Олег Крышкин
Настольная книга по внутреннему аудиту. Риски и бизнес-процессы

Редактор В. Ионов

Руководитель проекта И. Гусинская

Компьютерная верстка М. Поташкин

Арт-директор С. Тимонов


© Крышкин О.В., 2013

© ООО «АЛЬПИНА ПАБЛИШЕР», 2013


Все права защищены. Никакая часть электронной версии этой книги не может быть воспроизведена в какой бы то ни было форме и какими бы то ни было средствами, включая размещение в сети Интернет и в корпоративных сетях, для частного и публичного использования без письменного разрешения владельца авторских прав.


© Электронная версия книги подготовлена компанией ЛитРес (www.litres.ru)

* * *

Глава 1.
Внутренний аудит как функция системы управления

Внутренний аудит как профессия существует в России уже более 10 лет. В настоящий момент число членов российского представительства Института внутренних аудиторов превышает 2500, а число сертифицированных аудиторов по международным стандартам (Certified Internal Auditors, CIA) – 150. С появлением возможности сдачи профессионального экзамена на русском языке число сертифицированных аудиторов будет расти ускоренными темпами.

Основным препятствием для развития внутреннего аудита в нашей стране стала необходимость адаптации западного опыта к российским условиям. Несмотря на банальность данного утверждения, это объективная реальность. Я сам немало времени посвятил штудированию работ западных авторов. С одной стороны, было полезно попрактиковаться в английском языке, а с другой – выбора не оставалось. Материалов по внутреннему аудиту на русском языке было мало, и им частенько недоставало практичности. Немногим лучше ситуация и сейчас. Одна из целей данной книги – немного изменить статус-кво.

Перенос западного опыта внутреннего аудита в условия российской экономики сопровождается неоднозначными побочными эффектами. Многие особенности и методы внутреннего аудита западной школы, если так можно сказать, выглядят разумно. Однако в основе их эффективности лежат факторы, которые непросто найти в российских условиях. К ним можно отнести, например, высокий уровень развития корпоративного управления, высокую исполнительскую дисциплину, склонность к системному решению проблем. Я знаю немало аудиторов, которые испытали массу негативных эмоций, от недоуменных взглядов до остракизма, при попытке подражать западным внутренним аудиторам во всем. Отчасти именно этот путь привел к некоторой дискредитации профессии внутреннего аудитора. Не секрет, что слово «аудитор» ассоциируется у большинства с человеком, занимающимся аудитом бухгалтерской отчетности, или с ревизором. Эксперименты по адаптации западного опыта добавили к подобным ассоциациям новые, среди которых самой безобидной является «мальчики и девочки, занимающиеся всякой ерундой». Однако я уверен, что этап привыкания российской экономики к внутреннему аудиту уже пройден. Многие аудиторы значительно повысили профессиональный уровень, переварив западный опыт и заменив его наработками российского производства. Вспышки мракобесия еще случаются, но в скором времени российские управленцы научатся эффективно пользоваться функцией внутреннего аудита.

Можно с уверенностью говорить о том, что внутренний аудит приобретает статус перспективной профессии. Во многом его потенциал еще не задействован. Взять хотя бы довольно распространенную на Западе практику, когда сотрудники различных подразделений проходят стажировку в подразделении внутреннего аудита в качестве простых аудиторов. Подобных примеров в России я не встречал. В силу специфики своей работы внутренний аудитор имеет гораздо больше возможностей получить представление об основных бизнес-процессах компании. Из этого следует, что при наличии определенных навыков при прочих равных условиях внутренний аудитор является предпочтительным кандидатом на должность, требующую знания различных аспектов деятельности предприятия, например должность директора по экономике и финансам, директора проектного офиса или даже генерального директора. В нашей стране пока еще прощупывают перспективность такого варианта замещения управленческих должностей. Правильный внутренний аудит учит работать с сутью проблемы, а этого качества очень не хватает многим российским управленцам. Правильный внутренний аудит учит задумываться о построении систем, эффективном сочетании бизнес-процессов и внутренних контрольных процедур, а в России пока предпочитают менять одного нерадивого сотрудника на другого, еще не запятнавшего репутацию, и сложить ручки в ожидании чуда. Только вот чудо происходит нечасто. Огромный потенциал внутреннего аудита заключается в создании внутрикорпоративной конкуренции в области управления процессами, начиная от идей и заканчивая конкретными процедурами. Ведь именно у внутреннего аудитора есть возможность объективно разобраться в нюансах различных процессов в компании и обоснованно поспорить с владельцами этих процессов. Правильный акционер или генеральный директор извлекут из этого огромную пользу, так как у них появляется возможность получить две обоснованные позиции по интересующим их вопросам. Это дает возможность выбора и контроля.

Каждый внутренний аудитор должен стремиться стать правильным. Определим теперь, что же понимать под правильным внутренним аудитом.

Глава 2.
Фундаментальные вопросы и формирование подхода к работе

Место внутреннего аудита в управленческой иерархии предприятия

В подавляющем большинстве случаев подразделение внутреннего аудита является сервисным. Такие подразделения оказывают услуги основным производственным подразделениям[1]. Однако от компании к компании содержание и прочие особенности этих услуг могут существенно различаться. Это отличает функцию внутреннего аудита от других сервисных функций, услуги которых более однородны. В основе различий лежат три ключевых фактора:

1) линии подчинения;

2) локализация функции;

3) подход к аудиту.

Линии подчинения

Разумеется, подразделение внутреннего аудита (далее ПВА) всегда кому-то подчиняется. Однако в отличие от других подразделений линии подчинения ПВА могут выстраиваться различным образом. Можно выделить четыре наиболее распространенных варианта:

• функциональное подчинение аудиторскому комитету, административное подчинение генеральному директору;

• функциональное подчинение акционеру (акционерам) компании, административное подчинение генеральному директору;

• функциональное и административное подчинение генеральному директору;

• функциональное и административное подчинение директору по экономике и финансам.


Функциональное подчинение аудиторскому комитету, административное подчинение генеральному директору. Данный вариант принято считать классическим. Многие российские компании, особенно входящие в топ-200, используют именно его. С точки зрения компании этот вариант обеспечивает максимальную независимость ПВА. Независимость может усиливаться полномочиями аудиторского комитета не только утверждать фронт работ для ПВА, но и утверждать его бюджет и вознаграждение руководителя. В российских условиях такая схема подчинения обросла рядом неоднозначных нюансов. Во-первых, у аудиторского комитета может отсутствовать право принимать определенные решения (например, об установлении уровня компенсации для руководителя ПВА) с юридической точки зрения. Поэтому решение таких вопросов часто переходит в понятийную сферу, что нельзя назвать лучшей практикой с точки зрения правильного корпоративного управления. Во-вторых, в ряде российских компаний генеральный директор является фигурой звездной и подминает под себя часть функций аудиторского комитета. Есть компании, в которых генеральным директорам вообще безразличны потуги аудиторского комитета, так как они находятся в близких отношениях с ключевыми акционерами. В-третьих, нередко генеральные директора по неизвестным причинам забывают о том, что они всего лишь наемные работники, и начинают примерять манеры собственника компании. И частенько им позволяют это делать. В-четвертых, квалификация многих аудиторских комитетов не позволяет генерировать вразумительные директивы для ПВА. Одни просто не разбираются во внутреннем аудите, другие не разбираются в бизнесе компании, третьи делают только то, что умеют (например, штудируют отчетность компании и задают каверзные вопросы), а четвертые являются просто пассажирами и стремятся растянуть свое пребывание в почетном статусе насколько это возможно (идти на конфликт при такой установке чревато).

Функциональное подчинение акционеру (акционерам) компании, административное подчинение генеральному директору. Это, пожалуй, наиболее позитивная схема для полноценного функционирования ПВА в российских условиях, особенно если акционер стремится заработать деньги относительно честными способами. Такая схема встречается нечасто. В целом она более свойственна компаниям среднего размера, однако я знаю примеры, когда ее использовали довольно крупные компании (выручка несколько миллиардов долларов).

Акционер кровно заинтересован в сохранении и приумножении своего капитала. Для реализации функций внутреннего аудита такой настрой наиболее благодатен. Прямая коммуникация устраняет «трудности перевода». Акционер обеспечивает максимальную административную поддержку. Однако оборотной стороной этих преимуществ являются повышенные требования к профессиональной компетенции ПВА. Наличие прямого доступа к акционеру может вызвать букет негативных эмоций со стороны руководителей других подразделений. Одним из побочных эффектов статуса приближенного является рост цены ошибки. Попросту говоря, если ПВА совершит более-менее существенную ошибку (например, поспешит с выводами по результатам аудиторского проекта), многие захотят погреть на ней руки. Как будут развиваться события, зависит от множества факторов. Именно поэтому руководитель ПВА должен объективно оценивать свои способности и способности своей команды, ибо, как говорится, кому многое дано, с того много и спросится.

Функциональное и административное подчинение генеральному директору. Данная схема более широко распространена, чем предыдущая, и с точки зрения возможностей для ПВА не сильно отличается от нее. К тому же нередко в российских компаниях мажоритарные акционеры являются одновременно и генеральными директорами.

Функциональное и административное подчинение директору по экономике и финансам. Несмотря на некоторую специфичность, данная схема используется многими компаниями, по большей части крупными. Отчасти именно размеры подталкивают к такой схеме подчинения. Ну и, конечно, не стоит забывать про мнение акционеров и генеральных директоров. С моей точки зрения, у этой схемы мало позитива и много неудобств. Во-первых, практически однозначно ПВА будет иметь дело с ограниченным кругом вопросов. И, прежде всего, этот круг вопросов будет определяться задачами, стоящими перед дирекцией по экономике и финансам. Во-вторых, если начинающим аудиторам интересно работать в таком ПВА, то более продвинутым аудиторам будет уже скучновато. В-третьих, в зависимости от веса руководителя дирекции по экономики и финансам внутри компании ПВА может получить возможность расширить свое поле деятельности. Однако данное обстоятельство весьма субъективно и должно восприниматься больше как бонус, чем гарантия.

Отдельно хотелось бы остановиться на таком важном факторе успеха ПВА, как административный ресурс. Линии подчинения указывают на формальное наличие административного ресурса той или иной степени серьезности. Очень хорошо, когда формальный административный ресурс является фактическим. На практике такое случается не всегда (например, подчинение генеральному директору еще не означает, что он будет безоглядно поддерживать вас во всем или в чем-то). Следует заметить, что характер административного ресурса, которым может воспользоваться ПВА, не менее чем на 50 % определяет успешность работы ПВА. Это особенно актуально для российских компаний, многие из которых пока не особо преуспели в создании эффективных систем управления, мало зависящих от действий отдельных людей. Потенциально наибольший административный ресурс предлагает второй вариант, за ним следует третий, затем первый и, наконец, четвертый. Каждый аудитор должен помнить о важности административного ресурса и выбирать будущего работодателя с учетом этого фактора.

Локализация функции

На первый взгляд значимость локализации функции внутреннего аудита не очевидна. Однако в ряде случаев данный фактор может существенно влиять на деятельность ПВА. С точки зрения локализации выделяются два основных варианта:

• централизованная функция внутреннего аудита;

• децентрализованная функция внутреннего аудита.


Централизованная функция внутреннего аудита. В группе компаний функция аудита физически базируется только в одной из них. Во многих случаях в подобных группах одна из компаний является управляющей, а другие – управляемыми. Последние могут быть как самостоятельными юридическими лицами (управляющая компания владеет управляемой компанией полностью или частично), так и просто обособленными подразделениями управляющей компании (например, филиалами). Ключевой особенностью данного вида локализации является то, что сотрудники ПВА бывают в управляемых компаниях лишь периодически. Периодичность зависит от:

• ресурсов ПВА (чем больше сотрудников, тем больше объектов аудита может охватить ПВА и тем чаще посещаются эти объекты);

• аудиторского цикла (отчасти он зависит от ресурсов ПВА, однако может устанавливаться произвольно, например посещение объекта аудита не реже одного раза в три года);

• установок руководства ПВА и руководства группы компаний (установки могут либо ускорить очередной визит ПВА на объект аудита, либо отложить такой визит на определенное время или вообще навсегда).


Стоит сказать пару слов про влияние установок. Типичными являются две установки: специальное задание и специальное ограничение. Специальные задания могут быть как плановыми, так и спонтанными. Специальные задания обычно нельзя назвать плановыми по той причине, что при формировании плана ПВА на предстоящий год на специальные задания выделяется ресурс времени, но не указывается тематика заданий. Тематика и цель обычно уточняются в течение года при возникновении необходимости (например, участие в точечном расследовании предполагаемого мошенничества при осуществлении конкретных закупок). Специальное ограничение может быть перманентным (навсегда или на продолжительный период) или временным, а также в целом иметь нейтральный (не влияет на возможности) или негативный (устраняет возможности) характер. Некоторые из типичных примеров:

• перманентное негативное ограничение – запрет на проведение каких-либо проектов ПВА на потенциальном объекте аудита;

• временное нейтральное ограничение – перенос проекта ПВА на более позднее время по просьбе руководства объекта аудита;

• перманентное нейтральное ограничение – руководство группы компаний просит сосредоточиться на наиболее крупных компаниях и отказаться от проведения проектов ПВА в более мелких компаниях до определенного момента в будущем.


Типичным примером централизованной функции внутреннего аудита является ПВА в составе управляющей компании холдинга без создания подчиненных ПВА на местах (в управляемых компаниях).

Децентрализованная функция внутреннего аудита. В группе компаний функция аудита физически базируется в двух и более компаниях. В данном случае ПВА имеет возможность постоянно влиять на деятельность управляемых компаний или просто компаний присутствия. Ключевой особенностью данного вида локализации является более высокая уязвимость независимости функции внутреннего аудита по сравнению с централизованным вариантом локализации. Это связано со следующими факторами:

• удаленностью локального ПВА – отсутствует возможность постоянного мониторинга действий сотрудников локального ПВА, о многих событиях, потенциально угрожающих независимости, можно узнать только постфактум;

• ограничением административного влияния на локальное ПВА – у руководства многих ПВА довольно часто отсутствуют формальные и регламентированные рычаги административного управления подшефными ПВА на местах. Например, оно может не иметь права определять уровень вознаграждения сотрудников локальных ПВА, оно может не иметь права принимать или увольнять сотрудников локальных ПВА, оно может не иметь права определять тематику работы локальных ПВА;

• корпоративным подходом к управлению управляемыми компаниями – в силу определенных причин управляющие компании могут ограниченно влиять на деятельность управляемых компаний. Это относится и к ПВА даже при наличии необходимых формальных и регламентированных процедур.


Несмотря на указанные недостатки, децентрализованная функция внутреннего аудита имеет одно существенное преимущество – потенциал увеличения объема и качества работ, а также потенциал увеличения процента выполнения и эффективности выполнения мероприятий, разрабатываемых по результатам проектов внутреннего аудита. Это связано с тем, что, находясь непосредственно на предприятии, сотрудники локального ПВА имеют возможность более глубоко вникнуть в специфику его работы. Также постоянное присутствие аудиторов создает определенное давление на сотрудников управляемой компании, что, при правильном приложении силы, может благотворно сказаться на выполнении планов мероприятий. Для управляемых компаний с низкой исполнительской дисциплиной наличие аудитора за спиной играет решающую роль в исполнении плана мероприятий. Кроме того, сотрудники локальных ПВА всегда могут оказать помощь на месте и непосредственно в момент возникновения проблем.

Подход к аудиту

Под термином «подход» к аудиту понимается проведение проектов внутреннего аудита по определенной тематике и с использованием определенной методологии. Разумеется, базовая методология внутреннего аудита довольно универсальна – необходимо составлять рабочие документы, необходимо формировать доказательную базу, необходимо использовать выборочное тестирование и т. д. Однако тематика проекта предполагает использование методологических приемов, специфичных только для конкретных задач того или иного проекта. В целом можно выделить пять ключевых подходов к аудиту, а именно:

• операционный;

• бухгалтерский;

• комплаенс;

• ревизионный;

• риск-ориентированный.


Операционный подход к аудиту. В первую очередь при использовании данного подхода анализируется структура и содержание бизнес-процессов, а также их систем контроля. Основная задача заключается в выявлении факторов, препятствующих достижению целей бизнес-процессов. В большинстве случаев перед анализом бизнес-процесса и его системы внутреннего контроля необходимо задокументировать данный процесс, т. е. составить графическое и словесное описание. Также широко применяется тестирование адекватности и эффективности внутренних контрольных процедур бизнес-процессов, имеющее специфичную методологию. Операционный подход к аудиту позволяет получить максимум информации о нюансах работы любого предприятия. Это имеет колоссальное значение для понимания деятельности предприятия и формирования подхода к эффективному управлению. К сожалению, большинство российских управленцев не обладают достаточной информацией и не представляют деятельность предприятия как систему взаимодействующих бизнес-процессов.

Бухгалтерский подход к аудиту. Типичным примером данного подхода является деятельность внешних аудиторов. Как известно, их основной задачей является аудит финансовой отчетности для подтверждения ее достоверности. Внешние аудиторы не документируют бизнес-процессы, не оценивают адекватность и эффективность внутренних контрольных процедур. Поле их деятельности весьма ограниченно. Многие внутренние аудиторы были в прошлом внешними аудиторами, однако нередко данное обстоятельство является скорее недостатком, а не достоинством. Многие внутренние аудиторы после ухода из сферы внешнего аудита продолжают использовать тот же подход в работе. Это приводит к тому, что ряд ПВА во многом дублируют работу внешних аудиторов, занимаясь аудитом достоверности финансовой отчетности и оценкой правильности расчета налоговых отчислений. На мой взгляд, эти задачи по силам самой дирекции по экономике и финансам. Все, что нужно, – это создать методологический отдел по бухгалтерскому и налоговому учету, а также проводить регулярное обучение сотрудников по данной тематике. Услугами внешних аудиторов необходимо пользоваться для оценки, в том числе, эффективности деятельности методологического отдела и эффективности программ обучения.

