Читать онлайн Настольная книга по внутреннему аудиту. Риски и бизнес-процессы бесплатно

Место внутреннего аудита в управленческой иерархии предприятия

Регламентация деятельности функции внутреннего аудита

Деятельность функции внутреннего аудита должна определенным образом регламентироваться[2]. Следует заметить, что слово «регламент» многие понимают как письменный свод неких правил и установок, регулирующих деятельность. Однако это заблуждение, ибо лексическое значение данного слова не уточняет способ представления.

Сложно представить успешное ПВА, большая часть процессов которого осуществлялась бы произвольно[3]. В практике чаще всего встречаются три вида регламентов:

• устав (положение о) подразделения внутреннего аудита;

• регламент взаимодействия с другими подразделениями;

• руководство по осуществлению проектов внутреннего аудита.

Устав (положение о) подразделения внутреннего аудита. Устав, по определению, представляет собой основополагающий документ для функции внутреннего аудита. Согласно Международным профессиональным стандартам внутреннего аудита положение о подразделении внутреннего аудита «…является внутренним документом, определяющим цели, полномочия и обязанности подразделения внутреннего аудита. В положении о внутреннем аудите определяются статус внутреннего аудита в организации, включая характер функциональной подотчетности руководителя внутреннего аудита совету; объем и содержание деятельности внутреннего аудита, закрепляется право доступа к документации, сотрудникам и материальным активам при выполнении соответствующих заданий». Мне всегда нравилась основная идея данного документа – снять раз и навсегда глобальные вопросы в отношении функции внутреннего аудита в компании (что должна делать, на что имеет право). Однако в российской реальности применение подобного положения имеет особенности. Во-первых, применять его в полной мере можно только в пределах того юридического лица, в котором оно было принято. Формально, если объект аудита не является с юридической точки зрения частью упомянутого юридического лица, то и следовать установкам положения о подразделении внутреннего аудита он не обязан. Во-вторых, положение во многих случаях содержит довольно общие формулировки, которые легко могут быть интерпретированы по-разному. В-третьих, подобные положения часто имеют ограниченную юридическую силу или не имеют ее вовсе, что затрудняет их использование. В основном это обусловлено несоблюдением норм российского законодательства, регулирующих деятельность акционерных обществ и обществ с ограниченной ответственностью. Например, в положении указывается, что ПВА подчиняется аудиторскому комитету. Однако такой комитет еще не создан, так как совет директоров либо еще не рассмотрел данный вопрос, либо не обладает полномочиями создавать подобные комитеты, либо не уполномочен утверждать никакие внутренние регламентирующие документы компании. Также не стоит забывать, что сам аудиторский комитет является в определенном смысле аморфной структурой – с точки зрения российского законодательства такой структуры вообще не существует, и, даже если такой комитет создается, он не имеет права самостоятельно принимать никаких решений, а должен транслировать информацию и свои оценки совету директоров. Это снижает эффективность работы аудиторских комитетов хотя бы потому, что окончательное мнение всегда за советом директоров.

Регламент взаимодействия с другими подразделениями. В данном регламенте можно прописать различные нюансы действий объекта аудита в ответ на действия ПВА. Например, можно определить следующие моменты:

• обязанности объекта аудита по обеспечению команды внутренних аудиторов рабочими местами установленного формата;

• обязанности объекта аудита по предоставлению информации в ответ на запрос ПВА в течение установленного времени;

• обязанность ПВА направлять запрос в соответствие с прописанной процедурой;

• обязанность ПВА предоставлять результаты проектов внутреннего аудита на рассмотрение руководства объектов аудита до их передачи другим адресатам;

• обязанность объекта аудита формировать план исправительных мероприятий по завершении проекта внутреннего аудита и согласовывать его с ПВА;

• обязанность объекта аудита обеспечить присутствие сотрудников, присутствие которых считается обязательным, по мнению ПВА.

В целом основной целью такого регламента является регулирование ключевых точечных организационных моментов, связанных с осуществлением основной функции внутреннего аудита. Разумеется, в условиях российской реальности наличие регламента не гарантирует его исполнения. Однако в одних случаях регламент может служить просто памяткой для сотрудников объекта аудита, а в других – действенным механизмом повышения эффективности работы ПВА (при условии, что регламент утвержден отдельным организационно-распорядительным документом, подписанным как минимум руководителем организации).

Руководство по осуществлению проектов внутреннего аудита (audit manual). В отличие от предыдущих двух документов данное руководство является исключительно внутренним регламентом. Основная его цель – регламентировать порядок осуществления подпроцессов и процедур в рамках процесса внутреннего аудита, а также во многих случаях методологию их осуществления. Другими словами, данный документ описывает, что и как делать до, во время и после выполнения проекта внутреннего аудита. Он формируется на усмотрение руководителя ПВА. Руководство частично решает задачу профессионального инструктажа, а также способствует унификации деятельности ПВА. Для относительно небольших по численности ПВА, в состав которых входят внутренние аудиторы высокой квалификации, составление руководства не имеет особого смысла. Однако крупным аудиторским подразделениям, особенно где высока текучесть кадров и работают аудиторы с разными уровнями подготовки, руководство может быть очень полезно. Разумеется, все зависит от качества подготовки документа. На подготовку более-менее вменяемого руководства для крупного правильного аудиторского подразделения (практикующего риск-ориентированный подход к аудиту) с нуля требуется не менее шести месяцев работы одного хорошего методолога.

В своем исходном варианте деятельность внутренних аудиторов во многом направлена на совершенствование системы внутреннего контроля. Такая специализация требует существенных знаний в тех областях, которые напрямую связаны с системой внутреннего контроля, включая технические и даже психологические аспекты. В данной главе детально разобраны ключевые цели контроля, а также ряд принципов контроля, знание которых может существенно улучшить результаты работы внутреннего аудитора.

