Ситуация 3. Карта сформирована с использованием рисков, формулировка которых не отражает их суть. Отчасти забавная ситуация, которая, однако, периодически встречается на практике. Попросту говоря, вы читаете наименование риска и думаете об одном, а автор данного риска подразумевал совсем другое. Ключевая задача в такой ситуации состоит в уточнении формулировки риска. Пример приведен в табл. 6.
Таблица 6. Пример уточнения формулировки риска в зависимости от его сути
Как видно из приведенной таблицы, алгоритм изменения формулировки риска начинается с определения процесса и цели процесса, на который риск предположительно оказывает влияние. Определение процесса необходимо для того, чтобы определить цель процесса. Зная цель процесса, можно определить риски, реализация которых негативно отразится на достижении цели процесса. Итак, мы получили на выходе два варианта риска – риск пропуска встречи вследствие опоздания на поезд (управляемый риск) и риск пропуска встречи из-за неблагоприятных погодных условий, препятствующих движению поезда (неуправляемый риск). Возможно, оба этих риска актуальны. Таким образом, уточняя формулировку, можно получить на выходе более одного риска, т. е. произвести определенную декомпозицию. Обратите внимание также на правильность формулировок обоих рисков – в них обозначена причинно-следственная связь.
В завершение раздела, посвященного процессу конвертирования, рассмотрим практический пример использования способа 2 (кластеры процессов) на одном из крупных производственных предприятий.
На этапе формирования годового плана проектов внутреннего аудита выполнялась процедура идентификации и оценки рисков (основной метод – опрос экспертов). В результате была сформирована карта рисков. Она получилась не очень удобной для формирования программ аудита, так как практически полностью состояла из укрупненных рисков. Поскольку на данную процедуру ушло немало времени (процедура проводилась в компании впервые), было принято решение использовать укрупненные риски. Из карты рисков выбрали три самых существенных риска. Одним из них был риск невыполнения плана производства. При проведении первого аудита (на этапе планирования) на одном из предприятий компании для этого риска сформировали кластер соответствующих процессов (рис. 4). Кластер был получен на основании интервью с владельцами ключевых процессов (необходимые согласования были проведены).
Пробежимся по структуре схемы. В центре расположен процесс «Производство» и основные взаимодействующие с ним процессы: процессы «Хранение», «Подача сырья», «Складирование готовой продукции» и «Погрузка в вагоны и взвешивание». Также на процесс «Производство» влияют риски других процессов: «Закупки», «Планирование», «ТОиР» и «Логистика». Черным маркером выделены те процессы, риски которых оказывают наиболее существенное влияние на реализацию риска невыполнения плана производства, а именно:
• процесс «Закупки» – риск несвоевременной закупки сырья (вследствие изменения динамики производства и отсутствия запасов у поставщика);
• процесс «ТОиР» – риск увеличения времени ремонта вследствие внеплановых поломок;
• процесс «Производство» – риск несоблюдения требований техпроцесса по причине ошибки работника;
• процесс «Складирование готовой продукции» – риск несоблюдения условий хранения по причине несвоевременной подготовки складских помещений;
• процесс «Логистика» – риск несвоевременной отгрузки продукции (вследствие изменений позиции покупателя, недостатка вагонов, изменения маршрута транспортировки).
Таким образом, план аудита предусматривал аудит пяти процессов (процессы, отмеченные серым маркером, и неотмеченные процессы в тематику аудита не попали вследствие ограниченности ресурсов ПВА и незначительного совокупного влияния на реализацию основного риска). В ходе аудита уточнялась степень воздействия вышеуказанных рисков на основной риск (выяснилось, что значимость рисков процессов «Производство» и «Складирование готовой продукции» преувеличена), а также выявлялись дополнительные факторы основного риска (например, было установлено, что в данные систем ЦОСАДУ и АСУТП можно было вносить нерегламентированные изменения). Для справки: ЦОСАДУ расшифровывается как центральная оперативная система автоматизированного диспетчерского управления, а АСУТП – автоматизированная система управления технологическим процессом. По результатам аудита был разработан план мероприятий, направленный, в том числе, на минимизацию как изначально определенных, так и выявленных в процессе аудита рисков.
Рис. 4. Пример позиционирования риска в кластере процессов
Рекомендации по выбору подхода к проведению проектов внутреннего аудита
Возможно, ряд внутренних аудиторов со скепсисом воспримут идею и технологию риск-ориентированного подхода. Отчасти они правы. Однако они правы только в том, что многие российские предприятия пока не оперируют в своей повседневной деятельности понятиями «процесс» и «риск». Это усложняет задачу ПВА по внедрению риск-ориентированного подхода, но потенциальный эффект от внедрения с лихвой покроет все трудозатраты. Основные преимущества использования риск-ориентированного подхода заключаются в следующем:
• концентрация на наиболее существенных проблемах, препятствующих успешной работе компании;
• формирование целевых мероприятий по минимизации негативного влияния факторов рисков;
• стимулирование профессионального развития внутренних аудиторов.
Данные преимущества усиливаются при переходе от упрощенного подхода к продвинутому риск-ориентированному подходу к аудиту. Однако даже упрощенный подход дает намного более впечатляющие результаты, чем подходы, не основанные на анализе и оценке рисков.
Глава 5.
Стратегия внутреннего аудита и долгосрочное планирование (год и более), позиционирование
Стратегия функции внутреннего аудита является сферой ответственности как аудиторского комитета, так и руководителя ПВА.
На практике я не встречался с активной позицией аудиторского комитета в отношении стратегии функции внутреннего аудита в компании. Отчасти это связано с тем, что в состав аудиторских комитетов, с которыми я работал, не входили профессиональные внутренние аудиторы. Как бы то ни было, руководителю ПВА необходимо быть готовым к тому, что ему придется определять стратегию функции самостоятельно.
В процессе формирования стратегии ПВА надо определиться с несколькими ключевыми моментами.