2 14 - iiabg.org 2013/vytreshen oditor 2013 - br.6_web.pdf · Всяка от тези...

1Брой 6 | 2013 | ВЪТРЕШЕН ОДИТОР

СТРАНИЦА НА ГЛАВНИЯ РЕДАКТОР

СТРАТЕГИЧЕСКО УПРАВЛЕНИЕ ЗА ВЪТРЕШНИ ОДИТОРИ Светлозар Каранешев

ВЪТРЕШНИЯТ ОДИТ И ДРУГИТЕ ДОСТАВЧИЦИ НА УВЕРЕНОСТ Красимир Логофетов

УПРАВЛЕНИЕ НА ВЗАИМООТНОШЕНИЯТА – КЛЮЧОВ ФАКТОР ЗА УСПЕХА НА ВЪТРЕШНИЯ ОДИТ Снежана Стефанова, CFSA, CCSA, CRMA

ПРЕДОСТАВЯНЕ НА УВЕРЕНОСТ ОТНОСНО УПРАВЛЕНИЕТО НА ИТ – ИНСТРУМЕНТАРИУМ Йън Сандерсън

ИЗВАДКИТЕ - ВАЖЕН ИНСТРУМЕНТ В ДЕЙНОСТТА НА ВЪТРЕШНИЯ ОДИТ Силвия Стефанова

КАК ДА ПОДОБРИМ ЕФЕКТИВНОСТТА НА ВЪТРЕШНИЯ ОДИТДесислава Георгиева

2

14

3

18

21

25

30

ГЛАВЕН И ОТГОВОРЕН РЕДАКТОРЦветелина Станева, CGAP

РЕДАКЦИОНЕН СЪВЕТСнежана Стефанова, CFSA, CCSA, CRMAСнежина Ставрева, CGAPВаня Гюрова, CGAP

ГРАФИЧЕН ДИЗАЙН И ПЕЧАТТихо АлексовскиC&M advertising - www.ciem.info

Редакцията на списанието не се ангажира с правото на лично мне-ние, изразено от авторите в техните статии и публикации.

Разпространяване и препечатване на материали от броя на списание “Вътрешен Одитор” или на части от тях без изричното писмено раз-решение на редакцията води до правните последици, предвидени в Закона за авторското право и сродните му права.

Приемат се оригинални ръкописи - 1800 знака на стандартна страница.

АДРЕС НА РЕДАКЦИЯТАСофия, ул. Граф Игнатиев 7А, ет.3тел.: 986 28 08; 981 67 80факс: 986 28 08e-mail: [email protected]

ВЪТРЕШЕН ОДИТОРспециализирано списание на Института на вътрешните одитори в България

ГОДИНА X | брой 6 | 2013

СЪДЪРЖАНИЕ

За информация относно софтуера на Pentana и услугите, свързани с него:[email protected] 935 7777

• Модерен дизайн, работещ в мрежови условия с различна скорост, без функционални ограничения.

• Гъвкаво планиране на одити по обекти и процеси.• Начален екран визуализиращ персоналните задачи и

назначения.• Вградена одитна методология и автоматично генериране

на одитни доклади.• Лесно внедряване и автоматична актуализация на софтуера• Фокусиране на одитния ангажимент върху идентифици-

раните рискове, чрез вградения риск регистър.

Pentana VisionСофтуер за цялостно управление на Одитния процес и Риска (GRC)

Софтуер за цялостно управление на Одитния процес и Риска (GRC)

[email protected]

+ 44 1707 373335

2 3Брой 6 | 2013 | ВЪТРЕШЕН ОДИТОР

СТРАНИЦА НА ГЛАВНИЯ РЕДАКТОР СТРАТЕГИЧЕСКО УПРАВЛЕНИЕ ЗА ВЪТРЕШНИ ОДИТОРИ

Светлозар Каранешев

Какво трябва да знаем за стратегическото управление, за да планираме одитния ангажимент

Стратегия и одит „Стратегията е началото на пътешествието.“Пол Собел

Необходимо ли е вътрешните одитори да са запознати с концепциите за стратегическо уп-равление? Отвъд границите на добрата обща култура, която един вътрешен одитор винаги трябва да демонстрира, може да бъдат намере-ни поне три основания, поради което е необхо-димо добро познаване на тази материя. Първо – разработването и изпълнението на стратегия-та е един от най-важните управленски процеси и доброто му познаване е необходимо условие за извършването на неговия одит. Второ – ри-сково-базираният подход в одита изисква да се базираме на стратегията, за да подготвим ри-сково-базирания годишен одитен план(1). Тре-то – стратегията оказва влияние на изготвянето на индивидуален одитен ангажимент, като тук предизвикателството е да се установи какво е значението на стратегията за одитирания про-цес, функция или област(1).

Как да дефинираме стратегията„Стратегията е това, което е правилно за тебе.“Хенри Минцберг

Стратегът е военен командир в древна Атина и член на военния съвет. Словосъчетанието идва от стратос (στατοζ) – армия и агеин (αγειν) – да водя.

В икономическата и бизнес наука винаги има разнообразие от възгледи по дадена тема, но първенството може би се държи от стратегията. Налице е такова голямо разнообразие от школи, възгледи и дефиниции за стратегия и стратеги-ческо управление, че разнообразието им поня-кога затруднява и специалистите.

Стратегията и стратегическото управление чес-то се използват като синоними, но всъщност са две различни неща. Стратегическо управление е процес, който включва решения и действия, които водят до постигането на главните цели на организацията(2). Стратегията е компонент на стратегическото управление, който описва резултатите и начините, по които те ще бъдат постигнати. Тази дефиниция на стратегия е примамливо кратка, но често може да предиз-вика затруднения, тъй като не описва всички аспекти на темата. Според Хенри Минцберг, за да разберем стратегията е необходимо бъдат дадени пет дефиници – петте „П“ на стратеги-ята (3):

• План (plan) … – направление, насоки или курс на действие в бъдещето, пътека за придвиж-ване от „тук” до ”там” (поглед напред). В този смисъл стратегията е предварително зами-слен курс на действие, правило (или набор от правила) за действие при определена ситуа-ция.

• Пример (pattern) – нещо постоянно във вре-мето, като начин по който се правят нещата (поглед назад). Ако стратегията може да бъде замислена, то тя може и да бъде реализирана.

Уважаеми читатели,

Не веднъж сме споменавали, че вътрешният одит е една предизвикателна професия! Към вътрешните одитори има големи очаквания – казано накрат-ко, те трябва да подобряват управлението като консултират и предоста-вят увереност. Една сериозна задача в изпълнението, на която трябва да се използват широк набор от полезни инструменти. Надявам се в този брой на сп. „Вътрешен одитор” да откриете начини да обогатите своя инстру-ментариум за осъществяване на дейността по вътрешен одит.

Приятно четене, Цветелина Станева, CGAP


СТРАТЕГИЧЕСКО УПРАВЛЕНИЕ ЗА ВЪТРЕШНИ ОДИТОРИ СТРАТЕГИЧЕСКО УПРАВЛЕНИЕ ЗА ВЪТРЕШНИ ОДИТОРИ

В този смисъл стратегията е пример – модел, включващ последователност от действия.

• Позиция (position) – основно позициониране на организацията в нейната околна среда (по-глед отвън надолу)

• Перспектива (perspective) – начина, по който компанията прави нещата (поглед отвътре нагоре)

• Похват (ploy) – специфичен маньовър, целящ да бъде надхитрен опонента (конкурента). Тук реалната стратегия е не действието, а намере-нието то да бъде извършено.

Всяка от тези дефиниции добавя важен елемент в разбирането за стратегия. Като план страте-гията дава идея как ръководството на органи-зацията да създава насока за работата на ор-ганизацията и да я насочи към предварително определен курс на действие. Като похват стра-тегията разкрива действията на организацията в конкурентна среда с цел да си осигуряви пре-димство. Разглеждайки стратегията като при-мер, акцентира на действието, което напомня, че тази концепция е изпразнена от съдържа-

ние, ако поведението не се взема предвид. Като позиция стратегията помага да погледнем на организацията от гледн точка на нейната окол-на среда – как тя определя своите продукти и услуги и как ги защитава, за да се справи с конкуренцията. Като перспектива стратегията поставя интересния въпрос за намерението и поведението от гледна точка на колектива.

Има ли полза от стратегията „Стратегията може би невинаги е добро нещо.“Хенри Минцберг

След като стратегическото управление води до постигане на главните цели на организацията и е логично да се смята, че стратегията е от жиз-нено значение за развитието на организация-та. Стратегията дава насока на организацията, фокусира нейните усилия, определя организа-цията на дейността и осигурява консистентост на действията и. Но срещу всяко предимство на стратегията стои един недостатък:

Стратегията... Предимство Недостатък

... дава насока Основната роля на стратегията да начертава курс на действие

Стратегическото направление може да служи като наочници, които скриват потенциални промени

... насочва (фокусира) усилията Стратегията осъществява координация на усилията

Може да лиши организацията от периферно зрение за други възможности

... определя организацията Стратегията дава на хората прост начин да разбират организацията и да се отличават един от друг

Стереотипите могат да доведат до загуба на богатата комплексност на системата

... осигурява консистентност Стратегията има роля за намаляването на неяснотата и осигурява ред

Креативността е основана на неконсистентността... всяка стратегия, като всяка теория е опростяване, което необходимо изопачава действителността.

Ние работим най-добре, когато сме приели нещо за сигурно, поне за известно време. И това е главната роля на стратегията: тя решава онези големи проблеми така, че хората да могат без ги възприемат без големи детайли. Стратегия-та, като умствена конструкция може да затруд-ни организацията в осъзнаването на факта, че стратегията и́ е остаряла и загубила актуал-ност. Стратегиите изпълняват ролята на наоч-ниците на конете – не им дават възможност да се отклонят от пътя но и не им дават възмож-ност да наблюдават какво става наоколо.Всичко това навежда на мисълта че наличието на стра-тегия, както и отсъствието на такава може да е от особена важност за организацията.

Стратегията – управленски процес „Това е физика за напреднали, което означава че тези които се занимават с нея се съмняват. Ос-таналото е елементарна физика.“Луис Алварес, Нобелов лауреат

Управлението е процес на планиране, органи-зиране, мотивиране и контрол на хора и други ресурси за постигане на целите на организа-цията ефективно и ефикасно.

Планиране избор на цели и действия за

постигането им

Мотивация мотивиране,

енергизиране на слувителите и

групите за постигане на

целите

Организиране създаване на задачи и правомощия за да

могат слувителите да работят за постигане

на целта

Организиране разработване на

измерители и системи за наблюдение на

дейността за оценка на постигане на

целите

Ефикасност (efficiency) означава да правиш не-щата както трябва, а ефективност (effectiveness) да правиш нещата, които трябва. Да постигаш ефективност, означава да поставяш правилни-те цели, а ефикасността е свързана с правил-ния (подходящ) начин (начини) за постигане на целите.

Управлението бива стратегическо и оператив-но. Това, което прави стратегическото управле-ние стратегическо е:

• Колкото по-отдалечени последствия има ре-шението и колкото по-трудно е да се откажеш

от него, толкова то е по стратегическо... страте-гическото решение е свързано с последствия, които влияят в дълъг период от време и които е трудно да промениш или поправиш;

• Колкото по-широко (обхватно) е влиянието на решението върху функционирането на орга-низацията, толкова то е по-стратегическо, т.е за стратегическото решение е характерна ши-рота на обхвата;

• Стратегическото решение се занимава с избо-ра на целите и на основните средства за пос-тигането им;


• Отнася се за глобалните цели на организация-та. Стратегията има отношение към ефектив-ността (effectiveness) – степента на съответ-ствие на резултатите с целите (да се правят правилните неща), за разлика от икономич-ността/ефикасността (efficiency), която има отношение към начина на преработването на ресурсите (нещата да се правят правилно);

• Ориентация към бъдещето – определени еле-менти от стратегията не съществуват в насто-ящия момент;

• Стратегията има отношение най-вече към външни и основно неконтролируеми фактори по отношение на организацията.

