Хорошая в целом глава. Очень понравилась идея для каждого из уровней внутреннего аудита использовать разные подходы к оценке рисков. Важно, что эти различия очень понятны именно по 1-2 принципиально разным действиям. Например, для уровня 3 (услуги по консультированию и предоставлению гарантий) оценка рисков должны идти снизу вверх, а для уровня 4 (обеспечение общих гарантий в отношении GRC) – сверху вниз, а количество областей для уровня 2 (финансовые и комплаенс-проверки) принципиально снижено. Это, безусловно, поможет и перейти с одного на другой уровень внутреннего аудита: одно дело – анализировать риски отчетности, другое – процессов, подразделений и направлений бизнеса, и совсем другое дело – описать риски «вообще» и думать, как ими управлять. У нас на сайте в разделе «Уровень бизнеса» описан подход именно на уровне 4, но и для уровня 3 есть подходы для бизнес-процессов. В календарном планировании понравилась табличка с календарным планом аудита. Сам никогда не делал по источникам возникновения плана проверок, но идея классная: видно, а «на чьем поводу» идет внутренний аудит. Кстати, и уровень самого аудита исходя из таблички можно определить (то ли начальный, то ли оптимизирующий…).

Принципиально не понравилась потенциально большая трудоемкость процесса планирования, связанная с оценкой рисков. Во-первых, исходя из описания, трудоемкость проекта – не меньше 50 человеко-дней, а начинать нужно в сентябре-октябре. Если в подразделении внутреннего аудита 10 человек и более – может, по этому пути и можно пойти, если уверены в полезности. Но если коллектив состоит из 2-3 специалистов – крайне сомнительно, что нужно планировать предложенными методами, можно значительно проще. Во-вторых, вызывает сомнение необходимость столь детальной оценки рисков. Предложенная система абсолютно не гарантирует выявление и корректное ранжирование всех рисков, а результат примерно с той же самой точностью можно получить значительно меньшими трудозатратами. Избыточные трудозатраты вытекают, в первую очередь, из следующих рекомендаций книги:

  1. Огромное количество запрашиваемой информации («им следует проанализировать»: и дальше на страницу). Для себя вынес определенную полезность по исходной информации для оценки рисков, добавлю на сайт. Но, так как у книги 10 авторов (не считая вынесенных благодарностей), список получился избыточно обширным. Не очень понимаю, как могут помочь для планирования деятельности на год «материалы по идейному лидерству, содержащие информацию о том, что прогрессивные организации делают для реагирования на будущие вызовы и возможности».
  2. Пример с оценкой процесса. 7-этапная оценка каждого процесса, включая этап определения «лиц, которых следует опросить», «оценку процесса на основе ключевых факторов риска процесса в рамках опроса или семинара для менеджмента», «определение значения каждого фактора риска от низкого до высокого и проведение общей оценки вероятности возникновения и воздействия рисков» явно избыточна (подчеркну – для процесса). Как сказал С.А. Мартынов – это как описывать каждую блоху на собаке (точная цитата – «ловить каждую, прикреплять на левую переднюю лапку кольцо и описывать её образ жизни и биографию»)
  3. Необходимость очень активного привлечения менеджмента. Например, в главе 9, в которой описаны общие подходы, приведен пример взаимодействия с директором по производству. Внутренний аудитор сначала узнал у него что-то, потом с ним же сверил оценку, потом, при планировании (это уже к главе 11), должен связаться для получения обновленной информации. В главе 10 тоже постоянно идет речь о взаимодействии с менеджментом, в частности, через опросы или семинары по рискам (а их должна быть серия, потому что речь идет о бизнес-процессах). Личная практика показывает, что взаимодействие с менеджментом при оценке рисков, как правило, не дает реальной картины (а со второй «линией защиты» – тем более): оценка «выгодных» для менеджмента рисков будет завышена, оценка «невыгодных» – занижена. Не говоря о том, что директора по производству (как предлагается в книге), а также технические директора, директора по капстрою и директора по IT, по нашей практике – самые искажающие оценку рисков люди.