Комплаенс-подход к аудиту. Суть данного подхода заключается в оценке полноты и правильности соблюдения разного рода внешних и внутренних правил. Внешние правила определяются законами, постановлениями, приказами, предписаниями и прочими в основном письменными директивами государственных и негосударственных регулирующих органов. Внутренние – корпоративными и локальными регламентами и стандартами, внутренней организационно-распорядительной документацией (приказы, распоряжения и прочее). Условно комплаенс-подход можно разделить на поверхностный и углубленный. При поверхностном подходе фиксируется только факт нарушения без оценки его последствий. Рекомендации по исправлению нарушения довольно прямолинейны, так как в основном рекомендуется соблюдать нарушенные правила. При углубленном подходе могут оцениваться последствия нарушения, а также предлагаться варианты исправления ситуации, включающие внесение изменений в сами правила (например, в случае их устаревания). Однако использование углубленного подхода требует довольно высокой квалификации команды внутренних аудиторов, наличия интегрированных знаний. По этой причине чаще встречается поверхностный подход, что в большинстве случаев создает минимальную добавленную стоимость для компании. Исключением являются две ситуации, когда нарушение грозит очевидными серьезными последствиями, например отсутствие лицензии, влекущее приостановку деятельности (внешние правила), и когда регламенты и стандарты компании оптимальны (внутренние правила). Однако в отношении первой ситуации все равно необходима оценка последствий, а это под силу не каждому комплаенс-аудитору и не в каждом случае. Что касается второй ситуации, то есть один нюанс. Большинство регламентов подобны автомобилям – как новый автомобиль теряет определенную стоимость сразу после схода с конвейера (и теряет ее на протяжении всей своей жизни), так и новый регламент теряет часть своей актуальности сразу после выпуска (и продолжает терять ее в дальнейшем). Этот процесс ускоряется, если компания находится в стадии активных перемен и/или развития. Таким образом, возвращаясь к оценке полезности поверхностного подхода, можно сделать следующий вывод: полезность является во многом случайной величиной, поэтому здесь нужно брать количеством проанализированного материала. Многое зависит от позитивного внимания менеджмента к работе команды внутренних аудиторов (необходимость в дополнительной оценке полезности, просеивании информации). Если менеджмент будет штудировать результаты работы команды внутренних аудиторов, то он найдет полезное для себя. В этой ситуации для команды внутренних аудиторов на первое место выходит способность обеспечить достаточно большой охват анализируемого материала и доступность результатов своей работы для восприятия и понимания.

Ревизионный подход к аудиту. При данном подходе в чистом виде основная работа ПВА состоит в оценке системы обеспечения сохранности имущества компании. При использовании данного подхода ПВА направляет много ресурсов, попросту говоря, на работу с риском мошенничества. В силу ограниченности перечня анализируемых вопросов ревизионная деятельность нередко приводит к типовым однотипным проверкам. Особенно ярко данная тенденция прослеживается, например, в розничной торговле. В некоторых случаях ревизионная деятельность может требовать специальных знаний (техпроцессы, технология и т. д.), однако даже такая серьезная подготовка направлена на выявление только случаев злоупотребления и халатности. Обычно ревизоры не рассматривают проблему в комплексе. От этого их рекомендации или даже требования по исправлению негативной ситуации зачастую имеют карательный характер – наказать, оштрафовать, объявить выговор и т. п. В отличие от правильного внутреннего аудитора, который при обнаружении проблемы старается создать систему предотвращения ее повтора, ревизор при обнаружении проблемы старается вызвать перманентное ощущение неотвратимости наказания. Однако нельзя сказать, что тактика ревизионной деятельности в корне неправильна. Просто основной слабостью данного подхода является отсутствие системного анализа и признания того, что причинно-следственные связи могут оказаться сложнее, чем кажется.

Риск-ориентированный подход к аудиту. Ключевым ограничением предыдущих четырех подходов является их тематическая и методологическая предопределенность. С одной стороны, это хорошо, так как узкоспециализированный подход позволяет повысить качество и увеличить объем выполняемой работы на единицу используемых ресурсов. С другой стороны, все эти подходы страдают ограничениями и не позволяют выполнять более приоритетные задачи, если они не попадают в поле экспертизы. Простой пример – с точки зрения бухгалтерского и даже налогового учета приобретение имущества по завышенной цене (при условии правильного и полного составления всех первичных документов и правильного и полного отражения операций в учете) не идентифицируется как проблема. При использовании риск-ориентированного подхода данная проблема с высокой вероятностью попадет в поле зрения команды внутренних аудиторов, так как, во-первых, изначально риск возникновения подобных ситуаций довольно высок, во-вторых, в большинстве случаев такие ситуации являются следствием пробелов в системе внутреннего контроля. Таким образом, риск-ориентированный подход позволяет избавиться от большинства ограничений других подходов и нацелен на выявление наиболее приоритетной тематики работы ПВА. При его использовании вся деятельность предприятия рассматривается с точки зрения рисков и возможностей. Как только риск обретает определенные параметры (в результате сочетания риск-образующих факторов), ключевым из которых является способность препятствовать достижению целей предприятия, он включается в тематику работы ПВА. К сожалению, риск-ориентированный подход не лишен собственных ограничений. Наиболее серьезным из них являются повышенные требования к составу и квалификации сотрудников ПВА, так как наиболее существенные риски могут быть связаны с разными аспектами деятельности предприятия и касаться разных бизнес-процессов. Хорошая новость заключается в том, что правильное использование методологии анализа и оценки бизнес-процессов и систем внутреннего контроля способно существенно нивелировать ключевое ограничение риск-ориентированного подхода. Более подробно нюансы риск-ориентированного подхода к аудиту представлены в следующей главе.

Мы рассмотрели влияние трех ключевых факторов – линий подчинения, локализации функции и подхода к аудиту – на место внутреннего аудита в управленческой иерархии предприятия. Вариации сочетаний данных факторов могут открывать перед командой внутренних аудиторов различные возможности по влиянию на процветание своей компании. Например, чем существеннее административная поддержка, чем более разветвленной является организационная структура ПВА и чем разнообразнее тематика работы, тем больше возможности ПВА по позитивному воздействию на реализацию целей компании. Однако расширение таких возможностей не может длительное время происходить в отрыве от качественных характеристик команды внутренних аудиторов. Здесь возможны два основных сценария развития событий. В первом случае ПВА изначально получает все требуемые ресурсы и карт-бланш от руководства. Однако этим еще нужно уметь воспользоваться. Попросту говоря, если ПВА не продемонстрирует адекватных результатов работы, его ресурсы и возможности могут быть существенно урезаны. Вернуть их будет непросто. Во втором случае ПВА сначала доказывает свою состоятельность и только потом получает доступ к ресурсам и поддержку руководства. Однако процесс расширения ПВА и расширения его сферы деятельности может протекать непросто и болезненно. Более детально эта ситуация рассмотрена в главе 5. В обоих сценариях есть свои плюсы и минусы. Тем не менее, если команда внутренних аудиторов высокопрофессиональна, для нее предпочтительнее первый сценарий – аудиторы, имеющие высокую квалификацию, должны найти способ достойно воспользоваться предоставленными возможностями.

Регламентация деятельности функции внутреннего аудита

Деятельность функции внутреннего аудита должна определенным образом регламентироваться[2]. Следует заметить, что слово «регламент» многие понимают как письменный свод неких правил и установок, регулирующих деятельность. Однако это заблуждение, ибо лексическое значение данного слова не уточняет способ представления.

Сложно представить успешное ПВА, большая часть процессов которого осуществлялась бы произвольно[3]. В практике чаще всего встречаются три вида регламентов:

• устав (положение о) подразделения внутреннего аудита;

• регламент взаимодействия с другими подразделениями;

• руководство по осуществлению проектов внутреннего аудита.


Устав (положение о) подразделения внутреннего аудита. Устав, по определению, представляет собой основополагающий документ для функции внутреннего аудита. Согласно Международным профессиональным стандартам внутреннего аудита положение о подразделении внутреннего аудита «…является внутренним документом, определяющим цели, полномочия и обязанности подразделения внутреннего аудита. В положении о внутреннем аудите определяются статус внутреннего аудита в организации, включая характер функциональной подотчетности руководителя внутреннего аудита совету; объем и содержание деятельности внутреннего аудита, закрепляется право доступа к документации, сотрудникам и материальным активам при выполнении соответствующих заданий». Мне всегда нравилась основная идея данного документа – снять раз и навсегда глобальные вопросы в отношении функции внутреннего аудита в компании (что должна делать, на что имеет право). Однако в российской реальности применение подобного положения имеет особенности. Во-первых, применять его в полной мере можно только в пределах того юридического лица, в котором оно было принято. Формально, если объект аудита не является с юридической точки зрения частью упомянутого юридического лица, то и следовать установкам положения о подразделении внутреннего аудита он не обязан. Во-вторых, положение во многих случаях содержит довольно общие формулировки, которые легко могут быть интерпретированы по-разному. В-третьих, подобные положения часто имеют ограниченную юридическую силу или не имеют ее вовсе, что затрудняет их использование. В основном это обусловлено несоблюдением норм российского законодательства, регулирующих деятельность акционерных обществ и обществ с ограниченной ответственностью. Например, в положении указывается, что ПВА подчиняется аудиторскому комитету. Однако такой комитет еще не создан, так как совет директоров либо еще не рассмотрел данный вопрос, либо не обладает полномочиями создавать подобные комитеты, либо не уполномочен утверждать никакие внутренние регламентирующие документы компании. Также не стоит забывать, что сам аудиторский комитет является в определенном смысле аморфной структурой – с точки зрения российского законодательства такой структуры вообще не существует, и, даже если такой комитет создается, он не имеет права самостоятельно принимать никаких решений, а должен транслировать информацию и свои оценки совету директоров. Это снижает эффективность работы аудиторских комитетов хотя бы потому, что окончательное мнение всегда за советом директоров.

Регламент взаимодействия с другими подразделениями. В данном регламенте можно прописать различные нюансы действий объекта аудита в ответ на действия ПВА. Например, можно определить следующие моменты:

• обязанности объекта аудита по обеспечению команды внутренних аудиторов рабочими местами установленного формата;

• обязанности объекта аудита по предоставлению информации в ответ на запрос ПВА в течение установленного времени;

• обязанность ПВА направлять запрос в соответствие с прописанной процедурой;

• обязанность ПВА предоставлять результаты проектов внутреннего аудита на рассмотрение руководства объектов аудита до их передачи другим адресатам;

• обязанность объекта аудита формировать план исправительных мероприятий по завершении проекта внутреннего аудита и согласовывать его с ПВА;

• обязанность объекта аудита обеспечить присутствие сотрудников, присутствие которых считается обязательным, по мнению ПВА.


В целом основной целью такого регламента является регулирование ключевых точечных организационных моментов, связанных с осуществлением основной функции внутреннего аудита. Разумеется, в условиях российской реальности наличие регламента не гарантирует его исполнения. Однако в одних случаях регламент может служить просто памяткой для сотрудников объекта аудита, а в других – действенным механизмом повышения эффективности работы ПВА (при условии, что регламент утвержден отдельным организационно-распорядительным документом, подписанным как минимум руководителем организации).

Руководство по осуществлению проектов внутреннего аудита (audit manual). В отличие от предыдущих двух документов данное руководство является исключительно внутренним регламентом. Основная его цель – регламентировать порядок осуществления подпроцессов и процедур в рамках процесса внутреннего аудита, а также во многих случаях методологию их осуществления. Другими словами, данный документ описывает, что и как делать до, во время и после выполнения проекта внутреннего аудита. Он формируется на усмотрение руководителя ПВА. Руководство частично решает задачу профессионального инструктажа, а также способствует унификации деятельности ПВА. Для относительно небольших по численности ПВА, в состав которых входят внутренние аудиторы высокой квалификации, составление руководства не имеет особого смысла. Однако крупным аудиторским подразделениям, особенно где высока текучесть кадров и работают аудиторы с разными уровнями подготовки, руководство может быть очень полезно. Разумеется, все зависит от качества подготовки документа. На подготовку более-менее вменяемого руководства для крупного правильного аудиторского подразделения (практикующего риск-ориентированный подход к аудиту) с нуля требуется не менее шести месяцев работы одного хорошего методолога.

Глава 3.
Принципы контроля

В своем исходном варианте деятельность внутренних аудиторов во многом направлена на совершенствование системы внутреннего контроля. Такая специализация требует существенных знаний в тех областях, которые напрямую связаны с системой внутреннего контроля, включая технические и даже психологические аспекты. В данной главе детально разобраны ключевые цели контроля, а также ряд принципов контроля, знание которых может существенно улучшить результаты работы внутреннего аудитора.

С фундаментальной точки зрения в основе системы внутреннего контроля предприятия лежит выбор оптимальной пропорции между контролем и риском (см. рис. 1). Оптимум практически всегда индивидуален. Выбор оптимальной пропорции часто осуществляется неосознанно. Одна из ключевых задач внутреннего аудитора – сделать процесс выбора осознанным.


Рис. 1. Корреляция контроля и риска


Необходимость выбора вытекает из того, что в любой момент времени предприятие не может одновременно максимизировать и контроль, и рост. Оно либо фокусируется на росте и подвергает свою деятельность большему количеству разных по существенности рисков, либо концентрируется на контроле деятельности, жертвуя возможностями. Условно говоря, предприятие, ориентированное на рост, движется больше по экстенсивному пути развития – завоевывает новые рынки, увеличивает штат сотрудников, наращивает производственные мощности и т. д. Предприятие, сконцентрированное на контроле, в большей степени тяготеет к интенсивному пути развития – пытается максимизировать имеющийся потенциал процессов, проводя при этом более консервативную политику в области управления рисками.

На рис. 1 представлена общая логика перехода от стратегии роста к стратегии контроля и наоборот. Такая логика обусловлена в первую очередь тем, что ресурсы, имеющиеся в распоряжении любого предприятия, всегда ограниченны. Например, можно не испытывать дефицита денежных средств, но все равно не иметь возможности сочетать обе стратегии, роста и контроля, по максимуму, так как контроль требует дополнительных затрат времени, а в условиях стратегии роста любое промедление может означать проигрыш. При движении в сторону стратегии абсолютного роста уровень риска растет (от Y2 к Y1), при этом расходы на контроль падают (от X2 к X1). При движении в сторону стратегии абсолютного контроля происходит обратное. Понятие «расходы» используется в широком смысле (денежные средства, время, оборудование, энтузиазм и т. д.).

Каждое предприятие в разные периоды своего развития тяготеет к одной из двух ключевых стратегий. Внутренние аудиторы по определению являются адептами стратегии контроля. Однако правильный внутренний аудитор должен стимулировать своими действиями выбор руководством оптимального сочетания риска и контроля, оптимального сочетания двух ключевых стратегий.

Ключевые цели контроля

Можно выделить шесть ключевых, унифицированных целей контроля:

1) обоснованность;

2) правильность;

3) полнота;

4) своевременность;

5) соответствие;

6) сохранность.


Обоснованность. При прочих равных условиях данная цель контроля является, пожалуй, наиболее важной с точки зрения последствий, которые возникают в результате ее недостижения. Во многих случаях, чтобы обеспечить достижение данной цели, необходимо ответить на вопрос «почему?». По сути, контроль обоснованности заключается в оценке того, насколько объект контроля соотносится с взаимодействующими с ним объектами и/или явлениями, событиями сообразно определенным правилам. Обоснованность обеспечивает наличие истинной причинно-следственной связи. Контролировать обоснованность – значит следить за тем, чтобы события развивались в соответствии именно с истинной причинно-следственной связью. Контроль обоснованности часто осложняется потребностью в специальных знаниях. В среде российских управленцев популярен такой механизм контроля обоснованности, как экспертное мнение, даже тогда, когда достаточно выполнить несложные расчеты. Последствия такого выбора – сотни миллиардов рублей, неэффективно потраченных и порой откровенно сворованных.

Правильность. Основной вопрос, на который нужно ответить для достижения данной цели контроля, – это «как?». Если для оценки обоснованности необходимо оценить соотношения, то для оценки правильности требуется сравнение с эталоном. Чаще всего контролируют правильность цифр. Обоснованность часто ситуативна, т. е. сейчас это обоснованно, а завтра нет. Правильность более универсальна, так как часто подчиняется общим правилам.

Полнота. Эта цель контроля при прочих равных условиях является, пожалуй, наиболее редкой. Чтобы оценить полноту, необходимо ответить на вопрос «есть ли что-то еще?». Контроль полноты может осложняться отсутствием точного представления о конечном значении. Контроль полноты относится исключительно к количественным характеристикам.

Своевременность. Основной вопрос, на который нужно ответить для достижения данной цели контроля, – это «когда?». Чтобы обеспечить своевременность, необходимо создать условия для того, чтобы конкретное событие произошло в конкретный момент. По этой причине понятие своевременности всегда связано либо с действием, либо с бездействием. Контроль своевременности – это прямой контроль порядка использования такого ключевого ресурса, как время.

Соответствие. Это довольно специфичная цель контроля. Отчасти она напоминает контроль правильности, однако при контроле соответствия в первую очередь обращают внимание на форму, а не на содержание. Соответствие часто означает именно внешнее, формальное соответствие. Оценить соответствие – значит ответить на вопрос «насколько?» или «в какой степени?».

Сохранность. Это также специфичная цель контроля. Контроль сохранности в первую очередь направлен на обеспечение физической целостности и сохранение исходных физических свойств объекта контроля. По этой причине в большинстве случаев контроль сохранности связан с понятиями, характеризующими движимое и недвижимое материальное имущество. Часто, чтобы оценить контроль сохранности, нужно ответить на вопрос «как?».