С фундаментальной точки зрения в основе системы внутреннего контроля предприятия лежит выбор оптимальной пропорции между контролем и риском (см. рис. 1). Оптимум практически всегда индивидуален. Выбор оптимальной пропорции часто осуществляется неосознанно. Одна из ключевых задач внутреннего аудитора – сделать процесс выбора осознанным.

^{Рис. 1. Корреляция контроля и риска}

Необходимость выбора вытекает из того, что в любой момент времени предприятие не может одновременно максимизировать и контроль, и рост. Оно либо фокусируется на росте и подвергает свою деятельность большему количеству разных по существенности рисков, либо концентрируется на контроле деятельности, жертвуя возможностями. Условно говоря, предприятие, ориентированное на рост, движется больше по экстенсивному пути развития – завоевывает новые рынки, увеличивает штат сотрудников, наращивает производственные мощности и т. д. Предприятие, сконцентрированное на контроле, в большей степени тяготеет к интенсивному пути развития – пытается максимизировать имеющийся потенциал процессов, проводя при этом более консервативную политику в области управления рисками.

На рис. 1 представлена общая логика перехода от стратегии роста к стратегии контроля и наоборот. Такая логика обусловлена в первую очередь тем, что ресурсы, имеющиеся в распоряжении любого предприятия, всегда ограниченны. Например, можно не испытывать дефицита денежных средств, но все равно не иметь возможности сочетать обе стратегии, роста и контроля, по максимуму, так как контроль требует дополнительных затрат времени, а в условиях стратегии роста любое промедление может означать проигрыш. При движении в сторону стратегии абсолютного роста уровень риска растет (от Y2 к Y1), при этом расходы на контроль падают (от X2 к X1). При движении в сторону стратегии абсолютного контроля происходит обратное. Понятие «расходы» используется в широком смысле (денежные средства, время, оборудование, энтузиазм и т. д.).

Каждое предприятие в разные периоды своего развития тяготеет к одной из двух ключевых стратегий. Внутренние аудиторы по определению являются адептами стратегии контроля. Однако правильный внутренний аудитор должен стимулировать своими действиями выбор руководством оптимального сочетания риска и контроля, оптимального сочетания двух ключевых стратегий.

Ключевые цели контроля

Можно выделить шесть ключевых, унифицированных целей контроля:

1) обоснованность;

2) правильность;

3) полнота;

4) своевременность;

5) соответствие;

6) сохранность.

Обоснованность. При прочих равных условиях данная цель контроля является, пожалуй, наиболее важной с точки зрения последствий, которые возникают в результате ее недостижения. Во многих случаях, чтобы обеспечить достижение данной цели, необходимо ответить на вопрос «почему?». По сути, контроль обоснованности заключается в оценке того, насколько объект контроля соотносится с взаимодействующими с ним объектами и/или явлениями, событиями сообразно определенным правилам. Обоснованность обеспечивает наличие истинной причинно-следственной связи. Контролировать обоснованность – значит следить за тем, чтобы события развивались в соответствии именно с истинной причинно-следственной связью. Контроль обоснованности часто осложняется потребностью в специальных знаниях. В среде российских управленцев популярен такой механизм контроля обоснованности, как экспертное мнение, даже тогда, когда достаточно выполнить несложные расчеты. Последствия такого выбора – сотни миллиардов рублей, неэффективно потраченных и порой откровенно сворованных.

Правильность. Основной вопрос, на который нужно ответить для достижения данной цели контроля, – это «как?». Если для оценки обоснованности необходимо оценить соотношения, то для оценки правильности требуется сравнение с эталоном. Чаще всего контролируют правильность цифр. Обоснованность часто ситуативна, т. е. сейчас это обоснованно, а завтра нет. Правильность более универсальна, так как часто подчиняется общим правилам.

Полнота. Эта цель контроля при прочих равных условиях является, пожалуй, наиболее редкой. Чтобы оценить полноту, необходимо ответить на вопрос «есть ли что-то еще?». Контроль полноты может осложняться отсутствием точного представления о конечном значении. Контроль полноты относится исключительно к количественным характеристикам.

Своевременность. Основной вопрос, на который нужно ответить для достижения данной цели контроля, – это «когда?». Чтобы обеспечить своевременность, необходимо создать условия для того, чтобы конкретное событие произошло в конкретный момент. По этой причине понятие своевременности всегда связано либо с действием, либо с бездействием. Контроль своевременности – это прямой контроль порядка использования такого ключевого ресурса, как время.

Соответствие. Это довольно специфичная цель контроля. Отчасти она напоминает контроль правильности, однако при контроле соответствия в первую очередь обращают внимание на форму, а не на содержание. Соответствие часто означает именно внешнее, формальное соответствие. Оценить соответствие – значит ответить на вопрос «насколько?» или «в какой степени?».

Сохранность. Это также специфичная цель контроля. Контроль сохранности в первую очередь направлен на обеспечение физической целостности и сохранение исходных физических свойств объекта контроля. По этой причине в большинстве случаев контроль сохранности связан с понятиями, характеризующими движимое и недвижимое материальное имущество. Часто, чтобы оценить контроль сохранности, нужно ответить на вопрос «как?».

Может показаться, что шести базовых целей контроля маловато, особенно с учетом того, что они формируют практически исчерпывающий перечень целей контроля для любого процесса и любой системы. Однако не стоит забывать, что шесть целей контроля образуют 120 сочетаний. Это особенно важно в связи с тем, что на практике очень часто цели контроля присутствуют в различных сочетаниях. Например, при формировании параметров бюджета необходимо обеспечить как обоснованность параметров, так и их правильный расчет и подготовку к определенному моменту. Таким образом, в данном примере мы имеем сочетание трех целей контроля, а это приводит к созданию определенного дизайна сочетания контрольных процедур, который отличается от дизайна каждой контрольной процедуры в отдельности. Кроме того, не стоит забывать, что структура и содержание контроля очень сильно зависят от структуры и содержания объектов контроля, например процессов. А ведь даже одинаковые процессы могут сильно отличаться друг от друга в зависимости от различных факторов, например таких элементарных, как владельцы процессов.

