Олег Крышкин - Настольная книга по внутреннему аудиту. Риски и бизнес-процессы
На этапе формирования годового плана проектов внутреннего аудита выполнялась процедура идентификации и оценки рисков (основной метод – опрос экспертов). В результате была сформирована карта рисков. Она получилась не очень удобной для формирования программ аудита, так как практически полностью состояла из укрупненных рисков. Поскольку на данную процедуру ушло немало времени (процедура проводилась в компании впервые), было принято решение использовать укрупненные риски. Из карты рисков выбрали три самых существенных риска. Одним из них был риск невыполнения плана производства. При проведении первого аудита (на этапе планирования) на одном из предприятий компании для этого риска сформировали кластер соответствующих процессов (рис. 4). Кластер был получен на основании интервью с владельцами ключевых процессов (необходимые согласования были проведены).
Пробежимся по структуре схемы. В центре расположен процесс «Производство» и основные взаимодействующие с ним процессы: процессы «Хранение», «Подача сырья», «Складирование готовой продукции» и «Погрузка в вагоны и взвешивание». Также на процесс «Производство» влияют риски других процессов: «Закупки», «Планирование», «ТОиР» и «Логистика». Черным маркером выделены те процессы, риски которых оказывают наиболее существенное влияние на реализацию риска невыполнения плана производства, а именно:
• процесс «Закупки» – риск несвоевременной закупки сырья (вследствие изменения динамики производства и отсутствия запасов у поставщика);
• процесс «ТОиР» – риск увеличения времени ремонта вследствие внеплановых поломок;
• процесс «Производство» – риск несоблюдения требований техпроцесса по причине ошибки работника;
• процесс «Складирование готовой продукции» – риск несоблюдения условий хранения по причине несвоевременной подготовки складских помещений;
• процесс «Логистика» – риск несвоевременной отгрузки продукции (вследствие изменений позиции покупателя, недостатка вагонов, изменения маршрута транспортировки).
Таким образом, план аудита предусматривал аудит пяти процессов (процессы, отмеченные серым маркером, и неотмеченные процессы в тематику аудита не попали вследствие ограниченности ресурсов ПВА и незначительного совокупного влияния на реализацию основного риска). В ходе аудита уточнялась степень воздействия вышеуказанных рисков на основной риск (выяснилось, что значимость рисков процессов «Производство» и «Складирование готовой продукции» преувеличена), а также выявлялись дополнительные факторы основного риска (например, было установлено, что в данные систем ЦОСАДУ и АСУТП можно было вносить нерегламентированные изменения). Для справки: ЦОСАДУ расшифровывается как центральная оперативная система автоматизированного диспетчерского управления, а АСУТП – автоматизированная система управления технологическим процессом. По результатам аудита был разработан план мероприятий, направленный, в том числе, на минимизацию как изначально определенных, так и выявленных в процессе аудита рисков.
Рис. 4. Пример позиционирования риска в кластере процессов
Рекомендации по выбору подхода к проведению проектов внутреннего аудита
Возможно, ряд внутренних аудиторов со скепсисом воспримут идею и технологию риск-ориентированного подхода. Отчасти они правы. Однако они правы только в том, что многие российские предприятия пока не оперируют в своей повседневной деятельности понятиями «процесс» и «риск». Это усложняет задачу ПВА по внедрению риск-ориентированного подхода, но потенциальный эффект от внедрения с лихвой покроет все трудозатраты. Основные преимущества использования риск-ориентированного подхода заключаются в следующем:
• концентрация на наиболее существенных проблемах, препятствующих успешной работе компании;
• формирование целевых мероприятий по минимизации негативного влияния факторов рисков;
• стимулирование профессионального развития внутренних аудиторов.
Данные преимущества усиливаются при переходе от упрощенного подхода к продвинутому риск-ориентированному подходу к аудиту. Однако даже упрощенный подход дает намного более впечатляющие результаты, чем подходы, не основанные на анализе и оценке рисков.
Глава 5.
Стратегия внутреннего аудита и долгосрочное планирование (год и более), позиционирование
Стратегия функции внутреннего аудита является сферой ответственности как аудиторского комитета, так и руководителя ПВА.
На практике я не встречался с активной позицией аудиторского комитета в отношении стратегии функции внутреннего аудита в компании. Отчасти это связано с тем, что в состав аудиторских комитетов, с которыми я работал, не входили профессиональные внутренние аудиторы. Как бы то ни было, руководителю ПВА необходимо быть готовым к тому, что ему придется определять стратегию функции самостоятельно.