Стратегическият процес „Няма най-добър път към стратегията, всъщ-ност път няма!“

Минцберг, Ашлстрад, Лампел, “Strategy Safari” (4)

Разработване на стратегията може да се осъ-ществи по различни начини, които зависят от много фактори: степен на зрялост на органи-зацията в нейния жизнен цикъл, характера на средата на организацията, както и на възгле-дите, образованието и опита на хората, които я ръководят. Така можем да различим следните основни подходи:

• Формална система на планиране – посред-ством ясни цели следва да се постигнат раз-работените стратегии;

• Обучение или планиране в реално време – това е формален подход на метода на разработва-не на адаптивна стратегия. Мениджърите се срещат редовно (формално и неформално) и обсъждат как основни стратегически аспекти се променят и развиват. Целите и стратегиите се променят в турбулентна среда.

• Нарастващи промени и логически инкремен-тализъм – организацията има ясна мисия и насочващи цели и е наясно, че изпълнението им изисква гъвкавост. Мениджърите са на-сърчавани да експериментират с нови идеи и стратегии, учейки се и адаптирайки се през цялото време. Вътрешните политики и систе-ми играят важна роля в този процес;

• Възникващи стратегии – няма определени специфични цели, обратно – организацията се разглежда като напълно гъвкава, движейки се без план сред турбуленциите на средата. Опортюнизмът и готовността да „яхнеш” въз-можността са от критично значение.

На тази основа можем да определим следните основни подходи (и управленски стилове при разработването и внедряването на стратегията:

Тези стилове на управление не са взаимно из-ключващи се и всеки един от тях може да въз-никне като резултат от друг стил. Всеки от тези три стила може да бъде намерен едновременно във всяка една организация но в съотношение, характерно само за нея. В зависимост от пред-почитанията на индивидуалните мениджъри и тяхната позиция в организацията тези стилове имат различно значение. Затова говорим за „до-миниращ” стил на управление. Това, което е ва-жно да знаем е че само при достатъчно развит аспект на плановия подход (когато той е ясно изразен или доминира) можем да намерим формализиран процес на стратегическо упра-вление. Това обаче не значи, че щом в организа-цията няма формален стратегически процес, то липсват стратегия и стратегическо управление.

• Анализ на конкурентната (външната) среда. Цел на този анализ е да бъдат идентифицирани ос-новните възможности и заплахи пред дейност-та на организацията, пред които ще се изправи тя при преследването на своята мисия. Анали-зът на индустрията (при организциите, ориен-тирани към печалба) трябва да даде оценка на конкурентната среда и конкурентната позиция на фирмата, както и природата, фазата на зря-лост, динамиката и историята на отрасъла.

• Анализ на организацията (вътрешната среда). Целта на този анализ е да бъдат идентифици-рани силни и слаби страни на организацията.На тази фаза се идентифицират количестве-ните и качествените характеристики на ре-сурсите на организацията и се набелязват пътищата за създаване на специфични (отли-чителни) умения, които трябва да станат осно-ва за конкурентното (отличителното) преиму-щество на организацията.

• Оценка и избор на стратегия. На тази фаза се генерират различни стратегически алтерна-тиви с отчитане на силните и слабите страни на компанията и възможностите и заплахите на средата. Основно средство за генериране на стратегически алтернативи е така нарече-ния SWOT-анализ. Негова цел е да се иденти-фицират такива стратегии, които ще позволят


Подход Метод Особености Стил на управление Фокус

Планиране Система на формално планиране

Планиране на детайлите за внедряване на корпоративната стратегия

Аналитично-планов Стратегическо планиране

Визия Хващане (улавяне) на възможностите – ограничено (обобщено) планиране

Иновация в цялата организацията

Визионерски Доминиращ стратегически лидер (лидер с визия)

Адаптивно/постепенно нарастваща (incremental)

Реакция на възможностите и заплахите на средата

Реагиране на заплахите на конкурентите и новите възможности на средата. Обучението и адаптацията се внедряват като планирани стратегии

Вътрешно предприемачество (intrapreneurialship)

Развиваща се стратегия в предприемаческа организация

Има стотици различни модели на стратегиче-ско планиране (управление), но всички могат да бъдат сведени до следната основна идея: вземи SWOT модела, раздели го на възможно най-малките стъпки, артикулирай всяка от тях с възможно най-изчерпателния списък с кон-тролни въпроси и техники за анализ и обърни особено внимание на определянето на целите в началната фаза на процеса и на разработването на бюджета и оперативните планове-на другия край. Основните етапи на стратегическото пла-ниране са:

• Определяне на целите. Защо мисия и цели? Една поговорка гласи: За кораб без посока всеки вятър е попътен. Значението на опреде-лянето на посоката е:

Мисия Защо съществувамеОсновни ценности В какво вярвамеВизия Къде искаме да бъдемСтратегия Нашия план за действиеЦели Какво трябва да постигнем

създаването на специфичен за организацията бизнес-модел, който най-пълно ще съответ-ства на нейните способности (компетенции).

• Внедряване (изпълнение, операционализи-ране) на стратегията. Внедряването на стра-тегия изисква действия на функционално и организационно ниво. На функционално ниво внедряването изисква прилагането на раз-лични програми за подобряване на дейност-та, например за повишаване на качеството на дейността. На организационно ниво това из-исква позициониране и сегментиране на орга-низацията в нейната среда. Успешното внед-ряване на стратегията изисква и наличието на добра организационна структура и адек-ватни бизнес култура и системи за контрол.

• Контрол (обратна връзка). В процеса на създа-ване на стратегия съществува обратна връзка. Това означава, че стратегията е непрекъснат процес. След внедряването на стратегията за-почва процес на постоянно наблюдение на из-пълнението за да се определи до каква степен са постигнати стратегическите цели и задачи на организацията. По тази връзка тече обра-тна информация към висшето ръководство на организацията. На тази основа се вземат решения при следващата фаза на формулира-не на стратегията.


Графично, този процес може да бъде предста-вен в различно ниво на детайлност и в различни


Визия и мисия Цели Създаване на

стратегияИзпълнение на стратегията

Следене, оценка и корекция

Корекции Корекции Промяна

1 2 3 4 5

Промяна Промяна

В статията си в Харвард бизнес ревю, Каплан и Нортън – Усъвършенстване на системата за управление(5) обосновават като гаранция за ус-пех на прилагането на стратегията наличието на система за управление. Под система за уп-равление те разбират интегрирания набор на процеси и инструменти, които една организа-ция използва, за да разработи своята страте-гия, преведе тази стратегия в действия и следи и подобрява ефективността и на двете. За целта системата трябва да е със затворен контур, като в този контур са вградени следните пет етапа:

• Разработване на стратегията – дефинират се мисия, визия и ценности; осъществява се стратегически анализ; формулира се страте-гията;

Стратегия и организация„Културата изяжда стратегията за закуска.“Питър Дракър

В труда си „Стратегия и структура“, Алферд Чандлър развива тезата, че организационната структура следва стратегията(6), т.е че органи-зационната структура се създава, за да подпо-могне внедряването на стратегията. Практиката показва обаче, че организационната структура и култура също влияят на формирането и реа-лизацията на стратегията. Наблюденията и оп-ита на стратегическите консултанти показват, че на реализирането на добри стратегии може да попречи строгата култура на организацията. Този феномен се обозначава с термина: „Култу-рата изяжда стратегията за закуска.“. Основите въпроси които възникват около органзиционна-та структура и култура опри внедряването на стратегията са:

• Какви организационни способности са необхо-дими за изпълнение на избраната стратегия?

• Какво е различието между наличните и необ-ходимите организационни способности за из-пълнение на избраната стратегия?

• Какви промени са необходими в организа-ционната структура, управленските процеси и поведението на организацията, за да създа-дем необходимите способности?

• Ще доведат ли извършваните промени до съз-даването на необходимите способности в не-обходимите срокове?

В този процес организационните способности (това, което хората са способни да направят, когато работят заедно) са от съществено значе-ние за реализирането на една стратегия или за нейния провал. Хората в една организация са ресурс, но това, което са способни да направят заедно е способност. Примери за организацион-ни способности са:

• Иновация – способността на организацията да поддържа стратегии, основани на нови идеи (създаването на нови продукти, нови пазари, нови процеси).

• Производителност – способността на органи-зацията да поддържа стратегии ориентирани към снижаване на разходите и управление на ценообразуването

• Скорост – способността на организацията да поддържа стратегии, основани на бързина на действие

• Изясняване на стратегията – дефинират се стратегически цели и теми; избират се измери-тели за целите и целеви стойности на измери-телите; избират се стратегически инициативи;

• Планират се действията – подобряват се ос-новни процеси; разработва се план за про-дажбите; планира се капацитета на ресурси-те; разработва се бюджет;

• Наблюдение и обучение – извършват се редов-ни прегледи на изпълнението на стратегията и плана за операциите;

• Тестване и адаптиране на стратегията – из-вършва се оценка на резултатите; оценяват се алтернативи на развитието на стратегията; оценява се влиянието на стратегията върху ре-зултатите (при наличие на достатъчно данни)

Факторите, които определят организационните способности са:

• Поведение • Управленски процеси • Организационна структура

Основните управленски процеси, които оказват съществено влияние на способностите на фир-мата са:

• Процеси на вземане на решение • Операционни процеси • Процеси за оценка на резултатите и възна-граждение

Организацията възлага определени задачи на определени хора (длъжности) и свързва и коор-динира дейностите на отделни хора и функции:

• Групиране на задачи, функции и звена – Как най-добре да се групират задачи във функции и между функции и организационни звена (отдели, дирекции), за да се създадат конку-рентни предимства и да се постигне избрана стратегия

• Възлагане на права и отговорности – Как да се възложат правата и отговорностите по отноше-ние на функциите и организационните звена?

• Интеграция и механизми за интеграция – Как да се повиши нивото на координация и/или интеграция между функции и организацион-ни звена в процеса на разрастване и усложня-ване на организационната структура.

Стратегия и контрол„Доверявай се, но проверявай.“Ленин

Стратегическият контрол е избор на организа-ционна стратегия и настройване на организа-ционната структура, създаване на системи за контрол за следене и оценка на резултатите от изпълнението на стратегията от организация-та. Посредством него се постига: ефективност на операциите, поддържане на фокус върху ка-чеството, ускоряване на иновациите, осигуря-ване на адекватна реакция на нуждите на кли-ентите.

Контролът е финансов – цена на акция, възвръ-щаемост на инвестициите, печалба и т.н. и по-веденчески – правила и процедури, бюджети, стандартизация. Балансираната система от по-

вариации. Най-популярна (класическа) е след-ната диаграма:

Изясняване на стратегията

дефинират се стратегически цели и теми

избират се измерители за целите и целеви значения на измерителите;

избират се стратегически инициативи

Разработване на стратегията

дефинират се мисия, визия и ценности

осъществява се стратегически анализ

формулира се стратегията

1ЕТАП

2ЕТАПТестване и адаптиране на стратегията

извършва се оценка на резултатите

оценяват се алтернативи на развитието на стратегията

оценява се анализ на влиянието на стратегията върху резултатите

5ЕТАП

Планират се действията

подобряват се основни процеси

разработва се план за продажбите

планира се капацитетът на ресурсите

разработва се бюджет

3ЕТАПНаблюдение и обучение

извършват се редовни прегледи на изпълнението на стратегията и плана за операциите

4ЕТАП ОПЕРАТИВЕН ПЛАН

Изпълнение на стратегията (процеси и инициативи)

СТРАТЕГИЧЕСКИ ПЛАН

Усъвършенстване на системата за управление


казатели е една концепция(7), която позволява да се гледа отвъд “огледалото за обратно виж-дане (финансовите показатели)” напред по пътя (градивните елементи на стратегията) посред-ством следните перспективи:

• Финанси – какви трябва да бъдем за акционе-рите, за да преуспеем финансово?

• Клиенти – какви трябва да бъдем за потреби-телите, за да реализираме нашата мисия?


• Процеси – какви процеси трябва да подобрим, за да задоволим нашите и на акционерите по-требности?

• Развитие на персонала – как да развием свои-те способности за изменения и усъвършенст-ване?

• Съвременният подход за стратегически кон-трол осъществява два различни вида контрол: информационен и поведенчески контрол. Вза-

ПотребителиКакви трябва да бъдем за потребителите, за да реализираме нашата мисия?

ФинансиКакви трябва да бъдем за акционерите, за да преуспеем винансово?

Вътрешни бизнес процесиКакви процеси трябва да подобрим, за да задоволим нашите и на акционерите потребности?

Обучение и развитиеКак трябва да развием своите способности за изменения и усъвършенстване?