Может показаться, что шести базовых целей контроля маловато, особенно с учетом того, что они формируют практически исчерпывающий перечень целей контроля для любого процесса и любой системы. Однако не стоит забывать, что шесть целей контроля образуют 120 сочетаний. Это особенно важно в связи с тем, что на практике очень часто цели контроля присутствуют в различных сочетаниях. Например, при формировании параметров бюджета необходимо обеспечить как обоснованность параметров, так и их правильный расчет и подготовку к определенному моменту. Таким образом, в данном примере мы имеем сочетание трех целей контроля, а это приводит к созданию определенного дизайна сочетания контрольных процедур, который отличается от дизайна каждой контрольной процедуры в отдельности. Кроме того, не стоит забывать, что структура и содержание контроля очень сильно зависят от структуры и содержания объектов контроля, например процессов. А ведь даже одинаковые процессы могут сильно отличаться друг от друга в зависимости от различных факторов, например таких элементарных, как владельцы процессов.

Также хотелось бы обратить внимание на еще пару нюансов. Первый касается понятия «достоверность». Ряд аудиторов считают, что достоверность – это отдельная цель контроля. Однако она, по сути, всего лишь сочетание нескольких целей контроля – обоснованности, правильности, полноты и в меньшей степени своевременности.

Второй нюанс касается понятия «авторизация». В соответствии с определением, данным в Википедии, «авториза́ция (от англ. authorization – разрешение, уполномочивание) – предоставление определенному лицу или группе лиц прав на выполнение определенных действий; а также процесс проверки (подтверждения) данных прав при попытке выполнения этих действий». Классическим примером авторизации является подпись сотрудника на документе, согласующего осуществление определенных действий определенным лицом в будущем. В последнее время понятие авторизации все чаще ассоциируется с компьютерными программами, но суть от этого не меняется и заключается в том, что авторизация не является контролем, а в идеале представляет собой только свидетельство проведения определенного контроля. Однако нередко люди, осуществляющие авторизацию, не совсем представляют себе, какие именно контрольные действия они должны осуществить, а само построение процесса оставляет это им на откуп. По этой причине необходимо расшифровывать и уточнять, проведение каких контрольных действий и в каком объеме означает авторизацию.

Принцип пирамиды приоритетов

Данный принцип основывается на постулатах теории ограничений (Theory of Constraints). Одним из фундаментальных понятий теории ограничений является понятие так называемого бутылочного горлышка (bottleneck) или, другими словами, узкого места в процессе, мешающего достижению цели процесса. По аналогии в большинстве случаев набор контрольных процедур любого процесса может быть выстроен в пирамиду контрольных процедур, расставленных на основе их приоритета. Приоритет определяется способностью контрольной процедуры влиять на достижение целей процесса. Можно утверждать, что в каждом процессе существует одна-две ключевые контрольные процедуры, в отсутствие которых любые усилия по контролю процесса будут напрасны. Возьмем, например, процесс «Закупки». Он начинается с процедур формирования обоснованной потребности в закупках. Отсутствие или неэффективность контроля обоснованности на данном этапе ведет к формированию необоснованной потребности и ряду негативных последствий, таких как затоваривание складов (покупают больше, чем нужно, и не то, что нужно), воровство (если заказано больше, чем нужно, то можно часть заказанного получить только на бумаге), неэффективное расходование ресурсов (если заказали больше, чем нужно, то можно особо не экономить). Эти последствия можно отчасти нивелировать, например проводить более регулярные и масштабные инвентаризации с целью выявления невостребованных остатков ТМЦ и организации их реализации. Однако такие меры не имеют профилактического характера, влекут за собой дополнительные расходы и сами по себе обладают лишь определенной степенью надежности.

Основной вывод, который следует из данного принципа, заключается в том, что правильный аудитор должен всегда фокусировать свою деятельность на оценке контрольных процедур в порядке убывания их приоритетности. До тех пор пока не будут налажены ключевые контрольные процедуры процесса, процесс всегда будет работать с пониженным КПД, независимо от состояния менее приоритетных контрольных процедур. Конечно, в практике внутреннего аудита возникают ситуации, когда внутренние аудиторы не могут особо повлиять на структуру и содержание ключевых контрольных процедур (например, владельцы процесса на особом положении у владельца компании). В этом случае им необходимо способствовать созданию максимально действенных компенсирующих контрольных процедур, а также воспользоваться принципом охотника (см. далее). Однако в подавляющем большинстве случаев система компенсирующих контрольных процедур имеет ограниченный эффект и обычно связана с дополнительными затратами.

Принцип адаптивности системы контроля

Правильная система внутреннего контроля должна подстраиваться как к изменениям целей процессов, так и к изменениям их структуры и содержания. С течением времени значимость одних контрольных процедур может падать, а других – повышаться. Факты изменения процессов и/или их целей должны привлекать внимание аудитора. В таких случаях высока вероятность обнаружения расхождения между темпами изменения процесса и темпами изменения системы внутреннего контроля данного процесса.

Принцип охотника

В большинстве случаев охотник физически не в состоянии играть по правилам добычи, так как большинство животных превосходят его по тем или иным физическим параметрам. По этой причине охотник не идет, что называется, в лобовую атаку, а создает условия, когда его шансы и шансы жертвы будут хотя бы приблизительно равны. Другими словами, он создает условия для победы.

Именно таким образом и должен действовать аудитор, когда при попытке внести изменения в систему внутреннего контроля процесса обстоятельства складываются явно не в его пользу. Например, внедрению контрольных процедур могут препятствовать отдельные сотрудники предприятия, обладающие большим влиянием. Бывает, что этому сопротивляется большинство сотрудников, например по причине низкой исполнительской дисциплины. В таких ситуациях планы мероприятий по улучшению внутренних контрольных процедур процессов могут игнорироваться в течение продолжительного времени либо выполняться формально. В этом случае следует действовать подобно охотнику, загоняющему дичь, т. е. ограничивать пути отступления. Необходимо последовательно ограничивать поле бесконтрольной деятельности за счет дозированных изменений как контрольных процедур, так и факторов, способствующих повышению их эффективности. Например, по процессу «Закупки», в случае отсутствия на предприятии процедуры проведения тендеров, можно ввести такую процедуру сначала только для крупных сделок, затем, как вариант, централизовать приобретение крупных позиций в управляющей компании и т. д. Если план по созданию выборочных контрольных процедур не срабатывает, можно зайти с другой стороны и приступить к наращиванию статистической базы доказанных последствий отсутствия процедуры тендеров. Основная цель такой базы – накопить критическую массу примеров, которые поднимут важность изменений на требуемый уровень. При этом полезно увеличивать за счет коммуникаций круг сторонников предлагаемых аудитором изменений и искать подходящий момент для того, чтобы снова инициировать отвергнутую поначалу волну изменений.

Аудитор должен помнить о том, что у каждого объекта аудита свой уровень восприимчивости изменений. Грубо говоря, в объект аудита невозможно втолкнуть больше изменений, чем он может переварить. В связи с этим соблюдение принципа охотника особенно важно. Во многом на уровень восприимчивости оказывают влияние качественные характеристики руководства объектов аудита.

Принцип от обратного, или Принцип пряника

Во многих ситуациях целесообразнее и проще стимулировать желательное поведение, чем пытаться искоренить нежелательное. Особенно это касается процессов, возможность эффективного контроля которых ограничена существенными и объективными факторами. Классическим примером является процесс производства. В большинстве случаев контроль процесса производства требует специфических знаний и навыков, которыми обладает не только не каждый аудитор, но и не каждый производственник. Например, можно бороться с завышенным расходом материалов, проводя внезапные инвентаризации, осуществляя сложные расчеты фактического использования материалов и/или нормативов расхода материалов, ограничивая выдачу материалов. При этом можно по каждому факту завышения устанавливать виновного и налагать взыскания. В то же время можно ввести доплату (премию) за экономию материалов (например, по сравнению с прошлыми периодами в пересчете на единицу продукции) при сохранении требуемого качества. Таким образом, получается, что в одном случае цель контроля достигается за счет наказания за неприемлемые действия, а в другом – за счет поощрения желаемых действий. В обоих случаях контроль объема используемых материалов требует дополнительных расходов, однако отдача от них практически всегда неодинакова. Часто преимущество одного способа перед другим можно выяснить только на практике.

Принцип пряника также полезно применять с целью смягчения сопротивления изменениям в целом. В российской управленческой практике карательный подход к насаждению желательного поведения почему-то более популярен. При этом забывают, что принуждение рождает ответную реакцию в виде агрессии (нацеленность на продолжение нарушений, но более изощренно) или апатии (полное отсутствие инициативы, стремления что-то менять). Предприятия, забитые под завязку такими сотрудниками, мягко говоря, обречены. В настоящий момент подобных предприятий в России множество и выживают они во многом благодаря своему монопольному положению, и/или наличию административного ресурса, и/или наличию поддержки от государства.

Только оптимальное сочетание методов кнута и пряника в долгосрочной перспективе приносит пользу компании за счет укоренения культуры контроля.

Принцип замкнутости контроля

Система контроля предприятия имеет многослойную структуру. Граница конкретного слоя определяется правами и обязанностями владельца процесса (или группы процессов), в пределах которого располагается этот слой контроля. Особенностью слоев является специфичность набора инструментов и механизмов контроля. Например, бригадир осуществляет контроль действий членов бригады во многом визуально в момент исполнения работы либо спустя некоторое время после ее выполнения. Таким образом, он может влиять на скорость выполнения работы (например, поторопить заснувших работников), на объем используемых материалов (например, указать на нерациональное использование материалов), на качество выполнения работ (например, указать на несоответствие результатов выполняемой работы проекту или чертежу). Такого рода контроль весьма оперативен и обеспечивает достижение ключевых целей контроля – обоснованности, своевременности, правильности или соответствия, полноты. В отличие от бригадира начальник цеха не имеет возможности контролировать действия каждого работника визуально. Таким образом, его инструментарий контроля отличается от инструментария бригадира. Далее, вместо осуществления визуального контроля начальник цеха полагается в основном на систему устной и письменной отчетности и в некоторой степени на данные электронных систем контроля производственного процесса. Эти механизмы контроля, если можно так сказать, лежат уже в иной плоскости по сравнению с механизмами, используемыми бригадиром. Итак, в нашем примере мы получаем два слоя контроля.

Во многих случаях слои контроля очень слабо взаимосвязаны между собой. Часто это обусловлено специфичностью инструментов и механизмов контроля различных слоев. Чем слабее такая взаимосвязь, тем меньше возможностей, условно говоря, у вышестоящих слоев контроля влиять на результаты работы нижестоящих слоев. Например, в примере с бригадиром и начальником цеха бригадир при желании может определенное время скрывать как отставание от графика работ, так и пробелы в качестве, если единственный способ контроля со стороны начальника цеха – это устные отчеты о статусе работ. Для повышения эффективности работы системы контроля в целом необходимо развивать взаимосвязи между различными слоями контроля. В нашем примере начальник цеха может получить дополнительные возможности контроля за счет внедрения автоматизированной системы управления производством (появляется возможность осуществлять онлайн-контроль), за счет сопоставления с результатами работы других сотрудников (например, контролеров ОТК), за счет осведомителей в составе бригады и т. д.

Сложнее всего устанавливать взаимосвязи между сильно удаленными друг от друга слоями контроля, которые разделены несколькими слоями. В этом случае существует два варианта связи с интересующим нижерасположенным слоем – либо напрямую, либо через один или все промежуточные слои. Однако прямая связь должна использоваться исключительно с целью оценки эффективности работы связи через промежуточные слои, иначе высшее руководство погрязнет в ручном регулировании мелочей. В нашем примере начальник цеха может воспользоваться услугами осведомителей, которые будут время от времени передавать ему информацию об истинном статусе работ под руководством бригадира. Начальник цеха, таким образом, будет много чего знать еще до того, как бригадир отчитается в очередной раз. С одной стороны, это вроде бы хорошо, однако, с другой, данный подход может привести к ряду негативных моментов (недоверие к бригадиру, подозрения бригадира, поиски доносителя вместо работы, ухудшение морального климата в бригаде и т. д.). Кроме того, начальник цеха начинает зависеть от расторопности и внимательности осведомителя, а также предметно разбирать отдельные ситуации, подменяя контроль бригадира, т. е. заниматься так называемым ручным контролем.

В итоге правильная система внутреннего контроля должна проектироваться таким образом, чтобы каждый вышестоящий слой имел возможность влиять на эффективность работы любого нижестоящего слоя независимо от способа взаимосвязи (напрямую или через промежуточные слои) и с минимально возможным противодействием. Степень противодействия во многом определяется наличием продуманных и оговоренных изначально правил игры. Если такие правила есть, то система внутреннего контроля является именно системой и результат ее функционирования мало зависит от ручного управления.

Принцип силы контрольной среды

Многие определения термина «контрольная среда» по какой-то причине содержат указания, что это нечто вроде «позиции, осведомленности и действий представителей собственника и руководства…». Однако дело в том, что контрольная среда – это не позиция, осведомленность или действия, а результат наличия определенной позиции, осведомленности или осуществления тех или иных действий. Понятие контрольной среды собирательное, т. к. по сути контрольная среда – это эффект, возникающий от сочетания последствий ряда факторов. На состояние контрольной среды любой компании влияют следующие ключевые факторы:

• Отношение руководства к контролю. В международной практике внутреннего аудита существует специальный термин для данного понятия – tone at the top (буквально «тон сверху»). Попросту говоря, если руководство компании в силу различных причин не готово активно культивировать контроль, большинство усилий в этой сфере обречены на провал. Нередко внутренние аудиторы прикладывают огромные усилия на изменение подобного отношения, но желаемый результат получают далеко не всегда.

• Этические ценности сотрудников компании. Если большинство сотрудников компании наплевательски относятся к самой компании и ко всему, что с ней связано, это создает очень сильную ауру отрицания и негатива. В такой обстановке вряд ли возможны существенные позитивные изменения.

• Степень организационной зрелости компании. Чем более зрелой является компания в организационном смысле, тем собраннее и целенаправленнее ее действия. Более зрелые компании имеют более высокий организационный КПД и производят меньше, так сказать, процессного шума, т. е. бесцельных и беспорядочных действий при осуществлении процессов. Возьмем одну из самых популярных классификаций уровней организационной зрелости, созданную на основе CMM (Capability Maturity Model) (см. табл. 1). Как видно из таблицы, степень организационной зрелости определяется именно подходом к организации процессов. Смею предположить, что большинство компаний в России зависли где-то между уровнем повторяемости и регламентируемости.

• Степень развития управленческих навыков у менеджмента. Наличие и, пользуясь игровой терминологией, прокачанность этих навыков во многом определяют, насколько успешно менеджмент будет выполнять свои ключевые функции. Компания, которая выделяет время и средства на развитие управленческих навыков менеджеров, способствует улучшению характеристик контрольной среды.

• Структура и содержание процессов. В данном случае в первую очередь речь идет о количественном факторе. Чем больше процессов разного уровня, чем больше взаимосвязей и взаимовлияний между данными процессами, чем больше объем операций, тем сложнее и менее предсказуемо их влияние на характеристики контрольной среды. В целом усложнение структуры и содержания процессов негативно влияет на данные характеристики просто потому, что замедляет скорость потоков информации.

• Влияние внешней среды. Ее влияние может быть весьма существенным. Ярким примером влияния внешней среды на контрольную среду предприятия является набирающая в России обороты борьба с мошенничеством. Многие компании искренне озабочены проблемой искоренения мошеннических действий со стороны своих сотрудников. Однако условия внешней среды сводят на нет большую часть их усилий. Сама обстановка в нашей стране потворствует мошенничеству. Если сотрудник компании в повседневной деятельности постоянно сталкивается с мошенническими действиями, затрагивающими его лично или окружающих, то это во многом предопределяет его выбор в ситуации, позволяющей безнаказанно, по его мнению, смошенничать самому. Пока данная проблема не решается на уровне государства, справиться с ней в рамках отдельной компании весьма непросто.


Таблица 1. Классификация уровней организационной зрелости


Данный пример показывает, что борьба с негативным влиянием внешней среды требует существенных затрат и не всегда и не сразу приводит к желаемым результатам.

Разумеется, это далеко не полный перечень факторов, влияющих на характеристики контрольной среды. Стоит также обратить внимание на нюансы взаимодействия контрольной среды и контрольных процедур. Сами по себе контрольные процедуры – это в большинстве случаев осмысленные действия, направленные на достижение целей контроля. Идеальной контрольной процедурой можно назвать ту, которая не испытывает влияния внешних и внутренних негативных факторов. Однако большинство контрольных процедур, к сожалению, подвержены влиянию одного, а чаще нескольких факторов, способных воздействовать на их адекватность и/или эффективность. Так вот, контрольная среда может либо усиливать, либо ослаблять деструктирующее влияние негативных факторов. Другими словами, контрольная среда прямого влияния на контрольные процедуры не оказывает, а действует опосредованно. Например, при проведении инвентаризации ТМЦ, упакованных в коробки, по общему правилу необходимо вскрыть некоторые коробки, чтобы удостовериться, что они надлежащим образом заполнены надлежащими ТМЦ. Однако, если, например, на предприятии царит атмосфера халатного отношения к работе или кладовщик, МОЛ или его покровитель хорошо попросил инвентаризационную комиссию этого не делать, процедура вскрытия может не выполняться, и какие-то несоответствия остаются незамеченными. Таким образом, реализуется механизм опосредованного влияния контрольной среды на контрольные процедуры. По этой причине аудиторы должны направлять энергию не только на разработку контрольных процедур, но и на разработку мероприятий по улучшению характеристик контрольной среды. Нет смысла подробно останавливаться на характеристиках контрольной среды (зона действия, устойчивость, динамика и т. д.). Достаточно понимать, что контрольная среда – это, с одной стороны, нечто неосязаемое, как, например, электромагнитное поле, однако, с другой стороны, результаты ее влияния могут быть весьма заметными. Аудитор должен ясно осознавать, что невозможно иметь сильную систему внутренних контрольных процедур при, если так можно выразиться, слабой контрольной среде. Степень развитости контрольной среды является естественным ограничением для внедрения контрольных процедур.