Итог всех этих масштабных действий – цветовая карта, то есть качественная оценка, а с учетом количества итераций и вовлеченного менеджмента – качественная оценка в кубе. В общем, спорны и подход, и вероятность достижения нормального результата. А если вероятность низка – может, не нужно? Цветовую карту при коллективе подразделения внутреннего аудита в 10 человек можно получить и путем опроса внутри коллектива… Во-всяком случае, мы так упражнялись (не карты рисовали, а оценивали риски с точки зрения значимости и целесообразности аудита) впятером на одной из предыдущих работ. Очень часто мнения совпадали, а если мнения пятерых независимых людей (то бишь внутренних аудиторов, давно работающих в компании) совпадают даже примерно, то зачем так глубоко вовлекать менеджмент?

Прочие замечания:

  • авторы неявно, но рекомендуют делиться с менеджментом наработками по управлению рисками. Пишут, что информация от внутреннего аудита «может быть использована в практических целях управления рисками». Остерегайтесь. Методой, описанной на сайте в сквозном примере, я каждый год на любом месте работы делаю табличку. И полезно, и МПСВА соответствует. Но менеджменту не показываю. Причина – прилетает «черный лебедь» типа пандемии, и когда спросят, где в перечне рисков «пандемия» – весь менеджмент покажет пальцем на внутренний аудит (даже они не предугадали). Крайним быть неохота, хотя в перечне типовых рисков есть эпидемия (там, где про непрерывность бизнеса. Исходник в 2008 году писался, если что…). Но если кто-то хочет проконсультироваться – всегда с удовольствием отвечу, как и что делать. Но риски сравним потом;
  • личное попадалово по фразе «когда внутренние аудиторы задают высшему руководству элементарные вопросы по поводу широкодоступной информации, время тратится впустую и подрывается вера менеджмента в наличие у внутренних аудиторов деловой проницательности». Не всегда. Несколько раз на меня обижались большие руководители, почему я у них лично не спросил. Спрашивать не начал, но в начале беседы стал обращать внимание, что большое количество информации собрано у N человек, с которыми уже поговорил;
  • рекомендуется получить некоторые документы в письменной форме. Да, стратегия и значимая IT-инфраструктура с приложениями должны быть описаны. Возможно, кривой перевод, но я бы не стал от менеджмента письменно требовать «операционные приоритеты». По смыслу имеется в виду то, что можно назвать функциональными стратегиями, но мало где они есть;
  • процесс для примера в оценке рисков, а именно «разработка видения и стратегии», выбран откровенно неудачно. Во-первых, не уверен, что это именно процесс (стратегия – она не ежемесячно пересматривается, скорее – проектно). Во-вторых, ответы на задаваемые вопросы, кроме очевидных, не всегда однозначны. Например, оцените значимость разработки видения и стратегии для заинтересованных сторон. Такие процессы изучают и оценивают либо долго, либо плохо. Планирование ограничено по времени, выводы делайте сами. Я бы всё-таки попроще пример процесса привел, типа закупок или учета ТМЦ;
  • прямо указано, что «в целом, задания по предоставлению гарантий имеют приоритет перед заданиями по предоставлению консультаций». Не согласен по причине того, что если результат консультаций – это эффект, превышающий бюджет службы в N раз, то как раз консультации должны быть в приоритете;
  • предлагается оценивать план работы на год на основании процентного соотношения часов, выделенных на мероприятия по аудиту и мероприятия, не связанные с аудитом. По мнению авторов книги, это может служить показателем эффективности и продуктивности. Целевой показатель не указан, но просто интересно: что значит, если за последние полгода (в связи с пандемией) у меня лично он равен 0 – это хорошо или плохо? Если плохо, то не согласен;
  • написано, что «внутренний аудит выделяет на мероприятия по аудиту 1500-1800 часов в расчете на одного аудитора». Берите по нижней планке. Потому что у них 2080 свободных часов, у нас на 2020 год – 1979 личного присутствия, да и отпуск побольше будет.

Наши рекомендации.

Наши подходы описаны здесь. Обратите внимание, что подход на основании оценки денежных потоков фактически означает подход высшего уровня (уровень 5). Потому что среди целей всегда есть EBITDA и почти всегда – финансовые потоки, то есть оценка резервов эффективности по статьям и есть подход «от целей». И сравните трудоемкость применения подхода у нас с трудоемкостью подхода, описанного в книге…

Если вы нашли ошибку, пожалуйста, выделите фрагмент текста и нажмите Ctrl+Enter.