествующего аудита зависит объем выборки (см. таб. 1):
– если СВК оценена как надежная (3 балла) и по результатам предыдущих аудитов не было существенных проблем (3 балла), то проводится выборочное тестирование;
– если системе внутреннего контроля присвоено 1–2 балла и результаты предшествующего аудита неудовлетворительны, то проводится сплошное тестирование. 
Итог этого этапа – сформированный план, в котором указаны проверяемые подпроцессы, контрольные точки, а также объем выборки (сплошная или точечная) и аудиторские процедуры. После этого остается провести проверку.

Екатерина Сурикова, руководитель департамента внутреннего аудита ОАО «Автофрамос» (Renault)
Я убедилась на собственном опыте, что работа по планированию аудита является достаточно трудоемкой. На формирование плана аудиторской проверки в нашей компании тратится треть всего времени, отведенного на аудит.

Таблица 1 
План аудита подпроцесса «Продажа новых автомобилей»

Возможные риски	Вероятность	Ущерб	Уровень риска (гр. 2 + гр. 3)/2	Оценка СВК	Оценка результатов предыдущих аудитов	Объем проверки	Необходимые мероприятия
1	2	3	4	5	6	7	8
За наличный расчет
Физическим лицам
Риск 1. Хищение активов	1	1	1	3	3	Выборочная	Подтвердить действие предусмотренных контрольных процедур
Риск 2. Несоблюдение нормативной базы	2	1	1,5	3	2	Сплошная	Проверка правильности составления документации и отчетов на соответствие требованиям утвержденных регламентов. Проверка соблюдения установленных правил продаж
Риск 3. Неоптимальность процессов	2	2	2	3	3	Выборочная	Анализ возможности и необходимости внесения корректировок в предусмотренные процедуры контроля
Риск 4. Недостоверность учетной информации	3	2	2,5				Проведение контрольных мероприятий не требуется

Результаты
Использование описанного подхода к планированию аудита сотрудниками КРУ ГК «Автомир» позволило в кратчайшие сроки выявить недостатки в системе внутреннего контроля бизнес-процесса «Продажи». Например, нарушения главного принципа предоставления скидок клиентам, суть которого сводится к следующему: чем больше скидка, тем выше должность сотрудника, ее санкционирующего.  Была обнаружена и другая проблема, связанная с порядком предоставления скидок по дисконтной программе. В группе компаний «Автомир» при приобретении автомобиля или постановке его на обслуживание клиент может получить скидку по фирменной дисконтной карте. При ходе проверки был обнаружен риск,  не закрываемый предусмотренной системой внутреннего контроля, а именно: отсутствие процедуры подтверждения фактического наличия дисконтной карты у покупателя. По данным отчетности, разные клиенты получали скидки по одной и той же дисконтной карте. Сейчас перечисленные недостатки устранены. Регулярно проводятся выборочные проверки. 
В целом унифицированный подход к планированию аудита позволяет значительно сэкономить время на аудит. Проведение сплошных аудиторских проверок не дало бы более ощутимого результата, хотя потребовало бы