Страница:
Аудитор должен помнить о том, что у каждого объекта аудита свой уровень восприимчивости изменений. Грубо говоря, в объект аудита невозможно втолкнуть больше изменений, чем он может переварить. В связи с этим соблюдение принципа охотника особенно важно. Во многом на уровень восприимчивости оказывают влияние качественные характеристики руководства объектов аудита.
Принцип от обратного, или Принцип пряника
Принцип замкнутости контроля
Принцип силы контрольной среды
Принцип самовоспроизведения контроля
Глава 4.
Основные понятия
Принцип от обратного, или Принцип пряника
Во многих ситуациях целесообразнее и проще стимулировать желательное поведение, чем пытаться искоренить нежелательное. Особенно это касается процессов, возможность эффективного контроля которых ограничена существенными и объективными факторами. Классическим примером является процесс производства. В большинстве случаев контроль процесса производства требует специфических знаний и навыков, которыми обладает не только не каждый аудитор, но и не каждый производственник. Например, можно бороться с завышенным расходом материалов, проводя внезапные инвентаризации, осуществляя сложные расчеты фактического использования материалов и/или нормативов расхода материалов, ограничивая выдачу материалов. При этом можно по каждому факту завышения устанавливать виновного и налагать взыскания. В то же время можно ввести доплату (премию) за экономию материалов (например, по сравнению с прошлыми периодами в пересчете на единицу продукции) при сохранении требуемого качества. Таким образом, получается, что в одном случае цель контроля достигается за счет наказания за неприемлемые действия, а в другом – за счет поощрения желаемых действий. В обоих случаях контроль объема используемых материалов требует дополнительных расходов, однако отдача от них практически всегда неодинакова. Часто преимущество одного способа перед другим можно выяснить только на практике.
Принцип пряника также полезно применять с целью смягчения сопротивления изменениям в целом. В российской управленческой практике карательный подход к насаждению желательного поведения почему-то более популярен. При этом забывают, что принуждение рождает ответную реакцию в виде агрессии (нацеленность на продолжение нарушений, но более изощренно) или апатии (полное отсутствие инициативы, стремления что-то менять). Предприятия, забитые под завязку такими сотрудниками, мягко говоря, обречены. В настоящий момент подобных предприятий в России множество и выживают они во многом благодаря своему монопольному положению, и/или наличию административного ресурса, и/или наличию поддержки от государства.
Только оптимальное сочетание методов кнута и пряника в долгосрочной перспективе приносит пользу компании за счет укоренения культуры контроля.
Принцип пряника также полезно применять с целью смягчения сопротивления изменениям в целом. В российской управленческой практике карательный подход к насаждению желательного поведения почему-то более популярен. При этом забывают, что принуждение рождает ответную реакцию в виде агрессии (нацеленность на продолжение нарушений, но более изощренно) или апатии (полное отсутствие инициативы, стремления что-то менять). Предприятия, забитые под завязку такими сотрудниками, мягко говоря, обречены. В настоящий момент подобных предприятий в России множество и выживают они во многом благодаря своему монопольному положению, и/или наличию административного ресурса, и/или наличию поддержки от государства.
Только оптимальное сочетание методов кнута и пряника в долгосрочной перспективе приносит пользу компании за счет укоренения культуры контроля.
Принцип замкнутости контроля
Система контроля предприятия имеет многослойную структуру. Граница конкретного слоя определяется правами и обязанностями владельца процесса (или группы процессов), в пределах которого располагается этот слой контроля. Особенностью слоев является специфичность набора инструментов и механизмов контроля. Например, бригадир осуществляет контроль действий членов бригады во многом визуально в момент исполнения работы либо спустя некоторое время после ее выполнения. Таким образом, он может влиять на скорость выполнения работы (например, поторопить заснувших работников), на объем используемых материалов (например, указать на нерациональное использование материалов), на качество выполнения работ (например, указать на несоответствие результатов выполняемой работы проекту или чертежу). Такого рода контроль весьма оперативен и обеспечивает достижение ключевых целей контроля – обоснованности, своевременности, правильности или соответствия, полноты. В отличие от бригадира начальник цеха не имеет возможности контролировать действия каждого работника визуально. Таким образом, его инструментарий контроля отличается от инструментария бригадира. Далее, вместо осуществления визуального контроля начальник цеха полагается в основном на систему устной и письменной отчетности и в некоторой степени на данные электронных систем контроля производственного процесса. Эти механизмы контроля, если можно так сказать, лежат уже в иной плоскости по сравнению с механизмами, используемыми бригадиром. Итак, в нашем примере мы получаем два слоя контроля.