Мисия и стратегия

Информационнен контрол Поведенчески контрол

Формулиране на стратегия

Изпълнение на стратегия

Стратегически контрол

имовръзката между формулиране на страте-гия, изпълнение и контрол е интерактивна:

Информационният контрол се отнася за за въ-трешната среда и външния „стратегически кон-текст”. Ключовият въпрос е: „Съответстват ли организационните цели и стратегии на конте-кста на текущата стратегическа среда/ситуа-ция?”. От важност са следните два ключови ас-пекта:

Контролът на поведението е фокусиран върху изпълнението – нещата да се правят правилно. “Лостовете” за контрол са култура, възнаграж-дения и граници. Средствата за контрол на по-ведението са:

• Оперативни бюджети. Подробен план за из-ползване на ресурсите на организацията.

• Стандартизация - На входните величини; - На дейностите по промяна; - На резултатите. • Правила и процедури - Позитивен ефект: позволяват контрол, пред-ставляват насоки за действие и ограничават действията; - Негативен ефект: правилата водят до бюрокра-ция.

• Сканиране и наблюдение на външната среда (обща и индустриалния сектор)

• Постоянно следене на вътрешната среда

Информационния контрол е част от постоян-ния процес на организационно обучение, което обновява допусканията, на които се основава стратегията на фирмата:

Как да оценим стратегията и стратегическото управление „Целта е да се оправдаят средствата.“Ръководен принцип на всяка бюрокрация

Не съществува проста и единна методология за оценка на стратегиите. Различните подходи могат да бъдат полезни в различни периоди или обстоятелства. При оценката на заслугите и жизнеността на съществуващите стратегии и алтернативите за бъдещо развитие е необхо-димо да се използват определени съществени критерии. Всяка стратегия е уникална. Няма “вярна” или “погрешна” стратегия взета сама за себе си. Стратегията се занимава основно с избора на цели и задачи. Много по-лесно е да се определят цели, отколкото да се измерят степента на тяхното постигане. Формалната система за оценка на стратегията може да пре-дизвика експлозивен конфликт в организация-

Обновява и анализира допусканията

Постоянно:

• Следи

• Тества

• Преглежда

Система за контрол

Домускания

Цели

Предпоставки

Стратегии


та. Една от фундаменталните тези на науката е че нито една теория не може да бъде доказана като абсолютна истина. Но теорията може да бъде оценена като напълно погрешна, ако се провали при проверка на нейната валидност. Същият принцип важи и за стратегията – нико-га не може да се докаже, че е абсолютно вярна, но може да се докаже, че е погрешна.

Според Ричард Румелт(8) добрата оценка на стратегията включва следните тестове/крите-рии:

• Консистентност – стратегията не трябва да съ-държа вътрешно противоречиви цели и поли-тики (действия);

• Хармония – стратегията трябва да представя адаптивен отговор на средата и на критични-те промени, настъпващи в нея;

• Предимство – стратегията трябва да позволя-ва създаването или поддържането на конку-рентно преимущество на избраните области на действие;

• Осъществимост – стратегията никога не тряб-ва надценява наличните ресурси или да съз-дава нерешими суб-проблеми.

Други специалисти по стратегия – Хембрик и Фредериксън(9) смятат, че ако един бизнес тряб-ва да има стратегия, то е добре тя да има след-ните компоненти:

• Арени – къде ще бъдем активни; • Инструменти – как ще стигнем до там; • Диференциатори – как ще победим на пазара; • Етапност – каква ще е нашата скорост и после-дователност на действия;

• Икономическа логика – как ще печелим.

Привържениците на управлението базирано на стойност (value based management) също имат своя отговор на нещата. Водещите специалисти на консултатската компания Маккинси, начело с Тим Колер(10) смятат, че основната финансова цел на компанията е максимизирането на ней-ната стойност. Принципите на управлението ба-зирано на стойност са:

• Стойността (ценността) на компанията се оп-ределя от нейния дисконтиран паричен поток;

• Стойност се създава само, когато компаниите инвестират на ниво на възвръщаемост по-ви-соко, отколкото са разходите за капитал.

Тези принципи са основа за вземане на страте-гически и оперативни решения и ако стойност-та на компанията нараства, то стратегията е успешна.

Изводи

Можем да изведем няколко полезни извода от горните разсъждения:

1. Наличието на стратегия, както и отсъствието на такава може да е от особена важност за органи-зацията.

2. Разработването на стратегията е управленски процес – планиране, организиране, мотивиране и контрол на хора и други ресурси за постигане на целите на организацията ефективно и ефикасно

3. Липсата на формален процес на разработване на стратегия не означава, че стратегия липсва или на стратегията липсват необходимите качества

4. Стратегическият процес може да бъде описан по различни начини и да бъде различен в раз-личните организации, но той трябва да съдържа: определяне на целите; анализ на конкурентната (външната) среда; анализ на организацията (вътрешната среда); оценка и избор на стратегия; внед-ряване (изпълнение, операционализиране) на стратегията и контрол (обратна връзка).

5. Организационната структурата следва стратегията – тя се създава за да подпомогне внедрява-нето на стратегията, но и организационната структура и култура също влияят на формирането и реализацията на стратегията.

6. Стратегическият контрол е избор на организационна стратегия и настройване на организацион-ната структура, създаване на системи за контрол за следене и оценка на резултатите от изпълне-нието на стратегията от организацията.

7. Не съществува проста и единна методология за оценка на стратегиите, което не означава, че не трябва да се прави такава оценка.

8. Познаването на стратегията и стратегическия процес в организацията е от полза за вътрешните одитори, като стратегията създава стабилна основа на рисково базирания подход при планирането и осъществяването на дейността на вътрешния одит.

Литература:

1. Paul J. Sobel,Auditor's Risk Management Guide: Integrating Auditing and ERM, CCH Incorporated, 2007, 2013

2. Ангел Доралийски, Стратегически мениджмънт, НБУ, 2008

3. Henry Mintzberg, “The Strategy Concept 1: Five Ps for Strategy”, California Management Review, 1987

4. Mintzberg, Ahlstrand, Lampel, “Strategy Safari”, Free press, 1998

5. Robert S. Kaplan and David P. Norton, Mastering the Management System, HBR, 2008

6. Chandler, Strategy and Structure: Chapters in the History of the American Industrial Enterprise. Cambridge, MA: MIT Press, 1962

7. Каплан, Нортън, “Балансирана система от показатели”, Класика и стил

8. Richard Rumelt, Note on Strategy Evaluation.The Anderson School at UCLA, 199

9. Hambrick & Frederickson, Are You Sure You Have a Strategy?, Academy of management executives, 2001

10. Tim Koller, Marc Goedhart, David Wessels , Valuation: Measuring and Managing the Value of Companies, Wiley, 2010



Красимир Логофетов, CIA, CRMA, CFE

ВЪТРЕШНИЯТ ОДИТ И ДРУГИТЕ ДОСТАВЧИЦИ НА УВЕРЕНОСТ

Ръководителите на вътрешен одит са от-говорни за предоставяне на увереност относно адекватността на цялото упра-

вление на организацията, а също и за управле-нието на риска и свързаните с това вътрешни контроли. Увереността обикновено е насочена към мениджърите и управителния орган на организацията, включително одитния коми-тет и комитета за оценка на риска. Този про-цес се различава от простото представяне на поредица от одитни доклади за отделни об-ласти на организацията. Рискът е постоянен елемент от бизнес климата и вътрешния одит оценява неговото действие, използвайки точ-ка от времето, прилагайки специфични оди-торски методи и ресурси.

Исторически погледнато все по-големите из-исквания на бизнес средата са карали ком-паниите да създадат различни функции за управление на риска и предоставяне на уве-реност, натоварени с измерване и отчитане на риска, идентифициране на контролни пропус-ки, проследяване на корективни действия и заключение дали контролните процеси рабо-тят ефективно. Примери за някои вътрешни доставчици на увереност могат да бъдат еко-логични групи за съответствие с екологич-ните норми, групи са управление на качест-вото в съответствие с определени стандарти, вътрешни контролни екипи , които оценяват контрола над финансовото отчитане и други подобни функции, които се фокусират върху различните дейности. От друга страна външ-ните за организацията доставчици на уве-реност често са ангажирани да общуват и с други одитори по специфични въпроси на контрола. Те дават увереност за областите, които те оценяват и правят препоръки за ук-репване на съответните контроли, които често попадат в области от обхвата на работата на вътрешния одит.

Възможността да бъдат ползвани резултати-те на други доставчици на увереност, както вътрешни така и външни за организацията е дадена в Стандарт 2050 – Координация: Ръководителят на вътрешния одит трябва да обменя информация и да координира дей-ността си с тази на други вътрешни и външ-ни доставчици на одиторски и консултант-ски услуги, за да осигури оптимален обхват и минимално дублиране на усилия.

Извършването на множество одити и прегле-ди на едни и същи процеси и рискове пред-ставлява ненужно натоварване на собствени-ците на процесите и неефективно използване на ресурсите. Ако вътрешния одит може да е уверен в предоставените резултати от провер-ки и одити на други доставчици, той може да ги използва и по този начин да спести време и ресурси на организацията.

Външните доставчици, предоставящи уве-реност може да бъдат разделени на няколко групи:

(i) такива, които докладват на ръководството по различни проекти, като одитори по ка-чеството, околната среда, етичния климат, или по определени зададени теми;

(ii) докладващи на управителния съвет, вклю-чително и на вътрешния одит; и

(iii) докладващи на външни заинтересовани лица, каквито са например външните фи-нансови одитори.

От друга страна вътре в самата организация съществуват много звена, които предоставят увереност. В това число могат да бъдат вклю-чени следните групи

(i) На първо място това е първата линия на защита от модела на The IIA за Трите ли-нии на защита. В първата линия попадат всички ръководители и служители на раз-лични функции от структурата на органи-зацията, които отговарят и за управление-то на рисковете и контролите от тяхната функция.

(ii) На второ място могат да бъдат посоче-ни всички административни и контролни функции в организацията, представлява-щи втората линия на защита, и осигурява-щи контрол върху ежедневните дейности и тяхното отразяване в системите.

(iii) Висшето ръководство, различните комите-ти, комисии и генерираните от тях доку-менти също могат да бъдат използвани за целите за предоставяне на увереност.

(iv) Вътрешните органи за опазване на околна-та среда, където съществуват, дават спе-цифична експертна увереност.

(v) Службите за безопасност и охрана на тру-да наблюдават и управляват рисковете, свързани с човешкия капитал на органи-зацията.

(vi) Звената изпълняващи наблюдения за спазване на регулаторните изисквания на държавните органи имат експертизата да предоставят увереност за изпълнение на изискванията и/или идентифицират техни отклонения.

(vii) Съществуващите звена за наблюдение над приходите и предотвратяване на из-мамите имат задълбочен поглед над дей-ността на организацията, съществуващи-те рискове и тяхното управление, а също и за различните видове измами,характерни за бранша.

(viii) Отделите за преглед на верността на из-готвяните официални отчети и отчетите до ръководството предоставят увереност за верността на съдържащата се в тях ин-формация.

(ix) В различните организации могат да съ-ществуват и други звена предоставящи увереност в зависимост от спецификата на индустрията.

Външните и вътрешни доставчици на увере-ност наблюдават и изследват задълбочено и често областите и дейностите, за които отго-варят. Може да се каже, че техните наблюде-ния над определени области са по-чести и от тези на вътрешния одит. Липсата на коорди-нация между вътрешния одит и другите зве-на, предоставящи увереност може да доведе до дублиране на усилията и неефективно из-ползване на ресурсите.

Изготвянето на интегриран модел на предос-тавяната увереност от всички доставчици на увереност в рамките на организацията га-рантира допълнителни придобивки включ-ващи:

• Предоставяне на по-прецизна експертна увереност, използвайки специфичните зна-ния на специализираните звена.

• Намаляване на излишните ресурси, из-вършване на одитиране без дублиране.

• Намаляване на времето за реакция на ръ-ководството.

• Стратегическо сътрудничество със сходни на вътрешния одит функции, които също предоставят увереност за постигане целите на организацията.

Тези предимства дават възможност на ръко-водителя на вътрешния одит да преразпре-дели ресурсите си и да ги фокусира към дру-ги области с висок риск.

За по-ясно разбиране на рисковете и отговор-ностите на различните звена предоставящи увереност може да бъде създадена матрица на рисковете и линиите на защита схематич-но представени по-долу.