Также хотелось бы обратить внимание на еще пару нюансов. Первый касается понятия «достоверность». Ряд аудиторов считают, что достоверность – это отдельная цель контроля. Однако она, по сути, всего лишь сочетание нескольких целей контроля – обоснованности, правильности, полноты и в меньшей степени своевременности.

Второй нюанс касается понятия «авторизация». В соответствии с определением, данным в Википедии, «авториза́ция (от англ. authorization – разрешение, уполномочивание) – предоставление определенному лицу или группе лиц прав на выполнение определенных действий; а также процесс проверки (подтверждения) данных прав при попытке выполнения этих действий». Классическим примером авторизации является подпись сотрудника на документе, согласующего осуществление определенных действий определенным лицом в будущем. В последнее время понятие авторизации все чаще ассоциируется с компьютерными программами, но суть от этого не меняется и заключается в том, что авторизация не является контролем, а в идеале представляет собой только свидетельство проведения определенного контроля. Однако нередко люди, осуществляющие авторизацию, не совсем представляют себе, какие именно контрольные действия они должны осуществить, а само построение процесса оставляет это им на откуп. По этой причине необходимо расшифровывать и уточнять, проведение каких контрольных действий и в каком объеме означает авторизацию.

Принцип пирамиды приоритетов

Данный принцип основывается на постулатах теории ограничений (Theory of Constraints). Одним из фундаментальных понятий теории ограничений является понятие так называемого бутылочного горлышка (bottleneck) или, другими словами, узкого места в процессе, мешающего достижению цели процесса. По аналогии в большинстве случаев набор контрольных процедур любого процесса может быть выстроен в пирамиду контрольных процедур, расставленных на основе их приоритета. Приоритет определяется способностью контрольной процедуры влиять на достижение целей процесса. Можно утверждать, что в каждом процессе существует одна-две ключевые контрольные процедуры, в отсутствие которых любые усилия по контролю процесса будут напрасны. Возьмем, например, процесс «Закупки». Он начинается с процедур формирования обоснованной потребности в закупках. Отсутствие или неэффективность контроля обоснованности на данном этапе ведет к формированию необоснованной потребности и ряду негативных последствий, таких как затоваривание складов (покупают больше, чем нужно, и не то, что нужно), воровство (если заказано больше, чем нужно, то можно часть заказанного получить только на бумаге), неэффективное расходование ресурсов (если заказали больше, чем нужно, то можно особо не экономить). Эти последствия можно отчасти нивелировать, например проводить более регулярные и масштабные инвентаризации с целью выявления невостребованных остатков ТМЦ и организации их реализации. Однако такие меры не имеют профилактического характера, влекут за собой дополнительные расходы и сами по себе обладают лишь определенной степенью надежности.

Основной вывод, который следует из данного принципа, заключается в том, что правильный аудитор должен всегда фокусировать свою деятельность на оценке контрольных процедур в порядке убывания их приоритетности. До тех пор пока не будут налажены ключевые контрольные процедуры процесса, процесс всегда будет работать с пониженным КПД, независимо от состояния менее приоритетных контрольных процедур. Конечно, в практике внутреннего аудита возникают ситуации, когда внутренние аудиторы не могут особо повлиять на структуру и содержание ключевых контрольных процедур (например, владельцы процесса на особом положении у владельца компании). В этом случае им необходимо способствовать созданию максимально действенных компенсирующих контрольных процедур, а также воспользоваться принципом охотника (см. далее). Однако в подавляющем большинстве случаев система компенсирующих контрольных процедур имеет ограниченный эффект и обычно связана с дополнительными затратами.

Принцип адаптивности системы контроля

Правильная система внутреннего контроля должна подстраиваться как к изменениям целей процессов, так и к изменениям их структуры и содержания. С течением времени значимость одних контрольных процедур может падать, а других – повышаться. Факты изменения процессов и/или их целей должны привлекать внимание аудитора. В таких случаях высока вероятность обнаружения расхождения между темпами изменения процесса и темпами изменения системы внутреннего контроля данного процесса.

Принцип охотника

В большинстве случаев охотник физически не в состоянии играть по правилам добычи, так как большинство животных превосходят его по тем или иным физическим параметрам. По этой причине охотник не идет, что называется, в лобовую атаку, а создает условия, когда его шансы и шансы жертвы будут хотя бы приблизительно равны. Другими словами, он создает условия для победы.

Именно таким образом и должен действовать аудитор, когда при попытке внести изменения в систему внутреннего контроля процесса обстоятельства складываются явно не в его пользу. Например, внедрению контрольных процедур могут препятствовать отдельные сотрудники предприятия, обладающие большим влиянием. Бывает, что этому сопротивляется большинство сотрудников, например по причине низкой исполнительской дисциплины. В таких ситуациях планы мероприятий по улучшению внутренних контрольных процедур процессов могут игнорироваться в течение продолжительного времени либо выполняться формально. В этом случае следует действовать подобно охотнику, загоняющему дичь, т. е. ограничивать пути отступления. Необходимо последовательно ограничивать поле бесконтрольной деятельности за счет дозированных изменений как контрольных процедур, так и факторов, способствующих повышению их эффективности. Например, по процессу «Закупки», в случае отсутствия на предприятии процедуры проведения тендеров, можно ввести такую процедуру сначала только для крупных сделок, затем, как вариант, централизовать приобретение крупных позиций в управляющей компании и т. д. Если план по созданию выборочных контрольных процедур не срабатывает, можно зайти с другой стороны и приступить к наращиванию статистической базы доказанных последствий отсутствия процедуры тендеров. Основная цель такой базы – накопить критическую массу примеров, которые поднимут важность изменений на требуемый уровень. При этом полезно увеличивать за счет коммуникаций круг сторонников предлагаемых аудитором изменений и искать подходящий момент для того, чтобы снова инициировать отвергнутую поначалу волну изменений.