Во многих случаях слои контроля очень слабо взаимосвязаны между собой. Часто это обусловлено специфичностью инструментов и механизмов контроля различных слоев. Чем слабее такая взаимосвязь, тем меньше возможностей, условно говоря, у вышестоящих слоев контроля влиять на результаты работы нижестоящих слоев. Например, в примере с бригадиром и начальником цеха бригадир при желании может определенное время скрывать как отставание от графика работ, так и пробелы в качестве, если единственный способ контроля со стороны начальника цеха – это устные отчеты о статусе работ. Для повышения эффективности работы системы контроля в целом необходимо развивать взаимосвязи между различными слоями контроля. В нашем примере начальник цеха может получить дополнительные возможности контроля за счет внедрения автоматизированной системы управления производством (появляется возможность осуществлять онлайн-контроль), за счет сопоставления с результатами работы других сотрудников (например, контролеров ОТК), за счет осведомителей в составе бригады и т. д.
Сложнее всего устанавливать взаимосвязи между сильно удаленными друг от друга слоями контроля, которые разделены несколькими слоями. В этом случае существует два варианта связи с интересующим нижерасположенным слоем – либо напрямую, либо через один или все промежуточные слои. Однако прямая связь должна использоваться исключительно с целью оценки эффективности работы связи через промежуточные слои, иначе высшее руководство погрязнет в ручном регулировании мелочей. В нашем примере начальник цеха может воспользоваться услугами осведомителей, которые будут время от времени передавать ему информацию об истинном статусе работ под руководством бригадира. Начальник цеха, таким образом, будет много чего знать еще до того, как бригадир отчитается в очередной раз. С одной стороны, это вроде бы хорошо, однако, с другой, данный подход может привести к ряду негативных моментов (недоверие к бригадиру, подозрения бригадира, поиски доносителя вместо работы, ухудшение морального климата в бригаде и т. д.). Кроме того, начальник цеха начинает зависеть от расторопности и внимательности осведомителя, а также предметно разбирать отдельные ситуации, подменяя контроль бригадира, т. е. заниматься так называемым ручным контролем.
В итоге правильная система внутреннего контроля должна проектироваться таким образом, чтобы каждый вышестоящий слой имел возможность влиять на эффективность работы любого нижестоящего слоя независимо от способа взаимосвязи (напрямую или через промежуточные слои) и с минимально возможным противодействием. Степень противодействия во многом определяется наличием продуманных и оговоренных изначально правил игры. Если такие правила есть, то система внутреннего контроля является именно системой и результат ее функционирования мало зависит от ручного управления.
Во многих случаях слои контроля очень слабо взаимосвязаны между собой. Часто это обусловлено специфичностью инструментов и механизмов контроля различных слоев. Чем слабее такая взаимосвязь, тем меньше возможностей, условно говоря, у вышестоящих слоев контроля влиять на результаты работы нижестоящих слоев. Например, в примере с бригадиром и начальником цеха бригадир при желании может определенное время скрывать как отставание от графика работ, так и пробелы в качестве, если единственный способ контроля со стороны начальника цеха – это устные отчеты о статусе работ. Для повышения эффективности работы системы контроля в целом необходимо развивать взаимосвязи между различными слоями контроля. В нашем примере начальник цеха может получить дополнительные возможности контроля за счет внедрения автоматизированной системы управления производством (появляется возможность осуществлять онлайн-контроль), за счет сопоставления с результатами работы других сотрудников (например, контролеров ОТК), за счет осведомителей в составе бригады и т. д.
Сложнее всего устанавливать взаимосвязи между сильно удаленными друг от друга слоями контроля, которые разделены несколькими слоями. В этом случае существует два варианта связи с интересующим нижерасположенным слоем – либо напрямую, либо через один или все промежуточные слои. Однако прямая связь должна использоваться исключительно с целью оценки эффективности работы связи через промежуточные слои, иначе высшее руководство погрязнет в ручном регулировании мелочей. В нашем примере начальник цеха может воспользоваться услугами осведомителей, которые будут время от времени передавать ему информацию об истинном статусе работ под руководством бригадира. Начальник цеха, таким образом, будет много чего знать еще до того, как бригадир отчитается в очередной раз. С одной стороны, это вроде бы хорошо, однако, с другой, данный подход может привести к ряду негативных моментов (недоверие к бригадиру, подозрения бригадира, поиски доносителя вместо работы, ухудшение морального климата в бригаде и т. д.). Кроме того, начальник цеха начинает зависеть от расторопности и внимательности осведомителя, а также предметно разбирать отдельные ситуации, подменяя контроль бригадира, т. е. заниматься так называемым ручным контролем.
