Настольная книга по внутреннему аудиту. Риски и бизнес-процессы
Шрифт:
• неэффективность СВК – малопригоден для целей оценки. Во-первых, звучит довольно жестко, и мало какое предприятие легко согласиться с тем, что даже отдельные его процессы имеют проблемы контроля. Во-вторых, базовая цель аудита как раз и состоит в оценке как минимум адекватности СВК. Данный фактор можно использовать только в том случае, если команда внутренних аудиторов в прошлом (желательно не очень далеком) уже имела дело с конкретным процессом на конкретном объекте аудита. Если мало что изменилось с тех пор, то оценка получится достоверной и доказуемой.
Таким образом, по результатам анализа мы имеем следующее:
• три фактора пригодны
• два фактора пригодны к использованию, но на практике может возникнуть множество сложностей;
• один фактор не пригоден.
В качестве примера приведу небольшой перечень факторов риска (далеко не исчерпывающий), которые можно применять в большинстве случаев для целей составления рейтинга рискованности процессов:
• практика форсирования контрольных процедур (данная практика очень заразительна, отсутствие контроля расхолаживает, подталкивает к размышлениям о собственном благе и способах его преувеличения в свете появившихся в отсутствие контроля возможностей);
• широкое использование экспертных оценок (данная практика также заразительна, в результате люди могут перестать делать, например, элементарные расчеты);
• сложность операций, этапов и процессов с организационной точки зрения (повышается риск прогрессирующей задержки, исполнение процесса может затянуться);
• сложность операций, этапов и процессов с технологической точки зрения (возрастает цена ошибки);
• текучесть сотрудников (создает нездоровую атмосферу в коллективе, а также тормозит исполнение процесса и требует дополнительных затрат);
• децентрализованные процессы (довольно часто дают порулить тому, кто либо еще не дорос до этого, либо перерос и склонен к использованию служебного положения в личных целях);
• объем операций (большое количество транзакций увеличивает вероятность и существенность ошибки);
• мошенничество (каждый процесс обладает вмененным и приобретенным потенциалом для мошеннических схем);
• нанесение ущерба здоровью (может повлечь за собой как материальные обязательства по отношению к потерпевшей стороне, так и обязательства перед государством и обществом; взаимосвязано с рядом рисков, например технологического характера или рисками неадекватного состояния имущества);
• нанесение ущерба окружающей среде (аналогично предыдущему пункту только по отношению к окружающей среде);
• государственное регулирование (пристальное внимание государства означает визиты различных органов, участие в коррупционных схемах, риски, связанные с плохим настроением представителей власти, и т. д.);
• изменения систем и процессов (к любым изменениям необходимо привыкнуть, а это повышает вероятность ошибок);
• амбициозные цели процесса, особенно во взаимосвязи с амбициозным вознаграждением (когда что-то очень надо, а есть вероятность, что не получится, возникает непреодолимый соблазн сыграть не по правилам);
• отсутствие нормативов (когда не установлен формально верх или низ или иные рамки, работает принцип «будет так, как я хочу»);
• низкая регламентированность процесса (сопоставим с предыдущим фактором, может приводить к неоднозначным результатам – как к перекосам, так и к эффективности, однако перекосы случаются чаще);
• отсутствие управленческого учета (когда ходы не записывают, трудно разобраться в текущей ситуации и, тем более, в прошлой ситуации; под песню «нам некогда бумажками шуровать, нам работать надо» торжественно разбивались вдребезги мечты многих акционеров о светлом будущем и даче с кабанчиком).
Мы разобрали основные моменты представленного
Продвинутый метод
Упрощенный метод предполагает следующую последовательность действий: формирование перечня процессов (подпроцессов, этапов подпроцессов), затем генерирование факторов риска (при этом рассматриваются факторы единственного риска – риска недостижения цели процесса). Оценка воздействия выбранных факторов риска на степень достижения цели процессов позволяет сформировать рейтинг рискованности процессов. При использовании продвинутого метода за точку отсчета берется перечень рисков предприятия с оценкой как минимум их силы воздействия и вероятности, или, как его называют в специализированной литературе, карта рисков. Таким образом, формируется следующая цепочка действий: создание карты рисков, выбор наиболее существенных рисков, конвертирование рисков в план и программу аудита. На первый взгляд все просто, однако в условиях российской действительности появляется ряд следующих нюансов.
Во-первых, многие компании в нашей стране, услышав слова «карта рисков», ведут себя не так, как предполагали создатели этого инструмента, – одни пугаются, другие откладывают на потом, но большинство считают эту затею полной ерундой. Так или иначе, большинство компаний в России не формируют карту рисков на регулярной основе хотя бы искусства ради, не говоря уже о ее практическом применении. Однозначного объяснения этой ситуации сложно найти. Возможно, все упирается в уровень профессионального развития большинства российских управленцев, полного изъянов; возможно, все поглощены поиском источников личного обогащения; возможно, виноваты разработчики карт рисков, неспособные создать жизнеспособный и практически значимый инструмент управления. Как говорится, всего понемногу.
Во-вторых, отчасти как следствие из предыдущего нюанса, многие карты рисков, мягко говоря, вызывают сомнения в профессиональной пригодности авторов. Один из примеров мы разберем немного дальше.
В-третьих, многие карты рисков не заточены для конвертации в план или программу аудита. В таких случаях может потребоваться адаптация материала (см. разбор примера по данным табл. 5). Основные причины следующие:
• практика обобщения рисков (например, формулировка «валютный риск» без пояснений весьма многозначна);