Планирование в организации может иметь много преимуществ. Он помогает лицам, принимающим решения, предоставляя руководящие указания и цели для будущих решений, помогает руководителю осуществлять больший контроль в ситуации, «заблаговременно» устанавливать цели и учитывать непредвиденные обстоятельства, а также помогает распределять ограниченные ресурсы, такие как персонал, материалы и время.
Аналогичным образом, наиболее эффективным способом обеспечения надлежащего выявления и устранения рисков компании является составление и соблюдение "Годового плана аудита".
Годовой план аудита представляет собой отчет о запланированных аудиторских проверках по процессам или месту проведения. Цель плана заключается в определении аудиторской работы, которая будет проводиться каждый финансовый год, и это методический подход, позволяющий экспертам сосредоточиться на важных областях, являющихся предметом обзора.
Главный аудитор отвечает за разработку плана аудита на основе рисков в организации.
Хорошо подготовленный годовой план внутреннего аудита обеспечит успех аудита, проводимого в течение финансового года.
Как вы можете создать годовой план аудита?
Разделение организации на проверяемые секции
Первая задача - разбить организацию на поддающиеся проверке разделы.
Лучший способ разделить организацию на поддающиеся проверке разделы могут отличаться в каждой организации, а разделы можно разделить с помощью метода, настроенного в соответствии с организацией.Способы их выполнения могут включать: разделение по функциональным возможностям, по местоположению, по департаментам или продуктам. Если внутренний аудит проводится в группе компаний, то в качестве проверяемой секции может быть определена одна компания.Идеального метода для этого не существует.
Каждый раздел, выявленный как нуждающийся в аудите, становится частью так называемого пространства аудита организации.
Ежегодно на этапе планирования аудиторское пространство должно пересматриваться с руководителями аудиторских подразделений, чтобы выяснить, можно ли внести в него какие-либо изменения путем исключения или добавления.
Разбивка организации на более мелкие проверяемые подразделения позволит вам обнаружить риски в различных областях организации и предоставить конкретные решения без затруднений.
Оценка риска организации
На этом этапе первое, что вам нужно сделать, это оценить степень зрелости рисков вашей организации. Это, как известно, самая сложная часть планирования.
Как определить организацию, обладающую зрелой степенью риска, по сравнению с организацией, не обладающей такой степенью риска?
Рискованная организация имеет четко определенный риск-аппетит, реестр рисков и сильную этическую позицию со стороны высшего руководства, которые были созданы с целью укрепления контрольной среды организации. Он также имеет легко идентифицируемые полностью функционирующие отделы нормативно-правового соответствия, регулирования, рисков, контроля качества, борьбы с мошенничеством и четко определенные трехуровневые службы защиты. В этом случае при проведении оценки риска можно использовать информацию, полученную от всех этих функций.
Организация, не обладающая зрелостью к риску, - это наоборот. И если это так, то на этом этапе необходимо провести действительно детальную оценку риска.
Генеральный директор по аудиту использует свое собственное суждение о рисках после рассмотрения предложений со стороны высшего руководства и совета директоров. Вклад руководства и совета директоров может быть получен несколькими способами. Например, использование вопросников, интервью, отчетов руководства и т.д.
Аудитору необходимо определить все ключевые риски и сопоставить их с каждой контролируемой областью в организации.
После проведения оценки рисков и выявления рисков, следующим шагом является оценка воздействия каждого из них на стратегический план организации.
После того, как оценка риска проведена и риски выявлены, следующим шагом является оценка влияния каждого риска на стратегический план организации. Некоторые риски будут влиять на стратегический план больше, чем другие. Некоторые из них должны быть устранены или уменьшены немедленно, а другие могут быть рассмотрены позже.
Ранжирование этих рисков поможет вам составить план того, как подходить к этим рискам. Вы можете оценить риски различными способами, которые могут должным образом передать уровень угрозы, создаваемой этими рисками.Опять же, в вашей структуре отчета нет золотого правила в отношении метода, который можно было бы использовать.
Категоризация каждого риска
Разместите риски каждой функции, которые были ранжированы, по категориям, которые будут служить списком всех проверок, которые должны быть выполнены в течение года. Большинство из высоких рисков и мало средних и низких рисков будут иметь приоритеты в категории A и категории B.
Категория A должна быть списком всех проверок, которые должны быть выполнены в течение года, а категория B должна быть планом резервного копирования, если в случае, что аудиторы по какой-либо причине не могут выполнить аудит из категории A, они могут выбрать из категории B.
Создать годовой план аудита
После того, как категории были определены, заполните годовой план аудита списком категорий A и B.
Проект годового плана внутренней ревизии будет представлен Совету директоров/Ревизионной комиссии. Если они сочтут целесообразным внести какие-либо изменения, они предложат эти изменения, и они будут приняты во внимание.
Роль комитета по аудиту заключается в утверждении, но не в руководстве работой внутреннего аудита. После утверждения годовой план аудита может быть реализован.
Создание ежегодного плана аудита может быть очень сложной задачей. Но с большой осторожностью и терпением он может быть подготовлен, чтобы быть очень эффективным.