В итоге правильная система внутреннего контроля должна проектироваться таким образом, чтобы каждый вышестоящий слой имел возможность влиять на эффективность работы любого нижестоящего слоя независимо от способа взаимосвязи (напрямую или через промежуточные слои) и с минимально возможным противодействием. Степень противодействия во многом определяется наличием продуманных и оговоренных изначально правил игры. Если такие правила есть, то система внутреннего контроля является именно системой и результат ее функционирования мало зависит от ручного управления.
Принцип силы контрольной среды
Многие определения термина «контрольная среда» по какой-то причине содержат указания, что это нечто вроде «позиции, осведомленности и действий представителей собственника и руководства…». Однако дело в том, что контрольная среда – это не позиция, осведомленность или действия, а результат наличия определенной позиции, осведомленности или осуществления тех или иных действий. Понятие контрольной среды собирательное, т. к. по сути контрольная среда – это эффект, возникающий от сочетания последствий ряда факторов. На состояние контрольной среды любой компании влияют следующие ключевые факторы:
• Отношение руководства к контролю. В международной практике внутреннего аудита существует специальный термин для данного понятия – tone at the top (буквально «тон сверху»). Попросту говоря, если руководство компании в силу различных причин не готово активно культивировать контроль, большинство усилий в этой сфере обречены на провал. Нередко внутренние аудиторы прикладывают огромные усилия на изменение подобного отношения, но желаемый результат получают далеко не всегда.
• Этические ценности сотрудников компании. Если большинство сотрудников компании наплевательски относятся к самой компании и ко всему, что с ней связано, это создает очень сильную ауру отрицания и негатива. В такой обстановке вряд ли возможны существенные позитивные изменения.
• Степень организационной зрелости компании. Чем более зрелой является компания в организационном смысле, тем собраннее и целенаправленнее ее действия. Более зрелые компании имеют более высокий организационный КПД и производят меньше, так сказать, процессного шума, т. е. бесцельных и беспорядочных действий при осуществлении процессов. Возьмем одну из самых популярных классификаций уровней организационной зрелости, созданную на основе CMM (Capability Maturity Model) (см. табл. 1). Как видно из таблицы, степень организационной зрелости определяется именно подходом к организации процессов. Смею предположить, что большинство компаний в России зависли где-то между уровнем повторяемости и регламентируемости.
• Степень развития управленческих навыков у менеджмента. Наличие и, пользуясь игровой терминологией, прокачанность этих навыков во многом определяют, насколько успешно менеджмент будет выполнять свои ключевые функции. Компания, которая выделяет время и средства на развитие управленческих навыков менеджеров, способствует улучшению характеристик контрольной среды.
• Структура и содержание процессов. В данном случае в первую очередь речь идет о количественном факторе. Чем больше процессов разного уровня, чем больше взаимосвязей и взаимовлияний между данными процессами, чем больше объем операций, тем сложнее и менее предсказуемо их влияние на характеристики контрольной среды. В целом усложнение структуры и содержания процессов негативно влияет на данные характеристики просто потому, что замедляет скорость потоков информации.
• Влияние внешней среды. Ее влияние может быть весьма существенным. Ярким примером влияния внешней среды на контрольную среду предприятия является набирающая в России обороты борьба с мошенничеством. Многие компании искренне озабочены проблемой искоренения мошеннических действий со стороны своих сотрудников. Однако условия внешней среды сводят на нет большую часть их усилий. Сама обстановка в нашей стране потворствует мошенничеству. Если сотрудник компании в повседневной деятельности постоянно сталкивается с мошенническими действиями, затрагивающими его лично или окружающих, то это во многом предопределяет его выбор в ситуации, позволяющей безнаказанно, по его мнению, смошенничать самому. Пока данная проблема не решается на уровне государства, справиться с ней в рамках отдельной компании весьма непросто.
Таблица 1. Классификация уровней организационной зрелости
Данный пример показывает, что борьба с негативным влиянием внешней среды требует существенных затрат и не всегда и не сразу приводит к желаемым результатам.
