Место внутреннего аудита в управленческой иерархии предприятия

Регламентация деятельности функции внутреннего аудита

Деятельность функции внутреннего аудита должна определенным образом регламентироваться[2]. Следует заметить, что слово «регламент» многие понимают как письменный свод неких правил и установок, регулирующих деятельность. Однако это заблуждение, ибо лексическое значение данного слова не уточняет способ представления.

Сложно представить успешное ПВА, большая часть процессов которого осуществлялась бы произвольно[3]. В практике чаще всего встречаются три вида регламентов:

• устав (положение о) подразделения внутреннего аудита;

• регламент взаимодействия с другими подразделениями;

• руководство по осуществлению проектов внутреннего аудита.

Устав (положение о) подразделения внутреннего аудита. Устав, по определению, представляет собой основополагающий документ для функции внутреннего аудита. Согласно Международным профессиональным стандартам внутреннего аудита положение о подразделении внутреннего аудита «…является внутренним документом, определяющим цели, полномочия и обязанности подразделения внутреннего аудита. В положении о внутреннем аудите определяются статус внутреннего аудита в организации, включая характер функциональной подотчетности руководителя внутреннего аудита совету; объем и содержание деятельности внутреннего аудита, закрепляется право доступа к документации, сотрудникам и материальным активам при выполнении соответствующих заданий». Мне всегда нравилась основная идея данного документа – снять раз и навсегда глобальные вопросы в отношении функции внутреннего аудита в компании (что должна делать, на что имеет право). Однако в российской реальности применение подобного положения имеет особенности. Во-первых, применять его в полной мере можно только в пределах того юридического лица, в котором оно было принято. Формально, если объект аудита не является с юридической точки зрения частью упомянутого юридического лица, то и следовать установкам положения о подразделении внутреннего аудита он не обязан. Во-вторых, положение во многих случаях содержит довольно общие формулировки, которые легко могут быть интерпретированы по-разному. В-третьих, подобные положения часто имеют ограниченную юридическую силу или не имеют ее вовсе, что затрудняет их использование. В основном это обусловлено несоблюдением норм российского законодательства, регулирующих деятельность акционерных обществ и обществ с ограниченной ответственностью. Например, в положении указывается, что ПВА подчиняется аудиторскому комитету. Однако такой комитет еще не создан, так как совет директоров либо еще не рассмотрел данный вопрос, либо не обладает полномочиями создавать подобные комитеты, либо не уполномочен утверждать никакие внутренние регламентирующие документы компании. Также не стоит забывать, что сам аудиторский комитет является в определенном смысле аморфной структурой – с точки зрения российского законодательства такой структуры вообще не существует, и, даже если такой комитет создается, он не имеет права самостоятельно принимать никаких решений, а должен транслировать информацию и свои оценки совету директоров. Это снижает эффективность работы аудиторских комитетов хотя бы потому, что окончательное мнение всегда за советом директоров.

Регламент взаимодействия с другими подразделениями. В данном регламенте можно прописать различные нюансы действий объекта аудита в ответ на действия ПВА. Например, можно определить следующие моменты:

• обязанности объекта аудита по обеспечению команды внутренних аудиторов рабочими местами установленного формата;

• обязанности объекта аудита по предоставлению информации в ответ на запрос ПВА в течение установленного времени;

• обязанность ПВА направлять запрос в соответствие с прописанной процедурой;

• обязанность ПВА предоставлять результаты проектов внутреннего аудита на рассмотрение руководства объектов аудита до их передачи другим адресатам;

• обязанность объекта аудита формировать план исправительных мероприятий по завершении проекта внутреннего аудита и согласовывать его с ПВА;

• обязанность объекта аудита обеспечить присутствие сотрудников, присутствие которых считается обязательным, по мнению ПВА.

В целом основной целью такого регламента является регулирование ключевых точечных организационных моментов, связанных с осуществлением основной функции внутреннего аудита. Разумеется, в условиях российской реальности наличие регламента не гарантирует его исполнения. Однако в одних случаях регламент может служить просто памяткой для сотрудников объекта аудита, а в других – действенным механизмом повышения эффективности работы ПВА (при условии, что регламент утвержден отдельным организационно-распорядительным документом, подписанным как минимум руководителем организации).

Руководство по осуществлению проектов внутреннего аудита (audit manual). В отличие от предыдущих двух документов данное руководство является исключительно внутренним регламентом. Основная его цель – регламентировать порядок осуществления подпроцессов и процедур в рамках процесса внутреннего аудита, а также во многих случаях методологию их осуществления. Другими словами, данный документ описывает, что и как делать до, во время и после выполнения проекта внутреннего аудита. Он формируется на усмотрение руководителя ПВА. Руководство частично решает задачу профессионального инструктажа, а также способствует унификации деятельности ПВА. Для относительно небольших по численности ПВА, в состав которых входят внутренние аудиторы высокой квалификации, составление руководства не имеет особого смысла. Однако крупным аудиторским подразделениям, особенно где высока текучесть кадров и работают аудиторы с разными уровнями подготовки, руководство может быть очень полезно. Разумеется, все зависит от качества подготовки документа. На подготовку более-менее вменяемого руководства для крупного правильного аудиторского подразделения (практикующего риск-ориентированный подход к аудиту) с нуля требуется не менее шести месяцев работы одного хорошего методолога.

В своем исходном варианте деятельность внутренних аудиторов во многом направлена на совершенствование системы внутреннего контроля. Такая специализация требует существенных знаний в тех областях, которые напрямую связаны с системой внутреннего контроля, включая технические и даже психологические аспекты. В данной главе детально разобраны ключевые цели контроля, а также ряд принципов контроля, знание которых может существенно улучшить результаты работы внутреннего аудитора.

С фундаментальной точки зрения в основе системы внутреннего контроля предприятия лежит выбор оптимальной пропорции между контролем и риском (см. рис. 1). Оптимум практически всегда индивидуален. Выбор оптимальной пропорции часто осуществляется неосознанно. Одна из ключевых задач внутреннего аудитора – сделать процесс выбора осознанным.

^{Рис. 1. Корреляция контроля и риска}

Необходимость выбора вытекает из того, что в любой момент времени предприятие не может одновременно максимизировать и контроль, и рост. Оно либо фокусируется на росте и подвергает свою деятельность большему количеству разных по существенности рисков, либо концентрируется на контроле деятельности, жертвуя возможностями. Условно говоря, предприятие, ориентированное на рост, движется больше по экстенсивному пути развития – завоевывает новые рынки, увеличивает штат сотрудников, наращивает производственные мощности и т. д. Предприятие, сконцентрированное на контроле, в большей степени тяготеет к интенсивному пути развития – пытается максимизировать имеющийся потенциал процессов, проводя при этом более консервативную политику в области управления рисками.

На рис. 1 представлена общая логика перехода от стратегии роста к стратегии контроля и наоборот. Такая логика обусловлена в первую очередь тем, что ресурсы, имеющиеся в распоряжении любого предприятия, всегда ограниченны. Например, можно не испытывать дефицита денежных средств, но все равно не иметь возможности сочетать обе стратегии, роста и контроля, по максимуму, так как контроль требует дополнительных затрат времени, а в условиях стратегии роста любое промедление может означать проигрыш. При движении в сторону стратегии абсолютного роста уровень риска растет (от Y2 к Y1), при этом расходы на контроль падают (от X2 к X1). При движении в сторону стратегии абсолютного контроля происходит обратное. Понятие «расходы» используется в широком смысле (денежные средства, время, оборудование, энтузиазм и т. д.).

Каждое предприятие в разные периоды своего развития тяготеет к одной из двух ключевых стратегий. Внутренние аудиторы по определению являются адептами стратегии контроля. Однако правильный внутренний аудитор должен стимулировать своими действиями выбор руководством оптимального сочетания риска и контроля, оптимального сочетания двух ключевых стратегий.

Ключевые цели контроля

Можно выделить шесть ключевых, унифицированных целей контроля:

1) обоснованность;

2) правильность;

3) полнота;

4) своевременность;

5) соответствие;

6) сохранность.

Обоснованность. При прочих равных условиях данная цель контроля является, пожалуй, наиболее важной с точки зрения последствий, которые возникают в результате ее недостижения. Во многих случаях, чтобы обеспечить достижение данной цели, необходимо ответить на вопрос «почему?». По сути, контроль обоснованности заключается в оценке того, насколько объект контроля соотносится с взаимодействующими с ним объектами и/или явлениями, событиями сообразно определенным правилам. Обоснованность обеспечивает наличие истинной причинно-следственной связи. Контролировать обоснованность – значит следить за тем, чтобы события развивались в соответствии именно с истинной причинно-следственной связью. Контроль обоснованности часто осложняется потребностью в специальных знаниях. В среде российских управленцев популярен такой механизм контроля обоснованности, как экспертное мнение, даже тогда, когда достаточно выполнить несложные расчеты. Последствия такого выбора – сотни миллиардов рублей, неэффективно потраченных и порой откровенно сворованных.

Правильность. Основной вопрос, на который нужно ответить для достижения данной цели контроля, – это «как?». Если для оценки обоснованности необходимо оценить соотношения, то для оценки правильности требуется сравнение с эталоном. Чаще всего контролируют правильность цифр. Обоснованность часто ситуативна, т. е. сейчас это обоснованно, а завтра нет. Правильность более универсальна, так как часто подчиняется общим правилам.

Полнота. Эта цель контроля при прочих равных условиях является, пожалуй, наиболее редкой. Чтобы оценить полноту, необходимо ответить на вопрос «есть ли что-то еще?». Контроль полноты может осложняться отсутствием точного представления о конечном значении. Контроль полноты относится исключительно к количественным характеристикам.

Своевременность. Основной вопрос, на который нужно ответить для достижения данной цели контроля, – это «когда?». Чтобы обеспечить своевременность, необходимо создать условия для того, чтобы конкретное событие произошло в конкретный момент. По этой причине понятие своевременности всегда связано либо с действием, либо с бездействием. Контроль своевременности – это прямой контроль порядка использования такого ключевого ресурса, как время.

Соответствие. Это довольно специфичная цель контроля. Отчасти она напоминает контроль правильности, однако при контроле соответствия в первую очередь обращают внимание на форму, а не на содержание. Соответствие часто означает именно внешнее, формальное соответствие. Оценить соответствие – значит ответить на вопрос «насколько?» или «в какой степени?».

Сохранность. Это также специфичная цель контроля. Контроль сохранности в первую очередь направлен на обеспечение физической целостности и сохранение исходных физических свойств объекта контроля. По этой причине в большинстве случаев контроль сохранности связан с понятиями, характеризующими движимое и недвижимое материальное имущество. Часто, чтобы оценить контроль сохранности, нужно ответить на вопрос «как?».

Может показаться, что шести базовых целей контроля маловато, особенно с учетом того, что они формируют практически исчерпывающий перечень целей контроля для любого процесса и любой системы. Однако не стоит забывать, что шесть целей контроля образуют 120 сочетаний. Это особенно важно в связи с тем, что на практике очень часто цели контроля присутствуют в различных сочетаниях. Например, при формировании параметров бюджета необходимо обеспечить как обоснованность параметров, так и их правильный расчет и подготовку к определенному моменту. Таким образом, в данном примере мы имеем сочетание трех целей контроля, а это приводит к созданию определенного дизайна сочетания контрольных процедур, который отличается от дизайна каждой контрольной процедуры в отдельности. Кроме того, не стоит забывать, что структура и содержание контроля очень сильно зависят от структуры и содержания объектов контроля, например процессов. А ведь даже одинаковые процессы могут сильно отличаться друг от друга в зависимости от различных факторов, например таких элементарных, как владельцы процессов.

Также хотелось бы обратить внимание на еще пару нюансов. Первый касается понятия «достоверность». Ряд аудиторов считают, что достоверность – это отдельная цель контроля. Однако она, по сути, всего лишь сочетание нескольких целей контроля – обоснованности, правильности, полноты и в меньшей степени своевременности.

Второй нюанс касается понятия «авторизация». В соответствии с определением, данным в Википедии, «авторизация (от англ. authorization – разрешение, уполномочивание) – предоставление определенному лицу или группе лиц прав на выполнение определенных действий; а также процесс проверки (подтверждения) данных прав при попытке выполнения этих действий». Классическим примером авторизации является подпись сотрудника на документе, согласующего осуществление определенных действий определенным лицом в будущем. В последнее время понятие авторизации все чаще ассоциируется с компьютерными программами, но суть от этого не меняется и заключается в том, что авторизация не является контролем, а в идеале представляет собой только свидетельство проведения определенного контроля. Однако нередко люди, осуществляющие авторизацию, не совсем представляют себе, какие именно контрольные действия они должны осуществить, а само построение процесса оставляет это им на откуп. По этой причине необходимо расшифровывать и уточнять, проведение каких контрольных действий и в каком объеме означает авторизацию.

