Страница 12 из 20
• отсутствие этапа процесса – возможно, отсутствует какой-либо этап процесса, вследствие чего цель процесса достигается не всегда, с потерей качества, так сказать, с большим напрягом;
• недостижение цели этапа процесса – в силу различных причин цель этапа процесса не достигается либо достигается не так часто, как необходимо;
• нарушение регламента – в ходе исполнения процесса наблюдаются случаи намеренного или вынужденного нарушения существующих регламентирующих документов, при этом возрастает риск недостижения цели процесса;
• техническая ошибка – ошибки при исполнении отдельных операций в ходе осуществления этапа процесса, а также ошибки при формировании и передаче информации;
• персонал – недостаток персонала, как по количеству, так и по качеству, а также низкая исполнительская дисциплина;
• неэффективность СВК – система внутреннего контроля не препятствует факторам риска.
Таблица 2. Пример оценочной таблицы для формирования рейтинга подпроцессов процесса «Производство»
Использованные для целей оценки факторы риска по большей части выбраны не совсем удачно, а именно:
• отсутствие этапа процесса – довольно сложный фактор риска. Во-первых, требуется знание основ процессного управления и терминологии, чтобы понять, о чем идет речь. Во-вторых, чтобы проверить достоверность оценки, необходимо как минимум знать, как данный процесс выглядит на практике. В-третьих, для ряда предприятий отсутствие конкретного этапа может быть нормальным явлением;
• недостижение цели этапа процесса – еще более сложный фактор риска. Во-первых, проблемы использования аналогичны проблемам предыдущего фактора риска. Во-вторых, появляется необходимость в предварительном определении целей этапов процесса, по крайней мере для команды внутренних аудиторов. Такая работа, если ее проводить досконально, трудоемка и объемна (например, если взять шесть подпроцессов, каждый из которых состоит из 8–10 этапов, в сумме получаем 48–60 этапов). К тому же высока вероятность возникновения проблемы при использовании результата на практике, например, если привлечь к формированию и/или обсуждению результатов работы по определению целей этапов подпроцессов их владельцев, то можно застрять в самом начале. Например, сначала можно долго и нудно объяснять терминологию и основы процессного управления, затем долго спорить по поводу целей этапов подпроцессов, затем – по поводу оценки влияния фактора риска на цели данных этапов;
• нарушение регламента – фактор риска пригоден к использованию во многих случаях. Плюсом является то, что получить представление об актуальности данного фактора риска можно из нескольких источников – переписка, мнения сотрудников, контролирующих исполнение регламентов, мнение сторонних экспертов (аудиторские фирмы, консультанты и т. д.) и т. д. Наличие данного фактора риска может указывать на недостатки управления процессом и предприятием в целом – низкая исполнительская дисциплина, несовершенство регламентов, громоздкие процедуры и т. д.;
• техническая ошибка – можно использовать в качестве фактора риска. Однако если результат таких ошибок не явился результатом существенного негативного события, то о них можно умолчать и проверить это непросто. Отсюда следует, что во многих случаях данный фактор может показаться мелковатым для использования в оценке;
• персонал – хороший фактор риска для целей оценки. Недостаток адекватного персонала – проблема всех времен и народов. Проблемы с персоналом порождают множество проблем в различных сферах деятельности любого предприятия. Получить представление о данном факторе риска, возможно, даже проще, чем о нарушении регламентов, – существует несколько источников, начиная с управленческой отчетности и заканчивая актами трудовой инспекции;
• неэффективность СВК – малопригоден для целей оценки. Во-первых, звучит довольно жестко, и мало какое предприятие легко согласиться с тем, что даже отдельные его процессы имеют проблемы контроля. Во-вторых, базовая цель аудита как раз и состоит в оценке как минимум адекватности СВК. Данный фактор можно использовать только в том случае, если команда внутренних аудиторов в прошлом (желательно не очень далеком) уже имела дело с конкретным процессом на конкретном объекте аудита. Если мало что изменилось с тех пор, то оценка получится достоверной и доказуемой.