Разумеется, это далеко не полный перечень факторов, влияющих на характеристики контрольной среды. Стоит также обратить внимание на нюансы взаимодействия контрольной среды и контрольных процедур. Сами по себе контрольные процедуры – это в большинстве случаев осмысленные действия, направленные на достижение целей контроля. Идеальной контрольной процедурой можно назвать ту, которая не испытывает влияния внешних и внутренних негативных факторов. Однако большинство контрольных процедур, к сожалению, подвержены влиянию одного, а чаще нескольких факторов, способных воздействовать на их адекватность и/или эффективность. Так вот, контрольная среда может либо усиливать, либо ослаблять деструктирующее влияние негативных факторов. Другими словами, контрольная среда прямого влияния на контрольные процедуры не оказывает, а действует опосредованно. Например, при проведении инвентаризации ТМЦ, упакованных в коробки, по общему правилу необходимо вскрыть некоторые коробки, чтобы удостовериться, что они надлежащим образом заполнены надлежащими ТМЦ. Однако, если, например, на предприятии царит атмосфера халатного отношения к работе или кладовщик, МОЛ или его покровитель хорошо попросил инвентаризационную комиссию этого не делать, процедура вскрытия может не выполняться, и какие-то несоответствия остаются незамеченными. Таким образом, реализуется механизм опосредованного влияния контрольной среды на контрольные процедуры. По этой причине аудиторы должны направлять энергию не только на разработку контрольных процедур, но и на разработку мероприятий по улучшению характеристик контрольной среды. Нет смысла подробно останавливаться на характеристиках контрольной среды (зона действия, устойчивость, динамика и т. д.). Достаточно понимать, что контрольная среда – это, с одной стороны, нечто неосязаемое, как, например, электромагнитное поле, однако, с другой стороны, результаты ее влияния могут быть весьма заметными. Аудитор должен ясно осознавать, что невозможно иметь сильную систему внутренних контрольных процедур при, если так можно выразиться, слабой контрольной среде. Степень развитости контрольной среды является естественным ограничением для внедрения контрольных процедур.
• Отношение руководства к контролю. В международной практике внутреннего аудита существует специальный термин для данного понятия – tone at the top (буквально «тон сверху»). Попросту говоря, если руководство компании в силу различных причин не готово активно культивировать контроль, большинство усилий в этой сфере обречены на провал. Нередко внутренние аудиторы прикладывают огромные усилия на изменение подобного отношения, но желаемый результат получают далеко не всегда.
• Этические ценности сотрудников компании. Если большинство сотрудников компании наплевательски относятся к самой компании и ко всему, что с ней связано, это создает очень сильную ауру отрицания и негатива. В такой обстановке вряд ли возможны существенные позитивные изменения.
• Степень организационной зрелости компании. Чем более зрелой является компания в организационном смысле, тем собраннее и целенаправленнее ее действия. Более зрелые компании имеют более высокий организационный КПД и производят меньше, так сказать, процессного шума, т. е. бесцельных и беспорядочных действий при осуществлении процессов. Возьмем одну из самых популярных классификаций уровней организационной зрелости, созданную на основе CMM (Capability Maturity Model) (см. табл. 1). Как видно из таблицы, степень организационной зрелости определяется именно подходом к организации процессов. Смею предположить, что большинство компаний в России зависли где-то между уровнем повторяемости и регламентируемости.
• Степень развития управленческих навыков у менеджмента. Наличие и, пользуясь игровой терминологией, прокачанность этих навыков во многом определяют, насколько успешно менеджмент будет выполнять свои ключевые функции. Компания, которая выделяет время и средства на развитие управленческих навыков менеджеров, способствует улучшению характеристик контрольной среды.
• Структура и содержание процессов. В данном случае в первую очередь речь идет о количественном факторе. Чем больше процессов разного уровня, чем больше взаимосвязей и взаимовлияний между данными процессами, чем больше объем операций, тем сложнее и менее предсказуемо их влияние на характеристики контрольной среды. В целом усложнение структуры и содержания процессов негативно влияет на данные характеристики просто потому, что замедляет скорость потоков информации.
• Влияние внешней среды. Ее влияние может быть весьма существенным. Ярким примером влияния внешней среды на контрольную среду предприятия является набирающая в России обороты борьба с мошенничеством. Многие компании искренне озабочены проблемой искоренения мошеннических действий со стороны своих сотрудников. Однако условия внешней среды сводят на нет большую часть их усилий. Сама обстановка в нашей стране потворствует мошенничеству. Если сотрудник компании в повседневной деятельности постоянно сталкивается с мошенническими действиями, затрагивающими его лично или окружающих, то это во многом предопределяет его выбор в ситуации, позволяющей безнаказанно, по его мнению, смошенничать самому. Пока данная проблема не решается на уровне государства, справиться с ней в рамках отдельной компании весьма непросто.
Таблица 1. Классификация уровней организационной зрелости
Данный пример показывает, что борьба с негативным влиянием внешней среды требует существенных затрат и не всегда и не сразу приводит к желаемым результатам.