Принцип пирамиды приоритетов

Данный принцип основывается на постулатах теории ограничений (Theory of Constraints). Одним из фундаментальных понятий теории ограничений является понятие так называемого бутылочного горлышка (bottleneck) или, другими словами, узкого места в процессе, мешающего достижению цели процесса. По аналогии в большинстве случаев набор контрольных процедур любого процесса может быть выстроен в пирамиду контрольных процедур, расставленных на основе их приоритета. Приоритет определяется способностью контрольной процедуры влиять на достижение целей процесса. Можно утверждать, что в каждом процессе существует одна-две ключевые контрольные процедуры, в отсутствие которых любые усилия по контролю процесса будут напрасны. Возьмем, например, процесс «Закупки». Он начинается с процедур формирования обоснованной потребности в закупках. Отсутствие или неэффективность контроля обоснованности на данном этапе ведет к формированию необоснованной потребности и ряду негативных последствий, таких как затоваривание складов (покупают больше, чем нужно, и не то, что нужно), воровство (если заказано больше, чем нужно, то можно часть заказанного получить только на бумаге), неэффективное расходование ресурсов (если заказали больше, чем нужно, то можно особо не экономить). Эти последствия можно отчасти нивелировать, например проводить более регулярные и масштабные инвентаризации с целью выявления невостребованных остатков ТМЦ и организации их реализации. Однако такие меры не имеют профилактического характера, влекут за собой дополнительные расходы и сами по себе обладают лишь определенной степенью надежности.

Основной вывод, который следует из данного принципа, заключается в том, что правильный аудитор должен всегда фокусировать свою деятельность на оценке контрольных процедур в порядке убывания их приоритетности. До тех пор пока не будут налажены ключевые контрольные процедуры процесса, процесс всегда будет работать с пониженным КПД, независимо от состояния менее приоритетных контрольных процедур. Конечно, в практике внутреннего аудита возникают ситуации, когда внутренние аудиторы не могут особо повлиять на структуру и содержание ключевых контрольных процедур (например, владельцы процесса на особом положении у владельца компании). В этом случае им необходимо способствовать созданию максимально действенных компенсирующих контрольных процедур, а также воспользоваться принципом охотника (см. далее). Однако в подавляющем большинстве случаев система компенсирующих контрольных процедур имеет ограниченный эффект и обычно связана с дополнительными затратами.

Принцип адаптивности системы контроля

Правильная система внутреннего контроля должна подстраиваться как к изменениям целей процессов, так и к изменениям их структуры и содержания. С течением времени значимость одних контрольных процедур может падать, а других – повышаться. Факты изменения процессов и/или их целей должны привлекать внимание аудитора. В таких случаях высока вероятность обнаружения расхождения между темпами изменения процесса и темпами изменения системы внутреннего контроля данного процесса.

Принцип охотника

В большинстве случаев охотник физически не в состоянии играть по правилам добычи, так как большинство животных превосходят его по тем или иным физическим параметрам. По этой причине охотник не идет, что называется, в лобовую атаку, а создает условия, когда его шансы и шансы жертвы будут хотя бы приблизительно равны. Другими словами, он создает условия для победы.

Именно таким образом и должен действовать аудитор, когда при попытке внести изменения в систему внутреннего контроля процесса обстоятельства складываются явно не в его пользу. Например, внедрению контрольных процедур могут препятствовать отдельные сотрудники предприятия, обладающие большим влиянием. Бывает, что этому сопротивляется большинство сотрудников, например по причине низкой исполнительской дисциплины. В таких ситуациях планы мероприятий по улучшению внутренних контрольных процедур процессов могут игнорироваться в течение продолжительного времени либо выполняться формально. В этом случае следует действовать подобно охотнику, загоняющему дичь, т. е. ограничивать пути отступления. Необходимо последовательно ограничивать поле бесконтрольной деятельности за счет дозированных изменений как контрольных процедур, так и факторов, способствующих повышению их эффективности. Например, по процессу «Закупки», в случае отсутствия на предприятии процедуры проведения тендеров, можно ввести такую процедуру сначала только для крупных сделок, затем, как вариант, централизовать приобретение крупных позиций в управляющей компании и т. д. Если план по созданию выборочных контрольных процедур не срабатывает, можно зайти с другой стороны и приступить к наращиванию статистической базы доказанных последствий отсутствия процедуры тендеров. Основная цель такой базы – накопить критическую массу примеров, которые поднимут важность изменений на требуемый уровень. При этом полезно увеличивать за счет коммуникаций круг сторонников предлагаемых аудитором изменений и искать подходящий момент для того, чтобы снова инициировать отвергнутую поначалу волну изменений.

Аудитор должен помнить о том, что у каждого объекта аудита свой уровень восприимчивости изменений. Грубо говоря, в объект аудита невозможно втолкнуть больше изменений, чем он может переварить. В связи с этим соблюдение принципа охотника особенно важно. Во многом на уровень восприимчивости оказывают влияние качественные характеристики руководства объектов аудита.

Принцип от обратного, или Принцип пряника

Во многих ситуациях целесообразнее и проще стимулировать желательное поведение, чем пытаться искоренить нежелательное. Особенно это касается процессов, возможность эффективного контроля которых ограничена существенными и объективными факторами. Классическим примером является процесс производства. В большинстве случаев контроль процесса производства требует специфических знаний и навыков, которыми обладает не только не каждый аудитор, но и не каждый производственник. Например, можно бороться с завышенным расходом материалов, проводя внезапные инвентаризации, осуществляя сложные расчеты фактического использования материалов и/или нормативов расхода материалов, ограничивая выдачу материалов. При этом можно по каждому факту завышения устанавливать виновного и налагать взыскания. В то же время можно ввести доплату (премию) за экономию материалов (например, по сравнению с прошлыми периодами в пересчете на единицу продукции) при сохранении требуемого качества. Таким образом, получается, что в одном случае цель контроля достигается за счет наказания за неприемлемые действия, а в другом – за счет поощрения желаемых действий. В обоих случаях контроль объема используемых материалов требует дополнительных расходов, однако отдача от них практически всегда неодинакова. Часто преимущество одного способа перед другим можно выяснить только на практике.

Принцип пряника также полезно применять с целью смягчения сопротивления изменениям в целом. В российской управленческой практике карательный подход к насаждению желательного поведения почему-то более популярен. При этом забывают, что принуждение рождает ответную реакцию в виде агрессии (нацеленность на продолжение нарушений, но более изощренно) или апатии (полное отсутствие инициативы, стремления что-то менять). Предприятия, забитые под завязку такими сотрудниками, мягко говоря, обречены. В настоящий момент подобных предприятий в России множество и выживают они во многом благодаря своему монопольному положению, и/или наличию административного ресурса, и/или наличию поддержки от государства.

Только оптимальное сочетание методов кнута и пряника в долгосрочной перспективе приносит пользу компании за счет укоренения культуры контроля.

Принцип замкнутости контроля

Система контроля предприятия имеет многослойную структуру. Граница конкретного слоя определяется правами и обязанностями владельца процесса (или группы процессов), в пределах которого располагается этот слой контроля. Особенностью слоев является специфичность набора инструментов и механизмов контроля. Например, бригадир осуществляет контроль действий членов бригады во многом визуально в момент исполнения работы либо спустя некоторое время после ее выполнения. Таким образом, он может влиять на скорость выполнения работы (например, поторопить заснувших работников), на объем используемых материалов (например, указать на нерациональное использование материалов), на качество выполнения работ (например, указать на несоответствие результатов выполняемой работы проекту или чертежу). Такого рода контроль весьма оперативен и обеспечивает достижение ключевых целей контроля – обоснованности, своевременности, правильности или соответствия, полноты. В отличие от бригадира начальник цеха не имеет возможности контролировать действия каждого работника визуально. Таким образом, его инструментарий контроля отличается от инструментария бригадира. Далее, вместо осуществления визуального контроля начальник цеха полагается в основном на систему устной и письменной отчетности и в некоторой степени на данные электронных систем контроля производственного процесса. Эти механизмы контроля, если можно так сказать, лежат уже в иной плоскости по сравнению с механизмами, используемыми бригадиром. Итак, в нашем примере мы получаем два слоя контроля.

Во многих случаях слои контроля очень слабо взаимосвязаны между собой. Часто это обусловлено специфичностью инструментов и механизмов контроля различных слоев. Чем слабее такая взаимосвязь, тем меньше возможностей, условно говоря, у вышестоящих слоев контроля влиять на результаты работы нижестоящих слоев. Например, в примере с бригадиром и начальником цеха бригадир при желании может определенное время скрывать как отставание от графика работ, так и пробелы в качестве, если единственный способ контроля со стороны начальника цеха – это устные отчеты о статусе работ. Для повышения эффективности работы системы контроля в целом необходимо развивать взаимосвязи между различными слоями контроля. В нашем примере начальник цеха может получить дополнительные возможности контроля за счет внедрения автоматизированной системы управления производством (появляется возможность осуществлять онлайн-контроль), за счет сопоставления с результатами работы других сотрудников (например, контролеров ОТК), за счет осведомителей в составе бригады и т. д.

Сложнее всего устанавливать взаимосвязи между сильно удаленными друг от друга слоями контроля, которые разделены несколькими слоями. В этом случае существует два варианта связи с интересующим нижерасположенным слоем – либо напрямую, либо через один или все промежуточные слои. Однако прямая связь должна использоваться исключительно с целью оценки эффективности работы связи через промежуточные слои, иначе высшее руководство погрязнет в ручном регулировании мелочей. В нашем примере начальник цеха может воспользоваться услугами осведомителей, которые будут время от времени передавать ему информацию об истинном статусе работ под руководством бригадира. Начальник цеха, таким образом, будет много чего знать еще до того, как бригадир отчитается в очередной раз. С одной стороны, это вроде бы хорошо, однако, с другой, данный подход может привести к ряду негативных моментов (недоверие к бригадиру, подозрения бригадира, поиски доносителя вместо работы, ухудшение морального климата в бригаде и т. д.). Кроме того, начальник цеха начинает зависеть от расторопности и внимательности осведомителя, а также предметно разбирать отдельные ситуации, подменяя контроль бригадира, т. е. заниматься так называемым ручным контролем.

В итоге правильная система внутреннего контроля должна проектироваться таким образом, чтобы каждый вышестоящий слой имел возможность влиять на эффективность работы любого нижестоящего слоя независимо от способа взаимосвязи (напрямую или через промежуточные слои) и с минимально возможным противодействием. Степень противодействия во многом определяется наличием продуманных и оговоренных изначально правил игры. Если такие правила есть, то система внутреннего контроля является именно системой и результат ее функционирования мало зависит от ручного управления.

Принцип силы контрольной среды

Многие определения термина «контрольная среда» по какой-то причине содержат указания, что это нечто вроде «позиции, осведомленности и действий представителей собственника и руководства…». Однако дело в том, что контрольная среда – это не позиция, осведомленность или действия, а результат наличия определенной позиции, осведомленности или осуществления тех или иных действий. Понятие контрольной среды собирательное, т. к. по сути контрольная среда – это эффект, возникающий от сочетания последствий ряда факторов. На состояние контрольной среды любой компании влияют следующие ключевые факторы:

• Отношение руководства к контролю. В международной практике внутреннего аудита существует специальный термин для данного понятия – tone at the top (буквально «тон сверху»). Попросту говоря, если руководство компании в силу различных причин не готово активно культивировать контроль, большинство усилий в этой сфере обречены на провал. Нередко внутренние аудиторы прикладывают огромные усилия на изменение подобного отношения, но желаемый результат получают далеко не всегда.

• Этические ценности сотрудников компании. Если большинство сотрудников компании наплевательски относятся к самой компании и ко всему, что с ней связано, это создает очень сильную ауру отрицания и негатива. В такой обстановке вряд ли возможны существенные позитивные изменения.

• Степень организационной зрелости компании. Чем более зрелой является компания в организационном смысле, тем собраннее и целенаправленнее ее действия. Более зрелые компании имеют более высокий организационный КПД и производят меньше, так сказать, процессного шума, т. е. бесцельных и беспорядочных действий при осуществлении процессов. Возьмем одну из самых популярных классификаций уровней организационной зрелости, созданную на основе CMM (Capability Maturity Model) (см. табл. 1). Как видно из таблицы, степень организационной зрелости определяется именно подходом к организации процессов. Смею предположить, что большинство компаний в России зависли где-то между уровнем повторяемости и регламентируемости.

• Степень развития управленческих навыков у менеджмента. Наличие и, пользуясь игровой терминологией, прокачанность этих навыков во многом определяют, насколько успешно менеджмент будет выполнять свои ключевые функции. Компания, которая выделяет время и средства на развитие управленческих навыков менеджеров, способствует улучшению характеристик контрольной среды.