В процессе формирования стратегии ПВА надо определиться с несколькими ключевыми моментами.
• Момент 1. Стратегия – это план действий, который позволит ПВА занять определенное место в структуре компании через определенное время, в определенном внутреннем состоянии и с определенными сложившимися внешними связями. Вряд ли это будет откровением, если я скажу, что наличие цели – половина дела. Но с этой истиной трудно спорить. Вы стремитесь к некоему состоянию ПВА, которое необходимо максимально четко представить. У вас должна быть стратегическая цель. В отсутствие цели высока вероятность того, что ПВА окажется там, где его хотелось бы видеть большинству, – на необитаемом острове без шанса на спасение. С технической точки зрения процесс определения цели ПВА аналогичен процессу определения цели компании. Как именно будет сформулирована стратегия, во многом зависит от опыта и квалификации руководителя ПВА.
• Момент 2. В идеале стратегия и стратегическая цель формируются с использованием принципов SMART[8]. Как уже говорилось, существование даже какой-то цели намного лучше, чем ее полное отсутствие. Пример формирования стратегической цели – «Довести долю консалтинговых проектов по ключевым бизнес-процессам холдинга до 50 % от общего рабочего времени в ближайшие три года при полезности (экономический эффект плюс мнение ключевых руководителей и акционеров) сопоставимой или выше полезности стандартных проектов». Пример стратегии – «Для достижения стратегической цели необходимо:
а) увеличение доли консалтинговых проектов последовательно в течение трех лет (1-й год – 15 %, 2-й год – 30 %, 3-й год – 50 %);
б) привлечение экспертов в постоянный штат ПВА (1-й год – 1 эксперт в области производства; 2-й год – 1 эксперт в области производства и 1 эксперт в области логистики; 3-й год – 1 эксперт в области ТОиР);
в) выделение 10 рабочих дней в год для дополнительной подготовки сотрудников ПВА по процессу производства, логистики и ТОиР;
г) проведение презентаций по консалтинговым проектам на правлении холдинга на ежеквартальной основе;
д) осуществление расчетов первоначального и последующего экономического эффекта от внедрения рекомендаций по результатам консалтинговых проектов;
е) привлечение профильных НИИ для участия в консалтинговых проектах как минимум на уровне отдельных запросов».
Приведенные примеры стратегической цели и стратегии в целом неплохи, но не идеальны. Лучшую стратегию придумаете вы.
• Момент 3. Одна стратегия – хорошо, несколько стратегий – еще лучше. Стратегия предполагает, что цель, к которой вы стремитесь, отстоит во времени от момента формирования стратегии на три – пять лет. За этот срок многое может измениться. Поэтому изначально необходимо разработать два-три варианта стратегий на случай существенных изменений условий работы. Следующий шаг – определить, какие изменения будут считаться существенными. В дальнейшем все, что остается, – это держать руку на пульсе, произвольным образом отслеживать происходящее вокруг вас и компании для своевременного внесения корректировок в стратегию.
• Момент 4. Исполнение разработанного плана действий невозможно без ресурсов. В большинстве случаев ресурсы первичны. Это означает, что, скорее всего, время, бюджет ПВА, штатное расписание, доступный персонал и технологии будут ограничены. Ограничение ресурсов ограничивает вариативность и содержание стратегии ПВА. Технически нерационально отделять процесс формирования стратегии от процесса аккумулирования ресурсов. Если пойти дальше, то можно даже сказать, что стратегия ПВА как подразделения должна базироваться на стратегии формирования ресурса. Реальность данного принципа видна в примере выше. Шаг первый «Увеличение доли консалтинговых проектов последовательно в течение трех лет» представляет собой критерий достижения поставленной стратегической цели. Шаг второй и третий являются в чистом виде примером взаимосвязи стратегии формирования ресурсов с основной стратегией. Для достижения основной цели вам потребуется дополнительное время и помощь экспертов, которых еще надо найти. Шаг четвертый и пятый также связаны с формированием ресурса. Необходимо выделить дополнительное время, дополнительные трудозатраты и профессиональную экспертизу для подготовки презентаций и осуществления специфических расчетов. Шаг шестой – тоже этап стратегии формирования ресурса. Он взаимосвязан со вторым шагом, только в данном случае привлекаются внешние эксперты, что в определенных ситуациях более целесообразно.