Внутрішній аудит бізнес-процесів підприємства

Размещено на http://www.allbest.ru/

НЦОА НАСОА

ВНУТРІШНІЙ АУДИТ БІЗНЕС-ПРОЦЕСІВ ПІДПРИЄМСТВА

Каменська Т.О., доцент

Анотація

аудит бізнес внутрішній підприємство

В даній статті розглядаються питання організації та проведення внутрішнього аудиту бізнес-процесів на підприємстві. Автор дає визначення бізнес-процесу, описує типи бізнес-процесів та їх характеристики. На основі аналізу існуючих проблем організації бізнес-процесів на підприємствах, надаються рекомендації щодо проведення окремих етапів внутрішнього аудиту оцінки бізнес-процесів для підвищення ефективності системи управління підприємством. Особлива увага в статті приділяється питанням документального оформлення процесу аудиту та його результатів.

Ключові слова: внутрішній аудит, бізнес-процес, документування, процедури контролю.

Annotation

In this article the issue of internal audit and business processes in the enterprise is analyzed. The author gives the definition of business process, describes the types of business processes and their characteristics. On the basis of the current problems of business processes organization in the enterprises analysis, recommendations for individual stages of the internal audit assessment of business processes are given to improve system management. Particular attention is paid to articles documenting audit process and its results.

Key words: Internal audit, business process, documentation, control procedures.

Аннотация

В данной статье рассматриваются вопросы организации и проведения внутреннего аудита бизнес-процессов на предприятии. Автор дает определение бизнес-процесса, описывает типы бизнес-процессов и их характеристики. На основе анализа существующих проблем организации бизнес-процессов на предприятиях, рекомендации по проведению отдельных этапов внутреннего аудита оценке бизнес-процессов для повышения эффективности системы управления предприятием. Особое внимание в статье уделяется вопросам документального оформления процесса аудита и его результатов.

Ключевые слова: внутренний аудит, бизнес-процесс, документирования, процедуры контроля.

Постановка проблеми

Бізнес-процес - це послідовність взаємозалежних дій або завдань, які приводять до створення певного продукту або послуги для споживачів. Часто бізнес-процеси відображають за допомогою блок-схеми бізнес-процесів. Існують три види бізнес-процесів:

1)Керуючі - бізнес-процеси, які управляють функціонуванням системи. Прикладом керуючого процесу може служити Корпоративне управління й Стратегічний менеджмент.

2)Операційні - бізнес-процеси, які становлять основний бізнес підприємства й створюють основний потік доходів. Прикладами операційних бізнес-процесів є Постачання, Виробництво, Маркетинг і Продажі.

3)Підтримуючі - бізнес-процеси, які обслуговують основний бізнес. Наприклад, Бухгалтерський облік, Підбор персоналу, Технічна підтримка.

Бізнес-процес може бути декомпонізовано на кілька під-процесів, які мають власні атрибути, однак також спрямовані на досягнення мети основного бізнесу-процесу.

Бізнес-процес повинен бути:

а) описаним,

б) оптимальним, і

в) дійсно виконуватися відповідно до опису.

Саме від цього залежать результати роботи підприємства, у тому числі й фінансові.

Власники й менеджмент підприємства одержують наступні вигоди від формалізації й оптимізації процесів:

· Чітке розуміння того, як працює підприємство.

· Стандартизацію процесів.

· Підвищення якості робіт і керованості бізнесу.

· Можливість усвідомлено поліпшувати діяльність підприємства, у т.ч. взаємодія підрозділів.

· Зменшення залежності бізнесу від людського фактору співробітників, зниження вимог до компетенції співробітників, можливість наймання більше дешевого персоналу.

· Підвищення задоволеності клієнтів, зниження витрат і зростання прибутку.

У цей час багато вітчизняних підприємств мають проблеми, пов'язані з питаннями керування й ефективністю бізнес-процесів. Існування таких проблемам не може тривати безболісно: поки конкуренція недостатня за неефективні процеси платить споживач, коли ж конкуренція підсилюється - витрати за неефективні процеси відносяться на підприємство.

Практика реалізації проектів по вдосконалюванню систем управління підприємствами дозволяє виділити наступні негативні особливості в управлінні українськими підприємствами в даний момент:

1) Велике поширення має дублювання функцій - функціональні обов'язки перетинаються, створюючи безладдя, а іноді й хаос. Відсутність прозорості системи управління породжує «чорні діри», у яких пропадають грошові, матеріальні й тимчасові ресурси.

2) Спостерігається сховане протистояння інтересів власників і топ-менеджерів підприємств. Нерідко зустрічається ситуація, коли топ-менеджери займаються лише оперативним керуванням (або створенням його видимості) і рішенням різних локальних питань. Часу на питання стратегії й впровадження змін, викликаних потребами ринку, вже не вистачає. Власникам підприємств же хочеться, щоб топ-менеджери в основному займалися ініціацією й реалізацією питань стратегічного розвитку при налагодженій роботі існуючого бізнесу-механізму.