• Структура и содержание процессов. В данном случае в первую очередь речь идет о количественном факторе. Чем больше процессов разного уровня, чем больше взаимосвязей и взаимовлияний между данными процессами, чем больше объем операций, тем сложнее и менее предсказуемо их влияние на характеристики контрольной среды. В целом усложнение структуры и содержания процессов негативно влияет на данные характеристики просто потому, что замедляет скорость потоков информации.

• Влияние внешней среды. Ее влияние может быть весьма существенным. Ярким примером влияния внешней среды на контрольную среду предприятия является набирающая в России обороты борьба с мошенничеством. Многие компании искренне озабочены проблемой искоренения мошеннических действий со стороны своих сотрудников. Однако условия внешней среды сводят на нет большую часть их усилий. Сама обстановка в нашей стране потворствует мошенничеству. Если сотрудник компании в повседневной деятельности постоянно сталкивается с мошенническими действиями, затрагивающими его лично или окружающих, то это во многом предопределяет его выбор в ситуации, позволяющей безнаказанно, по его мнению, смошенничать самому. Пока данная проблема не решается на уровне государства, справиться с ней в рамках отдельной компании весьма непросто.

_{Таблица 1. Классификация уровней организационной зрелости}

Данный пример показывает, что борьба с негативным влиянием внешней среды требует существенных затрат и не всегда и не сразу приводит к желаемым результатам.

Разумеется, это далеко не полный перечень факторов, влияющих на характеристики контрольной среды. Стоит также обратить внимание на нюансы взаимодействия контрольной среды и контрольных процедур. Сами по себе контрольные процедуры – это в большинстве случаев осмысленные действия, направленные на достижение целей контроля. Идеальной контрольной процедурой можно назвать ту, которая не испытывает влияния внешних и внутренних негативных факторов. Однако большинство контрольных процедур, к сожалению, подвержены влиянию одного, а чаще нескольких факторов, способных воздействовать на их адекватность и/или эффективность. Так вот, контрольная среда может либо усиливать, либо ослаблять деструктирующее влияние негативных факторов. Другими словами, контрольная среда прямого влияния на контрольные процедуры не оказывает, а действует опосредованно. Например, при проведении инвентаризации ТМЦ, упакованных в коробки, по общему правилу необходимо вскрыть некоторые коробки, чтобы удостовериться, что они надлежащим образом заполнены надлежащими ТМЦ. Однако, если, например, на предприятии царит атмосфера халатного отношения к работе или кладовщик, МОЛ или его покровитель хорошо попросил инвентаризационную комиссию этого не делать, процедура вскрытия может не выполняться, и какие-то несоответствия остаются незамеченными. Таким образом, реализуется механизм опосредованного влияния контрольной среды на контрольные процедуры. По этой причине аудиторы должны направлять энергию не только на разработку контрольных процедур, но и на разработку мероприятий по улучшению характеристик контрольной среды. Нет смысла подробно останавливаться на характеристиках контрольной среды (зона действия, устойчивость, динамика и т. д.). Достаточно понимать, что контрольная среда – это, с одной стороны, нечто неосязаемое, как, например, электромагнитное поле, однако, с другой стороны, результаты ее влияния могут быть весьма заметными. Аудитор должен ясно осознавать, что невозможно иметь сильную систему внутренних контрольных процедур при, если так можно выразиться, слабой контрольной среде. Степень развитости контрольной среды является естественным ограничением для внедрения контрольных процедур.

Принцип самовоспроизведения контроля

Отчасти этот принцип перекликается с принципом замкнутости, однако в данном случае речь идет об отдельно взятой контрольной процедуре. Во многих случаях контроль – это действие, которое не является естественным для конкретного – процесса и/или для конкретного владельца процесса. Контроль отнимает ресурсы процесса. Он направлен не на достижение цели самого процесса, а на достижение определенных параметров данной цели. По этой причине при отсутствии поддержки или, по-другому, механизма стимулирования воспроизведения контроля эффективность контроля в большинстве случаев будет снижаться со временем. В связи с этим важно ответить не только на вопрос «что представляет собой контроль?», но и на вопрос «как будет обеспечено его функционирование?».

Существуют различные механизмы стимулирования воспроизведения контроля, а именно:

• Создание коллизии целей у участников процесса при отклонении от установленных параметров процесса. Такая коллизия может быть создана тремя основными способами. Первый заключается в том, чтобы сделать выход из одного процесса входом в другой процесс, при этом параметры выхода из одного процесса и входа в последующий процесс должны быть сопоставимыми. В этом случае владелец следующего процесса заинтересован в том, чтобы владелец предыдущего процесса сделал свою работу как следует. Типичным примером такой ситуации является производственный процесс, состоящий из нескольких переделов, особенно когда переделы выполняются относительно независимыми предприятиями, а не одной компанией. Если на выходе из одного передела получается продукция, не соответствующая определенным параметрам, то ответственный за следующий передел сигнализирует об этом и отказывается принимать продукцию с отклонениями.

Второй способ встречается тогда, когда контроль параметров того или иного процесса является целью владельца процесса такого контроля. Типичным примером второго способа является деятельность такого подразделения как отдел технического контроля, или ОТК. Такое подразделение существует на многих производственных предприятиях. Основной его деятельностью является контроль параметров производимой продукции.

Третий способ встречается тогда, когда контрольные действия дополнительно стимулируются, например с помощью денежного вознаграждения, и обычно не входят в круг обязанностей большинства владельцев процессов. Классическим примером данной ситуации является назначение вознаграждения за поимку опасного преступника или предоставление информации о его местонахождении.

• Улучшение контрольной среды. Можно с полной уверенностью утверждать, что при максимально эффективной контрольной среде отсутствует необходимость в отдельных контрольных процедурах. С философской точки зрения в такой среде не может даже существовать такого понятия, как контроль, поскольку отсутствует объект контроля – отклонения от требуемых или желаемых параметров процессов. Например, при борьбе с мошенничеством в рамках отдельной компании огромное значение имеет пропаганда требуемого поведения на рабочем месте. Такая пропаганда есть не что иное, как попытка повлиять на один из факторов, существенно влияющих на контрольную среду, – этику поведения на рабочем месте.

• Периодический мониторинг. Здесь речь идет в первую очередь о мониторинге адекватности и эффективности системы внутреннего контроля. К такому мониторингу также можно отнести действия по выявлению отклонений от требуемых параметров процессов. И та и другая деятельность может быть как основной, так и сопутствующей задачей владельца конкретного процесса. В первом случае типичным примером владельца процесса является ПВА, или ревизионная служба, или государственный надзорный орган (больше специализируется на поиске отклонений). Во втором случае – это вышестоящий руководитель или вышестоящее подразделение.

• Ограничение свободы выбора. Данный механизм довольно специфичен, однако в ряде ситуаций является, пожалуй, единственным механизмом. Ограничить свободу выбора – значит лишить возможности полностью или частично выполнить те действия, которые приведут к нарушению требуемых параметров процесса. Классическим примером ограничения свободы выбора является ограничение физической свободы, например домашний арест или что похуже.

• Автоматизация процессов. Ключевым преимуществом автоматизации является создание шаблонов процессов. В определенном смысле автоматизация также ограничивает выбор, однако основная ее цель заключается в обеспечении наиболее эффективного подхода к выполнению процесса. Ограничение является побочным эффектом. К тому же автоматизация ограничивает выбор лишь частично. Автоматизация хорошо справляется с бессознательными отклонениями. Что касается сознательных нарушений, то многие системы автоматизации процессов допускают их в той или иной степени. Однако преимуществом автоматизации является то, что она позволяет такие нарушения оперативно фиксировать и анализировать.

Основные понятия

Перед тем как углубиться в тему данной главы, необходимо познакомиться поближе с ее основными понятиями, в число которых входят:

• риск;

• фактор риска;

• владелец риска.

Риск. Под риском понимается событие, которое может произойти в будущем с определенной вероятностью и нанести определенный ущерб. Риск может быть результатом как действия, так и бездействия. Из этого следует, что даже если мы ничего не предпринимаем, то все равно рискуем. Поэтому риск является неотъемлемой частью нашей повседневной жизни.

Основная сложность в построении процесса управления рисками заключается в двойственной природе риска. Это выражается в том, что риск является одновременно и риском, и фактором риска для других взаимосвязанных рисков. Проиллюстрируем эту двойственность на следующем примере. Возьмем цепочку из трех взаимосвязанных событий – работник пришел на предприятие пьяным, он совершил производственную ошибку, на производстве произошла авария. Каждое из указанных событий по отдельности может быть риском. Приведенная цепочка событий-рисков является одним из наиболее распространенных вариантов причинно-следственной связи в подобной ситуации. Разумеется, у каждого из этих рисков может быть несколько причин. Например, работник может совершить производственную ошибку не только вследствие алкогольного опьянения, но и по невнимательности, неосторожности, из-за плохого настроения, отвлекающего фактора. Также и авария на производстве может произойти не только вследствие ошибки пьяного работника, но и по причине устаревшего оборудования, форс-мажорных обстоятельств, неправильного техпроцесса и т. д. Вернемся, однако, к нашей цепочке. После того как первый риск реализовался, т. е. негативное событие произошло, этот риск становится фактором риска для следующего негативного события (производственная ошибка). Присутствие пьяного сотрудника на рабочем месте повышает вероятность и усиливает негативный эффект производственной ошибки, а значит, является фактором риска для данного события. Аналогичная логика используется при анализе следующего элемента цепочки – производственной ошибки-аварии.

С практической точки зрения полезно также разобраться в понятиях «исходный риск» и «остаточный риск». Под исходным понимается риск в конкретной ситуации без какого-либо вмешательства в ход событий (что будет, если ничего не предпринимать). Соответственно, под остаточным понимается риск в конкретной ситуации после того, как все целесообразные меры управления данным риском были предприняты. Довольно часто в процессе выявления и оценки рисков в силу различных причин происходит смешение исходных и остаточных рисков. Это, безусловно, влияет на эффективность процесса управления рисками.

Фактор риска. Под фактором риска понимается результат какого-либо действия либо бездействия, который увеличивает вероятность и усиливает негативный эффект последующего и взаимосвязанного негативного события. Можно решить, что фактор риска эквивалентен причине реализации риска, однако это не совсем корректно. Причина реализации риска является фактором риска, но не каждый фактор риска является причиной его реализации. Рассмотрим эти понятия на примере. Непотушенный окурок сигареты может стать причиной пожара в доме. С этим никто не спорит. Однако у риска возникновения пожара в доме может быть несколько причин, если под причиной понимать появление неконтролируемого источника огня. Если дом деревянный, напичкан скарбом, сделанным из горючих и легковоспламеняющихся материалов, пожар произойдет с высокой вероятностью и дом сгорит дотла. Указанные обстоятельства (деревянный дом и скарб) сами по себе не являются причиной пожара, но образуют факторы риска этого события – они увеличивают вероятность его возникновения и усиливают негативный эффект. Выяснив различия понятий «причина риска» и «фактор риска», я предлагаю… забыть о них. Для простоты будем оперировать только понятием «фактор риска».

Владелец риска. Это владелец процесса, наиболее заинтересованный в управлении выбранным риском. Такая заинтересованность объясняется тем, что устранение конкретного риска способствует достижению цели процесса. Существует немало рисков, для которых, на первый взгляд, довольно сложно определить одного владельца. К ним в первую очередь относятся риски, имеющие несколько причин возникновения. Например, возьмем риск затоваривания складов готовой продукцией. Навскидку у него может быть три основных причины:

• снижение темпов реализации продукции предприятия;

• несвоевременная отгрузка продукции;

• необоснованное увеличение объемов производства.

На первый взгляд у данного риска несколько владельцев, поскольку причины указывают на разные варианты развития событий. Однако, с одной стороны, исходную формулировку риска можно уточнить путем прибавления причины риска (например, затоваривание складов готовой продукцией вследствие снижения темпов реализации продукции предприятия). Таким образом, мы получаем три риска. У них персональные владельцы более очевидны, чем у исходного риска:

• дирекция по продажам и маркетингу;

• дирекция по логистике;

• дирекция по производству.

С другой стороны, можно отказаться от уточнения формулировки риска и определить владельца исходного риска исходя из оценки заинтересованности в управлении данным риском. При таком подходе необходимо понять цели процессов. Определим их следующим образом[4]:

• процесс «Продажи» – своевременная реализация продукции предприятия по оптимальным ценам, обеспечивающим максимальный финансовый результат в краткосрочной перспективе;

• процесс «Управление складской логистикой» – своевременное размещение производимой продукции в складских помещениях, обеспечивающих сохранность в течение оптимального срока хранения;

• процесс «Управление производством» – своевременное производство продукции установленного ассортимента и качества в требуемых объемах.