ВЪТРЕШНИЯТ ОДИТ И ДРУГИТЕ ДОСТАВЧИЦИ НА УВЕРЕНОСТ


Процесът започва с идентифициране на рис-ковете и тяхното разполагане от едната стра-на на матрицата. След това се идентифици-рат и всички звена предоставящи увереност в организацията, като се разполагат от другата страна на матрицата. Следващата стъпка е да бъдат идентифицирани пресечните точки в матрицата, представляващи контроли, отчети и друг вид увереност, която предоставя вся-ко звено относно управлението на всеки един риск. След като бъде изготвена матрицата могат да бъдат идентифицирани празните по-лета на рисковете извън контрол, дублирания контрол върху рискове от различни звена и да бъдат взети решения за по-ефективно упра-вление на предоставяната увереност.

От друга страна осланянето на доставчици на увереност от различните линии на защи-та може да крие рискове като: пропускане на слабости в контролите и достигане до грешен извод поради неправилна работа или недос-татъчен обхват на контрола; неидентифици-ране на грешки от другото звено предоставя-що увереност поради липса на независимост от ръководството; идентифициране на кон-статации от неголяма същественост поради грешни или различни модели за оценка.

Използването на други източници и фор-ми на увереност може да развие и допъл-ни инструментариума на вътрешния одит. Това могат да бъдат модели за непрекъснато наблюдение,модели на самоескалиращи про-блеми, или общи платформи за предоставяне на увереност.

Когато бъде използвана увереността, давана от други доставчици трябва да бъдат спаз-вани някои основни принципи, които са оп-исани подробно в Практическите ръковод-ства на The IIA и основно в Practice Advisory 2050-3: Relying on the Work of Other Assurance Providers. Съгласно това ръководство реше-нието за ползване на увереността даванa от други може да бъде взета поради причини от различно естество като:

• Адресиране на области, попадащи извън ком-петентността на експертите от вътрешния одит,

• Придобиване на нови подходи, инструменти и знания от другите доставчици на увереност,

• Ефективно покритие на рискове останали из-вън обхвата на одит плана.

Степента на разчитането на увереността, пре-доставена от други доставчици зависи от ня-колко принципа:

• Основен принцип е предоставяната увереност да бъде релевантна на целите и обхвата на вътрешния одит. За вътрешните доставчици предоставянето на увереност трябва да бъде записана в документа, регламентиращ тяхна-та дейност, а за външните в договора, съглас-но който те работят за организацията.

• Доставчикът на увереност трябва да има ка-пацитет за добра професионална преценка без влияние от други страни. Той трябва да демонстрира достатъчно ниво на обективност в течение на своята работа.

• Компетентността е основен фактор при оцен-ка на рисковете и дизайна на контролите. Външният доставчик трябва да притежава както знания за тяхното установяване, така и за идентифициране на несъответствията и предлагане на работещи препоръки. Атестат за тези качества са притежаваните професио-нален опит, образование, сертификати, непре-къснато усъвършенстване и репутация.

• Добре регламентираната практика посред-ством политики, правила и процедури и тях-ното следване показва добър системен и про-фесионален подход.

• Комуникирането на резултата и последва-щото наблюдение на изпълнението на препо-ръките е друго важно качество, което трябва да притежава „доставчика” на увереност. Той трябва да комуникира резултатите с ръковод-ството и да е в състояние да предизвика пре-дприемането на корективни действия.

Колкото по-висока е оценката на всеки един от тези принципи, толкова по-висока може да бъде сигурността в предоставяната увере-ност от други доставчици. Оценката на всеки един принцип трябва да бъде от гледна точка на тяхната взаимна свързаност, но също и от гледна точка на тяхната връзка с процесите и рисковете. В случай, че прилагането на някой от принципите не е пълно, или липсва сигур-ност, тогава оценката трябва да бъде по-ниска и ръководителя на звеното за вътрешен одит следва да вземе решение дали и в каква сте-пен да разчита на предоставената увереност от друг източник.

ВЪТРЕШНИЯТ ОДИТ И ДРУГИТЕ ДОСТАВЧИЦИ НА УВЕРЕНОСТВЪТРЕШНИЯТ ОДИТ И ДРУГИТЕ ДОСТАВЧИЦИ НА УВЕРЕНОСТ

РИСКОВЕ

Първа линия на защита

Втора линия на защита

Трета линия на защита

Матрица на рискове и линии на защита


ПОВЕЧЕ С ПО-МАЛКО

УПРАВЛЕНИЕ НА ВЗАИМООТНОШЕНИЯТА – КЛЮЧОВ ФАКТОР ЗА УСПЕХА НА ВЪТРЕШНИЯ ОДИТ

Снежана Стефанова, CFSA, CCSA, CRMA

“За успех е нужно повече от ум и здрава работа – трябва да умееш да управляваш взаимоотношенията си с останалите”.

С тази брилянтна мисъл проф. д-р по органи-зационно поведение Джефри Пфефър от Стан-фордския университет фокусира вниманието ни върху един много важен аспект за постига-нето на успеха.

Какво означава да умеем да управляваме взаи-моотношенията си с останалите. Като краен ре-зултат това означава да постигнем целите си. Като процес – да приложим инструменти и тех-ники, които най-общо могат да бъдат разделени на две групи: стратегически и тактически. От самото им наименование разбираме, че първо трябва да определим целите си, да анализира-ме какво ни е необходимо, за да ги постигнем и да извършваме ежедневно обмислени и целена-сочени действия, чрез които малко по малко да се доближаваме до резултатите, т.е. до постига-не на целите ни.

Какво всъщност целим като извършваме дей-ността си по вътрешен одит? Най-общо казано - да добавяме стойност за организацията ни чрез независими и обективни оценки, чрез про-фесионални препоръки за подобряване на про-цесите и подходящи действия за реализация на тези препоръки от отговорния за това персонал – оперативен и управленски.

За да постигнем целите си професионално и ефективно е необходимо да обърнем внимание на няколко аспекта:

1. Да сме наясно относно очакванията, които имат ключовите фигури в организацията за дейността на вътрешния одит;

2. Да скъсим дистанцията с останалите в организацията ни;

3. Да сме в пълен синхрон с отделните функции и дейности и с организацията ни като цяло;

4. Да се фокусираме освен върху дейността си и върху маркетинга й;

5. Непрекъснато да проследяваме статуса на ангажиментите, които са поети от Ръководителите на всички нива, в резултат на препоръките ни.

Как да постигнем всичко това? Как да привле-чем останалите в организацията ни, така че да сме в една лодка и с общи усилия да доприна-сяме за успешното и устойчиво развитие на ор-ганизацията?

Моята рецепта включва няколко насоки на действие:

1. Да комуникираме с останалите ефективно. Да се стремим към консенсус по отношение на проблемите, така че те да поискат да извършат необходимите корективни действия, тъй като ние не сме собствениците на процесите, а те. И след всичко това да продължим да бъдем партньори и да запазим ефективни взаимоотношения с тях. Целта на комуникацията ни е да смегчим негативните възприятия и да постигнем целта си, защото ние всички сме в една лодка и заедно работим за постигане целите на организацията!

2. Да установим позитивизма като водеща линия на поведение, което на практика означава:

9 При комуникацията винаги да започваме с постиженията им и с подобренията, които са извършили, преди да посочим слабостите им. Самите слабости да поставяме на вниманието им по деликатен начин. Те са не по-малко от нас заинтересовани да имат възможно най-добрите процеси и със сигурност са направи-ли най-доброто, на което са способни при кон-кретните обстоятелства;

9 Да напишем позитивно докладите с резулта-тите от одитните ангажименти:

• Да посочим първо постиженията; • Да акцентираме на подобренията; • Справедливо да опишем слабостите, за които заедно сме постигнали съгласие, че се нуж-даят от подобрение, да посочим, че това е в резултат от съвместната ни работа, да не про-пускаме да отбележим техния принос за раз-бирателството ни;

• Там, където не сме постигнали съгласие – относно слабостите или начина за преодо-ляването им, да ги изнесем отделно, ясно, изчерпателно и безпристрастно и посочим аргументирано възможните решения, за да улесним висшия мениджмънт. Да не забра-вяме, че изборът дали изобщо да бъдат на-правени промени и какви точно е техен, не е наш - защото те са собствениците на процеса и отговорността за него е тяхна, а не наша;

• Внимателно да подбираме думите, особено тези, с които се описват по-чувствителни об-ласти, като се стараем да не използваме не-гативни или императивни думи – проблем, грешка, …..трябва, задължително и т.н.

9 Не трябва да ги принуждаваме – нищо добро не е създадено в резултат от принуда;

9 Не трябва да ги заплашваме – пряко или кос-вено. Ние сме по-зависимата страна в тези взаимоотношения, независимо от позицията си на даващи оценките – последното е само по-голяма отговорност, не превъзходство. Но те са тези, които трябва да извършат каквато и да е промяна и само ако искрено го искат, ще я извършат по най-добрия начин, на който са способни, което е и нашата цел;

9 Не трябва да ги критикуваме и да използва-ме императивен тон. Да ги накараме сами да стигнат до изводите, че имат слабости в про-цеса и как да ги преодолеят (коригират). Да мислим позитивно през цялото време, като нито за момент не забравяме, че трябва да проявим разумна грижа.

3. Да бъдем активната страна в управлението на взаимоотношенията:

9 Да управляваме реакцията на топ мениджмънта; 9 Да ги убедим, че вътрешният одит наистина е в подкрепа на управленския процес. Чрез ком-петентни консултантски услуги – официални или неофициални; чрез съгласуване на наши-те с техните приоритети; 9 Да не допускаме вътрешният одит да бъде из-ползван като „наказателна рота”; 9 Да увеличим личните комуникации - да нами-наваме често при тях и да установим регуляр-ни контакти с оперативния и висшия менидж-мънт. От тях зависи дали нашите препоръки за подобрения наистина ще се реализират;

УПРАВЛЕНИЕ НА ВЗАИМООТНОШЕНИЯТА – КЛЮЧОВ ФАКТОР ЗА УСПЕХА НА ВОПОВЕЧЕ С ПО-МАЛКО


1 Тази статия е публикувана с разрешение от списание “Internal Auditor”, Октомври 2013, издание на The Institute of Internal Auditors, Inc., www.theiia.org. и е преведена на български от английски език.

This article was reprinted with permission from the October 2013 issue of Internal Auditor, published by The Institute of Internal Auditors, Inc., www.theiia.org. and has been translated from English to Bulgarian.2 Цели за контрол на информационни и свързани с тях технологии3 МЕЖДУНАРОДНА АСОЦИАЦИЯ ЗА ОДИТ И КОНТРОЛ НА ИНФОРМАЦИОННИ СИСТЕМИ

9 Да убедим Одитния комитет и Борда в прино-са си за организацията, като им представяме текущо обратна връзка.

4. Да погледнем на одитираните като на добри партньори, с които да работим съвместно и да се допълваме.

9 Те познават процесите и рисковете в тях по-добре от нас – нека им го признаем, ние има-ме по-добро разбиране за контролите и упра-влението на рисковете – да им го внушим с експертните си знания и практически съвети;

9 Да скъсим дистанцията - да ги приобщим към екипа си във всички етапи на одита. Какви са характеристиките на добрия екип, с какви тех-ники ги приобщаваме – говорим в множест-вено число, демонстрираме добронамереност и загриженост, не приемаме функция на на-казателна рота и т.н. При изясняване на цели-те и технологията на одитирания процес, при идентифициране на съществуващите и липс-ващите контроли, на присъщите за процеса рискове, при оценката им;

9 През целия процес на одита да комуникира-ме активно с висшия мениджмънт, отговорен за одитирания процес или дейност, текущо да го запознаваме с резултатите, да изясняваме проблемните области. Да обсъдим предвари-телно с висшия мениджмънт слабостите, за които не сме постигнали споразумение с опе-ративния мениджмънт и да си осигурим тях-ната подкрепа.