Принцип самовоспроизведения контроля

Отчасти этот принцип перекликается с принципом замкнутости, однако в данном случае речь идет об отдельно взятой контрольной процедуре. Во многих случаях контроль – это действие, которое не является естественным для конкретного – процесса и/или для конкретного владельца процесса. Контроль отнимает ресурсы процесса. Он направлен не на достижение цели самого процесса, а на достижение определенных параметров данной цели. По этой причине при отсутствии поддержки или, по-другому, механизма стимулирования воспроизведения контроля эффективность контроля в большинстве случаев будет снижаться со временем. В связи с этим важно ответить не только на вопрос «что представляет собой контроль?», но и на вопрос «как будет обеспечено его функционирование?».

Существуют различные механизмы стимулирования воспроизведения контроля, а именно:

• Создание коллизии целей у участников процесса при отклонении от установленных параметров процесса. Такая коллизия может быть создана тремя основными способами. Первый заключается в том, чтобы сделать выход из одного процесса входом в другой процесс, при этом параметры выхода из одного процесса и входа в последующий процесс должны быть сопоставимыми. В этом случае владелец следующего процесса заинтересован в том, чтобы владелец предыдущего процесса сделал свою работу как следует. Типичным примером такой ситуации является производственный процесс, состоящий из нескольких переделов, особенно когда переделы выполняются относительно независимыми предприятиями, а не одной компанией. Если на выходе из одного передела получается продукция, не соответствующая определенным параметрам, то ответственный за следующий передел сигнализирует об этом и отказывается принимать продукцию с отклонениями.

Второй способ встречается тогда, когда контроль параметров того или иного процесса является целью владельца процесса такого контроля. Типичным примером второго способа является деятельность такого подразделения как отдел технического контроля, или ОТК. Такое подразделение существует на многих производственных предприятиях. Основной его деятельностью является контроль параметров производимой продукции.

Третий способ встречается тогда, когда контрольные действия дополнительно стимулируются, например с помощью денежного вознаграждения, и обычно не входят в круг обязанностей большинства владельцев процессов. Классическим примером данной ситуации является назначение вознаграждения за поимку опасного преступника или предоставление информации о его местонахождении.

• Улучшение контрольной среды. Можно с полной уверенностью утверждать, что при максимально эффективной контрольной среде отсутствует необходимость в отдельных контрольных процедурах. С философской точки зрения в такой среде не может даже существовать такого понятия, как контроль, поскольку отсутствует объект контроля – отклонения от требуемых или желаемых параметров процессов. Например, при борьбе с мошенничеством в рамках отдельной компании огромное значение имеет пропаганда требуемого поведения на рабочем месте. Такая пропаганда есть не что иное, как попытка повлиять на один из факторов, существенно влияющих на контрольную среду, – этику поведения на рабочем месте.

• Периодический мониторинг. Здесь речь идет в первую очередь о мониторинге адекватности и эффективности системы внутреннего контроля. К такому мониторингу также можно отнести действия по выявлению отклонений от требуемых параметров процессов. И та и другая деятельность может быть как основной, так и сопутствующей задачей владельца конкретного процесса. В первом случае типичным примером владельца процесса является ПВА, или ревизионная служба, или государственный надзорный орган (больше специализируется на поиске отклонений). Во втором случае – это вышестоящий руководитель или вышестоящее подразделение.

• Ограничение свободы выбора. Данный механизм довольно специфичен, однако в ряде ситуаций является, пожалуй, единственным механизмом. Ограничить свободу выбора – значит лишить возможности полностью или частично выполнить те действия, которые приведут к нарушению требуемых параметров процесса. Классическим примером ограничения свободы выбора является ограничение физической свободы, например домашний арест или что похуже.

• Автоматизация процессов. Ключевым преимуществом автоматизации является создание шаблонов процессов. В определенном смысле автоматизация также ограничивает выбор, однако основная ее цель заключается в обеспечении наиболее эффективного подхода к выполнению процесса. Ограничение является побочным эффектом. К тому же автоматизация ограничивает выбор лишь частично. Автоматизация хорошо справляется с бессознательными отклонениями. Что касается сознательных нарушений, то многие системы автоматизации процессов допускают их в той или иной степени. Однако преимуществом автоматизации является то, что она позволяет такие нарушения оперативно фиксировать и анализировать.

Глава 4.
Формирование риск-ориентированного подхода к проведению проектов внутреннего аудита

Основные понятия

Перед тем как углубиться в тему данной главы, необходимо познакомиться поближе с ее основными понятиями, в число которых входят:

• риск;

• фактор риска;

• владелец риска.


Риск. Под риском понимается событие, которое может произойти в будущем с определенной вероятностью и нанести определенный ущерб. Риск может быть результатом как действия, так и бездействия. Из этого следует, что даже если мы ничего не предпринимаем, то все равно рискуем. Поэтому риск является неотъемлемой частью нашей повседневной жизни.

Основная сложность в построении процесса управления рисками заключается в двойственной природе риска. Это выражается в том, что риск является одновременно и риском, и фактором риска для других взаимосвязанных рисков. Проиллюстрируем эту двойственность на следующем примере. Возьмем цепочку из трех взаимосвязанных событий – работник пришел на предприятие пьяным, он совершил производственную ошибку, на производстве произошла авария. Каждое из указанных событий по отдельности может быть риском. Приведенная цепочка событий-рисков является одним из наиболее распространенных вариантов причинно-следственной связи в подобной ситуации. Разумеется, у каждого из этих рисков может быть несколько причин. Например, работник может совершить производственную ошибку не только вследствие алкогольного опьянения, но и по невнимательности, неосторожности, из-за плохого настроения, отвлекающего фактора. Также и авария на производстве может произойти не только вследствие ошибки пьяного работника, но и по причине устаревшего оборудования, форс-мажорных обстоятельств, неправильного техпроцесса и т. д. Вернемся, однако, к нашей цепочке. После того как первый риск реализовался, т. е. негативное событие произошло, этот риск становится фактором риска для следующего негативного события (производственная ошибка). Присутствие пьяного сотрудника на рабочем месте повышает вероятность и усиливает негативный эффект производственной ошибки, а значит, является фактором риска для данного события. Аналогичная логика используется при анализе следующего элемента цепочки – производственной ошибки-аварии.

С практической точки зрения полезно также разобраться в понятиях «исходный риск» и «остаточный риск». Под исходным понимается риск в конкретной ситуации без какого-либо вмешательства в ход событий (что будет, если ничего не предпринимать). Соответственно, под остаточным понимается риск в конкретной ситуации после того, как все целесообразные меры управления данным риском были предприняты. Довольно часто в процессе выявления и оценки рисков в силу различных причин происходит смешение исходных и остаточных рисков. Это, безусловно, влияет на эффективность процесса управления рисками.


Фактор риска. Под фактором риска понимается результат какого-либо действия либо бездействия, который увеличивает вероятность и усиливает негативный эффект последующего и взаимосвязанного негативного события. Можно решить, что фактор риска эквивалентен причине реализации риска, однако это не совсем корректно. Причина реализации риска является фактором риска, но не каждый фактор риска является причиной его реализации. Рассмотрим эти понятия на примере. Непотушенный окурок сигареты может стать причиной пожара в доме. С этим никто не спорит. Однако у риска возникновения пожара в доме может быть несколько причин, если под причиной понимать появление неконтролируемого источника огня. Если дом деревянный, напичкан скарбом, сделанным из горючих и легковоспламеняющихся материалов, пожар произойдет с высокой вероятностью и дом сгорит дотла. Указанные обстоятельства (деревянный дом и скарб) сами по себе не являются причиной пожара, но образуют факторы риска этого события – они увеличивают вероятность его возникновения и усиливают негативный эффект. Выяснив различия понятий «причина риска» и «фактор риска», я предлагаю… забыть о них. Для простоты будем оперировать только понятием «фактор риска».


Владелец риска. Это владелец процесса, наиболее заинтересованный в управлении выбранным риском. Такая заинтересованность объясняется тем, что устранение конкретного риска способствует достижению цели процесса. Существует немало рисков, для которых, на первый взгляд, довольно сложно определить одного владельца. К ним в первую очередь относятся риски, имеющие несколько причин возникновения. Например, возьмем риск затоваривания складов готовой продукцией. Навскидку у него может быть три основных причины:

• снижение темпов реализации продукции предприятия;

• несвоевременная отгрузка продукции;

• необоснованное увеличение объемов производства.


На первый взгляд у данного риска несколько владельцев, поскольку причины указывают на разные варианты развития событий. Однако, с одной стороны, исходную формулировку риска можно уточнить путем прибавления причины риска (например, затоваривание складов готовой продукцией вследствие снижения темпов реализации продукции предприятия). Таким образом, мы получаем три риска. У них персональные владельцы более очевидны, чем у исходного риска:

• дирекция по продажам и маркетингу;

• дирекция по логистике;

• дирекция по производству.


С другой стороны, можно отказаться от уточнения формулировки риска и определить владельца исходного риска исходя из оценки заинтересованности в управлении данным риском. При таком подходе необходимо понять цели процессов. Определим их следующим образом[4]:

• процесс «Продажи» – своевременная реализация продукции предприятия по оптимальным ценам, обеспечивающим максимальный финансовый результат в краткосрочной перспективе;

• процесс «Управление складской логистикой» – своевременное размещение производимой продукции в складских помещениях, обеспечивающих сохранность в течение оптимального срока хранения;

• процесс «Управление производством» – своевременное производство продукции установленного ассортимента и качества в требуемых объемах.


В свете вышеуказанных целей процессов наиболее заинтересованным в управлении риском затоваривания складов готовой продукцией является владелец процесса «Управление складской логистикой». На достижение целей именно этого процесса реализация данного риска окажет максимальное влияние при условии, что предприятие располагает ограниченными складскими помещениями и его продукция чувствительна к условиям хранения. Владельцу процесса «Управление производством» указанный риск безразличен – его цель будет достигнута независимо от того, происходит затоваривание или нет. Владелец процесса «Продажи» также не особо привязан к риску затоваривания, поскольку его целью является реализация по оптимальным ценам. Если продукция в процессе хранения утратит часть свойств, но будет продана по хорошей цене (пропорционально ниже, чем стоимость качественной продукции), то владелец процесса «Продажи» выполнит поставленную перед ним задачу.

Подводя итог сказанному, еще раз остановимся на ключевых моментах. Во-первых, можно использовать два способа определения владельца риска – дробление исходного риска на более мелкие риски (при этом необходимо правильно установить полный перечень ключевых причин риска) или определение заинтересованности в управлении риском (при этом необходимо отталкиваться от целей процессов). К недостаткам первого способа можно отнести то, что в результате дробления рисков может оказаться слишком много для эффективного управления ими (может потребоваться автоматизация процесса). К недостаткам второго способа можно отнести то, что цели процессов, в отличие от причин рисков, меняются чаще. В связи с этим при каждом изменении целей необходимо пересматривать привязку рисков к имеющимся процессам. Например, используя параметры предыдущего примера, предположим, что компания стала производить продукцию, которую все равно где хранить. Параллельно перед владельцем процесса «Продажи» была поставлена цель «своевременная реализация продукции предприятия по оптимальным ценам, обеспечивающим максимальный финансовый результат в долгосрочной перспективе», что может привести к придерживанию продукции с целью более выгодной продажи в будущем (в расчете, например, на рост цен). В этом случае владельцем риска затоваривания складов становится владелец процесса «Продажи», так как именно его цель больше всего страдает от реализации риска.

Во-вторых, необходимо устанавливать единственного владельца конкретного риска. Когда владельцев одного риска несколько, крайне сложно определить, кто в большей степени отвечает за управление этим риском.

Свойства рисков

Каждый риск обладает рядом специфичных свойств, которые влияют на выбор способа управления им. С практической точки зрения имеет смысл обратить внимание на следующие четыре свойства риска, а именно:

• вероятность;

• сила воздействия;

• управляемость;

• взаимосвязанность (цепочки причинно-следственных связей).


Вероятность. Риск представляет собой событие, которое может произойти, а может и не произойти. С помощью определения вероятности риска мы пытаемся оценить шансы на то, что конкретное событие произойдет в течение рассматриваемого периода времени. Сразу отмечу, что последнее обстоятельство довольно часто упускается при оценке рисков. Я регулярно сталкиваюсь со следующим вариантом формулировки вероятности риска – вероятность столько-то процентов (например, «вероятность 20 %»). Такой оценке не хватает как минимум указания на временной интервал, к которому данная вероятность применима. Указание «срока годности» вероятности крайне важно, поскольку со временем величина вероятности подавляющей части рисков меняется.

В продолжение темы использования процентной оценки вероятности стоит отметить еще несколько нюансов. Указание величины вероятности в процентах в большинстве случаев говорит о том, что оценка проводилась экспертным методом. При использовании данного метода необходимо убедиться в том, что восприятие экспертом конкретной оценки соответствует ее восприятию окружающими (начиная с того, о чем говорит эксперт – об исходном или остаточном риске). Например, эксперт говорит, что вероятность риска аварии на производстве составляет 10 %. Однако он может иметь в виду только те случаи, в которых виноваты люди по причине неправильного исполнения трудовых обязанностей, а окружающие (в отсутствие пояснений) могут посчитать, что речь идет о риске в целом. Также эксперт мог получить итоговый показатель 10 % путем деления количества аварийных ситуаций на производстве на общее количество работников данного производства по итогам прошлого года. Окружающие же могут подумать, что это означает одну аварию каждые 10 месяцев. В сухом остатке у нас остается тот факт, что бездумное использование процентной оценки вероятности может приводить к существенным искажениям восприятия реальности.

В определенной мере недостатки предыдущего метода устраняются указанием количества возможных фактов реализации риска в течение определенного периода (например, конкретный риск может реализоваться как минимум один раз в год). Однако данный метод оценки вероятности также подвержен искажениям восприятия. Например, эксперт говорит, что вероятность риска неоплаты дебиторской задолженности составляет 10 раз в год. При этом он может основываться на данных прошлых периодов и не учитывать факторы, влияющие на оплату дебиторской задолженности в будущем. Так, если продажи компании должны существенно вырасти в следующем году (например, в конце прошлого года открылось несколько новых филиалов), то оценка эксперта занижает вероятность риска, делая его менее существенным.

Все это может склонить к выбору математических методов оценки вероятности риска, таких как формула Бернулли, локальная теорема Лапласа, формула Пуассона, а также специальных ИТ-приложений (например, Crystal Ball, использующее моделирование методом Монте-Карло). Однако сфера применения данных методов ограниченна. Например, при использовании формулы Бернулли для вычисления вероятности риска для ряда сопоставимых ситуаций необходимо знать точную величину вероятности такого риска для одной ситуации. Многие риски, хотя и могут показаться сравнительно простыми, нередко связаны с довольно сложными цепочками событий. Также не стоит забывать про любопытный парадокс – сложные методы довольно часто приводят к таким же выводам, что и простые. Особенно это касается таких неопределенных явлений, как риски. При обеспечении достаточной теоретической подготовки экспертов в области риск-менеджмента (или хотя бы в области определения и оценки рисков) можно добиться относительно качественной и полной оценки существенных рисков.

Сила воздействия[5]. Мы вряд ли вообще обращали внимание на риски, если бы они не обладали данным свойством. Однако все риски, которые заслуживают внимания, обладают определенной силой воздействия. Факт реализации конкретного риска определенным образом воздействует на деятельность компании (владельца риска). Это воздействие имеет негативный характер и принимает различные формы, которые можно разделить на две основные группы – формы, обладающие качественными характеристиками (потеря репутации, ухудшение отношений, утрата доверия, снижение привлекательности и т. д.), и формы, обладающие количественными характеристиками (утрата доли рынка, финансовые потери, штрафные санкции и т. д.). В принципе реализация любого риска приводит к ухудшению финансового и имущественного состояния предприятия, т. е., грубо говоря, к потере денег. Однако с точки зрения управления рисками имеет смысл использовать более детальную дифференциацию последствий реализации рисков, в первую очередь потому, что скорость наступления негативного эффекта различна для разных рисков. Например, если произошла авария на производстве, компания тут же теряет часть своего имущества и потеряет еще какую-то часть спустя определенное время (расходы на восстановление, возможно уплата штрафов, социальные выплаты и т. д.). А если, например, резкое снижение качества продукции компании повлекло снижение ее репутации как качественного производителя, то это приведет к потере денег только через определенное время, как минимум не сразу.

С практической точки зрения наиболее полезной является оценка силы воздействия, сочетающая стоимостную оценку потерь и оценку скорости наступления таких потерь (интегрированная оценка). Поэтому все качественные оценки (и количественные тоже) в идеале следует приводить к интегрированной оценке.

Управляемость. Любая компания может в той или иной степени влиять на вероятность и силу воздействия своих рисков. Это влияние зависит от степени управляемости конкретного риска. Риски можно разделить на две основные группы – риски, вероятность и сила воздействия которых может быть в какой-то мере изменена усилиями компании (управляемые риски), и риски, вероятность и сила воздействия которых остаются практически неизменными независимо от попыток их изменить (неуправляемые риски). Классическим примером рисков последней группы являются риски форс-мажорных обстоятельств, особенно связанных со стихийными бедствиями (землетрясения, наводнения, штормы, торнадо и т. д.). Единственное, что можно сделать в случае реализации неуправляемого риска, – это попытаться избежать части негативного эффекта. Это достигается, во-первых, за счет прямой защиты от предполагаемого негативного эффекта (например, строительство сейсмоустойчивых домов в сейсмоопасной зоне), во-вторых, за счет использования скорости наступления негативного эффекта (например, план эвакуации при пожаре). Однако это лишь способ подстроиться под обстоятельства. Изначальная вероятность и сила воздействия неуправляемых рисков остаются неизменными.

Взаимосвязанность. Как уже говорилось, у большинства рисков двойственная природа, они являются одновременно и рисками, и факторами риска для других рисков. В среде рисков широко распространен эффект домино. Многие риски образуют цепочки рисков, структуру которых чаще всего невозможно предугадать. Наличие многообразных взаимосвязей приближает систему рисков любого предприятия к детерминированно-хаотическим системам. В рамках таких систем возможна реализация эффекта бабочки[6]. Не исключено, что изначальной причиной многих крупных негативных событий явилась реализация мелких и на первый взгляд незначительных рисков. Последствия реализации этих цепочек рисков загубили бы не одно предприятие, если бы не теория вероятности и естественное прерывание цепочек рисков вследствие воздействия сторонних факторов (которое тем вероятнее, чем длиннее цепочка и медленнее реализация эффекта домино).