Аудитор должен помнить о том, что у каждого объекта аудита свой уровень восприимчивости изменений. Грубо говоря, в объект аудита невозможно втолкнуть больше изменений, чем он может переварить. В связи с этим соблюдение принципа охотника особенно важно. Во многом на уровень восприимчивости оказывают влияние качественные характеристики руководства объектов аудита.

Принцип от обратного, или Принцип пряника

Во многих ситуациях целесообразнее и проще стимулировать желательное поведение, чем пытаться искоренить нежелательное. Особенно это касается процессов, возможность эффективного контроля которых ограничена существенными и объективными факторами. Классическим примером является процесс производства. В большинстве случаев контроль процесса производства требует специфических знаний и навыков, которыми обладает не только не каждый аудитор, но и не каждый производственник. Например, можно бороться с завышенным расходом материалов, проводя внезапные инвентаризации, осуществляя сложные расчеты фактического использования материалов и/или нормативов расхода материалов, ограничивая выдачу материалов. При этом можно по каждому факту завышения устанавливать виновного и налагать взыскания. В то же время можно ввести доплату (премию) за экономию материалов (например, по сравнению с прошлыми периодами в пересчете на единицу продукции) при сохранении требуемого качества. Таким образом, получается, что в одном случае цель контроля достигается за счет наказания за неприемлемые действия, а в другом – за счет поощрения желаемых действий. В обоих случаях контроль объема используемых материалов требует дополнительных расходов, однако отдача от них практически всегда неодинакова. Часто преимущество одного способа перед другим можно выяснить только на практике.

Принцип пряника также полезно применять с целью смягчения сопротивления изменениям в целом. В российской управленческой практике карательный подход к насаждению желательного поведения почему-то более популярен. При этом забывают, что принуждение рождает ответную реакцию в виде агрессии (нацеленность на продолжение нарушений, но более изощренно) или апатии (полное отсутствие инициативы, стремления что-то менять). Предприятия, забитые под завязку такими сотрудниками, мягко говоря, обречены. В настоящий момент подобных предприятий в России множество и выживают они во многом благодаря своему монопольному положению, и/или наличию административного ресурса, и/или наличию поддержки от государства.

Только оптимальное сочетание методов кнута и пряника в долгосрочной перспективе приносит пользу компании за счет укоренения культуры контроля.

Принцип замкнутости контроля

Система контроля предприятия имеет многослойную структуру. Граница конкретного слоя определяется правами и обязанностями владельца процесса (или группы процессов), в пределах которого располагается этот слой контроля. Особенностью слоев является специфичность набора инструментов и механизмов контроля. Например, бригадир осуществляет контроль действий членов бригады во многом визуально в момент исполнения работы либо спустя некоторое время после ее выполнения. Таким образом, он может влиять на скорость выполнения работы (например, поторопить заснувших работников), на объем используемых материалов (например, указать на нерациональное использование материалов), на качество выполнения работ (например, указать на несоответствие результатов выполняемой работы проекту или чертежу). Такого рода контроль весьма оперативен и обеспечивает достижение ключевых целей контроля – обоснованности, своевременности, правильности или соответствия, полноты. В отличие от бригадира начальник цеха не имеет возможности контролировать действия каждого работника визуально. Таким образом, его инструментарий контроля отличается от инструментария бригадира. Далее, вместо осуществления визуального контроля начальник цеха полагается в основном на систему устной и письменной отчетности и в некоторой степени на данные электронных систем контроля производственного процесса. Эти механизмы контроля, если можно так сказать, лежат уже в иной плоскости по сравнению с механизмами, используемыми бригадиром. Итак, в нашем примере мы получаем два слоя контроля.

Во многих случаях слои контроля очень слабо взаимосвязаны между собой. Часто это обусловлено специфичностью инструментов и механизмов контроля различных слоев. Чем слабее такая взаимосвязь, тем меньше возможностей, условно говоря, у вышестоящих слоев контроля влиять на результаты работы нижестоящих слоев. Например, в примере с бригадиром и начальником цеха бригадир при желании может определенное время скрывать как отставание от графика работ, так и пробелы в качестве, если единственный способ контроля со стороны начальника цеха – это устные отчеты о статусе работ. Для повышения эффективности работы системы контроля в целом необходимо развивать взаимосвязи между различными слоями контроля. В нашем примере начальник цеха может получить дополнительные возможности контроля за счет внедрения автоматизированной системы управления производством (появляется возможность осуществлять онлайн-контроль), за счет сопоставления с результатами работы других сотрудников (например, контролеров ОТК), за счет осведомителей в составе бригады и т. д.

Сложнее всего устанавливать взаимосвязи между сильно удаленными друг от друга слоями контроля, которые разделены несколькими слоями. В этом случае существует два варианта связи с интересующим нижерасположенным слоем – либо напрямую, либо через один или все промежуточные слои. Однако прямая связь должна использоваться исключительно с целью оценки эффективности работы связи через промежуточные слои, иначе высшее руководство погрязнет в ручном регулировании мелочей. В нашем примере начальник цеха может воспользоваться услугами осведомителей, которые будут время от времени передавать ему информацию об истинном статусе работ под руководством бригадира. Начальник цеха, таким образом, будет много чего знать еще до того, как бригадир отчитается в очередной раз. С одной стороны, это вроде бы хорошо, однако, с другой, данный подход может привести к ряду негативных моментов (недоверие к бригадиру, подозрения бригадира, поиски доносителя вместо работы, ухудшение морального климата в бригаде и т. д.). Кроме того, начальник цеха начинает зависеть от расторопности и внимательности осведомителя, а также предметно разбирать отдельные ситуации, подменяя контроль бригадира, т. е. заниматься так называемым ручным контролем.

