Аудит постановки и исполнения КПЭ менеджмента: на что обратить особое внимание внутреннему аудитору

Опубликовано в 18/06/2021 - аудит, статьи - метки:

Автор: Сергей Киселев, директор по операционным аудитам, департамент внутреннего контроля и аудита, член Ассоциации «Институт внутренних аудиторов»1

Тема аудита ключевых показателей эффективности менеджмента (далее – КПЭ) востребована в каждой компании, где они внедрены. По ней написано уже много материала и удивить читателя чем-то новым затруднительно. В данной статье попробуем раскрыть с точки зрения операционного внутреннего аудитора следующие области:

  • ключевые принципы и особенности построения и функционирования системы КПЭ, которые необходимо учитывать при проверке;

  • типы аудиторских проверок, которые могут включать проверку КПЭ, и используемые при этом практики;

  • примеры из практики по проверке КПЭ.

Для того чтобы провести качественный аудит процесса постановки и/или исполнения КПЭ, необходимо четко понимать цели и ключевые риски, связанные с данными областями. Также внутреннему аудитору нужно осознавать, что КПЭ – это чувствительная для менеджмента область, и уже сам факт ее проверки может порождать различные проблемы. Начиная от конфликтов с заказчиком таких аудиторских проверок (члены правления, например, в случае выявления злоупотреблений) и заканчивая конфликтом интересов у самого внутреннего аудитора:

  • в случае принятия на себя функций исполнительного менеджмента (например, самостоятельный расчет размера премии, корректность которого впоследствии он не сможет проверить объективно);

  • при условии зависимости премий внутреннего аудитора от корпоративного результата.

Далее разберемся в том, какие типы аудиторских проверок, включающие анализ постановки и/ или исполнения КПЭ, могут выполняться внутренним аудитором, и на какие области он должен обратить внимание:

1. В рамках стандартных операционных аудиторских проверок бизнес-процессов

Как правило, при проверке какого-либо бизнес-процесса, эффективности дизайна и выполнения контрольных процедур, интегрированных в него, внутренние аудиторы должны обращать внимание на корректность постановки КПЭ владельцу бизнес-процесса, а также сотрудникам, отвечающим за его ключевые области. Это связано с тем, что из-за некорректной мотивации могут не достигаться цели процесса (например, перекос в сторону количества производимых изделий без учета их качества может привести к увеличению количества брака и, как следствие, прямым потерям для компании). Также проверка КПЭ может выполняться и как отдельный аудит.

В рамках стандартных аудиторских проверок какого-либо операционного процесса в большей степени внимание уделяется процессу постановки КПЭ менеджменту (рассмотрим это ниже в вопросе о проверке КПЭ как отдельной аудиторской проверке). Однако процесс оценки выполнения КПЭ также находится в фокусе.

При выявлении недостатков или злоупотреблений в оценке выполнения КПЭ данная информация также включается в отчет. На данное упражнение обычно не выделяется много времени. Тем не менее, внутреннему аудитору в рамках проверки необходимо убедиться в том, что КПЭ:

  • владельца бизнес-процесса и его ключевых подчиненных включают как бюджетные цели, установленные для всей компании, и они совпадают с утвержденными на уровне СД (комитет по вознаграждениям, например), так и функциональные КПЭ, направленные на повышение эффективности деятельности подразделения или улучшение его конечного продукта;

  • коррелируют со стратегическими целями компании, на выполнение которых владелец бизнес-процесса оказывает влияние;

  • в меру агрессивны и не являются заниженными;

  • владельца бизнес-процесса корректно каскадированы в КПЭ ключевых сотрудников;

  • каждого сотрудника корректно сбалансированы между собой. Примером несбалансированной карты КПЭ может быть следующая карта менеджера по продажам: выручка имеет вес 5%, чистая прибыль – 5%, количество клиентов, совершивших 3 и более покупок за месяц, – 5%, написание регламента продаж – 85%. Менеджер по продажам с такой картой КПЭ будет мотивирован прежде всего на написание регламента и только потом – на продажи, при условии, что 15% премии для него материальны и стоят тех трудозатрат, которые потребуется на выполнение целей по ним;

  • установлены и утверждены до начала отчетного периода, а пересмотр КПЭ в течение отчетного периода авторизован надлежащим образом, принятым в организации;

  • соответствуют критериям SMART2 и в них отсутствуют математические и другие ошибки.