5. Да се отнасяме с уважение един към друг:

9 Да спечелим уважението им: да бъдем честни, справедливи и открити; да не се страхуваме да признаем, че сме сгрешили (вътрешният оди-тор също може да допусне грешка);

9 Да не си приписваме несъществуващи заслу-ги (или още по-лошо – чужди заслуги). За да ни сътрудничат, трябва да признаваме при-носа им;

9 Да им покажем, че ценим и уважаваме мне-нието им;

9 Да не се страхуваме от обратната връзка и тях-ната оценка – да им я поискаме след одита, в края на годината да оценят ползите и негати-вите за тях от одита/одитите. След това да из-ползваме тази обратна връзка, за да подобрим дейността си, като демонстрираме това при следващите одити и да не се притесняваме да споделим с тях приноса им в тази връзка;

9 Трябва да бъдем директни и да представим проблема ясно и честно. Не трябва да се чувст-ваме виновни, че сме открили и трябва да спо-делим проблем – чудесно е, че сме го открили, но не е добре да изразяваме видимо радост – да изразим съчувствие и съпричастност е по-добрия подход. Да им кажем, че съжалявате за този факт, но…;

9 Нека те предложат как практически да се из-върши подобрението – ние само може да ги направляваме внимателно;

9 Да се научим да се справяме с реакциите, със съпротивата и агресията;

9 Да подготвим очакванията и да ги управля-ваме, ако е възможно. Ако е необходимо, да посочим всички рискове и потенциални про-блеми, които могат да възникнат от установе-ното и да попречат на постигането на желания резултат;

В заключение бих искала да акцентирам на позицията, която заемаме – важно е да се по-ставяме винаги на мястото на одитираните, да видим ситуацията с техните очи, от тяхната гледна точка. Да ги окуражим и да им съдейст-ваме. Да покажем пътя – възможни алтернати-ви за подобрение и коригиране. По този начин ще демонстрираме съпричастност и желание да помогнем за преодоляване на ситуацията.

И така – като приложим подобни инструменти и похвати, току виж сме станали по-малко чуж-ди и все по-желан партньор в организацията си.

УПРАВЛЕНИЕ НА ВЗАИМООТНОШЕНИЯТА – КЛЮЧОВ ФАКТОР ЗА УСПЕХА НА ВОПОВЕЧЕ С ПО-МАЛКО

ПРЕДОСТАВЯНЕ НА УВЕРЕНОСТ ОТНОСНО УПРАВЛЕНИЕТО НА ИТ–ИНСТРУМЕНТАРИУМ

В комбинация с рамката „COBIT 2 5„ последните актуализации на „ISACA3, внесени в Стандартите за одит на информационните системи и предоставянето на увереност относно тяхното функциониране, могат да подпомогнат одиторите да оценят управлението на информационните системи в организацията.

Йън Сандерсън

Актуализираните Международни стан-дарти за професионалната практика по вътрешен одит („Стандартите“) в сила

от началото на 2013 година бяха посрещна-ти с голям интерес от специалистите в облас-тта на одита на информационните системи и предоставянето на увереност относно тяхното функциониране. С актуализацията за пръв път управлението на информационните технологии бе пряко регламентирано в стандарт (Стандарт 2110 – Управление). Съгласно Стандарт 2110.A2 вътрешния одит е длъжен да „оцени дали управлението на информационните технологии в организацията укрепва и подпомага нейните стратегии и цели.“

Необходимостта от Стандарт 2110.A2 е ясно подчертана в издаденото през юли 2012 г. ре-зюме към Глобалното ръководство за одит на технологиите (GTAG) – 17 „Одит на управление-то на ИТ“ на Института на вътрешните одито-

ри, в което се отбелязва, че „предвид непре-къснато ускоряващия се темп на развитие на технологиите, мащабното разпространение на ИТ и зависимостта на организациите от тях, вътрешният одит несъмнено следва да обър-не внимание на тази област с присъщо висок риск.“ За да удовлетворят задължителните изисквания, предвидени в Стандарт 2110.A2, одиторите могат да се възползват от актуали-зираните Стандарти за одит на информацион-ните системи и предоставянето на увереност относно тяхното функциониране на ISACA. Публикуваните през юли 2013 г. актуализира-ни стандарти на ISACA влизат в сила през но-ември 2013 г., а публичният тираж на насоките за прилагането им до края на 2013. Освен това рамката „COBIT 5“, издадена от ISACA през 2012 г. , също може да допринесе съществено за постигането на съответствие с изискването за управление на ИТ.


5 7

ПРЕДОСТАВЯНЕ НА УВЕРЕНОСТ ОТНОСНО УПРАВЛЕНИЕТО НА ИТ–ИНСТРУМЕНТАРИУМПРЕДОСТАВЯНЕ НА УВЕРЕНОСТ ОТНОСНО УПРАВЛЕНИЕТО НА ИТ–ИНСТРУМЕНТАРИУМ

Актуализираните стандарти на ISACA

Макар нуждата от рецензиране на стандарти-те на ISACA да се дължи отчасти на обстоятел-ството, че информационните системи се разви-ват бързо и заемат все по-доминиращо място в организациите, в по-силна степен тя е обу-словена от стремежа да се поддържа тяхната актуалност в съответствие с промените в най-добрите одитни практики и да се удовлетворят очакванията заинтересованите от одита лица. Стандартите на ISACA – подобно на стандарти-те на Института на вътрешните одитори и тези на Международната федерация на счетоводи-телите (IFAC) – се основават на принципи и се преразглеждат редовно, за да се гарантира, че те са целесъобразни, достоверни и неизменно пълноценни както за одиторите, така и за тех-ните клиенти.

При актуализирането на стандартите на ISACA рецензентите се ръководят от примера на ор-ганизации от ранга на Института на вътреш-ните одитори и Съвета по стандарти за одит и предоставяне на увереност към Международ-ната федерация на счетоводителите, неотдав-на актуализирали своите стандарти, за да ги доизяснят и да оптимизират работата с тях. В същия дух ISACA усъвършенства своите стан-дарти, така че те да станат по-достъпни и реле-вантни за одиторите на информационни систе-ми и останалите потребители и да способстват за по-ефективното планиране, извършване и отчитане на одитната работа.

Въпреки че одитните стандарти, издадени от различните компетентни органи, са на високо ниво и предвид това имат множество допирни точки, все пак се наблюдават и различия. Стан-дартите на ISACA се отнасят до специфични области, свързани с одита на информационни-те системи и предоставянето на увереност от-носно функционирането им, които не са задъл-жително разгледани изрично в други одитни стандарти. Така например ISACA е предложи-ла стандарт, с който регламентира конкретно въпроса за съществеността. За един одитор на информационните системи концепцията за съ-щественост се основава върху контролните ме-ханизми, в това число наличието на слабости в тях или пък отсъствието на контролни механи-зми, които би могло да доведат до съществен

недостатък или порок в дадена информацион-на система, докато за един финансов одитор паричните суми може да се окажат по-мощен двигател на съществеността.

Съгласно определението, дадено в Стандар-тите на Института на вътрешните одитори, управлението на ИТ се състои от “лидерство, организационни структури и процеси, които осигуряват подкрепата на ИТ за целите и стра-тегиите на организацията.” От тази формули-ровка следва, че обезпечаването на ясно опре-деление за същественост на информационните системи би било полезно за одиторите. Свърза-ните с ИТ процеси са обект на контролни меха-низми, които следва да се проверяват, за да се предостави увереност, че те функционират по начин, който обезпечава стратегиите и целите на организацията. В „GTAG 17“ се описват ня-кои от основните области за управление на ИТ, на които одиторите следва да обръщат внима-ние. Редица от тях ще изискват добре замисле-ни процеси и контролни механизми:

• Роли и отговорности на длъжностите лица с изпълнителни функции в областта на ИТ (напр. отговарящ за информацията дирек-тор, отговарящ за технологиите директор и отговарящ за информационната сигурност директор).

• Поемане на отговорност и вземане на реше-ния.

• Мониторинг на ефективността на ИТ и мет-риката за отчетност, включително финансово управление на информационно-технологич-ните дейности и проекти.

• Доколко висшият управленски ешелон раз-бира по какъв начин ИТ подпомагат органи-зацията и й дават възможност да постигне стратегиите и целите си.

• Съгласуваност на ИТ със спецификата на ор-ганизацията.

• Управление на ИТ и контролни механизми.

От една страна следването на стандартите е полезно за потребителите на одитните докла-ди. От друга страна насоките за прилагането на стандартите ще улеснят одиторите посред-ством практически указания, обстойно ана-лизиращи контекста на определен стандарт. Вътрешните одитори може да прибягват към

одитните насоки на ISACA, когато одитират ин-формационни системи или извършват провер-ки, които имат за цел да се удовлетворят из-искванията на Стандарт 2110.A2 на Института на вътрешните одитори. Насоките „разнищват“ основополагащите стандартите концепции. Така например насока относно извадките ще пояснява подробно как се създава извадка, как се подбират елементите в нея и как се оце-няват резултатите. Независимо че одиторите вероятно разбират голяма част от информаци-ята относно извадките, в насоките се предла-гат примерни тестове за контрол върху съот-ветствието в ИТ среда.

ПРИНЦИПА„COBIT 5“ се основава на пет основни принципа за управление на информационните системи:

Удовлетворяване на изисква-нията на заинтересованите лица.

Обхващане на организацията в нейната цялост.

Прилагане на единна, интегрирана рамка.

Обезпечаване на холистичен подход.

Разграничаване на управлението от ръководството.

ФУНКЦИОНАЛНИ СПОСОБАЗа да се обезпечат посочените принципи, в „COBIT 5” са застъпени седем функционални способа, обусловени от наличието на ефективни:

Принципи, политики и рамки.

Процеси.

Организационни структури.

Културни и етични ценности и поведение на лицата в организацията.

Информация.

Услуги, инфраструктура и приложения.

Човешки ресурси, умения и компетенции.

COBIT 5„

Не по-малко полезен документ е рамката за уп-равление и ръководство „COBIT 5“, която подпо-мага организациите да извлекат максимална полза от информационните системи така, че да се увеличи ползата за заинтересованите страни. Рамката служи на лицата, натоварени с цялост-ното управление на организацията, да опреде-лят преимуществата, които искат да постигнат в резултат от използването на информационни-те системи в организацията, като ги съпоставят едновременно с ресурсните ограничения (напр. човешки ресурс и парични средства) и апетита към риск (вж. „COBIT 5 – Принципи и функцио-нални способи“ по-долу ).

1

2

3

4

5

12

3

4

5

67

COBIT 5


ПРЕДОСТАВЯНЕ НА УВЕРЕНОСТ ОТНОСНО УПРАВЛЕНИЕТО НА ИТ–ИНСТРУМЕНТАРИУМ

Потребителите на други рамки за управление, например Интегрираната рамка за вътрешен контрол на Комитета на спонсориращите орга-низации на Комисията „Тредуей“ („COSO“), въз-приемат „COBIT” като легитимен алтернативен инструмент заради насочеността на „COBIT” към управлението на информационните систе-ми, което понастоящем се явява основен двига-тел на бизнеса. Едно от предимствата при полз-ването на „COBIT 5” като рамка за управление е нейната съгласуваност с общоприетата най-до-бра практика в областта на информационните системи, в това число „Библиотеката за инфра-структура на ИТ“ (IT Infrastructure Library) и поредицата стандарти ISO/IEC 27000, както и с рамката „COSO“, в чиято актуализирана версия от месец май също се обръща подчертано вни-мание на управлението на ИТ.

Чрез успешното прилагане на „COBIT 5“ за нуж-дите на управлението на ИТ организациите би трябвало да могат да изпълнят поставените бизнес цели и по-конкретно да мобилизират ИТ в своя максимална изгода, да защитят данни-те и активите и да удовлетворят приложимите нормативни изисквания.

Макар рамката „COBIT 5“ да не е конкретно обвързана с актуализираните стандарти на „ISACA“, предстоящите насоки относно прила-гането им препращат към съответните процеси в „COBIT“ и техните цели в помощ на одиторите. В допълнение ISACA е издала „COBIT 5 – Насо-ки относно предоставянето на увереност“, които следват структурата, съдържанието и термино-логията на рамката, за да улеснят запознатите с „COBIT“ одитори да изготвят своите доклади по допълващ начин. Това ръководство, което съвместява няколко стандарта за предоставяне на увереност относно ИТ, включително тези на Института на вътрешните одитори, е полезно за одиторите в три основни направления:

• На одиторите и на лицата, натоварени с упра-влението на организацията, се дава възмож-ност да се запознаят с актуалните най-добри практики за предоставянето на увереност. Указват се например изискуемите бизнес структури за предоставянето на увереност – управителни органи, одитни комитети и са-мото звено за вътрешен одит.

• Указва се как да се използват компонентите на „COBIT 5“ и концепциите за планиране, из-пълнение и докладване на отнасящите се до ИТ одитни ангажименти. Нещо повече, пре-доставят се насоки относно конкретни проце-си за предоставяне на увереност, залегнали в „COBIT 5“, и относно това, как да се придобие увереност, че седемте функционални способа се използват ефективно.