Таким образом, по результатам анализа мы имеем следующее:
• три фактора пригодны к использованию;
• два фактора пригодны к использованию, но на практике может возникнуть множество сложностей;
• один фактор не пригоден.
В качестве примера приведу небольшой перечень факторов риска (далеко не исчерпывающий), которые можно применять в большинстве случаев для целей составления рейтинга рискованности процессов:
• практика форсирования контрольных процедур (данная практика очень заразительна, отсутствие контроля расхолаживает, подталкивает к размышлениям о собственном благе и способах его преувеличения в свете появившихся в отсутствие контроля возможностей);
• широкое использование экспертных оценок (данная практика также заразительна, в результате люди могут перестать делать, например, элементарные расчеты);
• сложность операций, этапов и процессов с организационной точки зрения (повышается риск прогрессирующей задержки, исполнение процесса может затянуться);
• сложность операций, этапов и процессов с технологической точки зрения (возрастает цена ошибки);
• текучесть сотрудников (создает нездоровую атмосферу в коллективе, а также тормозит исполнение процесса и требует дополнительных затрат);
• децентрализованные процессы (довольно часто дают порулить тому, кто либо еще не дорос до этого, либо перерос и склонен к использованию служебного положения в личных целях);
• объем операций (большое количество транзакций увеличивает вероятность и существенность ошибки);
• мошенничество (каждый процесс обладает вмененным и приобретенным потенциалом для мошеннических схем);
• нанесение ущерба здоровью (может повлечь за собой как материальные обязательства по отношению к потерпевшей стороне, так и обязательства перед государством и обществом; взаимосвязано с рядом рисков, например технологического характера или рисками неадекватного состояния имущества);
• нанесение ущерба окружающей среде (аналогично предыдущему пункту только по отношению к окружающей среде);
• государственное регулирование (пристальное внимание государства означает визиты различных органов, участие в коррупционных схемах, риски, связанные с плохим настроением представителей власти, и т. д.);
• изменения систем и процессов (к любым изменениям необходимо привыкнуть, а это повышает вероятность ошибок);
• амбициозные цели процесса, особенно во взаимосвязи с амбициозным вознаграждением (когда что-то очень надо, а есть вероятность, что не получится, возникает непреодолимый соблазн сыграть не по правилам);
• отсутствие нормативов (когда не установлен формально верх или низ или иные рамки, работает принцип «будет так, как я хочу»);
• низкая регламентированность процесса (сопоставим с предыдущим фактором, может приводить к неоднозначным результатам – как к перекосам, так и к эффективности, однако перекосы случаются чаще);
• отсутствие управленческого учета (когда ходы не записывают, трудно разобраться в текущей ситуации и, тем более, в прошлой ситуации; под песню «нам некогда бумажками шуровать, нам работать надо» торжественно разбивались вдребезги мечты многих акционеров о светлом будущем и даче с кабанчиком).
Мы разобрали основные моменты представленного для примера фрагмента оценочной таблицы. Как я уже говорил, шкала оценок может быть какой угодно. Хотелось бы, однако, обрисовать ситуацию вокруг данной оценочной таблицы в целом. Данная таблица была использована для составления рейтинга рискованности процессов нового объекта аудита, на котором команда внутренних аудиторов прежде не бывала. В попытке обеспечить максимальное качество таблицы было принято решение заполнить ее при активном участии владельцев процессов объекта аудита. Как показала дальнейшая работа, и не только в рамках того проекта, такой подход носит неоднозначный характер с уклоном в сторону вранья. Некоторые владельцы процессов действительно пытались объективно оценить происходящее в их епархии. Правда, со временем выяснилось, что некоторые факторы риска они просто не поняли (о чем говорилось выше). Однако чаще владельцы процессов стремились приукрасить картину, что и выяснилось в ходе последовавшего проекта аудита. Данный пример является одним из многих свидетельств того, что владельцы процессов являются не самыми лучшими соавторами рейтинга рискованности собственных процессов. Команда внутренних аудиторов должна стремиться использовать как можно более объективные, но в то же время оперативные (все происходит на этапе планирования проекта, который часто весьма ограничен во времени) источники информации.