Важно учитывать, насколько реально сотрудники могут оказывать влияние на достижение своих КПЭ. В том случае, если сотрудник не оказывает никакого влияния на их достижение, то выплата ему премии за это является некорректной, что должно отражаться в аудиторском отчете. Как пример: менеджеру по продажам установлен КПЭ «% снижения производственного брака», за который полностью отвечает производство.

Также внутреннему аудитору необходимо обращать внимание на корректность разграничения критичных полномочий. Например, у одного сотрудника не должны быть сконцентрированы полномочия по постановке себе целей и, тем более, по последующей оценке их выполнения.

Данный вид проверок предполагает использование полного набора аудиторского инструментария, включая интервью, идентификацию существующих в процессе контролей, оценку их дизайна против рисков процесса постановки и оценки КПЭ, аналитические процедуры, тестирование их выполнения. При этом в разных компаниях методология выполнения указанных действий и их набор могут отличаться в силу имеющегося ресурса, зрелости системы корпоративного управления, контрольной среды, качества и полноты данных учетных ИТ-систем, квалификации и опыта внутреннего аудитора, других факторов.

Аналитические процедуры – особенно полезный инструмент, поскольку он за счет анализа различных индикаторов позволяет правильно расставить приоритеты в программе проверки, подсветить потенциальные недостатки, сформировать правильные вопросы для интервью и пр. Аналитические процедуры очень зависят от качества и полноты данных в учетных, управленческих и производственных ИТ-системах и не занимают много времени на получение и расчет необходимых индикаторов.

К таким индикаторам могут относиться, например:

  • частота получения повышенных премий одними и теми же сотрудниками;

  • резкий рост показателей, по которым оценивается достижение КПЭ, к отчетной дате и их резкое падение после нее;

  • аномальные операции, влияющие на КПЭ, в выходные и праздничные дни для сотрудников, работающих по стандартному графику (5 рабочих дней с понедельника по пятницу);

  • отсутствие прямой зависимости между ростом бюджета на премии за выполнение КПЭ, ростом/ снижением финансовых и производственных показателей, на которые эти КПЭ влияют, количества премируемых сотрудников и пр.

Указанные индикаторы, даже если они показывают наличие проблем, требуют дополнительной проверки, чтобы сделать корректный вывод на их основании.

2. Проверки достижения КПЭ и/или корректности расчета премий:

  • по запросу СД/ комитета по аудиту (КА)/ генерального директора;

  • в рамках регулярного независимого подтверждения корректности и полноты исполнения КПЭ менеджментом организации (несмотря на то, что согласно МПСВА это не относится к функции внутреннего аудита и может нарушать его независимость, на практике в отдельных компаниях в России такие проверки могут входить в прямые обязанности внутреннего аудита).

Проверки в этих случаях связаны, как правило, с необходимостью независимого подтверждения того, что персонал действительно выполнил свои КПЭ и/ или премии менеджменту рассчитаны корректно, при этом отсутствуют злоупотребления. На практике данный вид проверок характерен, например, для небольших компаний, в которых функция HR не обладает необходимыми компетенциями и/или возможностями для объективного подтверждения выполнения КПЭ.

Для проверки корректности расчета показателей КПЭ внутренний аудитор должен четко понять для себя механику расчета каждого показателя КПЭ и необходимые для этого данные (управленческого/ финансового учета, первичные документы, внешние данные и пр.).

В том случае, если на этапе постановки и утверждения КПЭ механизм постановки и расчета достижения целевых показателей КПЭ не оценивался на корректность, то внутренний аудитор должен это сделать в рамках проверки достижения КПЭ и/или корректности расчета премий за достижение КПЭ. Если дизайн процессов постановки и/или оценки КПЭ, в т.ч. в части методологии расчета имеет недостатки, то расчет фактических показателей внутренний аудитор выполняет с необходимыми поправками. Их необходимо проговорить с владельцем процесса до начала пересчета КПЭ.

