Олег Крышкин - Настольная книга по внутреннему аудиту. Риски и бизнес-процессы

• изменения систем и процессов (к любым изменениям необходимо привыкнуть, а это повышает вероятность ошибок);

• амбициозные цели процесса, особенно во взаимосвязи с амбициозным вознаграждением (когда что-то очень надо, а есть вероятность, что не получится, возникает непреодолимый соблазн сыграть не по правилам);

• отсутствие нормативов (когда не установлен формально верх или низ или иные рамки, работает принцип «будет так, как я хочу»);

• низкая регламентированность процесса (сопоставим с предыдущим фактором, может приводить к неоднозначным результатам – как к перекосам, так и к эффективности, однако перекосы случаются чаще);

• отсутствие управленческого учета (когда ходы не записывают, трудно разобраться в текущей ситуации и, тем более, в прошлой ситуации; под песню «нам некогда бумажками шуровать, нам работать надо» торжественно разбивались вдребезги мечты многих акционеров о светлом будущем и даче с кабанчиком).

Мы разобрали основные моменты представленного для примера фрагмента оценочной таблицы. Как я уже говорил, шкала оценок может быть какой угодно. Хотелось бы, однако, обрисовать ситуацию вокруг данной оценочной таблицы в целом. Данная таблица была использована для составления рейтинга рискованности процессов нового объекта аудита, на котором команда внутренних аудиторов прежде не бывала. В попытке обеспечить максимальное качество таблицы было принято решение заполнить ее при активном участии владельцев процессов объекта аудита. Как показала дальнейшая работа, и не только в рамках того проекта, такой подход носит неоднозначный характер с уклоном в сторону вранья. Некоторые владельцы процессов действительно пытались объективно оценить происходящее в их епархии. Правда, со временем выяснилось, что некоторые факторы риска они просто не поняли (о чем говорилось выше). Однако чаще владельцы процессов стремились приукрасить картину, что и выяснилось в ходе последовавшего проекта аудита. Данный пример является одним из многих свидетельств того, что владельцы процессов являются не самыми лучшими соавторами рейтинга рискованности собственных процессов. Команда внутренних аудиторов должна стремиться использовать как можно более объективные, но в то же время оперативные (все происходит на этапе планирования проекта, который часто весьма ограничен во времени) источники информации.

Упрощенный метод предполагает следующую последовательность действий: формирование перечня процессов (подпроцессов, этапов подпроцессов), затем генерирование факторов риска (при этом рассматриваются факторы единственного риска – риска недостижения цели процесса). Оценка воздействия выбранных факторов риска на степень достижения цели процессов позволяет сформировать рейтинг рискованности процессов. При использовании продвинутого метода за точку отсчета берется перечень рисков предприятия с оценкой как минимум их силы воздействия и вероятности, или, как его называют в специализированной литературе, карта рисков. Таким образом, формируется следующая цепочка действий: создание карты рисков, выбор наиболее существенных рисков, конвертирование рисков в план и программу аудита. На первый взгляд все просто, однако в условиях российской действительности появляется ряд следующих нюансов.

Во-первых, многие компании в нашей стране, услышав слова «карта рисков», ведут себя не так, как предполагали создатели этого инструмента, – одни пугаются, другие откладывают на потом, но большинство считают эту затею полной ерундой. Так или иначе, большинство компаний в России не формируют карту рисков на регулярной основе хотя бы искусства ради, не говоря уже о ее практическом применении. Однозначного объяснения этой ситуации сложно найти. Возможно, все упирается в уровень профессионального развития большинства российских управленцев, полного изъянов; возможно, все поглощены поиском источников личного обогащения; возможно, виноваты разработчики карт рисков, неспособные создать жизнеспособный и практически значимый инструмент управления. Как говорится, всего понемногу.

Во-вторых, отчасти как следствие из предыдущего нюанса, многие карты рисков, мягко говоря, вызывают сомнения в профессиональной пригодности авторов. Один из примеров мы разберем немного дальше.

В-третьих, многие карты рисков не заточены для конвертации в план или программу аудита. В таких случаях может потребоваться адаптация материала (см. разбор примера по данным табл. 5). Основные причины следующие:

• практика обобщения рисков (например, формулировка «валютный риск» без пояснений весьма многозначна);

• отсутствие причинно-следственной связи в наименовании (описании) риска (которая устанавливает базовую, т. е. наиболее свойственную в конкретных условиях, взаимосвязь фактора риска и риска);

• отсутствие процессного восприятия деятельности предприятия (фундаментальная причина, которая вряд ли исчезнет в ближайшие 5–10 лет).

В-четвертых, если компания не формирует карту рисков, то ПВА придется сделать это самостоятельно. Довольно часто первые карты страдают изъянами. Прежде всего, основным источником информации о рисках на первых порах выступает менеджмент. В силу множества причин (непонимание происходящего, стремление скрыть недостатки, недоверие к команде внутренних аудиторов и т. д.) данная информация может быть не совсем достоверной. По мере накопления информации в ходе проектов ПВА начинает лучше ориентироваться в деталях рисков компании. Затем, составление карты рисков требует затрат ресурсов, в первую очередь времени. В этой ситуации ПВА важно соблюсти баланс между необходимостью получить максимально объективное представление о рисках компании и необходимостью приступить к осуществлению проектов. И наконец, методика формирования карты и ее использования для выбора объектов аудита должна быть в той или иной степени согласована с менеджментом. Это не означает, что ПВА должно спрашивать разрешения на использование методики. Однако оно должно провести разъяснительную работу, максимально учесть мнения и пожелания менеджмента, обеспечить понимание происходящего окружающими. Только в этом случае можно вовлечь менеджмент в добросовестную работу по выявлению и оценке рисков, а также нивелировать разногласия в восприятии результатов оценки рисков.

Перед тем как двинуться дальше, имеет смысл рассмотреть процесс выявления и оценки рисков, а также процесс формирования карты рисков.

Выявление и оценка рисков . Существует несколько базовых способов, позволяющих с той или иной степенью эффективности идентифицировать риски и оценить их параметры (табл. 3).