В свете вышеуказанных целей процессов наиболее заинтересованным в управлении риском затоваривания складов готовой продукцией является владелец процесса «Управление складской логистикой». На достижение целей именно этого процесса реализация данного риска окажет максимальное влияние при условии, что предприятие располагает ограниченными складскими помещениями и его продукция чувствительна к условиям хранения. Владельцу процесса «Управление производством» указанный риск безразличен – его цель будет достигнута независимо от того, происходит затоваривание или нет. Владелец процесса «Продажи» также не особо привязан к риску затоваривания, поскольку его целью является реализация по оптимальным ценам. Если продукция в процессе хранения утратит часть свойств, но будет продана по хорошей цене (пропорционально ниже, чем стоимость качественной продукции), то владелец процесса «Продажи» выполнит поставленную перед ним задачу.

Подводя итог сказанному, еще раз остановимся на ключевых моментах. Во-первых, можно использовать два способа определения владельца риска – дробление исходного риска на более мелкие риски (при этом необходимо правильно установить полный перечень ключевых причин риска) или определение заинтересованности в управлении риском (при этом необходимо отталкиваться от целей процессов). К недостаткам первого способа можно отнести то, что в результате дробления рисков может оказаться слишком много для эффективного управления ими (может потребоваться автоматизация процесса). К недостаткам второго способа можно отнести то, что цели процессов, в отличие от причин рисков, меняются чаще. В связи с этим при каждом изменении целей необходимо пересматривать привязку рисков к имеющимся процессам. Например, используя параметры предыдущего примера, предположим, что компания стала производить продукцию, которую все равно где хранить. Параллельно перед владельцем процесса «Продажи» была поставлена цель «своевременная реализация продукции предприятия по оптимальным ценам, обеспечивающим максимальный финансовый результат в долгосрочной перспективе», что может привести к придерживанию продукции с целью более выгодной продажи в будущем (в расчете, например, на рост цен). В этом случае владельцем риска затоваривания складов становится владелец процесса «Продажи», так как именно его цель больше всего страдает от реализации риска.

Во-вторых, необходимо устанавливать единственного владельца конкретного риска. Когда владельцев одного риска несколько, крайне сложно определить, кто в большей степени отвечает за управление этим риском.

Свойства рисков

Каждый риск обладает рядом специфичных свойств, которые влияют на выбор способа управления им. С практической точки зрения имеет смысл обратить внимание на следующие четыре свойства риска, а именно:

• вероятность;

• сила воздействия;

• управляемость;

• взаимосвязанность (цепочки причинно-следственных связей).

Вероятность. Риск представляет собой событие, которое может произойти, а может и не произойти. С помощью определения вероятности риска мы пытаемся оценить шансы на то, что конкретное событие произойдет в течение рассматриваемого периода времени. Сразу отмечу, что последнее обстоятельство довольно часто упускается при оценке рисков. Я регулярно сталкиваюсь со следующим вариантом формулировки вероятности риска – вероятность столько-то процентов (например, «вероятность 20 %»). Такой оценке не хватает как минимум указания на временной интервал, к которому данная вероятность применима. Указание «срока годности» вероятности крайне важно, поскольку со временем величина вероятности подавляющей части рисков меняется.

В продолжение темы использования процентной оценки вероятности стоит отметить еще несколько нюансов. Указание величины вероятности в процентах в большинстве случаев говорит о том, что оценка проводилась экспертным методом. При использовании данного метода необходимо убедиться в том, что восприятие экспертом конкретной оценки соответствует ее восприятию окружающими (начиная с того, о чем говорит эксперт – об исходном или остаточном риске). Например, эксперт говорит, что вероятность риска аварии на производстве составляет 10 %. Однако он может иметь в виду только те случаи, в которых виноваты люди по причине неправильного исполнения трудовых обязанностей, а окружающие (в отсутствие пояснений) могут посчитать, что речь идет о риске в целом. Также эксперт мог получить итоговый показатель 10 % путем деления количества аварийных ситуаций на производстве на общее количество работников данного производства по итогам прошлого года. Окружающие же могут подумать, что это означает одну аварию каждые 10 месяцев. В сухом остатке у нас остается тот факт, что бездумное использование процентной оценки вероятности может приводить к существенным искажениям восприятия реальности.

В определенной мере недостатки предыдущего метода устраняются указанием количества возможных фактов реализации риска в течение определенного периода (например, конкретный риск может реализоваться как минимум один раз в год). Однако данный метод оценки вероятности также подвержен искажениям восприятия. Например, эксперт говорит, что вероятность риска неоплаты дебиторской задолженности составляет 10 раз в год. При этом он может основываться на данных прошлых периодов и не учитывать факторы, влияющие на оплату дебиторской задолженности в будущем. Так, если продажи компании должны существенно вырасти в следующем году (например, в конце прошлого года открылось несколько новых филиалов), то оценка эксперта занижает вероятность риска, делая его менее существенным.

Все это может склонить к выбору математических методов оценки вероятности риска, таких как формула Бернулли, локальная теорема Лапласа, формула Пуассона, а также специальных ИТ-приложений (например, Crystal Ball, использующее моделирование методом Монте-Карло). Однако сфера применения данных методов ограниченна. Например, при использовании формулы Бернулли для вычисления вероятности риска для ряда сопоставимых ситуаций необходимо знать точную величину вероятности такого риска для одной ситуации. Многие риски, хотя и могут показаться сравнительно простыми, нередко связаны с довольно сложными цепочками событий. Также не стоит забывать про любопытный парадокс – сложные методы довольно часто приводят к таким же выводам, что и простые. Особенно это касается таких неопределенных явлений, как риски. При обеспечении достаточной теоретической подготовки экспертов в области риск-менеджмента (или хотя бы в области определения и оценки рисков) можно добиться относительно качественной и полной оценки существенных рисков.

Сила воздействия[5]. Мы вряд ли вообще обращали внимание на риски, если бы они не обладали данным свойством. Однако все риски, которые заслуживают внимания, обладают определенной силой воздействия. Факт реализации конкретного риска определенным образом воздействует на деятельность компании (владельца риска). Это воздействие имеет негативный характер и принимает различные формы, которые можно разделить на две основные группы – формы, обладающие качественными характеристиками (потеря репутации, ухудшение отношений, утрата доверия, снижение привлекательности и т. д.), и формы, обладающие количественными характеристиками (утрата доли рынка, финансовые потери, штрафные санкции и т. д.). В принципе реализация любого риска приводит к ухудшению финансового и имущественного состояния предприятия, т. е., грубо говоря, к потере денег. Однако с точки зрения управления рисками имеет смысл использовать более детальную дифференциацию последствий реализации рисков, в первую очередь потому, что скорость наступления негативного эффекта различна для разных рисков. Например, если произошла авария на производстве, компания тут же теряет часть своего имущества и потеряет еще какую-то часть спустя определенное время (расходы на восстановление, возможно уплата штрафов, социальные выплаты и т. д.). А если, например, резкое снижение качества продукции компании повлекло снижение ее репутации как качественного производителя, то это приведет к потере денег только через определенное время, как минимум не сразу.

С практической точки зрения наиболее полезной является оценка силы воздействия, сочетающая стоимостную оценку потерь и оценку скорости наступления таких потерь (интегрированная оценка). Поэтому все качественные оценки (и количественные тоже) в идеале следует приводить к интегрированной оценке.

Управляемость. Любая компания может в той или иной степени влиять на вероятность и силу воздействия своих рисков. Это влияние зависит от степени управляемости конкретного риска. Риски можно разделить на две основные группы – риски, вероятность и сила воздействия которых может быть в какой-то мере изменена усилиями компании (управляемые риски), и риски, вероятность и сила воздействия которых остаются практически неизменными независимо от попыток их изменить (неуправляемые риски). Классическим примером рисков последней группы являются риски форс-мажорных обстоятельств, особенно связанных со стихийными бедствиями (землетрясения, наводнения, штормы, торнадо и т. д.). Единственное, что можно сделать в случае реализации неуправляемого риска, – это попытаться избежать части негативного эффекта. Это достигается, во-первых, за счет прямой защиты от предполагаемого негативного эффекта (например, строительство сейсмоустойчивых домов в сейсмоопасной зоне), во-вторых, за счет использования скорости наступления негативного эффекта (например, план эвакуации при пожаре). Однако это лишь способ подстроиться под обстоятельства. Изначальная вероятность и сила воздействия неуправляемых рисков остаются неизменными.

Взаимосвязанность. Как уже говорилось, у большинства рисков двойственная природа, они являются одновременно и рисками, и факторами риска для других рисков. В среде рисков широко распространен эффект домино. Многие риски образуют цепочки рисков, структуру которых чаще всего невозможно предугадать. Наличие многообразных взаимосвязей приближает систему рисков любого предприятия к детерминированно-хаотическим системам. В рамках таких систем возможна реализация эффекта бабочки[6]. Не исключено, что изначальной причиной многих крупных негативных событий явилась реализация мелких и на первый взгляд незначительных рисков. Последствия реализации этих цепочек рисков загубили бы не одно предприятие, если бы не теория вероятности и естественное прерывание цепочек рисков вследствие воздействия сторонних факторов (которое тем вероятнее, чем длиннее цепочка и медленнее реализация эффекта домино).

Взаимосвязь риска и бизнес-процесса

Любой, даже самый мелкий и незначительный, бизнес-процесс всегда взаимосвязан с рядом рисков. В случае реализации этих рисков цель такого бизнес-процесса достигается частично либо не достигается вовсе. Другими словами, на выходе из процесса вы не получите ничего либо получите не то, что нужно. Именно эта взаимосвязь позволяет конвертировать риски в план или программу внутреннего аудита.

Внутренний аудит занимается анализом бизнес-процессов и систем контроля бизнес-процессов. С технической точки зрения невозможно затеять проект по аудиту какого-либо риска, поскольку, по сути, риск – это событие, причем во многих случаях такое, которое может и не произойти. Событие само по себе является не процессом, а результатом определенных процессов. Поэтому при использовании риск-ориентированного подхода аудитору необходимо сначала установить взаимосвязь между рисками и процессами, а затем, в зависимости от выбранного подхода, приступить к формированию плана или программы аудита.

Суть риск-ориентированного подхода

При использовании данного метода основная задача заключается в формировании рейтинга рискованности процессов и выборе наиболее рискованных процессов для проведения проектов внутреннего аудита. Этот метод имеет одно существенное достоинство – его результаты могут быть наглядными, доступными для восприятия неподготовленными гражданами и относительно легкодоказуемыми. Наиболее рискованным процессом считается тот, на достижение цели которого влияет максимальное количество факторов риска максимально негативным образом. Чтобы получить рейтинг рискованности, каждый выбранный для анализа процесс оценивается с точки зрения наличия и существенности определенного перечня факторов риска. Такой перечень формируется произвольно, единственного правильного варианта просто не существует, поскольку каждая компания имеет свою специфику (разумеется, какие-то факторы являются общими для большинства компаний). Единственный критерий отбора – это прямое или опосредованное препятствование достижению процессами (или большей части анализируемых процессов) их целей. При применении упрощенного метода необходимо помнить о ряде нюансов, а именно:

• количество факторов риска ничем не ограничено. Встречаются перечни из 10–15 факторов риска и более. Скорее всего, при работе с факторами риска внутренний аудитор будет ограничен имеющимися ресурсами. Однако до определенного момента увеличение количества факторов риска, используемых для анализа, повышает качество оценки;

• рейтинг и результаты оценки должны быть наглядными. Наиболее распространенным вариантом является создание электронной таблицы (которая к тому же автоматизирует пересчет). Сверху вниз (по строкам) указываются наименования процессов, слева направо (по столбцам) – факторы риска;

• системы оценки могут быть самыми разнообразными. Можно проставлять баллы, можно выделять цветом, можно вводить дополнительные балансирующие и корректирующие элементы (веса факторов риска, степень применимости результатов оценки для отдельных предприятий или для всех предприятий группы и т. д.). В качестве базового варианта можно принять три оценки (например, высокий, средний, низкий);

• методика формирования рейтинга процессов, в любом случае, должна обсуждаться с топ-менеджментом компании (по-хитрому, как и положено внутреннему аудитору, сначала приватно с каждым руководителем, а потом со всеми вместе). Понимание и хотя бы частичное согласие с методикой обеспечит более позитивное восприятие результатов ее использования.

В качестве примера критически рассмотрим фрагмент оценочной таблицы, целью которой было формирование базовых данных для составления рейтинга подпроцессов процесса «Производство» (табл. 2). Здесь представлен подпроцесс «Хранение» (хранение МТР перед выдачей в производство), состоящий из 10 этапов. Рассматривается влияние шести факторов риска на достижение целей процессов. Факторы риска следующие:

• отсутствие этапа процесса – возможно, отсутствует какой-либо этап процесса, вследствие чего цель процесса достигается не всегда, с потерей качества, так сказать, с большим напрягом;

• недостижение цели этапа процесса – в силу различных причин цель этапа процесса не достигается либо достигается не так часто, как необходимо;

• нарушение регламента – в ходе исполнения процесса наблюдаются случаи намеренного или вынужденного нарушения существующих регламентирующих документов, при этом возрастает риск недостижения цели процесса;

• техническая ошибка – ошибки при исполнении отдельных операций в ходе осуществления этапа процесса, а также ошибки при формировании и передаче информации;

• персонал – недостаток персонала, как по количеству, так и по качеству, а также низкая исполнительская дисциплина;

• неэффективность СВК – система внутреннего контроля не препятствует факторам риска.