Проверка корректности расчета показателей КПЭ выполняется методом повторного исполнения (reperformance). В качестве примера приведем КПЭ директора по продажам организации, оказывающей услуги системного интегратора: «Сумма заключенных новых доходных контрактов/ расширение действующих рамочных контрактов». Данный показатель, согласно карте КПЭ, рассчитывается как сумма всех договоров с покупателями, которых нашли директор по продажам и его подчиненные. Информация о том, кто привел покупателя, находится в специальном реестре «Lead» у финансовых контролеров, а договоры – в учетной системе и в системе электронного документооборота (далее – СЭД). Для расчета фактического значения данного КПЭ внутреннему аудитору необходимо:

1. Выгрузить из учетной системы карточки всех договоров с указанием реквизитов и информации по ним.

2. По оригиналам договоров с учетом дополнительных соглашений выборочно или полностью проверить корректность регистрации сумм в учетной системе организации (1С, SAP, Oracle и пр.).

3. По реестру финансовых контролеров установить, какие договоры были заключены c покупателями, приведенными именно директором по продажам и сотрудниками его подразделения, а не другими сотрудниками организации в рамках отдельной программы поощрения «Lead».

4. Свести два перечня из п.1 (реестр карточек договоров) и из п.3 (реестр «Lead») и суммировать все договоры с покупателями, приведенными директором по продажам и его сотрудниками.

5. Сравнить полученную сумму с суммами, указанными в карте КПЭ как минимальное, целевое и агрессивное значение КПЭ. Сделать вывод о корректности расчета показателя по данному КПЭ.

Все отклонения в части корректности поставленных целей и методики их расчета должны быть зафиксированы в рабочей документации и обоснованы расчетами и достоверными данными/ документами. Внутренний аудитор в обязательном порядке должен установить фактические причины их возникновения и отразить их в отчете. Все выявленные недостатки в системе постановки и оценки КПЭ внутренний аудитор должен обсудить с владельцем бизнес-процесса

Внутреннему аудитору следует понимать, что в случае выявления фактов искажения менеджментом данных о выполнении КПЭ, может возникнуть конфликт с менеджментом. Он будет иметь место при условии, что выявленные искажения отразятся на размере премий, например, самого заказчика такой проверки (в лице генерального директора) или его прямых подчиненных. В связи с этим такую проверку можно поручить, например, внешним консультантам. Если такой возможности нет, то стоит выполнить проверку до утверждения и выплаты премии на этапе ее определения, не информируя при этом сотрудников компании, которым эта премия полагается. Нужно также учитывать, что внутреннему аудитору не следует самостоятельно рассчитывать показатели достижения менеджментом КПЭ и суммы его премий, т.к. это порождает конфликт интересов: впоследствии аудитор не сможет провести объективную проверку корректности расчетов, поскольку он выполнил их сам.

Проверки показателей достижения КПЭ и корректности расчета премий предполагают, как правило, только тестирование выполнения требований к расчету показателей КПЭ/ расчету размера премий за выполнение КПЭ (проверка документов, повторение вычислений, перепроверка корректности исходной информации и пр.). Внутренним аудиторам также следует помнить, что менеджмент может искусственно завышать показатели достижения своих КПЭ для получения премий: например, завышение факта продаж или манипуляции с финансовой отчетностью. Поэтому проверка обоснованности показателей, по которым рассчитывается премия, очень важна, особенно по критичным областям бизнес-процесса.

Зачастую такие, казалось бы, элементарные проверки могут вскрывать существенные недостатки в системе внутреннего контроля.

Рассмотрим интересный пример. Внутренний аудитор в рамках проверки корректности годового премирования обнаружил факт выплаты генеральным директором по согласованию с советом директоров годового бонуса менеджменту (включая самого генерального директора) несмотря на невыполнение одного из бюджетных КПЭ – «Выручка». При этом по регламенту о премировании, утвержденному комитетом по вознаграждениям совета директоров, премия по итогам года не выплачивается при невыполнении хотя бы одного бюджетного КПЭ.