В итоге правильная система внутреннего контроля должна проектироваться таким образом, чтобы каждый вышестоящий слой имел возможность влиять на эффективность работы любого нижестоящего слоя независимо от способа взаимосвязи (напрямую или через промежуточные слои) и с минимально возможным противодействием. Степень противодействия во многом определяется наличием продуманных и оговоренных изначально правил игры. Если такие правила есть, то система внутреннего контроля является именно системой и результат ее функционирования мало зависит от ручного управления.

Принцип силы контрольной среды

Многие определения термина «контрольная среда» по какой-то причине содержат указания, что это нечто вроде «позиции, осведомленности и действий представителей собственника и руководства…». Однако дело в том, что контрольная среда – это не позиция, осведомленность или действия, а результат наличия определенной позиции, осведомленности или осуществления тех или иных действий. Понятие контрольной среды собирательное, т. к. по сути контрольная среда – это эффект, возникающий от сочетания последствий ряда факторов. На состояние контрольной среды любой компании влияют следующие ключевые факторы:

• Отношение руководства к контролю. В международной практике внутреннего аудита существует специальный термин для данного понятия – tone at the top (буквально «тон сверху»). Попросту говоря, если руководство компании в силу различных причин не готово активно культивировать контроль, большинство усилий в этой сфере обречены на провал. Нередко внутренние аудиторы прикладывают огромные усилия на изменение подобного отношения, но желаемый результат получают далеко не всегда.

• Этические ценности сотрудников компании. Если большинство сотрудников компании наплевательски относятся к самой компании и ко всему, что с ней связано, это создает очень сильную ауру отрицания и негатива. В такой обстановке вряд ли возможны существенные позитивные изменения.

• Степень организационной зрелости компании. Чем более зрелой является компания в организационном смысле, тем собраннее и целенаправленнее ее действия. Более зрелые компании имеют более высокий организационный КПД и производят меньше, так сказать, процессного шума, т. е. бесцельных и беспорядочных действий при осуществлении процессов. Возьмем одну из самых популярных классификаций уровней организационной зрелости, созданную на основе CMM (Capability Maturity Model) (см. табл. 1). Как видно из таблицы, степень организационной зрелости определяется именно подходом к организации процессов. Смею предположить, что большинство компаний в России зависли где-то между уровнем повторяемости и регламентируемости.

• Степень развития управленческих навыков у менеджмента. Наличие и, пользуясь игровой терминологией, прокачанность этих навыков во многом определяют, насколько успешно менеджмент будет выполнять свои ключевые функции. Компания, которая выделяет время и средства на развитие управленческих навыков менеджеров, способствует улучшению характеристик контрольной среды.

• Структура и содержание процессов. В данном случае в первую очередь речь идет о количественном факторе. Чем больше процессов разного уровня, чем больше взаимосвязей и взаимовлияний между данными процессами, чем больше объем операций, тем сложнее и менее предсказуемо их влияние на характеристики контрольной среды. В целом усложнение структуры и содержания процессов негативно влияет на данные характеристики просто потому, что замедляет скорость потоков информации.

• Влияние внешней среды. Ее влияние может быть весьма существенным. Ярким примером влияния внешней среды на контрольную среду предприятия является набирающая в России обороты борьба с мошенничеством. Многие компании искренне озабочены проблемой искоренения мошеннических действий со стороны своих сотрудников. Однако условия внешней среды сводят на нет большую часть их усилий. Сама обстановка в нашей стране потворствует мошенничеству. Если сотрудник компании в повседневной деятельности постоянно сталкивается с мошенническими действиями, затрагивающими его лично или окружающих, то это во многом предопределяет его выбор в ситуации, позволяющей безнаказанно, по его мнению, смошенничать самому. Пока данная проблема не решается на уровне государства, справиться с ней в рамках отдельной компании весьма непросто.

_{Таблица 1. Классификация уровней организационной зрелости}

Данный пример показывает, что борьба с негативным влиянием внешней среды требует существенных затрат и не всегда и не сразу приводит к желаемым результатам.

Разумеется, это далеко не полный перечень факторов, влияющих на характеристики контрольной среды. Стоит также обратить внимание на нюансы взаимодействия контрольной среды и контрольных процедур. Сами по себе контрольные процедуры – это в большинстве случаев осмысленные действия, направленные на достижение целей контроля. Идеальной контрольной процедурой можно назвать ту, которая не испытывает влияния внешних и внутренних негативных факторов. Однако большинство контрольных процедур, к сожалению, подвержены влиянию одного, а чаще нескольких факторов, способных воздействовать на их адекватность и/или эффективность. Так вот, контрольная среда может либо усиливать, либо ослаблять деструктирующее влияние негативных факторов. Другими словами, контрольная среда прямого влияния на контрольные процедуры не оказывает, а действует опосредованно. Например, при проведении инвентаризации ТМЦ, упакованных в коробки, по общему правилу необходимо вскрыть некоторые коробки, чтобы удостовериться, что они надлежащим образом заполнены надлежащими ТМЦ. Однако, если, например, на предприятии царит атмосфера халатного отношения к работе или кладовщик, МОЛ или его покровитель хорошо попросил инвентаризационную комиссию этого не делать, процедура вскрытия может не выполняться, и какие-то несоответствия остаются незамеченными. Таким образом, реализуется механизм опосредованного влияния контрольной среды на контрольные процедуры. По этой причине аудиторы должны направлять энергию не только на разработку контрольных процедур, но и на разработку мероприятий по улучшению характеристик контрольной среды. Нет смысла подробно останавливаться на характеристиках контрольной среды (зона действия, устойчивость, динамика и т. д.). Достаточно понимать, что контрольная среда – это, с одной стороны, нечто неосязаемое, как, например, электромагнитное поле, однако, с другой стороны, результаты ее влияния могут быть весьма заметными. Аудитор должен ясно осознавать, что невозможно иметь сильную систему внутренних контрольных процедур при, если так можно выразиться, слабой контрольной среде. Степень развитости контрольной среды является естественным ограничением для внедрения контрольных процедур.