_{Таблица 2. Пример оценочной таблицы для формирования рейтинга подпроцессов процесса «Производство»}

Использованные для целей оценки факторы риска по большей части выбраны не совсем удачно, а именно:

• отсутствие этапа процесса – довольно сложный фактор риска. Во-первых, требуется знание основ процессного управления и терминологии, чтобы понять, о чем идет речь. Во-вторых, чтобы проверить достоверность оценки, необходимо как минимум знать, как данный процесс выглядит на практике. В-третьих, для ряда предприятий отсутствие конкретного этапа может быть нормальным явлением;

• недостижение цели этапа процесса – еще более сложный фактор риска. Во-первых, проблемы использования аналогичны проблемам предыдущего фактора риска. Во-вторых, появляется необходимость в предварительном определении целей этапов процесса, по крайней мере для команды внутренних аудиторов. Такая работа, если ее проводить досконально, трудоемка и объемна (например, если взять шесть подпроцессов, каждый из которых состоит из 8–10 этапов, в сумме получаем 48–60 этапов). К тому же высока вероятность возникновения проблемы при использовании результата на практике, например, если привлечь к формированию и/или обсуждению результатов работы по определению целей этапов подпроцессов их владельцев, то можно застрять в самом начале. Например, сначала можно долго и нудно объяснять терминологию и основы процессного управления, затем долго спорить по поводу целей этапов подпроцессов, затем – по поводу оценки влияния фактора риска на цели данных этапов;

• нарушение регламента – фактор риска пригоден к использованию во многих случаях. Плюсом является то, что получить представление об актуальности данного фактора риска можно из нескольких источников – переписка, мнения сотрудников, контролирующих исполнение регламентов, мнение сторонних экспертов (аудиторские фирмы, консультанты и т. д.) и т. д. Наличие данного фактора риска может указывать на недостатки управления процессом и предприятием в целом – низкая исполнительская дисциплина, несовершенство регламентов, громоздкие процедуры и т. д.;

• техническая ошибка – можно использовать в качестве фактора риска. Однако если результат таких ошибок не явился результатом существенного негативного события, то о них можно умолчать и проверить это непросто. Отсюда следует, что во многих случаях данный фактор может показаться мелковатым для использования в оценке;

• персонал – хороший фактор риска для целей оценки. Недостаток адекватного персонала – проблема всех времен и народов. Проблемы с персоналом порождают множество проблем в различных сферах деятельности любого предприятия. Получить представление о данном факторе риска, возможно, даже проще, чем о нарушении регламентов, – существует несколько источников, начиная с управленческой отчетности и заканчивая актами трудовой инспекции;

• неэффективность СВК – малопригоден для целей оценки. Во-первых, звучит довольно жестко, и мало какое предприятие легко согласиться с тем, что даже отдельные его процессы имеют проблемы контроля. Во-вторых, базовая цель аудита как раз и состоит в оценке как минимум адекватности СВК. Данный фактор можно использовать только в том случае, если команда внутренних аудиторов в прошлом (желательно не очень далеком) уже имела дело с конкретным процессом на конкретном объекте аудита. Если мало что изменилось с тех пор, то оценка получится достоверной и доказуемой.

Таким образом, по результатам анализа мы имеем следующее:

• три фактора пригодны к использованию;

• два фактора пригодны к использованию, но на практике может возникнуть множество сложностей;

• один фактор не пригоден.

В качестве примера приведу небольшой перечень факторов риска (далеко не исчерпывающий), которые можно применять в большинстве случаев для целей составления рейтинга рискованности процессов:

• практика форсирования контрольных процедур (данная практика очень заразительна, отсутствие контроля расхолаживает, подталкивает к размышлениям о собственном благе и способах его преувеличения в свете появившихся в отсутствие контроля возможностей);

• широкое использование экспертных оценок (данная практика также заразительна, в результате люди могут перестать делать, например, элементарные расчеты);

• сложность операций, этапов и процессов с организационной точки зрения (повышается риск прогрессирующей задержки, исполнение процесса может затянуться);

• сложность операций, этапов и процессов с технологической точки зрения (возрастает цена ошибки);

• текучесть сотрудников (создает нездоровую атмосферу в коллективе, а также тормозит исполнение процесса и требует дополнительных затрат);

• децентрализованные процессы (довольно часто дают порулить тому, кто либо еще не дорос до этого, либо перерос и склонен к использованию служебного положения в личных целях);

• объем операций (большое количество транзакций увеличивает вероятность и существенность ошибки);

• мошенничество (каждый процесс обладает вмененным и приобретенным потенциалом для мошеннических схем);

• нанесение ущерба здоровью (может повлечь за собой как материальные обязательства по отношению к потерпевшей стороне, так и обязательства перед государством и обществом; взаимосвязано с рядом рисков, например технологического характера или рисками неадекватного состояния имущества);

• нанесение ущерба окружающей среде (аналогично предыдущему пункту только по отношению к окружающей среде);

• государственное регулирование (пристальное внимание государства означает визиты различных органов, участие в коррупционных схемах, риски, связанные с плохим настроением представителей власти, и т. д.);

• изменения систем и процессов (к любым изменениям необходимо привыкнуть, а это повышает вероятность ошибок);

• амбициозные цели процесса, особенно во взаимосвязи с амбициозным вознаграждением (когда что-то очень надо, а есть вероятность, что не получится, возникает непреодолимый соблазн сыграть не по правилам);

• отсутствие нормативов (когда не установлен формально верх или низ или иные рамки, работает принцип «будет так, как я хочу»);

• низкая регламентированность процесса (сопоставим с предыдущим фактором, может приводить к неоднозначным результатам – как к перекосам, так и к эффективности, однако перекосы случаются чаще);

• отсутствие управленческого учета (когда ходы не записывают, трудно разобраться в текущей ситуации и, тем более, в прошлой ситуации; под песню «нам некогда бумажками шуровать, нам работать надо» торжественно разбивались вдребезги мечты многих акционеров о светлом будущем и даче с кабанчиком).

Мы разобрали основные моменты представленного для примера фрагмента оценочной таблицы. Как я уже говорил, шкала оценок может быть какой угодно. Хотелось бы, однако, обрисовать ситуацию вокруг данной оценочной таблицы в целом. Данная таблица была использована для составления рейтинга рискованности процессов нового объекта аудита, на котором команда внутренних аудиторов прежде не бывала. В попытке обеспечить максимальное качество таблицы было принято решение заполнить ее при активном участии владельцев процессов объекта аудита. Как показала дальнейшая работа, и не только в рамках того проекта, такой подход носит неоднозначный характер с уклоном в сторону вранья. Некоторые владельцы процессов действительно пытались объективно оценить происходящее в их епархии. Правда, со временем выяснилось, что некоторые факторы риска они просто не поняли (о чем говорилось выше). Однако чаще владельцы процессов стремились приукрасить картину, что и выяснилось в ходе последовавшего проекта аудита. Данный пример является одним из многих свидетельств того, что владельцы процессов являются не самыми лучшими соавторами рейтинга рискованности собственных процессов. Команда внутренних аудиторов должна стремиться использовать как можно более объективные, но в то же время оперативные (все происходит на этапе планирования проекта, который часто весьма ограничен во времени) источники информации.

Упрощенный метод предполагает следующую последовательность действий: формирование перечня процессов (подпроцессов, этапов подпроцессов), затем генерирование факторов риска (при этом рассматриваются факторы единственного риска – риска недостижения цели процесса). Оценка воздействия выбранных факторов риска на степень достижения цели процессов позволяет сформировать рейтинг рискованности процессов. При использовании продвинутого метода за точку отсчета берется перечень рисков предприятия с оценкой как минимум их силы воздействия и вероятности, или, как его называют в специализированной литературе, карта рисков. Таким образом, формируется следующая цепочка действий: создание карты рисков, выбор наиболее существенных рисков, конвертирование рисков в план и программу аудита. На первый взгляд все просто, однако в условиях российской действительности появляется ряд следующих нюансов.

Во-первых, многие компании в нашей стране, услышав слова «карта рисков», ведут себя не так, как предполагали создатели этого инструмента, – одни пугаются, другие откладывают на потом, но большинство считают эту затею полной ерундой. Так или иначе, большинство компаний в России не формируют карту рисков на регулярной основе хотя бы искусства ради, не говоря уже о ее практическом применении. Однозначного объяснения этой ситуации сложно найти. Возможно, все упирается в уровень профессионального развития большинства российских управленцев, полного изъянов; возможно, все поглощены поиском источников личного обогащения; возможно, виноваты разработчики карт рисков, неспособные создать жизнеспособный и практически значимый инструмент управления. Как говорится, всего понемногу.

Во-вторых, отчасти как следствие из предыдущего нюанса, многие карты рисков, мягко говоря, вызывают сомнения в профессиональной пригодности авторов. Один из примеров мы разберем немного дальше.

В-третьих, многие карты рисков не заточены для конвертации в план или программу аудита. В таких случаях может потребоваться адаптация материала (см. разбор примера по данным табл. 5). Основные причины следующие:

• практика обобщения рисков (например, формулировка «валютный риск» без пояснений весьма многозначна);

• отсутствие причинно-следственной связи в наименовании (описании) риска (которая устанавливает базовую, т. е. наиболее свойственную в конкретных условиях, взаимосвязь фактора риска и риска);

• отсутствие процессного восприятия деятельности предприятия (фундаментальная причина, которая вряд ли исчезнет в ближайшие 5–10 лет).

В-четвертых, если компания не формирует карту рисков, то ПВА придется сделать это самостоятельно. Довольно часто первые карты страдают изъянами. Прежде всего, основным источником информации о рисках на первых порах выступает менеджмент. В силу множества причин (непонимание происходящего, стремление скрыть недостатки, недоверие к команде внутренних аудиторов и т. д.) данная информация может быть не совсем достоверной. По мере накопления информации в ходе проектов ПВА начинает лучше ориентироваться в деталях рисков компании. Затем, составление карты рисков требует затрат ресурсов, в первую очередь времени. В этой ситуации ПВА важно соблюсти баланс между необходимостью получить максимально объективное представление о рисках компании и необходимостью приступить к осуществлению проектов. И наконец, методика формирования карты и ее использования для выбора объектов аудита должна быть в той или иной степени согласована с менеджментом. Это не означает, что ПВА должно спрашивать разрешения на использование методики. Однако оно должно провести разъяснительную работу, максимально учесть мнения и пожелания менеджмента, обеспечить понимание происходящего окружающими. Только в этом случае можно вовлечь менеджмент в добросовестную работу по выявлению и оценке рисков, а также нивелировать разногласия в восприятии результатов оценки рисков.

Перед тем как двинуться дальше, имеет смысл рассмотреть процесс выявления и оценки рисков, а также процесс формирования карты рисков.

Выявление и оценка рисков. Существует несколько базовых способов, позволяющих с той или иной степенью эффективности идентифицировать риски и оценить их параметры (табл. 3).

_{Таблица 3. Базовые способы оценки рисков}

Шкала от 1 (очень плохо) до 5 (очень хорошо)

Как следует из табл. 3, мы имеем пять базовых способов:

• эксперты (суть способа – проведение интервью сотрудников компании для выяснения их мнения о существующих рисках и формирования оценки параметров этих рисков);

• статистика (суть способа – изучение документальных источников для выявления фактов реализации рисков, а также факторов риска, способных привести к конкретным рискам);

• третья сторона (суть способа – наем сторонней организации для проведения идентификации и оценки рисков);

• вмененные риски (суть способа – формирование перечня и оценка параметров рисков, часто встречающихся в условиях, аналогичных тем, в которых действует компания);

• процессы (суть способа – использование упрощенного подхода, описанного выше).

Каждый из этих способов оценивается по пяти ключевым параметрам:

• объективность (степень приближенности к реальности);

• полнота (насколько исчерпывающим получится конечный перечень);

• стоимость (объем ресурсов, в том числе имеющих неденежную оценку, для осуществления необходимых мероприятий в рамках способа);

• время (количество времени для осуществления необходимых мероприятий в рамках способа);

• качество (пригодность исходного материала для перехода к процессу конвертирования в программу аудита).

Разумеется, проставленные оценки имеют условный характер и являются усредненным вариантом (при прочих равных). Вариации конкретных обстоятельств способствуют перестановкам в данной таблице. Перечисленные способы имеют свои плюсы и минусы (табл. 4).