Внутренний аудитор провел детальный анализ всех процедур и документов по выплате данной премии и отразил в своем отчете все существенные недостатки, которые имели место при определении и согласовании этой премии, о которых не был проинформирован совет директоров. Особое внимание аудитор уделил корректности и полноте отражения информации в отчете, что очень важно, поскольку сама по себе такая проверка приводила к конфликту с генеральным директором и директором по персоналу. Все рекомендации были направлены на кардинальное исправление недостатков в системе внутреннего контроля и предотвращение в будущем аналогичных злоупотреблений, а решение о необходимости обнуления необоснованно выплаченных, по мнению внутреннего аудитора, премий оставлено на усмотрение совета директоров. Таким образом градус конфликта с генеральным директором был снижен. Данный подход является корректным даже при условии того, что выплата была одобрена советом директоров, который уполномочен принимать подобные решения. Выявленные проблемы по данному кейсу обесценивали эффективность системы КПЭ и порождали риски недостижения целей организации в будущем. Рассмотренная ситуация была показательна также и с точки зрения примера обхода существующих контрольных процедур на высшем уровне руководства организацией.

3. В рамках служебных расследований с участием внутреннего аудитора, например, на основании информации, полученной по «Горячей линии» (участие внутреннего аудитора в данной активности может требоваться, когда функция расследования мошенничества находится в периметре подразделения внутреннего аудита, либо когда у сотрудников подразделения безопасности, отвечающих за нее, отсутствуют необходимые компетенции).

Служебные расследования, связанные с проверкой информации о возможных злоупотреблениях в постановке КПЭ или расчетах показателей КПЭ или размера премий, направлены на проверку наличия факта злоупотребления и установления вины конкретного лица (лиц). В зависимости от специфики компании, возможностей и ресурсов подразделения внутреннего аудита такие проверки могут полностью проводиться внутренними аудиторами, либо с их участием в качестве экспертов в области рисков и контролей, а также как обладателей необходимой для расследования информацией, например, по итогам проведенных аудиторских проверок.

По данным ACFE, в 2020 году на манипуляции с фондом оплаты труда, включая КПЭ, пришлось 9% всех случаев мошенничества, зафиксированных в мире в компаниях из разных отраслей.

Для проведения служебных расследований может применяться весь арсенал инструментов внутреннего аудитора: интервью, анализ документов, анализ учета, пересчет КПЭ по фактическим данным, аналитические процедуры по различным индикаторам.

Служебные расследования, как и остальные типы проверок помогают вскрывать недостатки в системе внутреннего контроля в процессе управления системой КПЭ.

Например: на «Горячую линию» организации поступила информация о том, что один из руководителей осуществляет махинации при распределении квартальных премий, привязывая их размер не к фактическим результатам, а к степени лояльности того или иного сотрудника. Кроме того, документация для обоснования расчета премии оформляется фиктивно.

Внутренний аудитор не ограничился формальной проверкой первичной документации и данных учета, но и установил причины, по которым начальник снижал/ увеличивал сотрудникам премии, проверил их обоснованность, пересчитал фактические данные по КПЭ и выполнил иные необходимые процедуры.

В итоге были идентифицированы следующие проблемы:

(1) сотрудникам подразделения не доводилась обратная связь по достижению ими своих КПЭ и размеру их премии;

(2) КПЭ оценивались формально, а оценка достижения целевых КПЭ не была привязана к фактическим результатам работы, отраженным в ERP-системе организации; документы с оценкой достижения КПЭ ряда сотрудников, включая начальника, не соответствовали фактическим данным учета и производственным показателям;

(3) у начальника подразделения сконцентрированы такие критические полномочия как: постановка КПЭ, определение порядка их оценки, оценка достижения КПЭ и расчет премий по ним, в т.ч. себе самому;

(4) независимый контроль со стороны HR и финансовых контролеров осуществлялся формально (только на предмет корректного заполнения всех необходимых документов, на соответствие бюджету по общей сумме премии);

(5) увеличенные премии получали в течение 2-х лет одни и те же сотрудники, большинство из которых пришло в организацию из той же компании, что и начальник;

(6) остальным сотрудникам премии в повышенном размере за последние 2 года ни разу не выплачивались несмотря на то, что результаты их работы позволяли это сделать.

В результате проверки обращения на «Горячую линию» помимо злоупотреблений начальника подразделения акцент был сделан на выявленные недостатки системы внутреннего контроля в процессе постановки и оценки КПЭ. План мероприятий по итогам проверки предполагал корректировку данного процесса и внедрение в него недостающих контрольных процедур.