Взаимосвязь риска и бизнес-процесса

Любой, даже самый мелкий и незначительный, бизнес-процесс всегда взаимосвязан с рядом рисков. В случае реализации этих рисков цель такого бизнес-процесса достигается частично либо не достигается вовсе. Другими словами, на выходе из процесса вы не получите ничего либо получите не то, что нужно. Именно эта взаимосвязь позволяет конвертировать риски в план или программу внутреннего аудита.

Внутренний аудит занимается анализом бизнес-процессов и систем контроля бизнес-процессов. С технической точки зрения невозможно затеять проект по аудиту какого-либо риска, поскольку, по сути, риск – это событие, причем во многих случаях такое, которое может и не произойти. Событие само по себе является не процессом, а результатом определенных процессов. Поэтому при использовании риск-ориентированного подхода аудитору необходимо сначала установить взаимосвязь между рисками и процессами, а затем, в зависимости от выбранного подхода, приступить к формированию плана или программы аудита.

Суть риск-ориентированного подхода

Деятельность любого предприятия подвержена влиянию множества факторов риска. Одни факторы риска способны спровоцировать реализацию конкретного риска самостоятельно, другие – только в комбинации с другими факторами риска. Факторы риска оказывают влияние на эффективность функционирования процессов предприятия. Система процессов всегда имеет одну цель – выполнение поставленных задач. Это должно обеспечить достижение ключевой цели любого коммерческого предприятия – увеличения своей стоимости. Анализируя факторы риска в привязке к процессам, в которых они зарождаются и/или на которые они влияют, внутренний аудитор может сформировать оптимальную тематику своей работы. В этом и заключается суть риск-ориентированного подхода к внутреннему аудиту – понять, что в первую очередь мешает предприятию достичь цели, и найти наилучший способ нивелирования негативного воздействия.

В рамках риск-ориентированного подхода можно выделить два базовых метода, а именно:

• упрощенный метод;

• продвинутый метод.


Аудитор должен четко уяснить одну важную взаимосвязь. Эффективность использования любого из данных методов растет с повышением квалификации и опыта внутреннего аудитора. Например, продвинутые аудиторы могут не заниматься проведением детальных оценок процессов с использованием факторов риска, а сразу оперировать как отдельными рисками, так и цепочками рисков различной сложности, располагая только отрывочной информацией об объекте аудита, даже если они прежде его не посещали.

Упрощенный метод

При использовании данного метода основная задача заключается в формировании рейтинга рискованности процессов и выборе наиболее рискованных процессов для проведения проектов внутреннего аудита. Этот метод имеет одно существенное достоинство – его результаты могут быть наглядными, доступными для восприятия неподготовленными гражданами и относительно легкодоказуемыми. Наиболее рискованным процессом считается тот, на достижение цели которого влияет максимальное количество факторов риска максимально негативным образом. Чтобы получить рейтинг рискованности, каждый выбранный для анализа процесс оценивается с точки зрения наличия и существенности определенного перечня факторов риска. Такой перечень формируется произвольно, единственного правильного варианта просто не существует, поскольку каждая компания имеет свою специфику (разумеется, какие-то факторы являются общими для большинства компаний). Единственный критерий отбора – это прямое или опосредованное препятствование достижению процессами (или большей части анализируемых процессов) их целей. При применении упрощенного метода необходимо помнить о ряде нюансов, а именно:

• количество факторов риска ничем не ограничено. Встречаются перечни из 10–15 факторов риска и более. Скорее всего, при работе с факторами риска внутренний аудитор будет ограничен имеющимися ресурсами. Однако до определенного момента увеличение количества факторов риска, используемых для анализа, повышает качество оценки;

• рейтинг и результаты оценки должны быть наглядными. Наиболее распространенным вариантом является создание электронной таблицы (которая к тому же автоматизирует пересчет). Сверху вниз (по строкам) указываются наименования процессов, слева направо (по столбцам) – факторы риска;

• системы оценки могут быть самыми разнообразными. Можно проставлять баллы, можно выделять цветом, можно вводить дополнительные балансирующие и корректирующие элементы (веса факторов риска, степень применимости результатов оценки для отдельных предприятий или для всех предприятий группы и т. д.). В качестве базового варианта можно принять три оценки (например, высокий, средний, низкий);

• методика формирования рейтинга процессов, в любом случае, должна обсуждаться с топ-менеджментом компании (по-хитрому, как и положено внутреннему аудитору, сначала приватно с каждым руководителем, а потом со всеми вместе). Понимание и хотя бы частичное согласие с методикой обеспечит более позитивное восприятие результатов ее использования.


В качестве примера критически рассмотрим фрагмент оценочной таблицы, целью которой было формирование базовых данных для составления рейтинга подпроцессов процесса «Производство» (табл. 2). Здесь представлен подпроцесс «Хранение» (хранение МТР перед выдачей в производство), состоящий из 10 этапов. Рассматривается влияние шести факторов риска на достижение целей процессов. Факторы риска следующие:

• отсутствие этапа процесса – возможно, отсутствует какой-либо этап процесса, вследствие чего цель процесса достигается не всегда, с потерей качества, так сказать, с большим напрягом;

• недостижение цели этапа процесса – в силу различных причин цель этапа процесса не достигается либо достигается не так часто, как необходимо;

• нарушение регламента – в ходе исполнения процесса наблюдаются случаи намеренного или вынужденного нарушения существующих регламентирующих документов, при этом возрастает риск недостижения цели процесса;

• техническая ошибка – ошибки при исполнении отдельных операций в ходе осуществления этапа процесса, а также ошибки при формировании и передаче информации;

• персонал – недостаток персонала, как по количеству, так и по качеству, а также низкая исполнительская дисциплина;

• неэффективность СВК – система внутреннего контроля не препятствует факторам риска.


Таблица 2. Пример оценочной таблицы для формирования рейтинга подпроцессов процесса «Производство»



Использованные для целей оценки факторы риска по большей части выбраны не совсем удачно, а именно:

• отсутствие этапа процесса – довольно сложный фактор риска. Во-первых, требуется знание основ процессного управления и терминологии, чтобы понять, о чем идет речь. Во-вторых, чтобы проверить достоверность оценки, необходимо как минимум знать, как данный процесс выглядит на практике. В-третьих, для ряда предприятий отсутствие конкретного этапа может быть нормальным явлением;

• недостижение цели этапа процесса – еще более сложный фактор риска. Во-первых, проблемы использования аналогичны проблемам предыдущего фактора риска. Во-вторых, появляется необходимость в предварительном определении целей этапов процесса, по крайней мере для команды внутренних аудиторов. Такая работа, если ее проводить досконально, трудоемка и объемна (например, если взять шесть подпроцессов, каждый из которых состоит из 8–10 этапов, в сумме получаем 48–60 этапов). К тому же высока вероятность возникновения проблемы при использовании результата на практике, например, если привлечь к формированию и/или обсуждению результатов работы по определению целей этапов подпроцессов их владельцев, то можно застрять в самом начале. Например, сначала можно долго и нудно объяснять терминологию и основы процессного управления, затем долго спорить по поводу целей этапов подпроцессов, затем – по поводу оценки влияния фактора риска на цели данных этапов;

• нарушение регламента – фактор риска пригоден к использованию во многих случаях. Плюсом является то, что получить представление об актуальности данного фактора риска можно из нескольких источников – переписка, мнения сотрудников, контролирующих исполнение регламентов, мнение сторонних экспертов (аудиторские фирмы, консультанты и т. д.) и т. д. Наличие данного фактора риска может указывать на недостатки управления процессом и предприятием в целом – низкая исполнительская дисциплина, несовершенство регламентов, громоздкие процедуры и т. д.;

• техническая ошибка – можно использовать в качестве фактора риска. Однако если результат таких ошибок не явился результатом существенного негативного события, то о них можно умолчать и проверить это непросто. Отсюда следует, что во многих случаях данный фактор может показаться мелковатым для использования в оценке;

• персонал – хороший фактор риска для целей оценки. Недостаток адекватного персонала – проблема всех времен и народов. Проблемы с персоналом порождают множество проблем в различных сферах деятельности любого предприятия. Получить представление о данном факторе риска, возможно, даже проще, чем о нарушении регламентов, – существует несколько источников, начиная с управленческой отчетности и заканчивая актами трудовой инспекции;

• неэффективность СВК – малопригоден для целей оценки. Во-первых, звучит довольно жестко, и мало какое предприятие легко согласиться с тем, что даже отдельные его процессы имеют проблемы контроля. Во-вторых, базовая цель аудита как раз и состоит в оценке как минимум адекватности СВК. Данный фактор можно использовать только в том случае, если команда внутренних аудиторов в прошлом (желательно не очень далеком) уже имела дело с конкретным процессом на конкретном объекте аудита. Если мало что изменилось с тех пор, то оценка получится достоверной и доказуемой.


Таким образом, по результатам анализа мы имеем следующее:

• три фактора пригодны к использованию;

• два фактора пригодны к использованию, но на практике может возникнуть множество сложностей;

• один фактор не пригоден.


В качестве примера приведу небольшой перечень факторов риска (далеко не исчерпывающий), которые можно применять в большинстве случаев для целей составления рейтинга рискованности процессов:

• практика форсирования контрольных процедур (данная практика очень заразительна, отсутствие контроля расхолаживает, подталкивает к размышлениям о собственном благе и способах его преувеличения в свете появившихся в отсутствие контроля возможностей);

• широкое использование экспертных оценок (данная практика также заразительна, в результате люди могут перестать делать, например, элементарные расчеты);

• сложность операций, этапов и процессов с организационной точки зрения (повышается риск прогрессирующей задержки, исполнение процесса может затянуться);

• сложность операций, этапов и процессов с технологической точки зрения (возрастает цена ошибки);

• текучесть сотрудников (создает нездоровую атмосферу в коллективе, а также тормозит исполнение процесса и требует дополнительных затрат);

• децентрализованные процессы (довольно часто дают порулить тому, кто либо еще не дорос до этого, либо перерос и склонен к использованию служебного положения в личных целях);

• объем операций (большое количество транзакций увеличивает вероятность и существенность ошибки);

• мошенничество (каждый процесс обладает вмененным и приобретенным потенциалом для мошеннических схем);

• нанесение ущерба здоровью (может повлечь за собой как материальные обязательства по отношению к потерпевшей стороне, так и обязательства перед государством и обществом; взаимосвязано с рядом рисков, например технологического характера или рисками неадекватного состояния имущества);

• нанесение ущерба окружающей среде (аналогично предыдущему пункту только по отношению к окружающей среде);

• государственное регулирование (пристальное внимание государства означает визиты различных органов, участие в коррупционных схемах, риски, связанные с плохим настроением представителей власти, и т. д.);

• изменения систем и процессов (к любым изменениям необходимо привыкнуть, а это повышает вероятность ошибок);

• амбициозные цели процесса, особенно во взаимосвязи с амбициозным вознаграждением (когда что-то очень надо, а есть вероятность, что не получится, возникает непреодолимый соблазн сыграть не по правилам);

• отсутствие нормативов (когда не установлен формально верх или низ или иные рамки, работает принцип «будет так, как я хочу»);

• низкая регламентированность процесса (сопоставим с предыдущим фактором, может приводить к неоднозначным результатам – как к перекосам, так и к эффективности, однако перекосы случаются чаще);

• отсутствие управленческого учета (когда ходы не записывают, трудно разобраться в текущей ситуации и, тем более, в прошлой ситуации; под песню «нам некогда бумажками шуровать, нам работать надо» торжественно разбивались вдребезги мечты многих акционеров о светлом будущем и даче с кабанчиком).


Мы разобрали основные моменты представленного для примера фрагмента оценочной таблицы. Как я уже говорил, шкала оценок может быть какой угодно. Хотелось бы, однако, обрисовать ситуацию вокруг данной оценочной таблицы в целом. Данная таблица была использована для составления рейтинга рискованности процессов нового объекта аудита, на котором команда внутренних аудиторов прежде не бывала. В попытке обеспечить максимальное качество таблицы было принято решение заполнить ее при активном участии владельцев процессов объекта аудита. Как показала дальнейшая работа, и не только в рамках того проекта, такой подход носит неоднозначный характер с уклоном в сторону вранья. Некоторые владельцы процессов действительно пытались объективно оценить происходящее в их епархии. Правда, со временем выяснилось, что некоторые факторы риска они просто не поняли (о чем говорилось выше). Однако чаще владельцы процессов стремились приукрасить картину, что и выяснилось в ходе последовавшего проекта аудита. Данный пример является одним из многих свидетельств того, что владельцы процессов являются не самыми лучшими соавторами рейтинга рискованности собственных процессов. Команда внутренних аудиторов должна стремиться использовать как можно более объективные, но в то же время оперативные (все происходит на этапе планирования проекта, который часто весьма ограничен во времени) источники информации.

Продвинутый метод

Упрощенный метод предполагает следующую последовательность действий: формирование перечня процессов (подпроцессов, этапов подпроцессов), затем генерирование факторов риска (при этом рассматриваются факторы единственного риска – риска недостижения цели процесса). Оценка воздействия выбранных факторов риска на степень достижения цели процессов позволяет сформировать рейтинг рискованности процессов. При использовании продвинутого метода за точку отсчета берется перечень рисков предприятия с оценкой как минимум их силы воздействия и вероятности, или, как его называют в специализированной литературе, карта рисков. Таким образом, формируется следующая цепочка действий: создание карты рисков, выбор наиболее существенных рисков, конвертирование рисков в план и программу аудита. На первый взгляд все просто, однако в условиях российской действительности появляется ряд следующих нюансов.

Во-первых, многие компании в нашей стране, услышав слова «карта рисков», ведут себя не так, как предполагали создатели этого инструмента, – одни пугаются, другие откладывают на потом, но большинство считают эту затею полной ерундой. Так или иначе, большинство компаний в России не формируют карту рисков на регулярной основе хотя бы искусства ради, не говоря уже о ее практическом применении. Однозначного объяснения этой ситуации сложно найти. Возможно, все упирается в уровень профессионального развития большинства российских управленцев, полного изъянов; возможно, все поглощены поиском источников личного обогащения; возможно, виноваты разработчики карт рисков, неспособные создать жизнеспособный и практически значимый инструмент управления. Как говорится, всего понемногу.

Во-вторых, отчасти как следствие из предыдущего нюанса, многие карты рисков, мягко говоря, вызывают сомнения в профессиональной пригодности авторов. Один из примеров мы разберем немного дальше.

В-третьих, многие карты рисков не заточены для конвертации в план или программу аудита. В таких случаях может потребоваться адаптация материала (см. разбор примера по данным табл. 5). Основные причины следующие:

• практика обобщения рисков (например, формулировка «валютный риск» без пояснений весьма многозначна);

• отсутствие причинно-следственной связи в наименовании (описании) риска (которая устанавливает базовую, т. е. наиболее свойственную в конкретных условиях, взаимосвязь фактора риска и риска);

• отсутствие процессного восприятия деятельности предприятия (фундаментальная причина, которая вряд ли исчезнет в ближайшие 5–10 лет).


В-четвертых, если компания не формирует карту рисков, то ПВА придется сделать это самостоятельно. Довольно часто первые карты страдают изъянами. Прежде всего, основным источником информации о рисках на первых порах выступает менеджмент. В силу множества причин (непонимание происходящего, стремление скрыть недостатки, недоверие к команде внутренних аудиторов и т. д.) данная информация может быть не совсем достоверной. По мере накопления информации в ходе проектов ПВА начинает лучше ориентироваться в деталях рисков компании. Затем, составление карты рисков требует затрат ресурсов, в первую очередь времени. В этой ситуации ПВА важно соблюсти баланс между необходимостью получить максимально объективное представление о рисках компании и необходимостью приступить к осуществлению проектов. И наконец, методика формирования карты и ее использования для выбора объектов аудита должна быть в той или иной степени согласована с менеджментом. Это не означает, что ПВА должно спрашивать разрешения на использование методики. Однако оно должно провести разъяснительную работу, максимально учесть мнения и пожелания менеджмента, обеспечить понимание происходящего окружающими. Только в этом случае можно вовлечь менеджмент в добросовестную работу по выявлению и оценке рисков, а также нивелировать разногласия в восприятии результатов оценки рисков.

Перед тем как двинуться дальше, имеет смысл рассмотреть процесс выявления и оценки рисков, а также процесс формирования карты рисков.


Выявление и оценка рисков. Существует несколько базовых способов, позволяющих с той или иной степенью эффективности идентифицировать риски и оценить их параметры (табл. 3).


Таблица 3. Базовые способы оценки рисков


Шкала от 1 (очень плохо) до 5 (очень хорошо)

Как следует из табл. 3, мы имеем пять базовых способов:

• эксперты (суть способа – проведение интервью сотрудников компании для выяснения их мнения о существующих рисках и формирования оценки параметров этих рисков);

• статистика (суть способа – изучение документальных источников для выявления фактов реализации рисков, а также факторов риска, способных привести к конкретным рискам);

• третья сторона (суть способа – наем сторонней организации для проведения идентификации и оценки рисков);

• вмененные риски (суть способа – формирование перечня и оценка параметров рисков, часто встречающихся в условиях, аналогичных тем, в которых действует компания);

• процессы (суть способа – использование упрощенного подхода, описанного выше).


Каждый из этих способов оценивается по пяти ключевым параметрам:

• объективность (степень приближенности к реальности);

• полнота (насколько исчерпывающим получится конечный перечень);

• стоимость (объем ресурсов, в том числе имеющих неденежную оценку, для осуществления необходимых мероприятий в рамках способа);

• время (количество времени для осуществления необходимых мероприятий в рамках способа);

• качество (пригодность исходного материала для перехода к процессу конвертирования в программу аудита).