_{Таблица 4. Плюсы и минусы базовых способов оценки рисков}

Отдельного разговора заслуживает вопрос формулирования сути риска. Здесь прослеживаются два основных подхода (не считая неправильных):

• использование укрупненных рисков (формулировка риска обычно не содержит причинно-следственной связи, она сопровождается расшифровывающим и уточняющим описанием; например, формулировка «риск аварий» может сопровождаться перечислением видов, мест и, возможно, причин, а также прочими уточняющими деталями);

• использование рисков с указанием на причинно-следственную связь (точечные риски) (формулировка риска содержит указание на причинно-следственную связь, во многих случаях дальнейшие объяснения не требуются, так как она достаточно точно описывает суть риска, например формулировка «риск аварий вследствие несоблюдения режима эксплуатации оборудования»).

Как часто бывает в нашей жизни, у каждого из этих подходов есть свои плюсы и минусы (табл. 5).

_{Таблица 5. Основные подходы к формулированию сути риска}

В дополнение к информации, приведенной в табл. 5, полезно пояснить один существенный нюанс. Укрупненными рисками нельзя управлять, так как, по сути, они состоят из нескольких цепочек факторов риска. При этом для каждой цепочки часто нужны свои мероприятия по управлению и у каждой цепочки может быть свой владелец риска (учитывая двойственность понятия «риск»). Поэтому карта укрупненных рисков более всего подходит для презентации и представления общего расклада по рискам, так сказать, по диагонали. Для целей как управления, так и конвертации в программу аудита укрупненные риски нуждаются в декомпозиции. Она должна проводиться как минимум до тех пор, пока укрупненный риск, условно говоря, не будет разбит на несколько рисков, у каждого из которых будет один владелец. Например, у нас есть риск «риск аварий». Предположим, что он в результате декомпозиции был разбит на два риска: «риск аварий вследствие несоблюдения режима эксплуатации оборудования» (риск 1) и «риск аварий вследствие общего состояния оборудования» (риск 2). На данном этапе у обоих рисков все еще может быть несколько владельцев. Возьмем для дальнейшего анализа риск 1. Его можно разбить как минимум на два риска: «риск несоблюдения режима эксплуатации оборудования вследствие нарушения требований техпроцесса» (риск 3) и «риск несоблюдения режима эксплуатации оборудования вследствие ошибок в требованиях техпроцесса» (риск 4). На этом этапе минимальное требование по декомпозиции в отношении риска 1 выполняется – владельцем риска 3 является дирекция по производству (нарушение в процессе эксплуатации оборудования), а владельцем риска 4 – служба главного технолога[7] (ошибка при расчете техпроцесса).

Приведенный пример демонстрирует важный момент. Как уже говорилось в разделе «Риск», факторы риска формируют цепочки, в которых каждый последующий фактор риска является риском для предыдущих факторов. Таким образом, каждый риск можно разбить на определенное число более мелких рисков. Количество и суть таких рисков будет соответствовать количеству и сути факторов риска исходного риска. Например, если риск реализуется в результате последовательной реализации цепочки из пяти факторов риска, то его можно разбить на пять последовательных рисков. При этом каждый последующий риск в цепочке будет менее существенным, чем предыдущий риск. Для удобства далее будем употреблять слово «уровень» для обозначения места риска в цепочке рисков. Например, формулировка «уровень 3» означает, что выше по существенности находятся два риска из той же цепочки. Таким образом, любой риск, который необходимо подвергнуть декомпозиции, является риском уровня 1, или риском первого уровня.

Формирование карты рисков. Основная цель данного процесса заключается в получении на выходе перечня рисков, расположенных в порядке убывания существенности.

^{Рис. 2. Пример графического представления карты рисков}

Перечень может сопровождаться построением графика, на котором риски располагаются в соответствии с их вероятностью и силой воздействия. Классическим является вариант графика с зеленым (белым), желтым (серым) и красным (черным) секторами (рис. 2). В зеленом (белом) секторе располагаются риски, вероятность которых относительно низка, а сила воздействия минимальна. В красном (черном) секторе располагаются риски с максимальной вероятностью и максимальной силой воздействия. Между зеленым (белым) и красным (черным) секторами располагается желтый (серый) сектор, в котором находятся три группы рисков, а именно:

• риски со средней вероятностью и силой воздействия;

• риски с низкой вероятностью, но с большой силой воздействия;

• риски с высокой вероятностью, но с маленькой силой воздействия.

Логично предположить, что ПВА в первую очередь должны интересовать риски, расположенные в красном (черном) секторе. Это действительно так, однако довольно часто в этот сектор попадают риски, которыми трудно управлять, а именно:

• «внешние» риски (т. е. риски, которые зарождаются вне компании, но влияют на ее деятельность, например риск неблагоприятного изменения законодательства);

• риски форс-мажорных обстоятельств;

• крупные риски, обусловленные совокупностью большого количества факторов риска (например, риск неадекватной бизнес-модели).

С точки зрения внутреннего аудита риски, которыми трудно управлять, не представляют особого интереса как объект конвертирования в план или программу аудита. Во-первых, многие «внешние» риски и риски форс-мажорных обстоятельств довольно очевидны. Все, что нужно сделать, – это сформировать план мероприятий по минимизации их существенности (по возможности снизить вероятность и силу воздействия), а также план действий на случай реализации данных рисков. Последнее необходимо для того, чтобы максимально воспользоваться динамикой нарастания негативных последствий риска (попросту, план того, что можно сделать, пока последствия реализации риска не достигли максимального эффекта). Во-вторых, крупные риски при конвертации могут привести к формированию громоздкой и сложной для понимания программы аудита. Также не исключено, что с первого раза не удастся выявить все существенные факторы риска и установить правильные причинно-следственные связи. Поэтому наилучшей стратегией работы с крупными рисками является их разбиение (декомпозиция) на более мелкие риски, которые более подходят для конвертирования в программы аудита.

Конвертирование рисков в программу аудита. В классическом варианте выбор рисков для конвертирования осуществляется на основании анализа карты рисков компании. Варианты выбора могут быть самыми разнообразными. Понятно, что есть определенное тяготение к выбору наиболее существенных рисков. Однако могут быть выбраны и менее существенные риски, например, потому, что их быстрее и проще устранить.

Конвертация может выполняться двумя основными способами.

Способ 1. Определение приоритетного процесса (владелец данного процесса является одновременно владельцем выбранного риска). Применение этого способа предполагает, что исходный риск либо является точечным, либо представляет собой результат декомпозиции более крупного взаимосвязанного риска. Важно, чтобы в исходной карте, во-первых, каждый риск определялся как точечный, либо укрупненный, во-вторых, для точечных рисков указывались владельцы, в-третьих, право провести декомпозицию и определить владельцев риска предоставлялось ПВА. Чаще всего имеет смысл согласовывать результаты декомпозиции и определения владельцев рисков с такими владельцами. Это повышает позитивное отношение к работе ПВА.

Способ 2. Определение кластера приоритетных процессов (владелец риска не может быть определен на этапе конвертации). Правильность определения приоритетных процессов зависит от осведомленности компании о существенных нюансах конкретного риска. Это может показаться странным, но многие компании имеют слабое представление о ключевых факторах как минимум части своих рисков. К тому же такое знание весьма неоднородно внутри компании – всегда есть кто-то, кто более полно представляет ситуацию, чем остальные. Как результат в большинстве случаев карты состоят из укрупненных рисков, не говоря уже про отсутствие причинно-следственной связи в наименовании или описании риска. Оптимальной была бы полная декомпозиция, однако она либо требует слишком много времени (особенно при необходимости согласовывать результаты), либо невозможна по ряду причин (например, владелец процесса не согласен с привязкой конкретного риска к своему процессу), включая фундаментальную причину, указанную выше. В такой ситуации у ПВА нет другого выхода, кроме привязки конкретного риска к кластеру процессов вместо одного процесса. Таким образом, использование способа 2 порой может быть вынужденной мерой.

С технической точки зрения основные сложности при конвертации возникают в трех наиболее типичных ситуациях.

Ситуация 1. Карта сформирована с использованием укрупненных рисков. При работе с такого рода рисками необходимо учитывать ряд нюансов.

Нюанс 1. Степень, так сказать, укрупненности рисков во многих случаях неравнозначна. Возьмем для примера два риска: «риск кассовых разрывов» и «риск недостаточного качества». Оба риска являются укрупненными, т. е. могут быть разбиты на взаимосвязанные риски меньшей существенности. В случае с риском кассовых разрывов разбивка даст от силы три-четыре риска второго уровня (нарушение графика оплаты дебиторской задолженности, отказ в выдаче кредита, возникновение срочных платежей) и шесть – восемь рисков третьего уровня. При разбивке риска недостаточного качества получается не менее пяти-шести рисков второго уровня (нарушение требований техпроцессов, ошибка при исполнении техпроцесса, снижение качества исходных компонентов, использование устаревшего оборудования, недостаточное количество сотрудников, обслуживающих техпроцесс) и 10–12 рисков третьего уровня.

Нюанс 2. Если разбить любой укрупненный риск на риски более низкого уровня, то существенность таких рисков будет неравнозначна. Другими словами, один или несколько факторов риска более остальных влияют на существенность вышестоящего риска. Основным следствием данной ситуации является то, что разные укрупненные риски будут конвертироваться в разные по трудоемкости программы аудита. При этом чем меньше возможностей для декомпозиции, тем сложнее сопоставить риски по трудоемкости программ аудита, созданных на их основе. Однако неравнозначность рисков дает возможность пренебречь некоторыми из них и за счет этого минимизировать трудоемкость программы аудита.

Нюанс 3. При разбивке нескольких укрупненных рисков возрастает вероятность того, что некоторые факторы риска будут общими. Например, такой фактор риска, как использование устаревшего оборудования, может провоцировать как риск недостаточного качества, так и риск аварий. Данное обстоятельство указывает на то, что вся совокупность рисков компании имеет трехмерную структуру с линейными и нелинейными взаимосвязями.

Нюанс 4. При проведении декомпозиции и особенно при представлении результатов декомпозиции имеет смысл максимально использовать графическое представление информации. Хорошим подспорьем может служить такой инструмент, как диаграмма Ишикавы (рис. 3).

^{Рис. 3. Пример диаграммы Ишикавы}

Как видно из приведенного примера, диаграмма Ишикавы позволяет как минимум отобразить риски четырех уровней (включая исходный риск).

Ситуация 2. Карта сформирована с использованием рисков без причинно-следственной связи. Все укрупненные риски являются рисками без причинно-следственной связи, однако не все риски без причинно-следственной связи являются укрупненными. Основной задачей при работе с такими рисками является установление причинно-следственной связи. Риски без такой связи просто непригодны как для формирования подхода к управлению ими, так и для конвертирования в программу аудита. Наиболее простой способ установления причинно-следственной связи заключается в проведении дополнительных интервью с автором риска (лицом, сформулировавшим риск). Как вариант, ПВА также может предложить свой вариант декомпозиции риска в качестве базового варианта для обсуждения.

Ситуация 3. Карта сформирована с использованием рисков, формулировка которых не отражает их суть. Отчасти забавная ситуация, которая, однако, периодически встречается на практике. Попросту говоря, вы читаете наименование риска и думаете об одном, а автор данного риска подразумевал совсем другое. Ключевая задача в такой ситуации состоит в уточнении формулировки риска. Пример приведен в табл. 6.

_{Таблица 6. Пример уточнения формулировки риска в зависимости от его сути}

Как видно из приведенной таблицы, алгоритм изменения формулировки риска начинается с определения процесса и цели процесса, на который риск предположительно оказывает влияние. Определение процесса необходимо для того, чтобы определить цель процесса. Зная цель процесса, можно определить риски, реализация которых негативно отразится на достижении цели процесса. Итак, мы получили на выходе два варианта риска – риск пропуска встречи вследствие опоздания на поезд (управляемый риск) и риск пропуска встречи из-за неблагоприятных погодных условий, препятствующих движению поезда (неуправляемый риск). Возможно, оба этих риска актуальны. Таким образом, уточняя формулировку, можно получить на выходе более одного риска, т. е. произвести определенную декомпозицию. Обратите внимание также на правильность формулировок обоих рисков – в них обозначена причинно-следственная связь.

В завершение раздела, посвященного процессу конвертирования, рассмотрим практический пример использования способа 2 (кластеры процессов) на одном из крупных производственных предприятий.

На этапе формирования годового плана проектов внутреннего аудита выполнялась процедура идентификации и оценки рисков (основной метод – опрос экспертов). В результате была сформирована карта рисков. Она получилась не очень удобной для формирования программ аудита, так как практически полностью состояла из укрупненных рисков. Поскольку на данную процедуру ушло немало времени (процедура проводилась в компании впервые), было принято решение использовать укрупненные риски. Из карты рисков выбрали три самых существенных риска. Одним из них был риск невыполнения плана производства. При проведении первого аудита (на этапе планирования) на одном из предприятий компании для этого риска сформировали кластер соответствующих процессов (рис. 4). Кластер был получен на основании интервью с владельцами ключевых процессов (необходимые согласования были проведены).