• Ролята на одита се разглежда през призма-та на „добавената стойност“, т.е.целта е да се обследва дали организацията генерира оп-ределените от заинтересованите страни пре-имущества, претеглени спрямо ресурсните ограничения и рисковете.

В крак с времето

Прогресът на информационните системи и на технологиите като цяло продължава с нестих-ващи темпове. Това обстоятелство увеличава изискванията към вътрешните одитори и по-ражда нуждата от подходящ инструментариум, за да могат одиторите да удовлетворят очаква-нията относно предоставянето на увереност от страна на корпоративното ръководство, регула-торните органи и други заинтересовани лица. Такъв инструментариум съществува (стан-дартите на Института на вътрешните одитори, стандартите на ISACA и „COBIT 5“), но за да за-пази своята актуалност, той следва да бъде не-прекъснато преразглеждан и осъвременяван. Одиторите от своя страна трябва да са винаги осведомени за технологичните новости и да усвояват нерядко сложни умения и познания, за да могат да предоставят увереност относно управлението на ИТ в организацията.

Йън Сандерсън (FCA, CISA) е член на Комитета за професионални стандарти и управление на кариерното израстване към „ISACA“ и главен директор по финансова отчетност на Агенци-ята на НАТО за поддръжка в Люксембург.

Превод: Веселина Хоторн

Силвия СтефановаСтарши вътрешен одитор в Корпоративна търговска банка АД

ИЗВАДКИТЕ - ВАЖЕН ИНСТРУМЕНТ В ДЕЙНОСТТА НА ВЪТРЕШНИЯ ОДИТ

Kато одитори основната ни цел е да дадем увереност. За постигането на тази цел е необходимо да идентифицираме и ана-

лизираме информация, която да ни позволи да изразим мнение и да достигнем до разумни за-ключения. Естествено имаме изисквания към информацията, която събираме и анализираме – тя трябва да е достатъчна, надеждна, уместна и полезна.

Достатъчната информация е такава, която като количество ни позволява да достигнем до адек-ватни заключения. Надеждността препраща към източника на използваната информация и нейната автентичност, точност и актуалност. Уместната информация е точно тази, която ни позволява да изпълним конкретните си цели. Полезната информация пък притежава пре-дходните три характеристики, но освен това е насочена към постигне на целите на органи-зацията.

И така, като одитори за събирането и анализа на информация извършваме тестове- прилага-ме аналитични процедури, провеждаме интер-вюта, наблюдаваме и преглеждаме документи. Тъй като прегледът на всички документи в по-вечето случаи не е възможен или ефикасен, из-ползваме извадки - избираме част от докумен-тите и преглеждаме тях с идеята, че те ще са показателни за всички останали. В контекста на изискванията, които имаме към информация-та, която използваме обаче възникват следните въпроси: Как при избора на определени доку-менти да имаме увереност, че те са правилните документи? Колко документа да прегледаме и достатъчни ли са те? Какво всъщност е доста-тъчно? Как да интерпретираме резултатите от това, което сме установили?

При използването на извадки неизбежно съ-ществува риск - рискът, че при прегледа на извадката (колкото и добре да сме я избрали и независимо от сложните процедури, които сме приложили, за да я анализираме) ще достигнем до изводи, различни от тези, които бихме дос-тигнали, ако бяхме прегледали всички опера-ции. Извадковият риск може да доведе до два вида грешни заключения:

• Първият вид води до изразяване на одиторско мнение, че всичко е наред, когато в действи-телност в съвкупността са налице съществени пропуски или несъответствия. При тестовете на контроли този риск се изразява в одитор-ско мнение, че контролите са по-ефективни отколкото са в действителност. При тестовете по същество той се изразява в даването на за-ключение, че в счетоводните данни няма съ-ществени несъответствия, когато в действи-телност такива са налице. Този вид погрешни заключения като цяло са най-опасни за нас като одитори, тъй като те оказват влияние върху ефективността от нашата работа и во-дят до даване на „фалшива” увереност.

• Вторият вид води до изразяване на по-нега-тивно одиторско мнение, което не кореспонди-ра на действителността. При тестовете на кон-тролите този риск се изразява в даването на одиторско мнение, че контролите са по-мал-ко ефективни, отколкото са в действителност. При тестовете по същество той се изразява в даването на заключение, че в счетоводните данни има съществени несъответствия, кога-то в действителност такива не са налице. Този вид погрешни заключения оказват влияние върху одитната ефективност, тъй като е необ-ходимо извършването на допълнителни про-цедури и прегледа на повече документи за установяване, че първоначалните заключения не са били правилни.


Това води до въпроса как да оценим този изва-дков риск и можем ли да го управляваме (поне в разумни граници)?

За да отговорим на тези въпроси, трябва да запо-чнем от самото начало – ВИДОВЕТЕ ИЗВАДКИ.

Извадките, които можем да използваме са ос-новно два основни вида - статистически и нес-татистически.

Статистически извадки са тези, при който из-ползваме статистически методи и теорията на вероятностите за определяне на размера, избор на елементите от извадката, измерване на ри-ска от извадката и за оценка на резултатите от нея. При нестатистическите извадки от друга страна използваме знанията и опита си за оп-ределяне на размера и елементите в извадката. И двата вида извадки са приемливи, съгласно Международните стандарти за професионална практика по вътрешен одит и Международните одиторски стандарти, но тогава как да изберем кой вид би осигурил полезната информация, към която се стремим.

В следващите абзаци са систематизирани ос-новните предимства и недостатъци на всеки от двата вида извадки:

Принципно, статистическата извадка позво-лява по-обективна оценка на резултатите от тестовете в сравнение с нестатистическата. Предимството при нея е, че на база на резулта-тите от тестовете можем да получим определе-на увереност (изразена числово) за това, какво се случва в цялата съвкупност и да изчислим статистическата грешка. Целта на статистиче-ската извадка е да получим умален вариант на цялата съвкупност, който да отразява основни-те й характеристики. Статистическите извадки могат да бъдат използвани както при тестове на контроли (за оценка на броя несъответствия при изпълнение на регламентирани процедури и документиране на извършените контроли), така и при тестове по същество (при изчисля-ване на стойността (сумата) на грешките в да-дена съвкупност). Статистическата извадка е по-полезна при анализ на често извършвани операции (които са много на брой), когато рис-кът свързан с тях е висок и се изисква точно оп-ределена увереност относно резултатите. Освен това, статистическите извадки са полезни и за анализиране на хомогенни съвкупности (които се състоят от много операции от даден вид или за близки суми). Тъй като при излъчване на ста-

тистическа извадка елементите се избират слу-чайно (с цел постигане на представителност и избягване на субективизъм, който би изкривил резултатите) статистическата извадка не дава най-добри резултати при анализ на по-рядко срещаните видове операции или операциите за много крайни суми (много големи или много малки) - поради факта, че те са рядко среща-ни в цялата съвкупност е по-малко вероятно да попаднат в извадката ни. А както знаем, поради факта, че служителите, които ги осчетоводяват и обработват не ги познават е вероятно риска от грешка при тях да е по-голям.

Нестатистическа извадка се използва най-чес-то за доказване на очаквано състояние (не-съответствие или неточност) или когато са необходими бързи резултати от тестовете. Пре-димството при този подход е, че използвайки познанията си при избор на извадката може бързо да открием слабости, за които е необхо-димо предприемане на мерки. В нестатистиче-ските извадки включваме в общи линии всички операции, които поради една или друга при-чина предизвикват нашия интерес. Най-често тези обекти са два вида: обекти с цел получа-ване на информация (какви са контролите и как се документират) и обекти с цел тестване (спаз-ват ли се процедурите при всички операции и изпълнени ли са допусканията за счетоводната информация). Предимство на нестатистическа-та извадка е, че чрез прегледа на необичайните операции ни позволява да анализираме естест-вото и причините за несъответствия или неточ-ности. Освен това, нестатистическите извадки са полезни и при малки съвкупности, тъй като в тези случаи статистическите извадки не са ефикасни, тъй като е необходима сравнително голяма извадка за извършване на тестовете. Един от недостатъците при използване на този вид извадка обаче е, че резултатите не могат да дадат основание за изводи за характеристиките на цялата съвкупност, а само за конкретно про-верените операции. Независимо дали смятаме, че сме се съсредоточили върху рисковите обла-сти, остава неяснота по отношение на състоя-нието в цялата съвкупност. В случай, че използ-ваме единствено този вид извадка, трябва да си зададем въпроса при избора на елементите в нея каква част от рисковата стойност в крайна сметка не е покрита от извадката ни и съответ-но дали тя не е съществена, защото въпреки извършените процедури при използването на нестатистическа извадка нямаме основание да дадем заключения за непроверените операции.

В крайна сметка решението дали да се използ-ват статистически или нестатистически извад-ки се взима, като се избира по-ефективния и ефикасен начин за получаване на достатъчни и уместни доказателства съобразно конкретните обстоятелства. В повечето случаи използване-то на комбинация от статистическа извадка (за най-често срещаните операции) и нестатисти-ческа извадка (за необичайните операции) биха дали най-добри резултати.

В случай че сме преценили, че статистическата извадка отговаря повече на целите ни трябва да знаем, че има няколко вида статистически из-вадки, които можем да прилагаме. Те използват различни статистически закони в зависимост от тествания обект. Видовете статистически из-вадки са: атрибутивни извадки, които са прило-жими за тестове на контроли и извадки на про-менливи или стойностно-претеглени извадки, които са приложими за тестовете по същество.

Атрибутивни извадки

Атрибутивните извадки се използват най-често за тестване ефективността на вътрешните кон-троли. Те дават възможност да определим ни-вото на съответствие с установените (вътрешни или външни) изисквания и критерии. Има два вида атрибутивни извадки - класическа атри-бутивна извадка и разкриваща извадка.

Класическата атрибутивна извадка ни позво-лява да оценим съотношението на елементите с дадена характеристика в съвкупността. При нея анализираме елементите при които даден контрол е извършен и с определено ниво на увереност (и в рамките на определен интервал на прецизност) можем да отговорим на въпроса за каква част от съвкупността е извършен (да/не) даден контрол.

Разкриваща извадка се използва, за да се оцени дали делът на единиците, притежаващи дадена характеристика в съвкупността не превишава дадена критична норма на отклонение. В пове-чето случаи тя се проектира така, че ако при прегледа на единиците от извадката се устано-ви едно единствено изключение, то критичната норма на отклонение е превишена. Този вид ат-рибутивна извадка е полезна е при индикация за наличие на измама, заобикаляне на регу-лациите или когато разглеждаме критични за качеството или изпълнението контроли. Тя не е

предназначена за разкриване на случайни на-рушения, използва се за разкриване на наруше-ния, възникващи с определена честота.

Извадки от променливи

Този тип извадка се използва за прогнозиране на стойността на дадена променлива в съвкуп-ността. Този вид извадка позволява да се оце-ни верността на дадена стойност (сума) или на сумата на несъответствие/неточност и често се използва в тестовете по същество, където целта е да се потвърди верността на финансовите дан-ни. Най - често срещаните параметри, които се използват за излъчване на класически извадки на променливи са: средна стойност, съотноше-ние и разлика.

Извадката от променливи от типа оценка на средна стойност използва статистическата концепция за средна-статистическа величина. При оценка на средната стойност на елементите от извадката, може да се оцени реалната стой-ност на цялата съвкупност. Методът на средна-та стойност е полезен, когато не е известна су-мата на цялата съвкупност или средната сума на неточностите при операциите. Този метод изисква ниска променливост на размера/сума-та на отделните операции, защото в противен случаи се изисква много голям размер на из-вадката.

Друг метод за излъчване на извадка от промен-ливи е оценка на съотношението. Този метод позволява съотношение на даденото несъответ-ствие/неточност от извадката да се екстраполи-ра към цялата съвкупност.

На последно място, оценката на разликата е друг класически метод за излъчване на извад-ки от променливи. Той е подобен на оценката на съотношението, но се базира на разликата (а не на съотношението) между установените в из-вадката и осчетоводените стойности.

Извадка от променливи от типа оценка на съ-отношението или разлика са подходящи, когато има чести разлики между одитираната стой-ност и осчетоводената стойност.