Разумеется, проставленные оценки имеют условный характер и являются усредненным вариантом (при прочих равных). Вариации конкретных обстоятельств способствуют перестановкам в данной таблице. Перечисленные способы имеют свои плюсы и минусы (табл. 4).


Таблица 4. Плюсы и минусы базовых способов оценки рисков



Отдельного разговора заслуживает вопрос формулирования сути риска. Здесь прослеживаются два основных подхода (не считая неправильных):

• использование укрупненных рисков (формулировка риска обычно не содержит причинно-следственной связи, она сопровождается расшифровывающим и уточняющим описанием; например, формулировка «риск аварий» может сопровождаться перечислением видов, мест и, возможно, причин, а также прочими уточняющими деталями);

• использование рисков с указанием на причинно-следственную связь (точечные риски) (формулировка риска содержит указание на причинно-следственную связь, во многих случаях дальнейшие объяснения не требуются, так как она достаточно точно описывает суть риска, например формулировка «риск аварий вследствие несоблюдения режима эксплуатации оборудования»).

Как часто бывает в нашей жизни, у каждого из этих подходов есть свои плюсы и минусы (табл. 5).


Таблица 5. Основные подходы к формулированию сути риска


В дополнение к информации, приведенной в табл. 5, полезно пояснить один существенный нюанс. Укрупненными рисками нельзя управлять, так как, по сути, они состоят из нескольких цепочек факторов риска. При этом для каждой цепочки часто нужны свои мероприятия по управлению и у каждой цепочки может быть свой владелец риска (учитывая двойственность понятия «риск»). Поэтому карта укрупненных рисков более всего подходит для презентации и представления общего расклада по рискам, так сказать, по диагонали. Для целей как управления, так и конвертации в программу аудита укрупненные риски нуждаются в декомпозиции. Она должна проводиться как минимум до тех пор, пока укрупненный риск, условно говоря, не будет разбит на несколько рисков, у каждого из которых будет один владелец. Например, у нас есть риск «риск аварий». Предположим, что он в результате декомпозиции был разбит на два риска: «риск аварий вследствие несоблюдения режима эксплуатации оборудования» (риск 1) и «риск аварий вследствие общего состояния оборудования» (риск 2). На данном этапе у обоих рисков все еще может быть несколько владельцев. Возьмем для дальнейшего анализа риск 1. Его можно разбить как минимум на два риска: «риск несоблюдения режима эксплуатации оборудования вследствие нарушения требований техпроцесса» (риск 3) и «риск несоблюдения режима эксплуатации оборудования вследствие ошибок в требованиях техпроцесса» (риск 4). На этом этапе минимальное требование по декомпозиции в отношении риска 1 выполняется – владельцем риска 3 является дирекция по производству (нарушение в процессе эксплуатации оборудования), а владельцем риска 4 – служба главного технолога[7] (ошибка при расчете техпроцесса).

Приведенный пример демонстрирует важный момент. Как уже говорилось в разделе «Риск», факторы риска формируют цепочки, в которых каждый последующий фактор риска является риском для предыдущих факторов. Таким образом, каждый риск можно разбить на определенное число более мелких рисков. Количество и суть таких рисков будет соответствовать количеству и сути факторов риска исходного риска. Например, если риск реализуется в результате последовательной реализации цепочки из пяти факторов риска, то его можно разбить на пять последовательных рисков. При этом каждый последующий риск в цепочке будет менее существенным, чем предыдущий риск. Для удобства далее будем употреблять слово «уровень» для обозначения места риска в цепочке рисков. Например, формулировка «уровень 3» означает, что выше по существенности находятся два риска из той же цепочки. Таким образом, любой риск, который необходимо подвергнуть декомпозиции, является риском уровня 1, или риском первого уровня.


Формирование карты рисков. Основная цель данного процесса заключается в получении на выходе перечня рисков, расположенных в порядке убывания существенности.


Рис. 2. Пример графического представления карты рисков


Перечень может сопровождаться построением графика, на котором риски располагаются в соответствии с их вероятностью и силой воздействия. Классическим является вариант графика с зеленым (белым), желтым (серым) и красным (черным) секторами (рис. 2). В зеленом (белом) секторе располагаются риски, вероятность которых относительно низка, а сила воздействия минимальна. В красном (черном) секторе располагаются риски с максимальной вероятностью и максимальной силой воздействия. Между зеленым (белым) и красным (черным) секторами располагается желтый (серый) сектор, в котором находятся три группы рисков, а именно:

• риски со средней вероятностью и силой воздействия;

• риски с низкой вероятностью, но с большой силой воздействия;

• риски с высокой вероятностью, но с маленькой силой воздействия.


Логично предположить, что ПВА в первую очередь должны интересовать риски, расположенные в красном (черном) секторе. Это действительно так, однако довольно часто в этот сектор попадают риски, которыми трудно управлять, а именно:

• «внешние» риски (т. е. риски, которые зарождаются вне компании, но влияют на ее деятельность, например риск неблагоприятного изменения законодательства);

• риски форс-мажорных обстоятельств;

• крупные риски, обусловленные совокупностью большого количества факторов риска (например, риск неадекватной бизнес-модели).


С точки зрения внутреннего аудита риски, которыми трудно управлять, не представляют особого интереса как объект конвертирования в план или программу аудита. Во-первых, многие «внешние» риски и риски форс-мажорных обстоятельств довольно очевидны. Все, что нужно сделать, – это сформировать план мероприятий по минимизации их существенности (по возможности снизить вероятность и силу воздействия), а также план действий на случай реализации данных рисков. Последнее необходимо для того, чтобы максимально воспользоваться динамикой нарастания негативных последствий риска (попросту, план того, что можно сделать, пока последствия реализации риска не достигли максимального эффекта). Во-вторых, крупные риски при конвертации могут привести к формированию громоздкой и сложной для понимания программы аудита. Также не исключено, что с первого раза не удастся выявить все существенные факторы риска и установить правильные причинно-следственные связи. Поэтому наилучшей стратегией работы с крупными рисками является их разбиение (декомпозиция) на более мелкие риски, которые более подходят для конвертирования в программы аудита.


Конвертирование рисков в программу аудита. В классическом варианте выбор рисков для конвертирования осуществляется на основании анализа карты рисков компании. Варианты выбора могут быть самыми разнообразными. Понятно, что есть определенное тяготение к выбору наиболее существенных рисков. Однако могут быть выбраны и менее существенные риски, например, потому, что их быстрее и проще устранить.

Конвертация может выполняться двумя основными способами.

Способ 1. Определение приоритетного процесса (владелец данного процесса является одновременно владельцем выбранного риска). Применение этого способа предполагает, что исходный риск либо является точечным, либо представляет собой результат декомпозиции более крупного взаимосвязанного риска. Важно, чтобы в исходной карте, во-первых, каждый риск определялся как точечный, либо укрупненный, во-вторых, для точечных рисков указывались владельцы, в-третьих, право провести декомпозицию и определить владельцев риска предоставлялось ПВА. Чаще всего имеет смысл согласовывать результаты декомпозиции и определения владельцев рисков с такими владельцами. Это повышает позитивное отношение к работе ПВА.

Способ 2. Определение кластера приоритетных процессов (владелец риска не может быть определен на этапе конвертации). Правильность определения приоритетных процессов зависит от осведомленности компании о существенных нюансах конкретного риска. Это может показаться странным, но многие компании имеют слабое представление о ключевых факторах как минимум части своих рисков. К тому же такое знание весьма неоднородно внутри компании – всегда есть кто-то, кто более полно представляет ситуацию, чем остальные. Как результат в большинстве случаев карты состоят из укрупненных рисков, не говоря уже про отсутствие причинно-следственной связи в наименовании или описании риска. Оптимальной была бы полная декомпозиция, однако она либо требует слишком много времени (особенно при необходимости согласовывать результаты), либо невозможна по ряду причин (например, владелец процесса не согласен с привязкой конкретного риска к своему процессу), включая фундаментальную причину, указанную выше. В такой ситуации у ПВА нет другого выхода, кроме привязки конкретного риска к кластеру процессов вместо одного процесса. Таким образом, использование способа 2 порой может быть вынужденной мерой.


С технической точки зрения основные сложности при конвертации возникают в трех наиболее типичных ситуациях.

Ситуация 1. Карта сформирована с использованием укрупненных рисков. При работе с такого рода рисками необходимо учитывать ряд нюансов.

Нюанс 1. Степень, так сказать, укрупненности рисков во многих случаях неравнозначна. Возьмем для примера два риска: «риск кассовых разрывов» и «риск недостаточного качества». Оба риска являются укрупненными, т. е. могут быть разбиты на взаимосвязанные риски меньшей существенности. В случае с риском кассовых разрывов разбивка даст от силы три-четыре риска второго уровня (нарушение графика оплаты дебиторской задолженности, отказ в выдаче кредита, возникновение срочных платежей) и шесть – восемь рисков третьего уровня. При разбивке риска недостаточного качества получается не менее пяти-шести рисков второго уровня (нарушение требований техпроцессов, ошибка при исполнении техпроцесса, снижение качества исходных компонентов, использование устаревшего оборудования, недостаточное количество сотрудников, обслуживающих техпроцесс) и 10–12 рисков третьего уровня.

Нюанс 2. Если разбить любой укрупненный риск на риски более низкого уровня, то существенность таких рисков будет неравнозначна. Другими словами, один или несколько факторов риска более остальных влияют на существенность вышестоящего риска. Основным следствием данной ситуации является то, что разные укрупненные риски будут конвертироваться в разные по трудоемкости программы аудита. При этом чем меньше возможностей для декомпозиции, тем сложнее сопоставить риски по трудоемкости программ аудита, созданных на их основе. Однако неравнозначность рисков дает возможность пренебречь некоторыми из них и за счет этого минимизировать трудоемкость программы аудита.

Нюанс 3. При разбивке нескольких укрупненных рисков возрастает вероятность того, что некоторые факторы риска будут общими. Например, такой фактор риска, как использование устаревшего оборудования, может провоцировать как риск недостаточного качества, так и риск аварий. Данное обстоятельство указывает на то, что вся совокупность рисков компании имеет трехмерную структуру с линейными и нелинейными взаимосвязями.

Нюанс 4. При проведении декомпозиции и особенно при представлении результатов декомпозиции имеет смысл максимально использовать графическое представление информации. Хорошим подспорьем может служить такой инструмент, как диаграмма Ишикавы (рис. 3).


Рис. 3. Пример диаграммы Ишикавы


Как видно из приведенного примера, диаграмма Ишикавы позволяет как минимум отобразить риски четырех уровней (включая исходный риск).

Ситуация 2. Карта сформирована с использованием рисков без причинно-следственной связи. Все укрупненные риски являются рисками без причинно-следственной связи, однако не все риски без причинно-следственной связи являются укрупненными. Основной задачей при работе с такими рисками является установление причинно-следственной связи. Риски без такой связи просто непригодны как для формирования подхода к управлению ими, так и для конвертирования в программу аудита. Наиболее простой способ установления причинно-следственной связи заключается в проведении дополнительных интервью с автором риска (лицом, сформулировавшим риск). Как вариант, ПВА также может предложить свой вариант декомпозиции риска в качестве базового варианта для обсуждения.

Ситуация 3. Карта сформирована с использованием рисков, формулировка которых не отражает их суть. Отчасти забавная ситуация, которая, однако, периодически встречается на практике. Попросту говоря, вы читаете наименование риска и думаете об одном, а автор данного риска подразумевал совсем другое. Ключевая задача в такой ситуации состоит в уточнении формулировки риска. Пример приведен в табл. 6.


Таблица 6. Пример уточнения формулировки риска в зависимости от его сути


Как видно из приведенной таблицы, алгоритм изменения формулировки риска начинается с определения процесса и цели процесса, на который риск предположительно оказывает влияние. Определение процесса необходимо для того, чтобы определить цель процесса. Зная цель процесса, можно определить риски, реализация которых негативно отразится на достижении цели процесса. Итак, мы получили на выходе два варианта риска – риск пропуска встречи вследствие опоздания на поезд (управляемый риск) и риск пропуска встречи из-за неблагоприятных погодных условий, препятствующих движению поезда (неуправляемый риск). Возможно, оба этих риска актуальны. Таким образом, уточняя формулировку, можно получить на выходе более одного риска, т. е. произвести определенную декомпозицию. Обратите внимание также на правильность формулировок обоих рисков – в них обозначена причинно-следственная связь.

В завершение раздела, посвященного процессу конвертирования, рассмотрим практический пример использования способа 2 (кластеры процессов) на одном из крупных производственных предприятий.

На этапе формирования годового плана проектов внутреннего аудита выполнялась процедура идентификации и оценки рисков (основной метод – опрос экспертов). В результате была сформирована карта рисков. Она получилась не очень удобной для формирования программ аудита, так как практически полностью состояла из укрупненных рисков. Поскольку на данную процедуру ушло немало времени (процедура проводилась в компании впервые), было принято решение использовать укрупненные риски. Из карты рисков выбрали три самых существенных риска. Одним из них был риск невыполнения плана производства. При проведении первого аудита (на этапе планирования) на одном из предприятий компании для этого риска сформировали кластер соответствующих процессов (рис. 4). Кластер был получен на основании интервью с владельцами ключевых процессов (необходимые согласования были проведены).

Пробежимся по структуре схемы. В центре расположен процесс «Производство» и основные взаимодействующие с ним процессы: процессы «Хранение», «Подача сырья», «Складирование готовой продукции» и «Погрузка в вагоны и взвешивание». Также на процесс «Производство» влияют риски других процессов: «Закупки», «Планирование», «ТОиР» и «Логистика». Черным маркером выделены те процессы, риски которых оказывают наиболее существенное влияние на реализацию риска невыполнения плана производства, а именно:

• процесс «Закупки» – риск несвоевременной закупки сырья (вследствие изменения динамики производства и отсутствия запасов у поставщика);

• процесс «ТОиР» – риск увеличения времени ремонта вследствие внеплановых поломок;

• процесс «Производство» – риск несоблюдения требований техпроцесса по причине ошибки работника;

• процесс «Складирование готовой продукции» – риск несоблюдения условий хранения по причине несвоевременной подготовки складских помещений;

• процесс «Логистика» – риск несвоевременной отгрузки продукции (вследствие изменений позиции покупателя, недостатка вагонов, изменения маршрута транспортировки).


Таким образом, план аудита предусматривал аудит пяти процессов (процессы, отмеченные серым маркером, и неотмеченные процессы в тематику аудита не попали вследствие ограниченности ресурсов ПВА и незначительного совокупного влияния на реализацию основного риска). В ходе аудита уточнялась степень воздействия вышеуказанных рисков на основной риск (выяснилось, что значимость рисков процессов «Производство» и «Складирование готовой продукции» преувеличена), а также выявлялись дополнительные факторы основного риска (например, было установлено, что в данные систем ЦОСАДУ и АСУТП можно было вносить нерегламентированные изменения). Для справки: ЦОСАДУ расшифровывается как центральная оперативная система автоматизированного диспетчерского управления, а АСУТП – автоматизированная система управления технологическим процессом. По результатам аудита был разработан план мероприятий, направленный, в том числе, на минимизацию как изначально определенных, так и выявленных в процессе аудита рисков.


Рис. 4. Пример позиционирования риска в кластере процессов

Рекомендации по выбору подхода к проведению проектов внутреннего аудита

Возможно, ряд внутренних аудиторов со скепсисом воспримут идею и технологию риск-ориентированного подхода. Отчасти они правы. Однако они правы только в том, что многие российские предприятия пока не оперируют в своей повседневной деятельности понятиями «процесс» и «риск». Это усложняет задачу ПВА по внедрению риск-ориентированного подхода, но потенциальный эффект от внедрения с лихвой покроет все трудозатраты. Основные преимущества использования риск-ориентированного подхода заключаются в следующем:

• концентрация на наиболее существенных проблемах, препятствующих успешной работе компании;

• формирование целевых мероприятий по минимизации негативного влияния факторов рисков;

• стимулирование профессионального развития внутренних аудиторов.


Данные преимущества усиливаются при переходе от упрощенного подхода к продвинутому риск-ориентированному подходу к аудиту. Однако даже упрощенный подход дает намного более впечатляющие результаты, чем подходы, не основанные на анализе и оценке рисков.

Глава 5.
Стратегия внутреннего аудита и долгосрочное планирование (год и более), позиционирование

Стратегия функции внутреннего аудита является сферой ответственности как аудиторского комитета, так и руководителя ПВА.

На практике я не встречался с активной позицией аудиторского комитета в отношении стратегии функции внутреннего аудита в компании. Отчасти это связано с тем, что в состав аудиторских комитетов, с которыми я работал, не входили профессиональные внутренние аудиторы. Как бы то ни было, руководителю ПВА необходимо быть готовым к тому, что ему придется определять стратегию функции самостоятельно.

В процессе формирования стратегии ПВА надо определиться с несколькими ключевыми моментами.

• Момент 1. Стратегия – это план действий, который позволит ПВА занять определенное место в структуре компании через определенное время, в определенном внутреннем состоянии и с определенными сложившимися внешними связями. Вряд ли это будет откровением, если я скажу, что наличие цели – половина дела. Но с этой истиной трудно спорить. Вы стремитесь к некоему состоянию ПВА, которое необходимо максимально четко представить. У вас должна быть стратегическая цель. В отсутствие цели высока вероятность того, что ПВА окажется там, где его хотелось бы видеть большинству, – на необитаемом острове без шанса на спасение. С технической точки зрения процесс определения цели ПВА аналогичен процессу определения цели компании. Как именно будет сформулирована стратегия, во многом зависит от опыта и квалификации руководителя ПВА.