3) Відсутня система поліпшення діяльності підприємства на всіх рівнях - дуже часто зустрічаються співробітники, яким абсолютно однаково, як поліпшити їхню діяльність і діяльність підприємства.

4) Впровадження інформаційних систем без попереднього аналізу необхідності їх впровадження. Найчастіше автоматизують процеси (а іноді й в цілому підприємство), які неефективні й вимагають поліпшення.

Одним із сучасних інструментів рішення перерахованих вище проблем і підвищення ефективності систем керування підприємствами є внутрішній аудит. Відповідно до міжнародних професійних стандартів внутрішнього аудиту, внутрішній аудит являє собою діяльність по наданню незалежних й об'єктивних гарантій і консультацій, спрямованих на вдосконалювання роботи підприємства. Внутрішній аудит допомагає підприємству досягти поставлених цілей, використовуючи систематизований і послідовний підхід до оцінки й підвищення ефективності управління ризиками, контролю й корпоративного управління.

Надання гарантій здійснюється службою внутрішнього аудита (далі - СВА), як правило, шляхом проведення аудиторських перевірок. Порядок проведення внутрішніх аудиторських перевірок законодавчо не регламентований. Проте на основі практичного досвіду організації внутрішніх аудиторських перевірок можна виділити кілька етапів, а саме:

- ініціювання аудиторської перевірки;

- планування аудиторської перевірки, у тому числі проведення попереднього обстеження предмета аудита;

- проведення аудиторських процедур, включаючи оцінку дизайну контролю, перевірку виконання контрольних процедур (тестування), аналіз елементів системи внутрішнього контролю (у тому числі оцінку контрольного середовища), загальну оцінку ефективності системи внутрішнього контролю;

- формування результатів аудиторської перевірки (аудиторський звіт, акт розбіжностей по аудиторському звіту, план коригувальних заходів щодо результатів аудита);

- робота СВА з матеріалами аудиторської перевірки після затвердження остаточної редакції аудиторського звіту, моніторинг виконання рекомендацій СВА.

Аналіз останніх публікацій

Питання внутрішнього аудиту бізнес-процесів підприємства майже не розглядаються в сучасних публікаціях з внутрішнього аудиту. В цьому напрямку можливо відзначити статті членів Інституту внутрішніх аудиторів Росії Соніна О.М., Образумова В.В., Краснової І.А., та інших. Автори розглядають питання внутрішнього аудиту бізнес-процесів шляхом надання практичних рекомендацій.

Мета статті

Розглянути основні принципи та організацію проведення внутрішнього аудиту бізнес-процесів та процедур контролю на підприємстві. Описати процес документування бізнес-процесів і процедур контролю як ключове джерело підвищення якості внутрішнього аудита на підприємстві.

Виклад основного матеріалу

Опис бізнес-процесів і процедур контролю при проведенні внутрішнього аудиту є одним з процесів аудиту, який допомагає аудиторові найбільше якісно провести перевірку й дати, якщо буде потреба, обґрунтовані рекомендації з побудови або оптимізації системи внутрішнього контролю об'єкта перевірки.

Опис бізнес-процесів і процедур контролю здійснюється в ході аудиту на етапі попереднього обстеження предмета аудиту й при побудові "ідеального" дизайну контролю (під "дизайном контролю" в сучасних умовах розуміється зміст і місце розташування контрольних процедур у структурі бізнесу-процесу).

На етапі попереднього обстеження аудитор вивчає фактичні цілі бізнес-процесу, який перевіряється, його структуру або зміни в ньому, що відбулися із часу минулої перевірки.

Як джерела інформації про фактичну організацію бізнесу-процесу можуть використовуватись:

- актуалізовані внутрішні регламентуючі документи підприємства (політики, процедури, регламенти, стандарти по внутрішньому контролі й т.д.);

- результати інтерв'ювання й анкетування власника й учасників бізнес-процесу, що перевіряється й аналізу форм документів, які використовуються та формуються при реалізації процесу;

- підсумки інтерв'ювання й анкетування власника й учасників процесів, що є суміжними бізнес-процесу, що перевіряється;

- висновки, зроблені аудитором на основі спостереження й експериментів, проведених у рамках вивчення предмета аудита;

- результати покрокового вивчення всіх дій у процесі на прикладі однієї операції.