Принцип самовоспроизведения контроля

Отчасти этот принцип перекликается с принципом замкнутости, однако в данном случае речь идет об отдельно взятой контрольной процедуре. Во многих случаях контроль – это действие, которое не является естественным для конкретного – процесса и/или для конкретного владельца процесса. Контроль отнимает ресурсы процесса. Он направлен не на достижение цели самого процесса, а на достижение определенных параметров данной цели. По этой причине при отсутствии поддержки или, по-другому, механизма стимулирования воспроизведения контроля эффективность контроля в большинстве случаев будет снижаться со временем. В связи с этим важно ответить не только на вопрос «что представляет собой контроль?», но и на вопрос «как будет обеспечено его функционирование?».

Существуют различные механизмы стимулирования воспроизведения контроля, а именно:

• Создание коллизии целей у участников процесса при отклонении от установленных параметров процесса. Такая коллизия может быть создана тремя основными способами. Первый заключается в том, чтобы сделать выход из одного процесса входом в другой процесс, при этом параметры выхода из одного процесса и входа в последующий процесс должны быть сопоставимыми. В этом случае владелец следующего процесса заинтересован в том, чтобы владелец предыдущего процесса сделал свою работу как следует. Типичным примером такой ситуации является производственный процесс, состоящий из нескольких переделов, особенно когда переделы выполняются относительно независимыми предприятиями, а не одной компанией. Если на выходе из одного передела получается продукция, не соответствующая определенным параметрам, то ответственный за следующий передел сигнализирует об этом и отказывается принимать продукцию с отклонениями.

Второй способ встречается тогда, когда контроль параметров того или иного процесса является целью владельца процесса такого контроля. Типичным примером второго способа является деятельность такого подразделения как отдел технического контроля, или ОТК. Такое подразделение существует на многих производственных предприятиях. Основной его деятельностью является контроль параметров производимой продукции.

Третий способ встречается тогда, когда контрольные действия дополнительно стимулируются, например с помощью денежного вознаграждения, и обычно не входят в круг обязанностей большинства владельцев процессов. Классическим примером данной ситуации является назначение вознаграждения за поимку опасного преступника или предоставление информации о его местонахождении.

• Улучшение контрольной среды. Можно с полной уверенностью утверждать, что при максимально эффективной контрольной среде отсутствует необходимость в отдельных контрольных процедурах. С философской точки зрения в такой среде не может даже существовать такого понятия, как контроль, поскольку отсутствует объект контроля – отклонения от требуемых или желаемых параметров процессов. Например, при борьбе с мошенничеством в рамках отдельной компании огромное значение имеет пропаганда требуемого поведения на рабочем месте. Такая пропаганда есть не что иное, как попытка повлиять на один из факторов, существенно влияющих на контрольную среду, – этику поведения на рабочем месте.

• Периодический мониторинг. Здесь речь идет в первую очередь о мониторинге адекватности и эффективности системы внутреннего контроля. К такому мониторингу также можно отнести действия по выявлению отклонений от требуемых параметров процессов. И та и другая деятельность может быть как основной, так и сопутствующей задачей владельца конкретного процесса. В первом случае типичным примером владельца процесса является ПВА, или ревизионная служба, или государственный надзорный орган (больше специализируется на поиске отклонений). Во втором случае – это вышестоящий руководитель или вышестоящее подразделение.

• Ограничение свободы выбора. Данный механизм довольно специфичен, однако в ряде ситуаций является, пожалуй, единственным механизмом. Ограничить свободу выбора – значит лишить возможности полностью или частично выполнить те действия, которые приведут к нарушению требуемых параметров процесса. Классическим примером ограничения свободы выбора является ограничение физической свободы, например домашний арест или что похуже.

• Автоматизация процессов. Ключевым преимуществом автоматизации является создание шаблонов процессов. В определенном смысле автоматизация также ограничивает выбор, однако основная ее цель заключается в обеспечении наиболее эффективного подхода к выполнению процесса. Ограничение является побочным эффектом. К тому же автоматизация ограничивает выбор лишь частично. Автоматизация хорошо справляется с бессознательными отклонениями. Что касается сознательных нарушений, то многие системы автоматизации процессов допускают их в той или иной степени. Однако преимуществом автоматизации является то, что она позволяет такие нарушения оперативно фиксировать и анализировать.

Основные понятия

Перед тем как углубиться в тему данной главы, необходимо познакомиться поближе с ее основными понятиями, в число которых входят:

• риск;

• фактор риска;

• владелец риска.

Риск. Под риском понимается событие, которое может произойти в будущем с определенной вероятностью и нанести определенный ущерб. Риск может быть результатом как действия, так и бездействия. Из этого следует, что даже если мы ничего не предпринимаем, то все равно рискуем. Поэтому риск является неотъемлемой частью нашей повседневной жизни.