• Момент 2. В идеале стратегия и стратегическая цель формируются с использованием принципов SMART[8]. Как уже говорилось, существование даже какой-то цели намного лучше, чем ее полное отсутствие. Пример формирования стратегической цели – «Довести долю консалтинговых проектов по ключевым бизнес-процессам холдинга до 50 % от общего рабочего времени в ближайшие три года при полезности (экономический эффект плюс мнение ключевых руководителей и акционеров) сопоставимой или выше полезности стандартных проектов». Пример стратегии – «Для достижения стратегической цели необходимо:

а) увеличение доли консалтинговых проектов последовательно в течение трех лет (1-й год – 15 %, 2-й год – 30 %, 3-й год – 50 %);

б) привлечение экспертов в постоянный штат ПВА (1-й год – 1 эксперт в области производства; 2-й год – 1 эксперт в области производства и 1 эксперт в области логистики; 3-й год – 1 эксперт в области ТОиР);

в) выделение 10 рабочих дней в год для дополнительной подготовки сотрудников ПВА по процессу производства, логистики и ТОиР;

г) проведение презентаций по консалтинговым проектам на правлении холдинга на ежеквартальной основе;

д) осуществление расчетов первоначального и последующего экономического эффекта от внедрения рекомендаций по результатам консалтинговых проектов;

е) привлечение профильных НИИ для участия в консалтинговых проектах как минимум на уровне отдельных запросов».


Приведенные примеры стратегической цели и стратегии в целом неплохи, но не идеальны. Лучшую стратегию придумаете вы.

• Момент 3. Одна стратегия – хорошо, несколько стратегий – еще лучше. Стратегия предполагает, что цель, к которой вы стремитесь, отстоит во времени от момента формирования стратегии на три – пять лет. За этот срок многое может измениться. Поэтому изначально необходимо разработать два-три варианта стратегий на случай существенных изменений условий работы. Следующий шаг – определить, какие изменения будут считаться существенными. В дальнейшем все, что остается, – это держать руку на пульсе, произвольным образом отслеживать происходящее вокруг вас и компании для своевременного внесения корректировок в стратегию.

• Момент 4. Исполнение разработанного плана действий невозможно без ресурсов. В большинстве случаев ресурсы первичны. Это означает, что, скорее всего, время, бюджет ПВА, штатное расписание, доступный персонал и технологии будут ограничены. Ограничение ресурсов ограничивает вариативность и содержание стратегии ПВА. Технически нерационально отделять процесс формирования стратегии от процесса аккумулирования ресурсов. Если пойти дальше, то можно даже сказать, что стратегия ПВА как подразделения должна базироваться на стратегии формирования ресурса. Реальность данного принципа видна в примере выше. Шаг первый «Увеличение доли консалтинговых проектов последовательно в течение трех лет» представляет собой критерий достижения поставленной стратегической цели. Шаг второй и третий являются в чистом виде примером взаимосвязи стратегии формирования ресурсов с основной стратегией. Для достижения основной цели вам потребуется дополнительное время и помощь экспертов, которых еще надо найти. Шаг четвертый и пятый также связаны с формированием ресурса. Необходимо выделить дополнительное время, дополнительные трудозатраты и профессиональную экспертизу для подготовки презентаций и осуществления специфических расчетов. Шаг шестой – тоже этап стратегии формирования ресурса. Он взаимосвязан со вторым шагом, только в данном случае привлекаются внешние эксперты, что в определенных ситуациях более целесообразно.

• Момент 5. Коммуникация стратегии как непосредственному руководству, так и прочим заинтересованным лицам, как минимум руководству управляющей компании. Даже если руководитель ПВА полностью уполномочен сформировать стратегию функции внутреннего аудита на ближайшие несколько лет, он не может избежать процедуры обсуждения подготовленной стратегии. Необходимо быть готовым к тому, что результаты обсуждения окажутся неожиданными как в приятном, так и в неприятном смысле. Многое зависит от субъективных факторов, поэтому будьте готовы использовать как логику, так и приемы из психологического арсенала. Что касается процессного управления, то немногие российские предприятия могут похвастаться квалифицированным использованием базовых понятий, еще меньше – практическими наработками в данной области. Внутренний аудит является одним из бизнес-процессов предприятия и одним из относительно новых управленческих бизнес-процессов. На мой взгляд, это во многом объясняет причину существования множества мнений относительно того, чем внутреннему аудиту следует заниматься. Именно с этим в качестве основного негатива приходится сталкиваться при согласовании стратегии. Чем выше ваши коммуникативные навыки, тем больше вероятность получить согласование предпочтительного варианта стратегии. Надеюсь, он будет не только предпочтительным для руководителя ПВА, но и наиболее полезным для экономики предприятия.


Вы осознали важность наличия стратегической цели деятельности, подготовили несколько стоящих вариантов стратегии, заручились поддержкой руководства. Настало время приступить к исполнению задуманного. Степень ответственности за результат зависит от степени вашего участия в формировании стратегии. Конечно, вас могут назначить крайним в любом случае, но это тема для отдельного обсуждения. Просто будьте готовы к тому, что в случае неудачной стратегии статус-кво руководителя ПВА может пострадать. Чтобы этого не случилось, предлагаю ряд установок.

• Установка 1. Еще до начала работы в компании вы можете и должны выяснить, насколько ваш потенциальный работодатель свободно оперирует понятиями процесса постановки целей и процесса стратегического управления. В процессе общения с представителями компании с целью трудоустройства на позицию руководителя ПВА необходимо поднять вопрос о краткосрочных и долгосрочных ожиданиях руководства в отношении функции внутреннего аудита в компании. Вы можете получить самые разнообразные ответы, вплоть до таких, которые демонстрируют полное непонимание сути вопроса. В любом случае не стоит ограничиваться просто вопросом и ответом, необходимо потратить какое-то время на обсуждение данной темы. В результате на выходе вы получите как минимум два варианта – либо убедитесь, что потенциальный работодатель не оперирует обсуждаемыми понятиями, либо получите очерченное в той или иной степени стратегическое видение. В зависимости от полученного результата стоит принимать окончательное решение о трудоустройстве.

• Установка 2. Если руководитель ПВА полагает, что вопросы стратегии функции внутреннего аудита не стоят его внимания, ему необходимо избавиться от этого заблуждения. Абстрактная стратегия лучше, чем отсутствие стратегии, четкая стратегия лучше, чем абстрактная. Абстрактная стратегия обманчива – если все складывается хорошо, то она облегчает интерпретацию результатов деятельности ПВА, а вот если нет, то абстрактная стратегия усугубляет негативные последствия. Например, одна из стратегических установок звучит как «усилить контроль на предприятии». Руководитель ПВА разрабатывает план, команда ПВА проводит работу, выдает рекомендации по доработке существующих контрольных процедур и внедрению новых. Однако при обсуждении результатов может выясниться, что деятельность ПВА предполагалось оценивать по количеству компромата на нерадивых сотрудников. ПВА попадает в некрасивое положение, которое может подогреваться недовольством аудируемых и прочими прелестями незрелой корпоративной культуры, повсеместно встречающейся в российских компаниях. Таким образом, мы подходим к третьей установке.

• Установка 3. При подготовке стратегии руководитель ПВА должен принять во внимание множество факторов. Некоторые из них очевидны, некоторые весьма специфичны. Одними из специфичных факторов являются уровень развития корпоративной культуры, уровень развития корпоративного управления и уровень развития функции управления у менеджмента компании. Ключевой элемент корпоративной культуры – это система коммуникации в компании. Хорошая корпоративная культура означает, что на ваши звонки и электронную почту отвечают, назначенные встречи по большей части проходят в назначенное время, запросы доходят до адресатов с первого раза и т. п. Также хорошая корпоративная культура предполагает определенную толерантность к чужим ошибкам. Это не означает безнаказанности. Это означает возможность получить в случае просчета как минимум шанс объясниться. Сама по себе корпоративная культура складывается из множества мелочей, но ее влияние на динамику работы аудитора существенно. Среди российских компаний нечасто встретишь целенаправленное стремление к формированию здоровой корпоративной культуры. Если компания, в которой вы работаете, не входит в узкий круг этих исключений, то вам необходимо сделать стратегию более консервативной в части как сроков, так и объема и содержания работ. Особенности системы корпоративного управления предприятием оказывают труднопрогнозируемое влияние на работу внутреннего аудита. На практике встречается ряд вариантов построения такой системы – от ситуаций, когда владелец компании является одновременно ее генеральным директором и решает широкий круг оперативных вопросов, до ситуаций, когда транснациональные корпорации организуют многослойную систему управления с минимальными шансами встретить не только акционера компании, но и кого-либо из топ-менеджеров, не говоря о генеральном директоре или президенте. Каждый из вариантов требует отдельного осмысления и по-своему влияет на нюансы стратегии внутреннего аудита. Для обозначения общих взаимосвязей скажу следующее. Чем более громоздкой является система корпоративного управления предприятием, тем меньше самостоятельности у руководителя ПВА при разработке стратегии. Крупные компании требуют дополнительных согласований, порой не вполне логичных, более длительного времени для принятия решения, возможны языковые и прочие межнациональные препятствия, возможно навязывание стратегических установок из управляющей компании, возможно поверхностное восприятие информации. В российских условиях приведенные недостатки усугубляются вмешательством крупных акционеров в оперативное управление компанией, часто неоднозначными отношениями между топ-менеджментом и крупными акционерами, широким распространением неформальной коммуникации при решении оперативных вопросов и широким использованием административного ресурса. У российских компаний аллергия на системность, и это добавляет сложностей при продвижении своего стратегического видения. Идти напролом против этого феномена и его последствий бесполезно. Но как внутренний аудитор вы просто обязаны направить максимум усилий на исправление ситуации. В конце концов, российская модель корпоративного управления приносит экономике нашей страны больше вреда, чем пользы, и провоцирует многие злоупотребления, начиная от мошенничества и заканчивая техногенными катастрофами. Уровень развития управленческой экспертизы руководства вашей компании также потребует корректировки стратегии внутреннего аудита, если и не по сути, то как минимум по форме. Под управленческой экспертизой понимается способность руководства компании эффективно осуществлять пять функций менеджмента – планировать, организовывать, направлять, координировать и контролировать. Кроме того, это эффективное использование современных технологий менеджмента – процессное управление, методы организации производства (бережливое производство, кружки качества, шесть сигм и прочие), методы оценки исполнения (например, система КПЭ), управление по целям и т. д. Уровень развития управленческой экспертизы практически напрямую коррелирует с уровнем развития системы корпоративного управления предприятием. Поэтому, если вашей компании присущи элементы слаборазвитого корпоративного управления, в большинстве ситуаций это означает, что на управленческую экспертизу тоже рассчитывать не стоит. Наиболее существенным образом уровень развития управленческой экспертизы влияет на процесс формирования и распределения ресурсов. Причина в следующих ключевых моментах. Низкий уровень подготовки менеджмента потребует увеличения времени на выполнение запросов данных для целей внутреннего аудита. Низкий уровень подготовки провоцирует сомнения, сомнения рождают подозрительность, подозрительность ведет к поиску подвоха, что в свою очередь заставляет людей перепроверять предоставляемую информацию, предоставлять намеренно неполные или ошибочные данные, поступать неэтично в целом (не отвечать на запрос, «врубать дурака», переводить стрелки и т. д.), решать вопросы только в ходе неформальной коммуникации и прочее в том же духе. Больше времени будет уходить на разъяснения деталей запросов, проекта отчета, предлагаемых рекомендаций и прочих нюансов процесса проведения внутреннего аудита. Больше времени будет уходить на сбор доказательств, т. к. сами доказательства должны быть более существенными как по величине возможного ущерба, так и по категории (например, вместо устных объяснений потребуется объяснительная в письменном виде). В целом низкий уровень управленческих навыков менеджмента создает повышенный уровень сопротивления в процессе проведения внутреннего аудита и потому требует более тщательного подхода к планированию и осуществлению действий. Все это приводит к уменьшению размера отчета и упрощению его содержания, в том числе рекомендаций. На практике большинство проектов внутреннего аудита проходит именно в таких условиях. Таковы последствия большого количества случайных людей в составе менеджмента российских предприятий. Случайных как с точки зрения квалификации, так и с точки зрения мотивации.

• Установка 4. В настоящий момент существует следующая закономерность – без внешней поддержки сфера деятельности функции внутреннего аудита со временем сужается. Под внешней поддержкой подразумевается так называемый tone at the top (буквально: «тон сверху») или, другими словами, поддержка со стороны акционеров, совета директоров, аудиторского комитета, исполнительного органа компании или ключевых топ-менеджеров. Возможно, я разочарую некоторых излишне романтически настроенных аудиторов, но естественным, по крайней мере для российских компаний, является постепенное подавление функции внутреннего аудита. Порой это происходит не совсем осознанно, рефлекторно. Давление на внутренний аудит в компании оказывается со стороны большинства функциональных подразделений, даже тех, которым еще не посчастливилось по роду своей деятельности пересечься с внутренним аудитом, например в рамках планового проекта. Все это имеет несколько следствий. Во-первых, руководитель ПВА должен постоянно помнить о ползучем прессинге и реагировать до того, как потенциальная угроза станет реальностью. Ползучий прессинг в отношении внутреннего аудита встречается во всех компаниях. Обычно в компаниях, более продвинутых с точки зрения управленческих технологий, этот процесс идет более утонченно, что создает дополнительную сложность для руководителя ПВА по сравнению с менее продвинутыми компаниями. Во-вторых, с момента своего появления в компании ПВА должно претендовать на максимально возможное количество компетенций, на максимально возможную сферу деятельности. На практике я встречался с ситуациями, когда ПВА компании настолько сильно увлекалось одним из направлений, в частности аудитом бухгалтерского и налогового учета, что в дальнейшем требовались колоссальные усилия для получения возможности проводить аудиты бизнес-процессов. Ограничения такого рода крайне негативно влияют на работу ПВА. Скорее всего, руководителю ПВА не удастся с ходу получить достаточно ресурсов для работы по всем направлениям. Однако он должен при каждом удобном случае подчеркивать потенциал внутреннего аудита. Необходимо отражать любые попытки ограничить сферу деятельности ПВА, как минимум в процессе разработки и принятия положения о подразделении или устава ПВА. И, наконец, в-третьих, руководитель ПВА должен тратить много времени на «светскую» коммуникацию, т. е. не связанную напрямую с работой. Необходимо использовать любую возможность для высказывания позиции внутреннего аудита, побуждения к действию. Если ему предоставили право участвовать в заседаниях правления компании или одного или нескольких управляющих комитетов, не нужно отмалчиваться. Внутренний аудит как управленческая технология имеет позитивную направленность, т. е. направленность на создание пресловутой добавленной стоимости. Поэтому предложения в данном контексте как минимум хорошо звучат. От руководителя ПВА зависит, насколько такие предложения будут иметь практическую ценность. Обсуждайте операционные вопросы с соответствующими менеджерами при личных встречах. Это не праздное любопытство – внутренний аудит в той или иной степени ответственен за мониторинг рисков, в том числе рисков, возникающих вследствие принятия управленческих решений. Такого рода встречи также удовлетворят недостаток информации о целях, задачах и возможностях внутреннего аудита у сотрудников компании.

• Установка 5. Внутренний аудит представляет собой систему и, как любая система, имеет жизненный цикл. Основные этапы жизненного цикла функции внутреннего аудита на предприятии – становление, развитие, выход на проектную мощность и трансформация. Для каждого из них нужна своя стратегия и целевые ориентиры. При точной настройке стратегии конкретного этапа необходимо учитывать ряд других факторов – уровень развития управленческой экспертизы менеджмента, время до выхода на проектную мощность (время на «раскачку»), особенности бизнеса и структуры компании, ресурсы самого ПВА и прочее. Рассмотрим оптимальный вариант построения стратегии по каждому из этапов жизненного цикла ПВА.


Становление. Данный этап актуален для компаний, которые только приступили к созданию подразделения внутреннего аудита в своей структуре. На этапе становления у функции внутреннего аудита по большому счету есть два основных варианта стратегии. Выбор конкретного варианта зависит как от позиции руководства ПВА, так и от позиции руководства и/или владельцев компании. Во многом данная позиция определяется готовностью ждать, ждать до момента достижения внутренним аудитом, выражаясь спортивными терминами, пика формы. Готовность ждать в свою очередь проистекает из множества обстоятельств, например сложившейся динамики бизнес-процессов в компании, условий среды, в которой действует компания, особенностей отрасли и рынка, в рамках которых работает компания, в конце концов, субъективных предпочтений. Например, компании с низким уровнем бюрократии и, как следствие, динамичными бизнес-процессами, действующие в высококонкурентной среде, на рынке с относительно доступной стоимостью входа, с высокой вероятностью будут ожидать от внутреннего аудита сопоставимо быстрого выхода на проектную мощность с минимумом раскачки. Типичным примером являются компании розничной торговли. И наоборот, компании, обладающие многослойной организационной структурой и размеренными бизнес-процессами, являющиеся монополистами или занимающие доминирующее положение на рынке, вход на который связан с существенными капитальными затратами и разовыми издержками, при прочих равных вряд ли будут настаивать на чрезмерной прыти в становлении ПВА. Типичным примером являются крупнейшие окологосударственные российские компании. Таким образом, первый вариант стратегии характеризуется ожиданием быстрых результатов от ПВА и потому подталкивает к формированию стратегии quick wins (буквально: «быстрые победы»). Второй вариант стратегии дает функции внутреннего аудита ценный ресурс – время, что при определенном раскладе может предоставить внутреннему аудиту шанс дать более полезные результаты для компании. Чаще всего данный вариант единственно возможен в том случае, если подразделение формируется с нуля, отсутствуют подготовленные аудиторы и руководство ПВА малоопытно. Каждый из вариантов имеет свои плюсы и минусы. Каждый из вариантов встречается на практике. Например, мне довелось поработать и с тем, и с другим. При выборе одного из двух вариантов главное – иметь как можно более точное представление об ожиданиях руководства и/или владельцев компании.