За підсумками попереднього обстеження аудитор повинен сформувати адекватне розуміння фактичної організації бізнес-процесу, який аналізується, та скласти відповідні робочі документи, що дозволить:

- коректно визначити границі бізнес-процесу, що перевіряється;

- сформувати розуміння про послідовність процедур у бізнес-процесі, відповідальних осіб за виконання бізнес-процесу, фактичних строках виконання даних процедур, уникнути "білих плям" при побудові структури процесу;

- виявити зони неприпустимого сполучення обов'язків, які здійснюються учасниками бізнес-процесу, або порушення принципу розподілу повноважень;

- визначити недоліки дизайну процедур контролю бізнес-процесу, що перевіряється.

Після проведення попереднього обстеження й виконання аудиторських процедур (у тому числі після проведення тестів на наявність необхідних процедур контролю й ефективність їхнього виконання) аудитор повинен сформувати загальну думку про надійність й ефективність діючої системи внутрішнього контролю й при необхідності дати рекомендації з її побудови або оптимізації.

Для цього аудиторові рекомендується сформувати "ідеальний" дизайн процедур контролю бізнес-процесу, який перевіряється й зіставити його з фактичною організацією даного процесу.

Як правило, у ході стандартних перевірок, що переслідують ціль оцінити надійність системи внутрішнього контролю, перед аудитором не ставиться завдання по реінжинірингу аудируемого бізнесу-процесу. Від аудитора в цьому випадку потрібне надання рекомендацій по оптимізації існуючих процедур контролю або рекомендації по розробки нових відсутніх процедур контролю, без зміни послідовності виконання основних операцій по бізнес-процесу.

Таким чином, "ідеальний" дизайн процедур контролю бізнес-процесу повинен включати всі необхідні процедури контролю, виконання яких буде гарантувати належне керування ризиками які властиві даному бізнес-процесу й досягнення цілей даного процесу.

Рекомендується формувати "ідеальний" дизайн контролів на основі тих же техніки й підходів, які були використані при описі фактичної організації даного бізнесу-процесу.

Документування процесу опису бізнес-процесів і процедур контролю з метою внутрішнього аудита може бути проведене з використанням різних техніки й підходів:

- вертикальний - показуються тільки операції бізнес-процесу і їхній ієрархічний порядок у дереві бізнес-процесу;

- горизонтальний - показуються операції бізнес-процесу, їхнього взаємозв'язку, послідовність їхнього виконання, які інформаційні й матеріальні потоки пересуваються між даними операціями.

Документування процесу опису бізнес-процесів і процедур контролю можна здійснювати в наступних формах:

- текстова - текстовий послідовний опис бізнес-процесу;

- таблична - опис бізнесу-процесу представляється у вигляді таблиці, у якій кожен стовпець і рядок мають певне значення (операція, відповідальний, вхід процесу, вихід процесу й т.д.);

- графічна - процес описується у вигляді графічної блок-схеми.

З метою проведення внутрішнього аудита можна використати кожну з форм опису бізнес-процесів (текстову, табличну, графічну) або їхню комбінацію. Як правило, на практиці використовується сполучення текстової або табличної форм із графічної, тому що:

- текстова або таблична форма дозволяє докладно описати зміст процедур бізнес-процесу, дизайн контрольної процедури; на його основі можуть бути створені також регламентуючі документи й відображені вимоги до ефективності контролю;

- графічна форма дозволяє зіставити ризики й процедури контролю, упевнитися у власника процесу в правильному розумінні аудиторами структури даного процесу й властивих йому процедур контролю, оцінити, чи правильне місце займають процедури контролю й чи ефективно організований розподіл повноважень між відповідальними виконавцями процедур контролю.

Аудиторові, що здійснює документування процесу опису бізнес-процесу й процедур контролю з метою оцінки й оптимізації системи внутрішнього контролю, доцільно дотримуватися наступних принципів організації даної роботи:

1. Бізнес-процес, який перевіряється, необхідно декомпозувати на окремі підпроцеси. Підпроцесси є невід'ємною частиною бізнес-процесу, але мають свої самостійні входи й виходи й включають деяке число операцій.

2. Виділені підпроцеси необхідно декомпозувати до рівня операції. Операцією є вузькопрофільна елементарна робота (дія) нижчого рівня, що має кінцевий результат і відповідального за її виконання. При формулюванні назви операції рекомендується вказувати дія й об'єкт, над яким відбувається дана дія. Необхідність деталізації бізнес-процесу до рівня операцій обумовлена тим, що аудиторові в рамках проведення перевірки необхідно виявити й оцінити ризики, що виникають безпосередньо на рівні операцій, а також процедури контролю, спрямовані на керування даними ризиками.

3. При описі операцій необхідно вказувати:

- осіб (підрозділ), відповідальних за здійснення операції;

- інформаційні потоки у формі документів на паперовому й/або електронному носії, які використовуються для здійснення операції;

- інформаційні потоки у формі документів на паперовому й/або електронному носії, які одержані в результаті здійснення операції;

- тимчасові строки виконання даної операції.