При избора кой вид извадка да се използва трябва да се има предвид, че:

- Оценката на разликата е по-подходящият ме-тод когато размера на неточностите/грешките

ИЗВАДКИТЕ - ВАЖЕН ИНСТРУМЕНТ В ДЕЙНОСТТА НА ВЪТРЕШНИЯ ОДИТ ИЗВАДКИТЕ - ВАЖЕН ИНСТРУМЕНТ В ДЕЙНОСТТА НА ВЪТРЕШНИЯ ОДИТ


не варира значително в сравнение с осчетово-дената стойност; - Оценка на съотношение пък е по-подходяща когато размерът на неточностите/грешките е почти пропорционален на осчетоводената сума.

Стойностно-претеглена извадка

Този вид статистическа извадка е комбинация между атрибутивна и извадка от променливи. Стойностно-претеглената извадка използва те-орията на атрибутивните извадки за оценка на максималната неточност в дадена сметка. При нея съвкупността се определя от парични, а не от физически единици. Този вид извадка е по-удачен при голяма променливост на единиците от съвкупността и малък брой очаквани греш-ки. Тези извадки са ефективни за откриване на надценени елементи във финансовите отчети. Предимствата на този вид извадки са, че оди-торските усилия се насочват към обекти с по-висока стойност, така че за тях има по-голяма вероятност да бъдат избрани, което води до по-малки размери на извадката.

Недостатъците са, че дава консервативна (по-висока) оценка на несъответствието/неточност в цялата съвкупност. Тя не е ефективна при елементи в счетоводните данни, които очакваме да бъдат регистрирани на по-ниска от реалната стойност или такива, които може да бъдат из-пуснати. Освен това увеличаването на извадка-та е трудно при използване на стойностно пре-теглена извадка и при нея се изисква отделно тестване на нулевите и отрицателни стойности.

След като разгледахме различните видове из-вадки и имайки предвид характеристиките на всеки един от тях, ще преминем през основни етапи при използване на извадките, а именно:

9 Определяне на размера на необходимата из-вадка; 9 Избор на елементите от извадката; 9 Преглед на избраните елементи; 9 Оценка на резултатите от извадката.

Определяне на размера на извадката

За определяне на размера на извадката е необ-ходимо първоначално да имаме ясно определе-ни цели на тестовете. В зависимост от тези цели можем да преценим какви одиторски процеду-ри да приложим и какъв вид извадка би бил най-ефективен. При използването на извадка трябва да определим характера на търсените одиторски доказателства (съвкупността), както и ясно да дефинираме какво считаме за изклю-чение. При определяне на съвкупността, от коя-то ще бъде излъчена извадка, водеща е целта на теста - в зависимост от нея можем да опре-делим дали счетоводните данни или първични-те документи съставляват нашата съвкупност. В някои случаи на практика е възможно съв-купността да не може да бъде определена, по-ради липса на информация в счетоводната ни система за характеристики, които са ключови за съвкупността. Независимо дали използваме статистическа или нестатистическа извадка ос-новните критерии при определяне на размера на необходимата извадка са сходни. Те включ-ват: размера на съвкупността, задаване на ни-вата на същественост/допустимост, очакваните несъответствия/неточности, желаното ниво на увереност и максималната допустима статис-тическа грешка.

Размерът на нестатистическите извадки се оп-ределя от одитора съобразно описаните по-горе критерии и неговия опит, включително и пре-ценка, колко елемента съставляват достатъчна извадка.

Размерът на статистическите извадки се опре-деля по статистическа формула (в зависимост от избрания вид извадка на база на описаните по-горе параметри.

Избор на елементите от извадката

Изборът на елементите от извадката се извърш-ва в зависимост от използвания вид извадка, съвкупността и нейните характеристики.

За нестатистически извадки избираме най-ин-тересните за нас елементи и тези, които оце-няваме като най-рискови. Избраните елементи при този вид извадки могат да бъдат: обекти с висока стойност или обекти над определена сума - като по този начин можем да покрием голяма част от общата сума на салдото на опре-делена сметка или групи операции, операции пораждащи съмнение - необичайни, при които вече са допуснати грешки или ключови такива.

За нестатистическите извадки е важно елемен-тите да бъдат избрани случайно, като всяка единица от съвкупността да има шанс да по-падне в извадката ни.

Преглед на избраните елементи от извадката

В този етап документите се преглеждат за уста-новяване на наличие на изключения, съгласно предварително определените критерии какво представлява изключение. При установяване на несъответствия/неточности трябва да се анали-зира причината и да се има предвид взаимо-обвързаността на елементите и възможността едно изключение да оказва влияние върху дру-ги елементи от съвкупността.

Когато очакваните одиторски доказателства, свързани с конкретен елемент от извадката, не могат да бъдат получени, например търсения документ липсва, следва да се приложат алтер-нативни процедури. В случай, че не могат да бъдат извършени задоволителни алтернативни процедури или пък събраните доказателства не са достатъчни, съответният елемент от извад-ката следва да се приеме като изцяло грешен.

Оценка на резултатите от извадката

В този етап (който се прилага само при статис-тическите извадки) установените при прегледа на извадката изключения се екстраполират към цялата съвкупност, като методът на екстрапо-лоране трябва да съответства на метода, из-ползван при избора на извадка. При оценката на резултатите от извадката се разглежда как-то количествения (брой и сума), така и качест-вения аспект (характера и причините) на уста-новените несъответствия/неточности. Последно следва да се прецени дали несъответствията в съвкупността надхвърлят допустимите нива/ нивото на същественост, дали извадката е по-стигнала желаната прецизност и необходимо ли е увеличаване на използваната извадка.

Конкретните специфики за всеки етап в зависи-мост от вида извадка ще разгледаме в следва-щи издания на списание Вътрешен одитор.

ИЗВАДКИТЕ - ВАЖЕН ИНСТРУМЕНТ В ДЕЙНОСТТА НА ВЪТРЕШНИЯ ОДИТ ИЗВАДКИТЕ - ВАЖЕН ИНСТРУМЕНТ В ДЕЙНОСТТА НА ВЪТРЕШНИЯ ОДИТ


КАК ДА ПОДОБРИМ ЕФЕКТИВНОСТТА НА ВЪТРЕШНИЯ ОДИТ

Десислава Георгиева

Вгодините след световната финансова и икономическа криза все повече нарастват очакванията към вътрешните одитори и

се засилва натиска от страна на ръководството функцията на дейността да подпомогне пости-гането на целите и предотвратяването на стра-тегическите рискове. За да успеят да се справят с това предизвикателство, вътрешните одитори трябва да насочват вниманието си върху резул-татите от дейността, върху ефективността от тяхната работа и оценката от изпълнението.

Как може обаче ефективността на дейността по вътрешен одит да бъде измерена и подо-брена? Ще отговорим на този въпрос, като за целта използваме частично модела за зрялост (maturity model), създаден от Ernst&Young в сътрудничество с Rio Tinto Corporate Assurance function и се опитаме да го доразвием.

Моделът ще ни помогне да си представим тран-сформацията, през която трябва да премине функцията, за да подобри своята ефективност.

Първата стъпка с помощта на модела е да се направи реална оценка за това какво е сегаш-ното ниво на зрялост на дейността по вътре-шен одит и как може да се преодолее пропаст-та между текущото (настоящата практика) и желаното състояние, подходящо за съответ-ната организация. За да се установи желаното ниво на изпълнение, първо трябва да се търси съгласие от Висшето ръководство и Съвета по отношение на ролята, целта, правомощията и отговорностите на дейността по вътрешен одит, както и да се съпостави с добрите прак-тики от областта. Вътрешният одит е ефекти-вен, когато успява да даде разумна увереност на Висшето ръководство и Съвета, че могат да разчитат на процесите и системите в органи-зацията, да управляват риска и да постигат целите на организацията. По този начин те осигуряват увереността от която се нуждаят управляващите.

Ето как, определящо значение за ефективност-та има удовлетвореността на определени стра-ни, които са заинтересовани. Удовлетвореност-та е определена степен на постигане на ниво на засищане. Това ниво може да се определи, само чрез оценка на настоящата полезност на дейността към Ръководството, както и опреде-ляне на степента на подпомагане на управле-нието. Можем да зададем въпроси към Висше-то ръководство и Съвета, както и към всички потребители на резултатите от дейността по вътрешен одит дали се чувстват удовлетворени от получената увереност и дали тази увереност отговаря на нуждите, както и дали съществе-ните рискове се идентифицират и анализират по подходящ и навременен начин за тях и за организацията. Ако установените резултати не са достатъчни, следва процес на промяна, во-дещ до подобряване на дейността, следовател-но и до повишаване на ефективността. Всеки процес на трансформация трябва да започне от целта на функцията, а тя е да добавя стой-ност и подобрява процесите и дейностите в ор-ганизацията. Добавянето на стойност се оси-гурява чрез ролята на вътрешния одит като „агент на промяната“, правейки препоръки за подобряване на процесите, които се инициират и задействат от ръководството.

Но какъв е желаният резултат от работата по вътрешен одит, който да осигури такава увере-ност, която е толкова разумна и надеждна, че да не е необходимо да се подлага на съмнение?

В повечето случаи, като измерители на рабо-тата се използват : процент на изпълнение на одитен план, брой одитни разкрития (констата-ции), приети и изпълнени препоръки, постиг-нати резултати в следствие от одитни проуч-вания, бюджет на вътрешния одит, резултати от оценката на качеството на дейността по въ-трешен одит.

Ако вземем за пример само процент на изпъл-нение на годишния одитен план, ще установим, че това е индикатор със субективен характер. Ако той е висок процент, това може и да оз-начава, че звеното се е придържало единстве-но към плана си, дори когато са възниквали рискове за организацията, които трябва да се идентифицират и оценят от вътрешния одит. По този начин вътрешния одит пропуска съ-щественото в настоящето.

Когато има гъвкав одитен процес на планира-не, който се актуализира с промените в рис-ковия профил на организацията, процентът

завършеност на плана е незначителен индика-тор. Ако гледаме такива данни, трябва да зна-ем, че те са само доказателство за степента на увереност, но не доказват, че ефективността е по-голяма.

Ето защо ще използваме модела на зрялост, който включва три основни сфери – управле-ние, хора и онези благоприятни фактори, кои-то спомагат за изграждането на едно успешно развиващо се звено по вътрешен одит, които според създателите на модела, са инфраструк-тура и операции. Тези аспекти се доразвиват в девет области. На фиг. 1 е представен модела:

Управление

Хора

Инфраструктура и операции

Цел и срок за

изпълнение

Развитие на компетентност

Ресурси

Поддържане на

компетентност

Управление на умения

Методология

Качество

ОперацииИнструменти и технология

КАК ДА ПОДОБРИМ ЕФЕКТИВНОСТТА НА ВЪТРЕШНИЯ ОДИТ


Деветте области се разделят на още 30 компо-нента, които могат да се разбиват до 150 ха-рактеристики за по-детайлен преглед. Моде-лът дава възможност да се изградят ключови индикатори, заимствайки опит от подобни ор-ганизации, , определени като лидери в бранша и прилагащи водещи практики. Всеки компо-нент може да се оцени според скала от 1 (липса на прилагане) до 5 (добра практика). Ако при-ложим скалата на този модел като измерител за съответствието на дейността по вътрешен одит с Международните стандарти за профе-сионална практика по вътрешен одит на Ин-ститута на вътрешните одитори (The IIA), ще дадем оценка за всяка една характеристика от трите аспекта.

Например Стандарт 1000 посочва единствено изискването целта, правомощията и отговор-ностите да бъдат дефинирани в Статут на въ-трешния одит, който се одобрява от Висшето ръководство и Съвета. Стандартът поставя ня-колко основни изисквания към съдържанието на Статута:

• Да определи позицията на вътрешния одит в рамките на организацията;

• Да регламентира достъпа до документация, персонал и имущество, необходим за изпъл-нението на ангажиментите;

• Да дефинира обхвата на вътрешния одит.

Статутът е характеристиката, на която трябва да дадем стойност от 1 до 5. Ако е зададена стойност 1 означава, че не съществува такъв документ, при стойност 2 има наличие на та-къв документ, но той не съответства на изис-кванията към съдържанието му, но ако има оценка 5, означава, че не само съществува Статут, но и са изпълнени всички изисквания за съдържание, като се спазва и условието от стандарта - регулярно се актуализира и одо-брява от ръководството.

Така можем да дадем оценка за съответстви-ето на всеки един стандарт с практиката по вътрешен одит, свързвайки изискванията на стандартите с деветте области.