Пробежимся по структуре схемы. В центре расположен процесс «Производство» и основные взаимодействующие с ним процессы: процессы «Хранение», «Подача сырья», «Складирование готовой продукции» и «Погрузка в вагоны и взвешивание». Также на процесс «Производство» влияют риски других процессов: «Закупки», «Планирование», «ТОиР» и «Логистика». Черным маркером выделены те процессы, риски которых оказывают наиболее существенное влияние на реализацию риска невыполнения плана производства, а именно:

• процесс «Закупки» – риск несвоевременной закупки сырья (вследствие изменения динамики производства и отсутствия запасов у поставщика);

• процесс «ТОиР» – риск увеличения времени ремонта вследствие внеплановых поломок;

• процесс «Производство» – риск несоблюдения требований техпроцесса по причине ошибки работника;

• процесс «Складирование готовой продукции» – риск несоблюдения условий хранения по причине несвоевременной подготовки складских помещений;

• процесс «Логистика» – риск несвоевременной отгрузки продукции (вследствие изменений позиции покупателя, недостатка вагонов, изменения маршрута транспортировки).

Таким образом, план аудита предусматривал аудит пяти процессов (процессы, отмеченные серым маркером, и неотмеченные процессы в тематику аудита не попали вследствие ограниченности ресурсов ПВА и незначительного совокупного влияния на реализацию основного риска). В ходе аудита уточнялась степень воздействия вышеуказанных рисков на основной риск (выяснилось, что значимость рисков процессов «Производство» и «Складирование готовой продукции» преувеличена), а также выявлялись дополнительные факторы основного риска (например, было установлено, что в данные систем ЦОСАДУ и АСУТП можно было вносить нерегламентированные изменения). Для справки: ЦОСАДУ расшифровывается как центральная оперативная система автоматизированного диспетчерского управления, а АСУТП – автоматизированная система управления технологическим процессом. По результатам аудита был разработан план мероприятий, направленный, в том числе, на минимизацию как изначально определенных, так и выявленных в процессе аудита рисков.

^{Рис. 4. Пример позиционирования риска в кластере процессов}

Рекомендации по выбору подхода к проведению проектов внутреннего аудита

Возможно, ряд внутренних аудиторов со скепсисом воспримут идею и технологию риск-ориентированного подхода. Отчасти они правы. Однако они правы только в том, что многие российские предприятия пока не оперируют в своей повседневной деятельности понятиями «процесс» и «риск». Это усложняет задачу ПВА по внедрению риск-ориентированного подхода, но потенциальный эффект от внедрения с лихвой покроет все трудозатраты. Основные преимущества использования риск-ориентированного подхода заключаются в следующем:

• концентрация на наиболее существенных проблемах, препятствующих успешной работе компании;

• формирование целевых мероприятий по минимизации негативного влияния факторов рисков;

• стимулирование профессионального развития внутренних аудиторов.

Данные преимущества усиливаются при переходе от упрощенного подхода к продвинутому риск-ориентированному подходу к аудиту. Однако даже упрощенный подход дает намного более впечатляющие результаты, чем подходы, не основанные на анализе и оценке рисков.

Базовые принципы

В данном разделе рассмотрен ряд базовых установок, которые применимы на всем протяжении процесса планирования. К их числу можно отнести следующие:

• Четкое понимание позиции ключевых топ-менеджеров по тематике предстоящего проекта. Иначе говоря, если есть известные проблемы, то необходимо знать позицию руководства по возможным путям решения. Это один из примеров балансирования объективного и субъективного. С одной стороны, есть мнение авторитетных людей, с другой – объективная необходимость, которая не всегда побеждает при столкновении с такими мнениями. Цель заключается не в том, чтобы порадовать топ-менеджеров представлением в отчете взгляда, аналогичного их собственному, а в том, чтобы оценить перспективность того или иного варианта действий и следовать намеченному плану. Возможно, вам удастся собрать достаточно доказательств для того, чтобы переубедить оппонентов, в противном же случае лучше выждать и предложить более консервативную рекомендацию. Так или иначе, заблаговременное получение четкого представления о позиции топ-менеджмента позволяет подготовить и согласовать максимально эффективный в текущих обстоятельствах вариант действий.

• Готовность к сопротивлению принимающей стороны. Чаще всего деятельность правильного внутреннего аудита ведет к переменам. Большинство людей сознательно или неосознанно относятся без энтузиазма к переменам, даже к позитивным. Поэтому вероятность как минимум вялотекущего сопротивления со стороны сотрудников, управляющих объектом аудита, высока, особенно на этапе согласования плана мероприятий. Будьте готовы к такой реакции и предусмотрите резерв времени и ресурсов.

• Ясное определение подхода к существенности доказательств – либо верим на слово, либо копируем все, что влезает в ксерокс или сканер. Подход к определению существенности доказательств зависит от ряда факторов. Ключевым из них является, попросту говоря, серьезность вопросов, попавших в поле деятельности внутреннего аудитора. Одно дело, когда вы обращаете внимание на проблему, очевидность которой не вызывает сомнений у большинства вовлеченных в проект сотрудников, включая пользователей результатов аудита и руководство объекта аудита. Другое дело, когда вы затрагиваете вопрос сложный для восприятия и осознания. Типичным примером первой группы вопросов является факт мошенничества или халатности. Одним из распространенных примеров второй группы вопросов является, как ни странно, экономическое моделирование. Сюда относятся ситуации, когда аудитор производит расчеты, показывающие, например, что внедрение новой контрольной процедуры позволит получить определенный положительный экономический эффект. Чаще всего доказательство целесообразности предлагаемых мер наталкивается на неспособность менеджмента управлять изменениями на предлагаемом уровне детализации. Справедливости ради стоит заметить, что и аудиторы порой форсируют события и пытаются заставить предприятие прыгнуть выше головы либо предлагают не до конца проработанные варианты мероприятий. Более подробно нюансы этих ситуаций рассматриваются в следующих разделах.

• Увеличение объема коммуникации с другими подразделениями и аффилированными предприятиями начиная с этапа планирования проекта внутреннего аудита или консалтинга. Поэтому постарайтесь на данном этапе следовать принципу снайпера[10]. В приложении к деятельности внутреннего аудитора принцип снайпера означает минимизацию проигрышных ситуаций при взаимодействии с сотрудниками, управляющими объектом аудита. Для простоты под проигрышными понимаются ситуации, когда аудитор не получает того, чего хочет; большинство заинтересованных лиц в курсе этого и считают это проигрышем; аудитор не предпринимает никаких действий для нивелирования ситуации. Например, на основании результатов аудита был разработан план мероприятий по устранению недостатков. Он, возможно, даже был согласован с руководством объекта аудита. Если аудитор допустит неисполнение данного плана полностью или в существенной части, то это будет прямым нарушением принципа снайпера. Это с высокой вероятностью станет известным руководству других потенциальных объектов аудита. Конечным результатом будет общепринятое мнение, что рекомендации и планы мероприятий внутреннего аудита можно не исполнять без существенных последствий для себя (управляющего объектом аудита). Особенно фатально подобная ситуация развивается в компаниях с низким уровнем корпоративного управления и низким уровнем менеджмента. Контролируйте свои действия, будьте снайперами!

Определение цели и расчет параметров проекта

Четкое понимание цели проекта внутреннего аудита крайне важно для его успешного и эффективного проведения. Аудитору необходимо определить максимально точно, какого эффекта проект должен достичь – либо, например, просто обобщить имеющуюся информацию по какому-либо аспекту деятельности компании, либо доказать какую-то реакционную точку зрения на известную проблему. От цели проекта зависят как его параметры, так и методические особенности работы по проекту и содержания отчета. Разберем пример, представленный в табл. 7.

_{Таблица 7. Пример взаимосвязи между содержанием отчета по проекту и объемом работ}

В табл. 7 приведена взаимосвязь содержания отчета по проекту и объема работ по проекту. Содержание отчета по проекту внутреннего аудита всегда зависит от количественных и качественных характеристик параметров проекта. В графах «Наблюдение» и «Последствия» указаны четыре варианта формулировок содержания отчета, в графах «Объем работы» и «Время, дни» – четыре варианта параметров проекта. Здесь необходимо обратить внимание на один нюанс – применение тех или иных параметров проекта не означает автоматического достижения сопоставимого результата. Параметры проекта могут благоприятствовать работе аудитора, однако если ими безалаберно управлять, ожидать достойного результата не стоит.

По большому счету в табл. 7 представлена основная зависимость цели проекта (результата проекта) и его параметров. Более точные формулировки, дополнительные расчеты (включая расчет последствий), использование крупных выборок данных, многофакторный анализ проблем всегда будут требовать более существенных значений параметров проекта. Например, чтобы понять, отсутствует ли контроль обоснованности затрат по инвестиционным проектам (включая предположение о высокой вероятности превышения фактической себестоимости проектов над нормативной – плановой), в большинстве случаев достаточно просто описать процесс и провести его сквозное тестирование. Выполнение данной работы у квалифицированного аудитора занимает в среднем четыре рабочих дня. Однако в большинстве случаев простая констатация отсутствия какого-либо контроля и упоминание о вероятности взаимосвязанных рисков не особо впечатляет как менеджмент, так и прочих пользователей результатов работы внутреннего аудитора. Вместе с тем любое усложнение цели проекта (и, соответственно, содержания конечного результата работы) приводит к усложнению его параметров. Например, чтобы добиться результата, указанного в последней графе табл. 7, требуется как минимум расширить арсенал применяемых аудиторских процедур, а также увеличить затраты времени.

К ключевым количественным параметрам аудиторского проекта относятся следующие:

• Количество аудиторов. Основополагающий параметр. Оценку тенденций изменения численности подразделений внутреннего аудита регулярно и с разных сторон проводят компании Большой четверки, и не только они. Универсального рецепта, возможно, никогда не придумают. Существуют гигантские компании (например, Komatsu) с микроскопической командой внутренних аудиторов (2–4 человека) и менее крупные компании (например, одна из трех крупнейших российских компаний – операторов мобильной связи) с колоссальными подразделениями (более 100 человек). Понятно, что количество аудиторов, участвующих в конкретном проекте, зависит от численности подразделения. В качестве ориентира предложу следующее соотношение, применимое к ПВА, практикующим аудит бизнес-процессов. В компаниях среднего размера (выручка от $500 млн до $2 млрд) команда внутренних аудиторов из двух человек (например, старший и младший аудитор) должна быть способна провести аудит одного бизнес-процесса верхнего уровня (например, бизнес-процесса «Закупки») за 2,5–3 месяца. Этот срок предусматривает выполнение полного цикла работ (описание и сквозное тестирование бизнес-процесса, обновление матрицы рисков, проведение детального тестирования, предварительное согласование результатов с владельцами процесса). Он должен позволить уделить внимание наиболее крупным рискам процесса (не менее трех).

• Продолжительность этапов проекта. Данный параметр зависит от целого набора факторов.

– Сложность проекта (организационная) – в процессе исполнения проекта могут возникнуть трудности организационного и административного характера. Предприятие может быть погружено в бюрократические дебри, что ведет к дополнительным согласованиям и подтверждениям при взаимодействии с персоналом объекта аудита. Предприятие может быть расположено в удаленном часовом поясе и вдали от ближайшего аэропорта, что увеличивает время на перемещение команды аудиторов. Предприятие может предоставлять своим сотрудникам продолжительные отпуска (что нормально для предприятий, находящихся в районах Крайнего Севера), поэтому может возникнуть необходимость продлить проект в ожидании ключевого сотрудника. Предприятие может просто саботировать процесс предоставления информации. Перечисление возможных ситуаций займет много места. Аудитору просто необходимо помнить о важности учета организационных и административных нюансов при планировании продолжительности этапов проекта.

– Сложность проекта (техническая) – по своей воле или по указанию руководства команда аудиторов может столкнуться с необходимостью осуществления работы на грани и за гранью своих профессиональных возможностей. Например, немало российских предприятий имеют запутанные бизнес-процессы и многоуровневую структуру управления, что требует дополнительного времени для понимания. Время от времени требуется помощь технических экспертов в ходе анализа тех или иных этапов бизнес-процесса. Если эксперты не были привлечены изначально, то потребуется дополнительное время для их поиска и подключения к работе. Также периодически команда аудиторов сталкивается с необходимостью использовать ИТ-системы, специфичные для конкретного предприятия. В общем, нюансов, технически усложняющих проект, ничуть не меньше, чем организационных и административных нюансов.

– Срочность проекта – нередко возникают ситуации, когда время проекта ограничено вследствие воздействия внешних факторов, например плана проектов внутреннего аудита, форс-мажорных обстоятельств, требований руководства. Элементарное отсутствие нужного человека может превратить стандартный проект в срочный.