Основная сложность в построении процесса управления рисками заключается в двойственной природе риска. Это выражается в том, что риск является одновременно и риском, и фактором риска для других взаимосвязанных рисков. Проиллюстрируем эту двойственность на следующем примере. Возьмем цепочку из трех взаимосвязанных событий – работник пришел на предприятие пьяным, он совершил производственную ошибку, на производстве произошла авария. Каждое из указанных событий по отдельности может быть риском. Приведенная цепочка событий-рисков является одним из наиболее распространенных вариантов причинно-следственной связи в подобной ситуации. Разумеется, у каждого из этих рисков может быть несколько причин. Например, работник может совершить производственную ошибку не только вследствие алкогольного опьянения, но и по невнимательности, неосторожности, из-за плохого настроения, отвлекающего фактора. Также и авария на производстве может произойти не только вследствие ошибки пьяного работника, но и по причине устаревшего оборудования, форс-мажорных обстоятельств, неправильного техпроцесса и т. д. Вернемся, однако, к нашей цепочке. После того как первый риск реализовался, т. е. негативное событие произошло, этот риск становится фактором риска для следующего негативного события (производственная ошибка). Присутствие пьяного сотрудника на рабочем месте повышает вероятность и усиливает негативный эффект производственной ошибки, а значит, является фактором риска для данного события. Аналогичная логика используется при анализе следующего элемента цепочки – производственной ошибки-аварии.

С практической точки зрения полезно также разобраться в понятиях «исходный риск» и «остаточный риск». Под исходным понимается риск в конкретной ситуации без какого-либо вмешательства в ход событий (что будет, если ничего не предпринимать). Соответственно, под остаточным понимается риск в конкретной ситуации после того, как все целесообразные меры управления данным риском были предприняты. Довольно часто в процессе выявления и оценки рисков в силу различных причин происходит смешение исходных и остаточных рисков. Это, безусловно, влияет на эффективность процесса управления рисками.

Фактор риска. Под фактором риска понимается результат какого-либо действия либо бездействия, который увеличивает вероятность и усиливает негативный эффект последующего и взаимосвязанного негативного события. Можно решить, что фактор риска эквивалентен причине реализации риска, однако это не совсем корректно. Причина реализации риска является фактором риска, но не каждый фактор риска является причиной его реализации. Рассмотрим эти понятия на примере. Непотушенный окурок сигареты может стать причиной пожара в доме. С этим никто не спорит. Однако у риска возникновения пожара в доме может быть несколько причин, если под причиной понимать появление неконтролируемого источника огня. Если дом деревянный, напичкан скарбом, сделанным из горючих и легковоспламеняющихся материалов, пожар произойдет с высокой вероятностью и дом сгорит дотла. Указанные обстоятельства (деревянный дом и скарб) сами по себе не являются причиной пожара, но образуют факторы риска этого события – они увеличивают вероятность его возникновения и усиливают негативный эффект. Выяснив различия понятий «причина риска» и «фактор риска», я предлагаю… забыть о них. Для простоты будем оперировать только понятием «фактор риска».

Владелец риска. Это владелец процесса, наиболее заинтересованный в управлении выбранным риском. Такая заинтересованность объясняется тем, что устранение конкретного риска способствует достижению цели процесса. Существует немало рисков, для которых, на первый взгляд, довольно сложно определить одного владельца. К ним в первую очередь относятся риски, имеющие несколько причин возникновения. Например, возьмем риск затоваривания складов готовой продукцией. Навскидку у него может быть три основных причины:

• снижение темпов реализации продукции предприятия;

• несвоевременная отгрузка продукции;

• необоснованное увеличение объемов производства.

На первый взгляд у данного риска несколько владельцев, поскольку причины указывают на разные варианты развития событий. Однако, с одной стороны, исходную формулировку риска можно уточнить путем прибавления причины риска (например, затоваривание складов готовой продукцией вследствие снижения темпов реализации продукции предприятия). Таким образом, мы получаем три риска. У них персональные владельцы более очевидны, чем у исходного риска:

• дирекция по продажам и маркетингу;

• дирекция по логистике;

• дирекция по производству.

С другой стороны, можно отказаться от уточнения формулировки риска и определить владельца исходного риска исходя из оценки заинтересованности в управлении данным риском. При таком подходе необходимо понять цели процессов. Определим их следующим образом[4]:

• процесс «Продажи» – своевременная реализация продукции предприятия по оптимальным ценам, обеспечивающим максимальный финансовый результат в краткосрочной перспективе;

• процесс «Управление складской логистикой» – своевременное размещение производимой продукции в складских помещениях, обеспечивающих сохранность в течение оптимального срока хранения;

• процесс «Управление производством» – своевременное производство продукции установленного ассортимента и качества в требуемых объемах.

В свете вышеуказанных целей процессов наиболее заинтересованным в управлении риском затоваривания складов готовой продукцией является владелец процесса «Управление складской логистикой». На достижение целей именно этого процесса реализация данного риска окажет максимальное влияние при условии, что предприятие располагает ограниченными складскими помещениями и его продукция чувствительна к условиям хранения. Владельцу процесса «Управление производством» указанный риск безразличен – его цель будет достигнута независимо от того, происходит затоваривание или нет. Владелец процесса «Продажи» также не особо привязан к риску затоваривания, поскольку его целью является реализация по оптимальным ценам. Если продукция в процессе хранения утратит часть свойств, но будет продана по хорошей цене (пропорционально ниже, чем стоимость качественной продукции), то владелец процесса «Продажи» выполнит поставленную перед ним задачу.