Разумеется, это далеко не полный перечень факторов, влияющих на характеристики контрольной среды. Стоит также обратить внимание на нюансы взаимодействия контрольной среды и контрольных процедур. Сами по себе контрольные процедуры – это в большинстве случаев осмысленные действия, направленные на достижение целей контроля. Идеальной контрольной процедурой можно назвать ту, которая не испытывает влияния внешних и внутренних негативных факторов. Однако большинство контрольных процедур, к сожалению, подвержены влиянию одного, а чаще нескольких факторов, способных воздействовать на их адекватность и/или эффективность. Так вот, контрольная среда может либо усиливать, либо ослаблять деструктирующее влияние негативных факторов. Другими словами, контрольная среда прямого влияния на контрольные процедуры не оказывает, а действует опосредованно. Например, при проведении инвентаризации ТМЦ, упакованных в коробки, по общему правилу необходимо вскрыть некоторые коробки, чтобы удостовериться, что они надлежащим образом заполнены надлежащими ТМЦ. Однако, если, например, на предприятии царит атмосфера халатного отношения к работе или кладовщик, МОЛ или его покровитель хорошо попросил инвентаризационную комиссию этого не делать, процедура вскрытия может не выполняться, и какие-то несоответствия остаются незамеченными. Таким образом, реализуется механизм опосредованного влияния контрольной среды на контрольные процедуры. По этой причине аудиторы должны направлять энергию не только на разработку контрольных процедур, но и на разработку мероприятий по улучшению характеристик контрольной среды. Нет смысла подробно останавливаться на характеристиках контрольной среды (зона действия, устойчивость, динамика и т. д.). Достаточно понимать, что контрольная среда – это, с одной стороны, нечто неосязаемое, как, например, электромагнитное поле, однако, с другой стороны, результаты ее влияния могут быть весьма заметными. Аудитор должен ясно осознавать, что невозможно иметь сильную систему внутренних контрольных процедур при, если так можно выразиться, слабой контрольной среде. Степень развитости контрольной среды является естественным ограничением для внедрения контрольных процедур.
Принцип самовоспроизведения контроля
Отчасти этот принцип перекликается с принципом замкнутости, однако в данном случае речь идет об отдельно взятой контрольной процедуре. Во многих случаях контроль – это действие, которое не является естественным для конкретного – процесса и/или для конкретного владельца процесса. Контроль отнимает ресурсы процесса. Он направлен не на достижение цели самого процесса, а на достижение определенных параметров данной цели. По этой причине при отсутствии поддержки или, по-другому, механизма стимулирования воспроизведения контроля эффективность контроля в большинстве случаев будет снижаться со временем. В связи с этим важно ответить не только на вопрос «что представляет собой контроль?», но и на вопрос «как будет обеспечено его функционирование?».
Существуют различные механизмы стимулирования воспроизведения контроля, а именно:
• Создание коллизии целей у участников процесса при отклонении от установленных параметров процесса. Такая коллизия может быть создана тремя основными способами. Первый заключается в том, чтобы сделать выход из одного процесса входом в другой процесс, при этом параметры выхода из одного процесса и входа в последующий процесс должны быть сопоставимыми. В этом случае владелец следующего процесса заинтересован в том, чтобы владелец предыдущего процесса сделал свою работу как следует. Типичным примером такой ситуации является производственный процесс, состоящий из нескольких переделов, особенно когда переделы выполняются относительно независимыми предприятиями, а не одной компанией. Если на выходе из одного передела получается продукция, не соответствующая определенным параметрам, то ответственный за следующий передел сигнализирует об этом и отказывается принимать продукцию с отклонениями.
Второй способ встречается тогда, когда контроль параметров того или иного процесса является целью владельца процесса такого контроля. Типичным примером второго способа является деятельность такого подразделения как отдел технического контроля, или ОТК. Такое подразделение существует на многих производственных предприятиях. Основной его деятельностью является контроль параметров производимой продукции.
Третий способ встречается тогда, когда контрольные действия дополнительно стимулируются, например с помощью денежного вознаграждения, и обычно не входят в круг обязанностей большинства владельцев процессов. Классическим примером данной ситуации является назначение вознаграждения за поимку опасного преступника или предоставление информации о его местонахождении.
• Улучшение контрольной среды. Можно с полной уверенностью утверждать, что при максимально эффективной контрольной среде отсутствует необходимость в отдельных контрольных процедурах. С философской точки зрения в такой среде не может даже существовать такого понятия, как контроль, поскольку отсутствует объект контроля – отклонения от требуемых или желаемых параметров процессов. Например, при борьбе с мошенничеством в рамках отдельной компании огромное значение имеет пропаганда требуемого поведения на рабочем месте. Такая пропаганда есть не что иное, как попытка повлиять на один из факторов, существенно влияющих на контрольную среду, – этику поведения на рабочем месте.
• Периодический мониторинг. Здесь речь идет в первую очередь о мониторинге адекватности и эффективности системы внутреннего контроля. К такому мониторингу также можно отнести действия по выявлению отклонений от требуемых параметров процессов. И та и другая деятельность может быть как основной, так и сопутствующей задачей владельца конкретного процесса. В первом случае типичным примером владельца процесса является ПВА, или ревизионная служба, или государственный надзорный орган (больше специализируется на поиске отклонений). Во втором случае – это вышестоящий руководитель или вышестоящее подразделение.