4. При проведении консультационных проектов по выстраиванию системы внутреннего контроля в процессе постановки и оценки КПЭ.

Консультационный проект по оценке эффективности системы внутреннего контроля (СВК) предполагает анализ текущего состояния системы КПЭ, выявление узких мест с точки зрения отсутствия или неэффективности дизайна существующих контролей. Эффективным инструментом является соотнесение ключевых рисков процесса постановки и оценки достижения КПЭ, рисков некорректного определения размера премий против существующих в процессе контрольных процедур, целью которых является митигация данных рисков. В разных подразделениях внутреннего аудита это может делаться посредством матриц или таблиц рисков и контролей, главная цель которых (на основании выводов о том, насколько существующие контроли закрывают присущие процессу риски) – получить общую картину и понимание того, в каких точках необходимы доработки.

Участие в разработке эффективного дизайна для существующих контролей и/или новых (недостающих) контролей совместно с менеджментом для внутреннего аудитора ограничивается предоставлением экспертизы по внутреннему контролю и рискам.

В рамках консультационных проектов полноценное тестирование исполнения контролей этих процессов, как правило, не предусматривается. Внутреннему аудитору достаточно ограничиться сквозным тестом для того, чтобы убедиться в том, что озвученные менеджментом контроли над КПЭ внедрены и осуществляются так, как это заявлено.

К участию в проектах по выстраиванию системы внутреннего контроля в процессе постановки и оценки КПЭ менеджмента компании могут привлекаться: руководство отдела кадров (включая специалистов C&B3), финансовые контролеры, руководители ключевых структурных подразделений – каждый из них может дать необходимую экспертизу и поделиться полезным опытом в своей области. При получении информации о процессе и контрольных процедурах внутреннему аудитору необходимо проявлять профессиональный скептицизм и четко отслеживать неконструктивные предложения и корректно мотивировать причины, по которым они не приемлемы. Безусловно, в такого рода активностях должны быть, по возможности, задействованы наиболее опытные внутренние аудиторы, обладающие достаточной экспертизой в процессе, рисках и контролях системы КПЭ и хорошими коммуникационными навыками.

Внутреннему аудитору не следует забывать, что консультационный проект, как и другие аудиторские активности, не предполагает участие во внедрении изменений в систему КПЭ, включая, например, расчет весов и целевых значений конкретных показателей КПЭ. Поскольку иначе будет нарушена независимость внутреннего аудита, и может возникнуть конфликт интересов при последующей проверке системы КПЭ.

* * *

В качестве заключения отмечу, что приведенные в статье типы проверок, практики проверки КПЭ и особенности, которые имеет смысл учитывать внутреннему аудитору, не исчерпывающие. В разных компаниях в силу их специфики аудит КПЭ имеет свои особенности и требует применения индивидуальных подходов.

Аудит КПЭ – очень широкая тема. Он может существовать как самостоятельно, так и в рамках стандартных аудиторских проверок бизнес-процессов и хозяйственной деятельности организации. Даже если область постановки и оценки КПЭ изначально не является ключевой, тем не менее, стоит обращать на нее внимание, чтобы понять:

  • на какие области аудируемого процесса завязана мотивация менеджмента и насколько сильно она на них влияет;

  • каким образом возможные некорректные действия менеджмента, связанные с постановкой, выполнением и оценкой КПЭ, могут оказывать негативное влияние на ключевые цели и риски рассматриваемого процесса и какие последствия этого могут быть;

  • могут ли иметь место злоупотребления в отношении КПЭ.

Исходя из ответов на данные вопросы внутренний аудитор должен понять, какую пользу в целях текущего аудита может принести изучение и тестирование КПЭ, и принять решение о том, стоит ли погружаться в данную тему и если – да, то насколько глубоко.

Как и при любой другой аудиторской активности, при проверке КПЭ от внутреннего аудитора требуются внимательность, критический подход к оценке фактов, логических связей и комментариев менеджмента. Наличие возможности и умение применять различные аналитические инструменты могут существенно ускорить сроки проверки, правильно определить фокус, увеличить выборку и повысить пользу от проверки КПЭ.

Комментарии закрыты