Развитие. Данный период длится до того момента, когда польза от ПВА начинает устойчиво перекрывать затраты, связанные с его функционированием. Речь идет как о материальной компоненте такой оценки, так и нематериальной вплоть до человеческих эмоций. Я был свидетелем ситуаций, когда негативное отношение руководства компании к внутреннему аудиту приводило к застреванию функции внутреннего аудита на этапе развития. Существование самой функции в рамках компании поддерживалось вялой протекцией со стороны ключевых акционеров. Но такова реальность, и к ней надо быть готовым. Как будут развиваться события на этой стадии, зависит от стратегии, выбранной на этапе становления. В случае стратегии «быстрых побед» мы получаем возможность довольно быстро пройти стадию развития. Однако это возможно только в случае, если на этапе становления ПВА получило достаточно сильный человеческий ресурс, попросту говоря, хорошо подготовленных аудиторов. Такое происходит обычно, когда руководство ПВА подтягивает свою команду с предыдущих мест работы при условии, что эта команда способна дать результаты, которые оценит текущее руководство. Стратегию «быстрые победы» довольно сложно реализовать на практике без наличия как минимум одного-двух сильных внутренних аудиторов. Таким образом, если мы выбрали данную стратегию и имеем требуемый ресурс для ее реализации, то при отсутствии существенных ошибок в процессе деятельности и при сохранении ресурса переход из стадии становления в стадию развития происходит довольно быстро, примерно в течение шести – девяти месяцев. Если обстоятельства или осознанное решение привело нас к выбору второго базового варианта стратегии становления, то на переход в стадию развития в большинстве случаев потребуется не меньше года.

Выход на проектную мощность. При успешном прохождении стадии развития ПВА переходит в относительно благоприятный этап последовательного наращивания позитивных результатов работы. Относительная благоприятность данного этапа заключается в ряде обстоятельств. Во-первых, к этому моменту ПВА должно уже освоиться в компании, обрести понимание локальных причинно-следственных связей, пройти личностную притирку. Во-вторых, если ПВА добралось до данной стадии, это означает, что в большинстве случаев результаты работы ПВА соответствуют ожиданиям и запросам руководства компании и/или акционеров. Отдельный вопрос – являются ли такие результаты полезными для самой компании, поскольку в некоторых компаниях, например, импотентность ПВА даже поощряется, чаще всего негласно. Оптимальный вариант действий на данном этапе заключается в развитии и закреплении достигнутого успеха. На предыдущих этапах ПВА получает представление о наиболее критичных для компании рисках. Это позволяет более прицельно планировать проекты внутреннего аудита. Быстрые победы, достигнутые на относительно небольших выборках данных, можно развить за счет увеличения выборки и масштабов проектов. Появляется возможность последовательно улучшать качество имеющихся у ПВА ресурсов, например за счет организации регулярного обучения сотрудников. Появляется возможность совершенствовать процессы самого ПВА, например за счет внедрения программ по управлению процессов внутреннего аудита. Несмотря на множество позитивных моментов, сопровождающих данный этап, необходимо помнить, что цена ошибки если и снижается по сравнению с предыдущими этапами, то ненамного. Это обстоятельство усугубляется еще и тем, что к моменту достижения стадии выхода на проектную мощность у ПВА с высокой вероятностью появляются первые враги. Любая ошибка ПВА рассматривается ими как возможность подгадить. Также если ПВА добралось до данной стадии, а врагов вокруг не наблюдается, то не исключено, что ПВА ценят в компании за красивые глазки и пустую голову.

Трансформация. Как говорится, все рано или поздно заканчивается. Однако не стоит в этом видеть только негативную сторону. В силу своей специфики внутренний аудит по сравнению с большинством других функций компании должен быть менее всего подвержен пассивному самолюбованию. Внутренний аудит всегда должен искать пути увеличения своей полезности для деятельности компании. Переход в стадию трансформации может быть вызван как внутренними (по отношению к ПВА), так и внешними причинами. Последние обычно более разнообразны. Например, смена акционеров или руководства компании, выход на IPO, слияние или поглощение, изменение риск-аппетита, форс-мажорные обстоятельства. Внутренние причины на фоне внешних относительно малочисленны. С точки зрения развития ПВА нас должно интересовать только одно – готовность и способность ПВА выйти на новый качественный уровень деятельности. Например, если на протяжении нескольких лет ПВА занималось только оценкой систем внутреннего контроля, то переход к осуществлению консалтинговых проектов потребует от ПВА существенного преобразования деятельности, т. е. перехода в стадию трансформации. Лучше не заниматься самообманом и принять аксиому – любое ПВА рано или поздно доберется до этой стадии. Правильные ПВА стремятся осознанно перейти в нее, т. к. поиск лучшего применения своих возможностей – это всегда правильная стратегия. В конце концов, внутренний аудит является сервисной функцией и должен прилагать усилия по созданию заинтересованности в своих услугах.

Глава 6.
Общая структура и основные этапы проекта внутреннего аудита

ПВА может участвовать в различных проектах. Сама деятельность ПВА является, по сути, проектной. Все многообразие данных проектов можно свести к пяти основным категориям, а именно:

1) аудит системы внутреннего контроля бизнес-процессов (включая аудит эффективности построения бизнес-процессов);

2) консалтинговые проекты;

3) выявление и расследование фактов мошенничества и иного несанкционированного распоряжения имуществом компании;

4) аудит финансовой отчетности;

5) аудит соблюдения требований законодательства и внутренних регламентирующих документов.


Правильный аудит в основном занимается проектами, относящимися к первым трем категориям с большим уклоном в сторону первых двух. К консалтинговым обычно относятся проекты, в которых достижение цели не связано с необходимостью осуществления полного спектра аудиторских процедур. К ним относятся, например, проекты по:

• созданию регламентов, форм отчетности, процедур, процессов;

• осуществлению процедуры дью дилидженс[9];

• оптимизации бизнес-процессов;

• реорганизации юридических лиц, включая продажу, слияния и поглощения;

• оценке стоимости имущества компании.


С точки зрения аудиторских процедур наиболее насыщенными являются проекты по аудиту системы внутреннего контроля бизнес-процессов (включая аудит эффективности построения бизнес-процессов). Остальные категории проектов выполняются с применением лишь отдельных аудиторских процедур. Например, при аудите финансовой отчетности не составляются описания процессов, не проводится сквозное тестирование, не формируются матрицы рисков, ограниченно используются аналитические процедуры и детальное тестирование. По этой причине мы рассмотрим структуру и содержание основных этапов аудиторского процесса при выполнении проектов первой категории. Также хотелось бы обратить внимание на формулировку проектов первой категории. Большинство аудиторов являются специалистами в первую очередь в области внутреннего контроля. Способность команды внутренних аудиторов оценивать эффективность построения бизнес-процессов во многом зависит от ее опыта и ряда других навыков и знаний. Однако система внутреннего контроля бизнес-процесса и структура и содержание данного бизнес-процесса очень тесно взаимосвязаны. Поэтому для повышения ценности своей работы каждый внутренний аудитор должен стремиться стать экспертом не только по системе внутреннего контроля процессов, но и по нюансам организации и построения ключевых бизнес-процессов.

Общая структура и основные этапы процесса управления проектами внутреннего аудита представлены на рис. 5. Данная структура и основные этапы процесса наиболее типичны для холдинговых компаний с централизованной функцией внутреннего аудита. Разумеется, в разных компаниях этот процесс может иметь вариации. Тем не менее в большинстве компаний, в которых есть ПВА, процесс управления проектами внутреннего аудита в целом имеет указанную структуру и содержание.

Основными участниками процесса являются:

• подразделение внутреннего аудита – напрямую заинтересовано в результатах процесса, поэтому в большинстве случаев должно выступать основным исполнителем, координатором и организатором;

• аудиторский комитет/генеральный директор – во многих случаях ПВА подчиняется либо аудиторскому комитету, либо генеральному директору, которые осуществляют общее руководство (что в том числе подразумевает необходимость согласования с ними, так скажем, крупных моментов);

• руководство ключевых бизнес-процессов – в большинстве случаев это топ-менеджмент, возглавляющий определенную функцию в компании и подчиняющийся единому исполнительному органу компании (например, генеральному директору). Типичным примером являются руководители ключевых подразделений (например, заместитель генерального директора по производству или заместитель генерального директора по экономике и финансам) управляющей компании холдинга. Потенциально такие руководители обладают максимумом информации по направлениям своей деятельности в целом по холдингу (функциональные руководители отдельных предприятий, входящих в холдинг, в большинстве случаев имеют отрывочное представление о факторах риска в деятельности других предприятий холдинга);

• руководство объектов аудита – в классическом варианте это топ-менеджмент отдельного предприятия (входящего в состав группы). Намного реже в качестве руководства объекта аудита выступает руководство одного из ключевых процессов независимо от того, в каком юридическом лице данный процесс начинается и/или заканчивается. Последний вариант формирования объекта аудита встречается значительно реже первого варианта по той причине, что возможности ПВА по проведению аудита разных юридических лиц несопоставимы. Например, во многих холдинговых структурах управляющая компания в той или иной степени неприкасаема для аудита. Практически всегда это неправильно, т. к. многие проблемы контроля и криво организованных бизнес-процессов растут именно из головной компании;

• дирекция по управлению рисками – наименование говорит само за себя. Однако основная задача такого рода подразделений заключается в построении процесса управления рисками. Результаты данной работы в чистом виде не всегда пригодны для формирования карты рисков. По этой причине в большинстве случаев дирекция по управлению рисками является просто одним из участников процесса выявления и оценки рисков.


Рис. 5. Общая структура и основные этапы процесса управления проектами внутреннего аудита


Рассмотрим бегло содержание этапов процесса.

Идентификация и оценка рисков. Содержание данного процесса описано в главе «Формирование риск-ориентированного подхода к проведению проектов внутреннего аудита». Идентификация и оценка рисков может осуществляться как в рамках упрощенного, так и продвинутого метода риск-ориентированного аудита. Участие руководства ключевых бизнес-процессов в этом процессе обязательно. Руководство объектов аудита может принимать участие в процессе в зависимости от ситуации – основными препятствиями являются ограниченность ресурсов ПВА и жесткие временные рамки, а также целесообразность привлечения руководства потенциальных объектов аудита к процессу формирования карты рисков (учитывая, например, его стремление скрывать проблемы).


Построение карты рисков. Согласование карты рисков. Карта рисков должна соответствовать ряду требований. Ключевое требование заключается в обеспечении максимальной пригодности такой карты для формирования плана и программ аудита. Разумеется, сама карта должна представлять исчерпывающую и объективную картину наиболее существенных рисков компании. Содержание этого процесса также описано в главе «Формирование риск-ориентированного подхода к проведению проектов внутреннего аудита».

Что касается согласования карты рисков, то здесь есть один нюанс. Если руководство ключевых бизнес-процессов и/или руководство объекта аудита не принимало участия в идентификации и оценке рисков, то процесс согласования в лучшем случае пойдет со скрипом, а часто может просто саботироваться. Согласование призвано способствовать как максимально полной и объективной оценке рисков компании, так и формированию заинтересованности в поиске и выработке способов управления выявленными рисками. Согласование может показаться способом манипуляции, однако такое восприятие ошибочно – это объективно полезная и позитивная процедура.


Формирование плана на год. Согласование плана на год. ПВА должно формировать план проектов на год с учетом ряда нюансов.

Нюанс 1. План должен быть по силам для ПВА с точки зрения ресурсоемкости, требований к компетенции и наличия административной поддержки. Все эти составляющие осуществимости плана зависят от разнообразных факторов.

Ресурсоемкость в первую очередь соотносится со способностью конкретного аудитора или команды аудиторов выполнить определенную работу за определенное время с достижением необходимого качества. Повышение профессионального уровня аудиторов, увеличение их количества, поддержание высокой мотивации, уменьшение количества и снижение сложности проектов и многое другое способствуют повышению ресурсоемкости плана. Обратные тенденции способствуют снижению ресурсоемкости плана. Руководитель ПВА не должен забывать, что людям для того, чтобы хорошо работать, необходимо хорошо отдыхать. План не должен заставлять прыгать выше головы в течение слишком длительного времени.

Команда аудиторов должна быть способна выполнить план при текущем уровне знаний, опыта и навыков. Если руководитель ПВА формирует проект аудита, для исполнения которого уровень компетенции его команды недостаточен, он должен позаботиться о привлечении необходимой компетенции со стороны.

Отсутствие административной поддержки является серьезным препятствием на пути выполнения плана аудита. Чем ниже уровень корпоративной культуры и чем выше уровень бюрократии и политизированности в компании, тем большее значение имеет обеспечение достаточной административной поддержки для успешного выполнения плана аудита. Все это попахивает крысиными бегами, однако такова российская действительность.

Нюанс 2. План должен учитывать пожелания как непосредственного руководства ПВА (например, аудиторского комитета), так и пожелания генерального директора, руководства ключевых бизнес-процессов, а также, порой, руководства потенциальных объектов аудита. Пожелания учитываются отнюдь не из вежливости, а для обеспечения взаимовыгодного сотрудничества ради процветания компании. Разумеется, пожелания могут быть нацелены на сдерживание особо прытких ПВА. Однако нередко их учет приносит немалую пользу. Управление данным нюансом во многом зависит от способностей руководителя ПВА. При этом стоит помнить, что необоснованный отказ от учета пожелания может осложнить работу ПВА в будущем.

Нюанс 3. План должен предусматривать резерв времени. Год – довольно продолжительный период. В течение года может произойти множество событий как способствующих исполнению плана, так и препятствующих его исполнению. К последним относятся временное отсутствие сотрудников ПВА по различным причинам, организационные накладки, отсутствие ключевых сотрудников объекта аудита, затягивание выполнения проектов и т. д.

Кроме того, довольно часто резерв времени создается под точечные проекты, возникающие в оперативном порядке. ПВА важно оказывать максимальную поддержку бизнесу. Обычно резерв составляет 10–15 % от времени всех плановых проектов.

Нюанс 4. План должен иметь достаточную детализацию. Как минимум он должен представлять собой план-график с указанием начальной и конечной дат каждого проекта и общей продолжительности проекта. При наличии нескольких команд внутренних аудиторов в составе ПВА необходимо распределить проекты между ними. При более детальном планировании каждый проект разбивается на ключевые этапы, которые расставляются в хронологической и процессной последовательности.

Нюанс 5. План должен иметь несколько вариантов. Это объясняется несколькими причинами. Во-первых, стороны, согласующие план, должны иметь несколько вариантов для выбора наилучшего с их точки зрения. Формируя несколько версий плана, руководитель ПВА предоставляет такую возможность. Во-вторых, различные сочетания ресурсов, имеющихся в распоряжении ПВА, могут предоставлять разные возможности проведения проектов. Чаще всего ПВА не хватает ресурсов для проведения всех проектов, результаты которых могли бы принести существенную пользу компании. Многие проекты приходится откладывать, а некоторые могут вообще не состояться. Поэтому руководитель ПВА должен постоянно напоминать своему руководству и руководству компании, что теряет компания, ограничивая ресурсы ПВА. Составление нескольких вариантов плана (с различными сочетаниями ресурсы/результаты) – один из способов напоминания. Однако основная цель – не напомнить об упущенных возможностях, а заинтересовать в максимальном использовании функционала внутреннего аудита. В-третьих, план дает руководителю ПВА некоторые возможности по манипулированию как своим руководством, так и руководством компании. Ведь всегда можно сделать один вариант более привлекательным, чем остальные. Самое главное – пользоваться этим, когда необходимость в целесообразной манипуляции действительно существует.

Процедура согласования плана проектов внутреннего аудита может иметь свои особенности в разных компаниях. Однако в целом она довольно типична – представление плана и сопутствующих материалов, рассмотрение их согласующей стороной, презентация и обсуждение плана на итоговой встрече (например, на одном из заседаний аудиторского комитета в четвертом квартале), вынесение окончательного решения (например, протокол заседания аудиторского комитета). В некоторых компаниях утвержденный план проектов внутреннего аудита может приниматься в виде отдельного распорядительного документа за подписью руководителя компании (например, приказ за подписью генерального директора). Нелишним будет известить руководство объектов аудита о деталях принятого плана, имеющих отношение к данным объектам аудита.


Планирование проекта. Формирование запроса информации. Исполнение запроса/интервью. В большинстве случаев процедура планирования проекта стартует именно с формирования запроса информации у объекта аудита, особенно если этот объект впервые попал в план. Содержание запроса полностью зависит от целей проекта. Запрос направляется руководству объекта аудита в виде официального письма. Так как основанием для исполнения запроса является начало проекта, имеет смысл описать в нем его основные параметры (сроки, участники команды аудиторов, ключевые требования к объекту аудита и т. д.).

В ряде случаев на этапе планирования проводятся встречи с руководством ключевых бизнес-процессов. Они могут преследовать различные цели, например:

• получить общую информацию по текущему статусу объекта аудита;

• узнать ожидания и пожелания руководства ключевых бизнес-процессов;

• представить общую информацию о проекте.


На этапе планирования происходит уточнение тех целей и задач, которые были сформированы при годовом планировании. Не исключено, что картина рисков для объекта аудита изменится с момента утверждения и согласования годового плана аудита. Поэтому, если план аудита формировался на основе оценки рисков, такую оценку необходимо уточнить. Для этого могут проводиться те же самые процедуры, что и на этапе годового планирования, но точечно (только в отношении конкретного объекта аудита и конкретных факторов риска). В некоторых случаях улучшение управления определенными рисками приводит к тому, что объект аудита перестанет представлять интерес для целей внутреннего аудита. В такой ситуации стоит исключить этот объект из плана и заняться другим объектом аудита.

При использовании риск-ориентированного метода аудита на этапе планирования составляется матрица рисков и контрольных процедур.

Более подробно процесс планирования проекта внутреннего аудита проанализирован в главе 7.


Проведение организационной встречи. Такого рода встреча проводится на территории объекта аудита. Она преследует несколько основных целей:

Конец ознакомительного фрагмента

Прочитайте эту книгу целиком, купив полную версию.

Безопасно оплатить книгу можно банковской картой Visa, MasterCard, Maestro, со счета мобильного телефона, с платежного терминала, в салоне МТС или Связной, через PayPal, WebMoney, Яндекс.Деньги, QIWI Кошелек, бонусными картами или другим удобным Вам способом.