• Ограничение свободы выбора. Данный механизм довольно специфичен, однако в ряде ситуаций является, пожалуй, единственным механизмом. Ограничить свободу выбора – значит лишить возможности полностью или частично выполнить те действия, которые приведут к нарушению требуемых параметров процесса. Классическим примером ограничения свободы выбора является ограничение физической свободы, например домашний арест или что похуже.
• Автоматизация процессов. Ключевым преимуществом автоматизации является создание шаблонов процессов. В определенном смысле автоматизация также ограничивает выбор, однако основная ее цель заключается в обеспечении наиболее эффективного подхода к выполнению процесса. Ограничение является побочным эффектом. К тому же автоматизация ограничивает выбор лишь частично. Автоматизация хорошо справляется с бессознательными отклонениями. Что касается сознательных нарушений, то многие системы автоматизации процессов допускают их в той или иной степени. Однако преимуществом автоматизации является то, что она позволяет такие нарушения оперативно фиксировать и анализировать.
Существуют различные механизмы стимулирования воспроизведения контроля, а именно:
• Создание коллизии целей у участников процесса при отклонении от установленных параметров процесса. Такая коллизия может быть создана тремя основными способами. Первый заключается в том, чтобы сделать выход из одного процесса входом в другой процесс, при этом параметры выхода из одного процесса и входа в последующий процесс должны быть сопоставимыми. В этом случае владелец следующего процесса заинтересован в том, чтобы владелец предыдущего процесса сделал свою работу как следует. Типичным примером такой ситуации является производственный процесс, состоящий из нескольких переделов, особенно когда переделы выполняются относительно независимыми предприятиями, а не одной компанией. Если на выходе из одного передела получается продукция, не соответствующая определенным параметрам, то ответственный за следующий передел сигнализирует об этом и отказывается принимать продукцию с отклонениями.
Второй способ встречается тогда, когда контроль параметров того или иного процесса является целью владельца процесса такого контроля. Типичным примером второго способа является деятельность такого подразделения как отдел технического контроля, или ОТК. Такое подразделение существует на многих производственных предприятиях. Основной его деятельностью является контроль параметров производимой продукции.
Третий способ встречается тогда, когда контрольные действия дополнительно стимулируются, например с помощью денежного вознаграждения, и обычно не входят в круг обязанностей большинства владельцев процессов. Классическим примером данной ситуации является назначение вознаграждения за поимку опасного преступника или предоставление информации о его местонахождении.
• Улучшение контрольной среды. Можно с полной уверенностью утверждать, что при максимально эффективной контрольной среде отсутствует необходимость в отдельных контрольных процедурах. С философской точки зрения в такой среде не может даже существовать такого понятия, как контроль, поскольку отсутствует объект контроля – отклонения от требуемых или желаемых параметров процессов. Например, при борьбе с мошенничеством в рамках отдельной компании огромное значение имеет пропаганда требуемого поведения на рабочем месте. Такая пропаганда есть не что иное, как попытка повлиять на один из факторов, существенно влияющих на контрольную среду, – этику поведения на рабочем месте.
• Периодический мониторинг. Здесь речь идет в первую очередь о мониторинге адекватности и эффективности системы внутреннего контроля. К такому мониторингу также можно отнести действия по выявлению отклонений от требуемых параметров процессов. И та и другая деятельность может быть как основной, так и сопутствующей задачей владельца конкретного процесса. В первом случае типичным примером владельца процесса является ПВА, или ревизионная служба, или государственный надзорный орган (больше специализируется на поиске отклонений). Во втором случае – это вышестоящий руководитель или вышестоящее подразделение.
• Ограничение свободы выбора. Данный механизм довольно специфичен, однако в ряде ситуаций является, пожалуй, единственным механизмом. Ограничить свободу выбора – значит лишить возможности полностью или частично выполнить те действия, которые приведут к нарушению требуемых параметров процесса. Классическим примером ограничения свободы выбора является ограничение физической свободы, например домашний арест или что похуже.
• Автоматизация процессов. Ключевым преимуществом автоматизации является создание шаблонов процессов. В определенном смысле автоматизация также ограничивает выбор, однако основная ее цель заключается в обеспечении наиболее эффективного подхода к выполнению процесса. Ограничение является побочным эффектом. К тому же автоматизация ограничивает выбор лишь частично. Автоматизация хорошо справляется с бессознательными отклонениями. Что касается сознательных нарушений, то многие системы автоматизации процессов допускают их в той или иной степени. Однако преимуществом автоматизации является то, что она позволяет такие нарушения оперативно фиксировать и анализировать.
Глава 4.
Формирование риск-ориентированного подхода к проведению проектов внутреннего аудита
Основные понятия
Перед тем как углубиться в тему данной главы, необходимо познакомиться поближе с ее основными понятиями, в число которых входят:
• риск;
• фактор риска;
• владелец риска.