На върха на пирамидата е сферата управле-ние. Тя съдържа целта пред вътрешния одит, която трябва да бъде в съответствие с целите на организацията и която трябва да е припо-зната на всички нива в организацията. Тук влизат характеристики като „отворена и чест-на комуникация“, принципите „независимост и обективност“, „административно и функцио-нално докладване“, „предоставен достъп до ключови доклади, документи, протоколи на съвета и други“. Основната цел на вътрешния одит е да оценява и подпомага дейностите при постигане целите на организацията. Вътреш-ните одитори подпомагат ръководството, като предоставят препоръки, които трябва да под-тикват към предприемане на адекватни ко-рективни действия.

Следващият важен аспект, който трябва да бъде разгледан дали работи достатъчно ефективно са хората. Ефективната и качествена работа на звеното по вътрешен одит зависи пряко от ко-личеството (подходяща численост) и качество-то на вътрешните одитори. Според модела на зрялост едно звено по вътрешен одит трябва да съдържа високо обучени служители, които са напълно наясно с одитните техники и мето-дология, както и да разбират много добре въ-трешната структура на организацията, бизнес процесите и рисковия профил, утвърден както за организацията, така и за отрасъла, в който оперира. Вътрешният одит трябва да се фоку-сира върху области, определени като високо рискови за времето си, в рамките на дейността на организацията. В допълнение, звеното по вътрешен одит трябва да бъде достатъчно гъ-вкаво, за да може да се адаптира към новите промени в организацията. Трябва да отговаря бързо и ефективно на променящите се риско-ве в рамките на дейността и да осигури ранни предупредително сигнали. Това може да бъде постигнато с обучителни семинари в области, които са релевантни за дейностите на компа-нията и за пазара. Също така, при определяне на състава (екипа), ръководителят на звеното по вътрешен одит трябва да вземе предвид дали съответните одитори притежават (като екип) необходимите знания, умения, опит и други квалификации за изпълнение на анга-жимента, оценява естеството и сложността му, срока за изпълнението му и наличните ресур-си, като по този начин прави оптимално раз-пределение на ресурсите (време и персонал) за постигане на целите на ангажимента.

Институтът на вътрешните одитори предла-га важен инструмент за развитие на знания и умения за практикуващите професията – Рам-ка за компетентността на вътрешните одитори, която за съжаление не среща достатъчно голя-мо приложение сред практикуващите одитори в България. Рамката обхваща четири основни области: стандарти за вътрешен одит, теория и методология; области на познание; инструмен-ти и техники; междуличностни умения. Тези четири области биха могли да се разглеждат като ключови индикатори за изпълнение на отговорности и задължения спрямо заеманите от тях позиции като вътрешни одитори.

Много е важно също така одиторите да разпо-лагат с опит в различни области, който ще им позволи да провеждат по-стойностни одити и да идентифицират и оценят по-голям брой ри-скове. По правило голяма част от вътрешните одитори разполагат с недостатъчно познания по счетоводство и финанси и нямат нужната компетентност за процесите в една организа-ция и инструментите, които могат да подобрят представянето. Препоръчително е звеното по вътрешен одит да бъде съставено от подходя-щи хора с познания за операциите, менидж-мънта, финансови анализи, оценка на процеси, инструменти за представяне на резултатите.

Този микс от хора ще им позволи да се допълват взаимно и да работи за постигането на обща-та цел, която ще утвърди звеното по вътрешен одит като модел за устойчиво развитие. Добра практика е ако звеното утвърди конкретен одитен профил за вътрешните одитор, използ-вайки рамката на компетентностите на The IIA. Този профил, съгласуван с Ръководство-то, ще осигури увереност и удовлетвореност спрямо техните нужди. Всичко това е основна предпоставка за повишаване на качеството на работа на вътрешните одитори.

Третият важен аспект според модела на зря-лост са инфраструктурата и операциите. Ефек-тивната и качествена работа на звеното по въ-трешен одит зависи пряко от методологията и инструментите, използвани от вътрешните одитори. За да изпълнява качествено функ-цията си, звеното по вътрешен одит трябва да прилага одитна методология, която се фокуси-ра върху финансовите процеси, оперативните и ИТ контроли на организацията. Това може да бъде постигнато чрез инвестиране в подхо-дящи инструменти и разбираема одитна ин-фраструктура. Неадекватна или недостатъчна (незряла) методология намалява шансовете на звеното по вътрешен одит да покрие всич-ки рискове. Като част от инфраструктурата и операциите, компонента качество има важно значение за ефективността на дейността по вътрешен одит. Качеството може да бъде раз-гледано като характеристика, която постига или надвишава очакванията на заинтересова-ните страни, докато се гарантира, че се добавя стойност към организацията.

Най-значимите фактори при постигане на качеството на вътрешния одит са компетент-ността и уменията при оценката на процесите по контрол, управление на риска и управле-ние. Качеството изисква разбиране не само от страната на тези, които извършват вътрешен одит, но също така и от одитните клиенти, как-то и тези отговорни за надзора на дейността по вътрешен одит. В допълнение, поддържане на качеството изисква непрекъсната ангажира-ност и всеотдайност от страна на ръководителя на вътрешния одит, който трябва да следи за всички настъпили изменения в организацията и нейната среда. Основен фактор за осигурява-не на качество на дейността по вътрешен одит е независимостта на звеното по вътрешен одит. РВО трябва също така да създаде програма за осигуряване на качество и усъвършенстване,

КАК ДА ПОДОБРИМ ЕФЕКТИВНОСТТА НА ВЪТРЕШНИЯ ОДИТКАК ДА ПОДОБРИМ ЕФЕКТИВНОСТТА НА ВЪТРЕШНИЯ ОДИТ


която дава гаранция, че дейността на звеното работи в съответствие със Стандартите за въ-трешен одит, Етичния кодекс и Дефиницията, утвърдена от The IIA.

Добрите практики сочат, че за да се оцени ка-чеството на дейността по вътрешен одит, тряб-ва да се преминат следните стъпки:

1. Да се извърши проучване сред персонала в звеното по вътрешен одит, защото така най-добре може да се идентифицират областите, в които звеното може да подобри настоящо-то си представяне и да повиши добавената стойност към организацията.

2. Да се интервюира ръководителя на вътреш-ния одит, за да се посочат въпросите/обла-стите, които имат влияние върху предста-вянето на дейността и възможните стъпки, които да се предприемат, за да се подобри състоянието.

3. Да се оцени ефективността на линиите на докладване, които използва ръководителят на вътрешния одит и неговите отговорности, свързани с програмата за осигуряване на качество.

4. Да се определи адекватността на оценката на риска и процесите свързани с планиране-то на одитната дейност.

5. Оценка на адекватността на планиране и извършване на одитен ангажимент, цялост-ната документация по ангажимента- работ-ните документи и одитните доклади, за да се осигури навременност на резултатите от одитната дейност и предприемане на корек-тивни действие.

Въпреки, че качеството е ключово изискване на Международните стандарти за професио-нална практика по вътрешен одит, е много трудно да се направи точна преценка дали да се обърне повече внимание на техниките и средствата, чрез които да се добави стойност за организацията като цяло или да се наблегне на усъвършенстване и развитие на процесите в организацията. Несъмнено отговорът зависи от съотношението разходи-ползи, но подходът е строго индивидуален за всяко одитно звено.

Сравнявайки състоянието на дейността по вътрешен одит в момента и състоянието на функцията при лидерите на пазара, както и с най-добрите практики, се разкрива настоящо-то ниво на зрялост за всеки ключов индика-тор. След като се определи желаното бъдещо ниво на зрялост за звеното, може да се направи план за действие за преодоляване на отклоне-нията. Най-лесният начин за илюстриране на установените отклонения е използването на радарна диаграма, която показва текущото и желаното състояние на всеки компонент и раз-личията между тях (както е показано на Фиг.2) Диаграмата има за цел да покаже как моделът на зрялост може да послужи за повишаване на ефективността на вътрешния одит. Червената линия е индикация за моментното състояние на зрялост на различните компоненти, които разгледахме според модела на зрялост. Зеле-ната линия представлява желаното от нас ниво на зрялост на звеното по вътрешен, което ис-каме да бъде постигнато през следващата го-дина.

Както споменахме в началото, всяка една от деветте области може да се раздели на отдел-ни характеристики, която да бъде обвързaна с подходящ стандарт и сравнен с добрите прак-тики, като се оцени на скала от 1 до 5. След това може да се вземе средно аритметична оценка, която да послужи за обобщена оценка на всяка една от деветте области и да се нанесе на диаграмата. Колкото по-висока е степента на зрялост на звеното по вътрешен одит (по-близо до 1), толкова по-ефективно може да из-пълнява задълженията си.

Състояние 2013

Цел 20141

2

3

4

5

Цел и срокове за изпълнение

Ресурси

Развитие на компетентност

МетодологияИнструменти и технологии

Управление на умения

Операции

Поддържане ниво на компетентност

КАК ДА ПОДОБРИМ ЕФЕКТИВНОСТТА НА ВЪТРЕШНИЯ ОДИТКАК ДА ПОДОБРИМ ЕФЕКТИВНОСТТА НА ВЪТРЕШНИЯ ОДИТ

Сегашно състояние на зрялост 2013

Цел на зрялост 2014

Моделът и диаграмата са изключително полез-ни, когато искаме да представим на заинтере-сованите лица разликите в сегашното състоя-ние и стъпките, които ще предприемем, за да постигнем желаното ниво на зрялост. Моделът представлява ценен инструмент за оценка на качеството, като предоставя ефективни насоки за начина, по който една организация може да издигне звено си по вътрешно одит една стъп-ка по-напред, за да покрие всякакви настоящи или бъдещи рискове, като в същото време до-бавя стойност за тези, които са натоварени с ръководни функции.

Следваща стъпка трябва да е създаване на план за действие (action plan), който ще прид-вижи организацията до желаното ниво на зря-лост. Той трябва да включва нужните ресурси, времеви диапазон за изпълнение, както и клю-чови индикатори, за да се следи прогреса. Все пак, ефективността на дейността по вътрешен одит, според мен, не зависи само от настъпи-лите изменения в процесите, от съпоставянето на разходите и ползите, от нивото на знания и умения на вътрешните одитори, но зависи най-вече от начина на поведение и отношение на вътрешния одитор към настоящата среда.

1 - Добри практики2 - Силно ниво на съответствие3 - Задоволително ниво на съответствие 4 - Формално ниво на съответствие5 - Нерегулярно съответствие/Липса на съответствие

130444

CCSa® CfSa® CGaP® CRma®

П Р А З Н У В А М Е

40 Г О Д И Н И

CIa

ВЕЧЕ В ТРИ ЧАСТИ

И НОВ ФОРМАТ НА CIA В 3 ЧАСТИ!ПОДГОТВЕТЕ СЕ ЗА НОВ ЕТАП

Станете част от глобалното семейство на CIA - над 110 000 професионалисти по целия свят!

Повече информация на www.theiia.org/goto/CIa2013

ЛОНДОН, ВЕЛИКОБРИТАНИЯ / 6-9 ЮЛИ 2014

МЕЖДУНАРОДНАКОНФЕРЕНЦИЯ

Регистрирайте се за най-голямото събитие за 2014 г.:

• 56 сесии по водещи теми и основни тенденции в развитието на професията;

• Възможност за професионални контакти с над 2 000 професионалисти от над 100 държави;

• Изявени и интересни презентатори;

Не губете време

Регистрирайте се на www.ic.globaliia.org!

• Възможност да се насладите на забележителностите на Лондон.

ACL �� , ��, �� , �� ad-hoc �� , �� .

�� , �� .

$2 ��+�� , �� , ��

$18��

$60��

�� , ��

��

€85�� ,

��

£35��+��

��

£1.3�� , ��

� ��

€125�� , ��

��

&&$4��+��

$100�� ,

��

www.logen.bg/fraud

�� . �� , �� . �� .

(400% )

��

��

LOGEN Ltd(02) [email protected]

AUTHORIZEDDISTRIBUTOR

ACL �� , ��, �� , �� ad-hoc �� , �� .

�� , �� .

$2 ��+�� , �� , ��

$18��

$60��

�� , ��

��

€85�� ,

��

£35��+��

��

£1.3�� , ��

� ��

€125�� , ��

��

&&$4��+��

$100�� ,

��

www.logen.bg/fraud

�� . �� , �� . �� .

(400% )

��

��

LOGEN Ltd(02) [email protected]

AUTHORIZEDDISTRIBUTOR

2 14 - iiabg.org 2013/vytreshen oditor 2013 - br.6_web.pdf · Всяка от тези...

Documents