4. Аудиторові при опису бізнесу-процесу необхідно відобразити місця виникнення й зміст ризиків, які властиві даному процесу, а також наявність і мету здійснюваних процедур контролю. Для зручності сприйняття дану інформацію можна відобразити й на графічній схемі процесу, а також найбільше докладно описати в матриці "ризики-контролі".

Ризики доцільно описувати у форматі "подія - наслідок - причина". При описі процедур контролю рекомендується максимально детально викладати як мету контролю, так і спосіб його реалізації із вказівкою періодичності й відповідального за його виконання. Фактично процедури контролю - це операції, які спрямовані на керування ризиками процесу.

5. На етапі опису фактичної організації бізнес-процесу аудиторові варто вказувати недоліки процедур контролю, тобто відзначати відсутність необхідних контрольних процедур. Результати даної роботи будуть корисні аудиторові при побудові "ідеального" дизайну процедур контролю аудируемого бізнес-процесу й розробці плану заходів щодо усунення недоліків системи внутрішнього контролю, виявлених у ході аудита.

6. При графічному опису бізнес-процесів і процедур контролю аудиторові доцільно використовувати загальноприйняті символи-позначення.

7. З метою підтвердження свого правильного й повного розуміння фактичної організації аудируємого бізнес-процесу аудиторові рекомендується погодити виконаний опис фактичної моделі бізнес-процесу із власником процесу і, якщо буде потреба, внести необхідні доповнення й зміни. Щоб уникнути формалізму в цьому узгодженні, аудиторові корисно разом із власником процесу на прикладі однієї операції здійснити "покрокове" проходження по процесу.

8. При побудові моделі процесу з "ідеальним" дизайном контролю аудиторові за підсумками оцінки ризиків варто вказати істотні ризики, які властиві процесу, а також всі необхідні процедури контролю (у тому числі й процедури контролю,що запропоновані аудитором за підсумками проведеної перевірки). Таким чином, в "ідеальному" дизайні процедур контролю аудируемого бізнес-процесу не повинно бути істотних ризиків, для яких немає ключових процедур контролю. При цьому необхідно пам'ятати, що окремі процедури контролю можуть використовуватися для керування декількома ризиками, а також для керування одним ризиком може бути застосовано кілька процедур контролю.

9. Результати документування бізнес-процесу й процедур контролю, проведеного аудитором у ході виконання аудита, повинні бути відображені в робочих документах по перевірці. Так, моделі фактичної організації аудируємого бізнес-процесу можуть бути відображені в робочому документі "Завдання на аудит". Даний документ формується після закінчення попереднього обстеження предмета аудиту й по суті визначає границі й зміст запланованої перевірки. Висновки, отримані з аналізу відповідності фактичного дизайну процедур контролю аудируємого бізнес-процесу "ідеальному" дизайну процедур контролю варто вказати в робочому документі "Оцінка дизайну контролю", у якому фіксуються недоліки системи внутрішнього контролю, властиві фактичної організації процесу (за підсумками тестування наявності й ефективності виконання процедур контролю), а також пропонуються оптимальні ключові процедури контролю для керування виявленими ризиками. Опис фактичної й "ідеальної" моделей аудируємого бізнес-процесу також можуть бути представлені в підсумковому документі по перевірці - "Аудиторському звіті".

Помітимо, що формат і зміст робочих документів по аудиту регламентуються відповідними внутрішніми нормативними документами підприємства.

10. Результати документування бізнес-процесів і процедур контролю можуть бути надані аудитором власникам процесів, співробітникам служб внутрішнього контролю й іншим особам, відповідальним за встановлення й підтримку системи внутрішнього контролю на підприємстві на належному рівні. При цьому керівник СВА повинен оцінити можливий вплив надання результатів роботи СВА на об'єктивність і незалежність співробітників СВА при наступних перевірках. Дані комунікації повинні бути здійснені відповідно до вимог внутрішніх нормативних документів підприємства. Порядок взаємодії СВА з іншими підрозділами підприємства визначається або окремим регламентом, або загальним положенням про діяльність СВА.

Висновки

Підводячи підсумки, можна стверджувати, що аналіз та оцінка бізнес-процесів і процедур контролю при проведенні внутрішніх аудиторських перевірок сприяє підвищенню якості внутрішнього аудита на підприємстві в цілому, тому що правильне розуміння цілей і змісту аудируємого бізнес-процесу дозволяє аудиторові адекватно спланувати й провести перевірку, дати обґрунтовані рекомендації власникам процесів і вищому менеджменту про шляхи підвищення надійності системи внутрішнього контролю на підприємстві.

Список використаних джерел

1. Краснова І.А. Документування бізнес-процесів та контролів з метою внутрішнього аудиту. "Аудиторські відомості", 2007, N 12

Размещено на Allbest.ru