Риск. Под риском понимается событие, которое может произойти в будущем с определенной вероятностью и нанести определенный ущерб. Риск может быть результатом как действия, так и бездействия. Из этого следует, что даже если мы ничего не предпринимаем, то все равно рискуем. Поэтому риск является неотъемлемой частью нашей повседневной жизни.
Основная сложность в построении процесса управления рисками заключается в двойственной природе риска. Это выражается в том, что риск является одновременно и риском, и фактором риска для других взаимосвязанных рисков. Проиллюстрируем эту двойственность на следующем примере. Возьмем цепочку из трех взаимосвязанных событий – работник пришел на предприятие пьяным, он совершил производственную ошибку, на производстве произошла авария. Каждое из указанных событий по отдельности может быть риском. Приведенная цепочка событий-рисков является одним из наиболее распространенных вариантов причинно-следственной связи в подобной ситуации. Разумеется, у каждого из этих рисков может быть несколько причин. Например, работник может совершить производственную ошибку не только вследствие алкогольного опьянения, но и по невнимательности, неосторожности, из-за плохого настроения, отвлекающего фактора. Также и авария на производстве может произойти не только вследствие ошибки пьяного работника, но и по причине устаревшего оборудования, форс-мажорных обстоятельств, неправильного техпроцесса и т. д. Вернемся, однако, к нашей цепочке. После того как первый риск реализовался, т. е. негативное событие произошло, этот риск становится фактором риска для следующего негативного события (производственная ошибка). Присутствие пьяного сотрудника на рабочем месте повышает вероятность и усиливает негативный эффект производственной ошибки, а значит, является фактором риска для данного события. Аналогичная логика используется при анализе следующего элемента цепочки – производственной ошибки-аварии.
С практической точки зрения полезно также разобраться в понятиях «исходный риск» и «остаточный риск». Под исходным понимается риск в конкретной ситуации без какого-либо вмешательства в ход событий (что будет, если ничего не предпринимать). Соответственно, под остаточным понимается риск в конкретной ситуации после того, как все целесообразные меры управления данным риском были предприняты. Довольно часто в процессе выявления и оценки рисков в силу различных причин происходит смешение исходных и остаточных рисков. Это, безусловно, влияет на эффективность процесса управления рисками.
Фактор риска. Под фактором риска понимается результат какого-либо действия либо бездействия, который увеличивает вероятность и усиливает негативный эффект последующего и взаимосвязанного негативного события. Можно решить, что фактор риска эквивалентен причине реализации риска, однако это не совсем корректно. Причина реализации риска является фактором риска, но не каждый фактор риска является причиной его реализации. Рассмотрим эти понятия на примере. Непотушенный окурок сигареты может стать причиной пожара в доме. С этим никто не спорит. Однако у риска возникновения пожара в доме может быть несколько причин, если под причиной понимать появление неконтролируемого источника огня. Если дом деревянный, напичкан скарбом, сделанным из горючих и легковоспламеняющихся материалов, пожар произойдет с высокой вероятностью и дом сгорит дотла. Указанные обстоятельства (деревянный дом и скарб) сами по себе не являются причиной пожара, но образуют факторы риска этого события – они увеличивают вероятность его возникновения и усиливают негативный эффект. Выяснив различия понятий «причина риска» и «фактор риска», я предлагаю… забыть о них. Для простоты будем оперировать только понятием «фактор риска».
Владелец риска. Это владелец процесса, наиболее заинтересованный в управлении выбранным риском. Такая заинтересованность объясняется тем, что устранение конкретного риска способствует достижению цели процесса. Существует немало рисков, для которых, на первый взгляд, довольно сложно определить одного владельца. К ним в первую очередь относятся риски, имеющие несколько причин возникновения. Например, возьмем риск затоваривания складов готовой продукцией. Навскидку у него может быть три основных причины:
• снижение темпов реализации продукции предприятия;
• несвоевременная отгрузка продукции;
• необоснованное увеличение объемов производства.
На первый взгляд у данного риска несколько владельцев, поскольку причины указывают на разные варианты развития событий. Однако, с одной стороны, исходную формулировку риска можно уточнить путем прибавления причины риска (например, затоваривание складов готовой продукцией вследствие снижения темпов реализации продукции предприятия). Таким образом, мы получаем три риска. У них персональные владельцы более очевидны, чем у исходного риска:
• дирекция по продажам и маркетингу;
• дирекция по логистике;
• дирекция по производству.
С другой стороны, можно отказаться от уточнения формулировки риска и определить владельца исходного риска исходя из оценки заинтересованности в управлении данным риском. При таком подходе необходимо понять цели процессов. Определим их следующим образом[4]:
• риск;
• фактор риска;
• владелец риска.