Подводя итог сказанному, еще раз остановимся на ключевых моментах. Во-первых, можно использовать два способа определения владельца риска – дробление исходного риска на более мелкие риски (при этом необходимо правильно установить полный перечень ключевых причин риска) или определение заинтересованности в управлении риском (при этом необходимо отталкиваться от целей процессов). К недостаткам первого способа можно отнести то, что в результате дробления рисков может оказаться слишком много для эффективного управления ими (может потребоваться автоматизация процесса). К недостаткам второго способа можно отнести то, что цели процессов, в отличие от причин рисков, меняются чаще. В связи с этим при каждом изменении целей необходимо пересматривать привязку рисков к имеющимся процессам. Например, используя параметры предыдущего примера, предположим, что компания стала производить продукцию, которую все равно где хранить. Параллельно перед владельцем процесса «Продажи» была поставлена цель «своевременная реализация продукции предприятия по оптимальным ценам, обеспечивающим максимальный финансовый результат в долгосрочной перспективе», что может привести к придерживанию продукции с целью более выгодной продажи в будущем (в расчете, например, на рост цен). В этом случае владельцем риска затоваривания складов становится владелец процесса «Продажи», так как именно его цель больше всего страдает от реализации риска.

Во-вторых, необходимо устанавливать единственного владельца конкретного риска. Когда владельцев одного риска несколько, крайне сложно определить, кто в большей степени отвечает за управление этим риском.

Свойства рисков

Каждый риск обладает рядом специфичных свойств, которые влияют на выбор способа управления им. С практической точки зрения имеет смысл обратить внимание на следующие четыре свойства риска, а именно:

• вероятность;

• сила воздействия;

• управляемость;

• взаимосвязанность (цепочки причинно-следственных связей).

Вероятность. Риск представляет собой событие, которое может произойти, а может и не произойти. С помощью определения вероятности риска мы пытаемся оценить шансы на то, что конкретное событие произойдет в течение рассматриваемого периода времени. Сразу отмечу, что последнее обстоятельство довольно часто упускается при оценке рисков. Я регулярно сталкиваюсь со следующим вариантом формулировки вероятности риска – вероятность столько-то процентов (например, «вероятность 20 %»). Такой оценке не хватает как минимум указания на временной интервал, к которому данная вероятность применима. Указание «срока годности» вероятности крайне важно, поскольку со временем величина вероятности подавляющей части рисков меняется.

В продолжение темы использования процентной оценки вероятности стоит отметить еще несколько нюансов. Указание величины вероятности в процентах в большинстве случаев говорит о том, что оценка проводилась экспертным методом. При использовании данного метода необходимо убедиться в том, что восприятие экспертом конкретной оценки соответствует ее восприятию окружающими (начиная с того, о чем говорит эксперт – об исходном или остаточном риске). Например, эксперт говорит, что вероятность риска аварии на производстве составляет 10 %. Однако он может иметь в виду только те случаи, в которых виноваты люди по причине неправильного исполнения трудовых обязанностей, а окружающие (в отсутствие пояснений) могут посчитать, что речь идет о риске в целом. Также эксперт мог получить итоговый показатель 10 % путем деления количества аварийных ситуаций на производстве на общее количество работников данного производства по итогам прошлого года. Окружающие же могут подумать, что это означает одну аварию каждые 10 месяцев. В сухом остатке у нас остается тот факт, что бездумное использование процентной оценки вероятности может приводить к существенным искажениям восприятия реальности.

В определенной мере недостатки предыдущего метода устраняются указанием количества возможных фактов реализации риска в течение определенного периода (например, конкретный риск может реализоваться как минимум один раз в год). Однако данный метод оценки вероятности также подвержен искажениям восприятия. Например, эксперт говорит, что вероятность риска неоплаты дебиторской задолженности составляет 10 раз в год. При этом он может основываться на данных прошлых периодов и не учитывать факторы, влияющие на оплату дебиторской задолженности в будущем. Так, если продажи компании должны существенно вырасти в следующем году (например, в конце прошлого года открылось несколько новых филиалов), то оценка эксперта занижает вероятность риска, делая его менее существенным.

Все это может склонить к выбору математических методов оценки вероятности риска, таких как формула Бернулли, локальная теорема Лапласа, формула Пуассона, а также специальных ИТ-приложений (например, Crystal Ball, использующее моделирование методом Монте-Карло). Однако сфера применения данных методов ограниченна. Например, при использовании формулы Бернулли для вычисления вероятности риска для ряда сопоставимых ситуаций необходимо знать точную величину вероятности такого риска для одной ситуации. Многие риски, хотя и могут показаться сравнительно простыми, нередко связаны с довольно сложными цепочками событий. Также не стоит забывать про любопытный парадокс – сложные методы довольно часто приводят к таким же выводам, что и простые. Особенно это касается таких неопределенных явлений, как риски. При обеспечении достаточной теоретической подготовки экспертов в области риск-менеджмента (или хотя бы в области определения и оценки рисков) можно добиться относительно качественной и полной оценки существенных рисков.

Сила воздействия[5]. Мы вряд ли вообще обращали внимание на риски, если бы они не обладали данным свойством. Однако все риски, которые заслуживают внимания, обладают определенной силой воздействия. Факт реализации конкретного риска определенным образом воздействует на деятельность компании (владельца риска). Это воздействие имеет негативный характер и принимает различные формы, которые можно разделить на две основные группы – формы, обладающие качественными характеристиками (потеря репутации, ухудшение отношений, утрата доверия, снижение привлекательности и т. д.), и формы, обладающие количественными характеристиками (утрата доли рынка, финансовые потери, штрафные санкции и т. д.). В принципе реализация любого риска приводит к ухудшению финансового и имущественного состояния предприятия, т. е., грубо говоря, к потере денег. Однако с точки зрения управления рисками имеет смысл использовать более детальную дифференциацию последствий реализации рисков, в первую очередь потому, что скорость наступления негативного эффекта различна для разных рисков. Например, если произошла авария на производстве, компания тут же теряет часть своего имущества и потеряет еще какую-то часть спустя определенное время (расходы на восстановление, возможно уплата штрафов, социальные выплаты и т. д.). А если, например, резкое снижение качества продукции компании повлекло снижение ее репутации как качественного производителя, то это приведет к потере денег только через определенное время, как минимум не сразу.