– Объем рабочей документации – существуют различные подходы к формированию рабочей документации. Например, некоторые компании используют специальные программы для управления процессом внутреннего аудита и ходом проектов. В таких случаях необходимо увеличивать время проекта для ввода и обработки информации. Когда ПВА имеют сильную поддержку, объем рабочей документации по проекту может быть минимальным.

– Регламентация процедур внутреннего аудита в компании – в некоторых компаниях процесс внутреннего аудита отягощается необходимостью соблюдения не всегда разумных процедур. Например, в одних случаях информация может запрашиваться напрямую у владельца бизнес-процесса, а в других каждый этап процесса формирования и исполнения запроса может требовать дополнительных согласований и подтверждений. Последнее не означает, что объект аудита пытается, например, избежать предоставления информации. Просто нередко в российских компаниях ритуалы ставятся превыше целесообразности и рациональности.

– Ожидания пользователей результатов проекта внутреннего аудита – если от вас ожидают развернутого анализа проблем, то предоставление, например, коротенькой аналитической справки с общими выводами вызовет, в лучшем случае, раздражительное недоумение.

– Удача – как бы это странно ни звучало, для успешного выполнения проекта нужна удача. Правда, посредственным аудиторам ее требуется несоизмеримо больше, чем реальным профессионалам. Иногда руководитель проекта может попасть в ситуацию, когда все делается правильно, но без достойного результата. В этом случае есть выбор – либо продолжить работу под любым предлогом, либо доложить все как есть. Последнее может оказать негативное воздействие на репутацию команды внутренних аудиторов.

• Набор используемых аудиторских процедур. Этот набор напрямую зависит от целей проекта. Если целью является полноценный анализ какого-либо процесса, то сложно ограничиться проведением отдельных детальных тестов. В этом случае необходимо не только подготовить описание процесса, но и провести сквозное тестирование, обновить матрицу рисков и контрольных процедур, а также выполнить ряд аналитических процедур. Кроме целей проекта, на набор используемых аудиторских процедур сильное влияние оказывает состояние системы управленческого, производственного и бухгалтерского учета предприятия. Весьма часто аудиторы вынуждены выискивать возможности для получения информации, необходимой для выполнения той или иной аудиторской процедуры. Речь не идет о сокрытии информации, просто на многих предприятиях ее может не быть, так как она либо не собирается, либо собирается не в том виде, в котором требуется.

К ключевым качественным параметрам аудиторского проекта относятся следующие:

• Уровень квалификации участников команды. Многие команды внутренних аудиторов ставят простенькие цели, получают поверхностные результаты и генерируют прямолинейные и обобщенные рекомендации. Но поступают они так потому, что не могут иначе. Причин этому немало, однако нет смысла их разбирать. Все сводится к необходимости постоянного самостоятельного обучения. Аудитора, который не стремится к этому, ждет печальная участь.

• Достаточность сопутствующих навыков для достижения цели проекта. Многие аудиторы намеренно или вынужденно попадают в ситуации, когда физически не могут выполнить работу. Например, аудитор долгое время специализировался на аудите процесса «Закупки». Он поднаторел в этом, и руководство решило, что раз уж он так искусен в вопросах организации и контроля процесса «Закупки», то и в других процессах отработает также блестяще. Однако такой «эффект ореола» может сыграть с аудитором злую шутку. Стремление аудитора расширить сферу своей компетенции – это правильный подход. Однако ему необходимо быть осмотрительным. Если требуемой компетенции нет внутри ПВА, необходимо прибегнуть к помощи со стороны, например привлечь экспертов (пусть даже ценой дополнительных затрат).

• Авторитарность команды внутреннего аудита. Основным признаком данного качества является обоснованное пренебрежение к шероховатостям структуры и содержания системы бизнес-процессов предприятия, а также к мнениям тех или иных представителей руководства. Однако в данном случае пренебрежение не означает демонстрацию превосходства, это просто возможность форсировать определенные обстоятельства для повышения эффективности работы команды внутреннего аудита. Например, при обсуждении рекомендаций по результатам проекта руководство объекта аудита может принижать их целесообразность по той причине, что ему неохота напрягаться и что-то менять в процессах. Авторитарный внутренний аудит может настоять на принятии и внедрении предлагаемых рекомендаций просто на том основании, что это, по его мнению, правильно. Команды внутренних аудиторов, не имеющие данного качества, вынуждены либо дополнительно доказывать свою правоту, либо искать поддержки у своего руководства или у руководства объекта аудита, либо делать и то и другое одновременно.

Также при определении цели и расчете параметров проекта необходимо учитывать следующие нюансы:

– Нужно настроиться на то, что времени не хватит – в первую очередь, необходимо морально подготовиться к этому. Также очень помогает наличие запасного плана на случай наиболее вероятных негативных обстоятельств.

– Лучше затянуть выполнение проекта и добиться результата, чем уложиться в объявленные сроки, но не иметь материала для достойного отчета. В большинстве случаев целесообразно поступить именно так. Однако, если объект аудита действительно является образцом для подражания без существенных изъянов, поможет одна хитрость. Обычно отчеты посвящаются каким-либо недостаткам объекта аудита, но, если недостатки практически отсутствуют, можно сделать упор на анализе достоинств, а также рассмотреть возможность передачи опыта (лучших практик) другим предприятиям компании. В этом случае никто не скажет, что внутренний аудит бездельничал на проекте.

– Нужно сделать поправки на отсутствие необходимых сотрудников объекта аудита – при выполнении практически каждого проекта возникают ситуации, когда ключевые сотрудники объекта аудита исчезают по какой-либо причине. Поэтому стандартное время на выполнение аудиторских процедур необходимо увеличивать на предполагаемое время ожидания ключевых сотрудников. Необходимо учитывать факторы, влияющие на продолжительность отсутствия. Например, летом вероятность и продолжительность отсутствия сотрудников объекта аудита по причине отпуска увеличивается.

– Нужно сделать поправку на отсутствие необходимых сотрудников самого ПВА. Внутренние аудиторы тоже могут исчезать, например по причине болезни. Также необходимо учитывать факторы, влияющие на продолжительность отсутствия. Например, зимой и весной вероятность и продолжительность отсутствия по причине болезни увеличивается.

Интервью с руководителями ключевых бизнес-процессов

Как уже говорилось, в ряде случаев на этапе планирования проводятся встречи с руководством ключевых бизнес-процессов. Зачастую руководство ключевыми бизнес-процессами является руководством управленческой команды конкретного объекта аудита. Например, если внутренний аудитор работает в управляющей компании холдинга, то, например, финансовый директор управляющей компании является руководителем финансового директора управляемой компании. Поэтому, если объектом аудита является какой-либо процесс или процессы, владельцем которых является финансовый директор управляемой компании, стоит сначала пообщаться с финансовым директором управляющей компании.

Такие встречи могут преследовать различные цели, как минимум:

• получение общей информации по текущему статусу объекта аудита;

• выяснение ожиданий и пожеланий руководства ключевых бизнес-процессов;

• оценка общего отношения к предстоящему аудиту, поскольку отношение высшего руководства с высокой вероятностью разделяют его подчиненные;

• представление общей информации о проекте;

• ответы на вопросы.

Даже если аудитор уверен, что ценной информации он не получит, встреча с руководителем ключевого бизнес-процесса все равно должна состояться. Хотя бы из вежливости. В то же время только руководители такого уровня могут владеть полной картиной происходящего в их епархии, что позволяет получить ответы на вопросы стратегического характера.

Запрос информации на этапе планирования проекта

Как уже говорилось, в большинстве случаев процедура планирования проекта стартует с формирования запроса информации у объекта аудита, особенно если объект аудита впервые попал в план. Однако существуют ситуации, когда запрос информации приносит скорее вред, чем пользу. Речь идет о том, что по терминологии ревизоров называется внезапными проверками. В подавляющем большинстве случаев такие проверки носят карательный характер и направлены в первую очередь на выявление особо гнусных злоупотреблений. Надеюсь, вам никогда не придется участвовать в мероприятиях такого рода, поскольку они проходят более напряженно с психологической точки зрения, чем обычные проекты внутреннего аудита.

Содержание запроса полностью зависит от целей проекта. Можно выделить несколько нюансов правильного запроса.

Нюанс 1. Следуйте принципу снайпера! Вы не можете себе позволить сформировать запрос, большая часть которого не будет исполнена, так как дурной пример заразителен. Запрос должен быть лаконичным и конструктивным, требующим минимум затрат ресурсов на его исполнение. Тогда у вас будут хотя бы формальные основания требовать его исполнения.

Нюанс 2. Запрашивайте то, что существует. Другими словами, запрос должен касаться информации и данных, которые уже есть в управленческом или ином учете. Следует избегать, особенно на первых порах, запросов такой информации или данных, которые требуют дополнительной обработки (например, запрос таблицы, получаемой путем объединения двух других таблиц). Во-первых, это усложняет запрос и увеличивает шансы его саботажа. Во-вторых, повышается вероятность ошибок в предоставляемой информации или данных, так как они подвергаются дополнительной обработке.

Нюанс 3. Запрос должен быть понятным. Непонимание рождает антипатию и раздражение, что негативно сказывается на качестве исполнения запроса. Если вы не уверены, что запрос будет понятен, не ждите, что за вами будут бегать с вопросами по его содержанию. Свяжитесь с адресатом запроса самостоятельно. Так вы и факт получения запроса проконтролируете, и ответите своевременно на возникшие вопросы.

Нюанс 4. Запрос должен содержать четкие указания по его исполнению. Это подразумевает однозначные ответы на вопросы «что?», «когда?», «кому?», «куда?» и «в каком виде?». Именно по этим вопросам и можно контролировать качество исполнения запроса. Нет ответов на эти вопросы, нет оснований для контроля и предъявления претензий.

Запрос направляется руководству объекта аудита в виде официального письма, состоящего из сопроводительного письма и собственно запроса. В сопроводительном письме к запросу обычно указываются основания для начала проекта внутреннего аудита, например утвержденный план работы на период или распорядительный документ соответствующего руководства. Кроме того, в нем часто имеет смысл описать основные параметры предстоящего проекта (сроки, участники со стороны команды аудиторов, ключевые требования к объекту аудита и т. д.).

Рассмотрим пример реального запроса для того, чтобы представить логику данного документа (см. табл. 8 и 9). Пример состоит из двух разделов – запрос информации общего характера и запрос информации по процессу «Управление запасами».

_{Таблица 8. Пример запроса информации (общий раздел)}

Комментарии к табл. 8 «Пример запроса информации (общий раздел)».

Пункт 1 – перечень позволяет контролировать процесс исполнения запроса, обращаясь непосредственно к ответственным за предоставление информации сотрудникам объекта аудита. Если этого не сделать, то могут возникнуть ситуации, когда исполнение запроса хромает, а предъявить претензию кому-то конкретно нельзя.

Пункт 2 – данный пункт специфичен для этого примера. Однако если руководитель объекта действует на основании доверенности, то полезно узнать рамки его полномочий.

Пункт 3 – у российских предприятий не часто есть что сообщить по данному пункту. Основная идея заключается в том, что, если исполнение процесса оценивается с использованием формализованного способа, логично ожидать большего порядка в самом процессе. Также системы показателей могут использоваться для расчета разного рода компенсационных выплат, что указывает на наличие риска манипулирования данными показателями.

Пункт 4 – полезный пункт, позволяет лучше ориентироваться в особенностях деятельности предприятия.

Пункт 5 – данная информация позволяет получить представление о рисках, связанных с той или иной организационной структурой. Например, наличие многочисленных подразделений с непонятными названиями, наличие более трех уровней управления и множество начальников может указывать на проблемы в корпоративном управлении и на существование бюрократического болота. Кроме того, из анализа организационной структуры можно сделать вывод о наличии крупных проблем с разделением полномочий.

Пункт 6 – полезный пункт, позволяет спланировать проект более тщательно с учетом отсутствия ключевых сотрудников.

Пункт 7 – вряд ли вызывает сомнения в целесообразности.

Пункт 8 – позволяет оценить состояние бухгалтерского учета и достоверность данных бухгалтерского учета, которые являются одним из немногих гарантированных источников систематизированных данных о хозяйственной деятельности предприятия.

Пункт 9 – позволяет оценить динамику ключевых показателей деятельности предприятия, сформировать целостное представление об этой деятельности. Также из бизнес-плана можно почерпнуть информацию о потенциальных рисках, связанных как с бизнес-процессами, так и в целом с бизнес-средой и деятельностью предприятия. Все это помогает точнее спланировать проект внутреннего аудита.

Пункт 10 – в целом польза как в предыдущем пункте, но производственная программа дает больше возможностей по проведению аналитических процедур, т. к. содержит более детальную информацию.