Риск. Под риском понимается событие, которое может произойти в будущем с определенной вероятностью и нанести определенный ущерб. Риск может быть результатом как действия, так и бездействия. Из этого следует, что даже если мы ничего не предпринимаем, то все равно рискуем. Поэтому риск является неотъемлемой частью нашей повседневной жизни.
Основная сложность в построении процесса управления рисками заключается в двойственной природе риска. Это выражается в том, что риск является одновременно и риском, и фактором риска для других взаимосвязанных рисков. Проиллюстрируем эту двойственность на следующем примере. Возьмем цепочку из трех взаимосвязанных событий – работник пришел на предприятие пьяным, он совершил производственную ошибку, на производстве произошла авария. Каждое из указанных событий по отдельности может быть риском. Приведенная цепочка событий-рисков является одним из наиболее распространенных вариантов причинно-следственной связи в подобной ситуации. Разумеется, у каждого из этих рисков может быть несколько причин. Например, работник может совершить производственную ошибку не только вследствие алкогольного опьянения, но и по невнимательности, неосторожности, из-за плохого настроения, отвлекающего фактора. Также и авария на производстве может произойти не только вследствие ошибки пьяного работника, но и по причине устаревшего оборудования, форс-мажорных обстоятельств, неправильного техпроцесса и т. д. Вернемся, однако, к нашей цепочке. После того как первый риск реализовался, т. е. негативное событие произошло, этот риск становится фактором риска для следующего негативного события (производственная ошибка). Присутствие пьяного сотрудника на рабочем месте повышает вероятность и усиливает негативный эффект производственной ошибки, а значит, является фактором риска для данного события. Аналогичная логика используется при анализе следующего элемента цепочки – производственной ошибки-аварии.
С практической точки зрения полезно также разобраться в понятиях «исходный риск» и «остаточный риск». Под исходным понимается риск в конкретной ситуации без какого-либо вмешательства в ход событий (что будет, если ничего не предпринимать). Соответственно, под остаточным понимается риск в конкретной ситуации после того, как все целесообразные меры управления данным риском были предприняты. Довольно часто в процессе выявления и оценки рисков в силу различных причин происходит смешение исходных и остаточных рисков. Это, безусловно, влияет на эффективность процесса управления рисками.
Фактор риска. Под фактором риска понимается результат какого-либо действия либо бездействия, который увеличивает вероятность и усиливает негативный эффект последующего и взаимосвязанного негативного события. Можно решить, что фактор риска эквивалентен причине реализации риска, однако это не совсем корректно. Причина реализации риска является фактором риска, но не каждый фактор риска является причиной его реализации. Рассмотрим эти понятия на примере. Непотушенный окурок сигареты может стать причиной пожара в доме. С этим никто не спорит. Однако у риска возникновения пожара в доме может быть несколько причин, если под причиной понимать появление неконтролируемого источника огня. Если дом деревянный, напичкан скарбом, сделанным из горючих и легковоспламеняющихся материалов, пожар произойдет с высокой вероятностью и дом сгорит дотла. Указанные обстоятельства (деревянный дом и скарб) сами по себе не являются причиной пожара, но образуют факторы риска этого события – они увеличивают вероятность его возникновения и усиливают негативный эффект. Выяснив различия понятий «причина риска» и «фактор риска», я предлагаю… забыть о них. Для простоты будем оперировать только понятием «фактор риска».
Владелец риска. Это владелец процесса, наиболее заинтересованный в управлении выбранным риском. Такая заинтересованность объясняется тем, что устранение конкретного риска способствует достижению цели процесса. Существует немало рисков, для которых, на первый взгляд, довольно сложно определить одного владельца. К ним в первую очередь относятся риски, имеющие несколько причин возникновения. Например, возьмем риск затоваривания складов готовой продукцией. Навскидку у него может быть три основных причины:
• снижение темпов реализации продукции предприятия;
• несвоевременная отгрузка продукции;
• необоснованное увеличение объемов производства.
На первый взгляд у данного риска несколько владельцев, поскольку причины указывают на разные варианты развития событий. Однако, с одной стороны, исходную формулировку риска можно уточнить путем прибавления причины риска (например, затоваривание складов готовой продукцией вследствие снижения темпов реализации продукции предприятия). Таким образом, мы получаем три риска. У них персональные владельцы более очевидны, чем у исходного риска:
• дирекция по продажам и маркетингу;
• дирекция по логистике;
• дирекция по производству.
С другой стороны, можно отказаться от уточнения формулировки риска и определить владельца исходного риска исходя из оценки заинтересованности в управлении данным риском. При таком подходе необходимо понять цели процессов. Определим их следующим образом[4]: