Олег Крышкин - Настольная книга по внутреннему аудиту. Риски и бизнес-процессы

• недостижение цели этапа процесса – в силу различных причин цель этапа процесса не достигается либо достигается не так часто, как необходимо;

• нарушение регламента – в ходе исполнения процесса наблюдаются случаи намеренного или вынужденного нарушения существующих регламентирующих документов, при этом возрастает риск недостижения цели процесса;

• техническая ошибка – ошибки при исполнении отдельных операций в ходе осуществления этапа процесса, а также ошибки при формировании и передаче информации;

• персонал – недостаток персонала, как по количеству, так и по качеству, а также низкая исполнительская дисциплина;

• неэффективность СВК – система внутреннего контроля не препятствует факторам риска.

Таблица 2. Пример оценочной таблицы для формирования рейтинга подпроцессов процесса «Производство»

Использованные для целей оценки факторы риска по большей части выбраны не совсем удачно, а именно:

• отсутствие этапа процесса – довольно сложный фактор риска. Во-первых, требуется знание основ процессного управления и терминологии, чтобы понять, о чем идет речь. Во-вторых, чтобы проверить достоверность оценки, необходимо как минимум знать, как данный процесс выглядит на практике. В-третьих, для ряда предприятий отсутствие конкретного этапа может быть нормальным явлением;

• недостижение цели этапа процесса – еще более сложный фактор риска. Во-первых, проблемы использования аналогичны проблемам предыдущего фактора риска. Во-вторых, появляется необходимость в предварительном определении целей этапов процесса, по крайней мере для команды внутренних аудиторов. Такая работа, если ее проводить досконально, трудоемка и объемна (например, если взять шесть подпроцессов, каждый из которых состоит из 8–10 этапов, в сумме получаем 48–60 этапов). К тому же высока вероятность возникновения проблемы при использовании результата на практике, например, если привлечь к формированию и/или обсуждению результатов работы по определению целей этапов подпроцессов их владельцев, то можно застрять в самом начале. Например, сначала можно долго и нудно объяснять терминологию и основы процессного управления, затем долго спорить по поводу целей этапов подпроцессов, затем – по поводу оценки влияния фактора риска на цели данных этапов;

• нарушение регламента – фактор риска пригоден к использованию во многих случаях. Плюсом является то, что получить представление об актуальности данного фактора риска можно из нескольких источников – переписка, мнения сотрудников, контролирующих исполнение регламентов, мнение сторонних экспертов (аудиторские фирмы, консультанты и т. д.) и т. д. Наличие данного фактора риска может указывать на недостатки управления процессом и предприятием в целом – низкая исполнительская дисциплина, несовершенство регламентов, громоздкие процедуры и т. д.;

• техническая ошибка – можно использовать в качестве фактора риска. Однако если результат таких ошибок не явился результатом существенного негативного события, то о них можно умолчать и проверить это непросто. Отсюда следует, что во многих случаях данный фактор может показаться мелковатым для использования в оценке;

• персонал – хороший фактор риска для целей оценки. Недостаток адекватного персонала – проблема всех времен и народов. Проблемы с персоналом порождают множество проблем в различных сферах деятельности любого предприятия. Получить представление о данном факторе риска, возможно, даже проще, чем о нарушении регламентов, – существует несколько источников, начиная с управленческой отчетности и заканчивая актами трудовой инспекции;

• неэффективность СВК – малопригоден для целей оценки. Во-первых, звучит довольно жестко, и мало какое предприятие легко согласиться с тем, что даже отдельные его процессы имеют проблемы контроля. Во-вторых, базовая цель аудита как раз и состоит в оценке как минимум адекватности СВК. Данный фактор можно использовать только в том случае, если команда внутренних аудиторов в прошлом (желательно не очень далеком) уже имела дело с конкретным процессом на конкретном объекте аудита. Если мало что изменилось с тех пор, то оценка получится достоверной и доказуемой.

Таким образом, по результатам анализа мы имеем следующее:

• три фактора пригодны к использованию;

• два фактора пригодны к использованию, но на практике может возникнуть множество сложностей;

• один фактор не пригоден.

В качестве примера приведу небольшой перечень факторов риска (далеко не исчерпывающий), которые можно применять в большинстве случаев для целей составления рейтинга рискованности процессов:

• практика форсирования контрольных процедур (данная практика очень заразительна, отсутствие контроля расхолаживает, подталкивает к размышлениям о собственном благе и способах его преувеличения в свете появившихся в отсутствие контроля возможностей);

• широкое использование экспертных оценок (данная практика также заразительна, в результате люди могут перестать делать, например, элементарные расчеты);

• сложность операций, этапов и процессов с организационной точки зрения (повышается риск прогрессирующей задержки, исполнение процесса может затянуться);

• сложность операций, этапов и процессов с технологической точки зрения (возрастает цена ошибки);

• текучесть сотрудников (создает нездоровую атмосферу в коллективе, а также тормозит исполнение процесса и требует дополнительных затрат);

• децентрализованные процессы (довольно часто дают порулить тому, кто либо еще не дорос до этого, либо перерос и склонен к использованию служебного положения в личных целях);

• объем операций (большое количество транзакций увеличивает вероятность и существенность ошибки);

• мошенничество (каждый процесс обладает вмененным и приобретенным потенциалом для мошеннических схем);

• нанесение ущерба здоровью (может повлечь за собой как материальные обязательства по отношению к потерпевшей стороне, так и обязательства перед государством и обществом; взаимосвязано с рядом рисков, например технологического характера или рисками неадекватного состояния имущества);

• нанесение ущерба окружающей среде (аналогично предыдущему пункту только по отношению к окружающей среде);

• государственное регулирование (пристальное внимание государства означает визиты различных органов, участие в коррупционных схемах, риски, связанные с плохим настроением представителей власти, и т. д.);