Настольная книга по внутреннему аудиту. Риски и бизнес-процессы - [16]
Взаимосвязь риска и бизнес-процесса
Любой, даже самый мелкий и незначительный, бизнес-процесс всегда взаимосвязан с рядом рисков. В случае реализации этих рисков цель такого бизнес-процесса достигается частично либо не достигается вовсе. Другими словами, на выходе из процесса вы не получите ничего либо получите не то, что нужно. Именно эта взаимосвязь позволяет конвертировать риски в план или программу внутреннего аудита.
Внутренний аудит занимается анализом бизнес-процессов и систем контроля бизнес-процессов. С технической точки зрения невозможно затеять проект по аудиту какого-либо риска, поскольку, по сути, риск – это событие, причем во многих случаях такое, которое может и не произойти. Событие само по себе является не процессом, а результатом определенных процессов. Поэтому при использовании риск-ориентированного подхода аудитору необходимо сначала установить взаимосвязь между рисками и процессами, а затем, в зависимости от выбранного подхода, приступить к формированию плана или программы аудита.
Суть риск-ориентированного подхода
Деятельность любого предприятия подвержена влиянию множества факторов риска. Одни факторы риска способны спровоцировать реализацию конкретного риска самостоятельно, другие – только в комбинации с другими факторами риска. Факторы риска оказывают влияние на эффективность функционирования процессов предприятия. Система процессов всегда имеет одну цель – выполнение поставленных задач. Это должно обеспечить достижение ключевой цели любого коммерческого предприятия – увеличения своей стоимости. Анализируя факторы риска в привязке к процессам, в которых они зарождаются и/или на которые они влияют, внутренний аудитор может сформировать оптимальную тематику своей работы. В этом и заключается суть риск-ориентированного подхода к внутреннему аудиту – понять, что в первую очередь мешает предприятию достичь цели, и найти наилучший способ нивелирования негативного воздействия.
В рамках риск-ориентированного подхода можно выделить два базовых метода, а именно:
• упрощенный метод;
• продвинутый метод.
Аудитор должен четко уяснить одну важную взаимосвязь. Эффективность использования любого из данных методов растет с повышением квалификации и опыта внутреннего аудитора. Например, продвинутые аудиторы могут не заниматься проведением детальных оценок процессов с использованием факторов риска, а сразу оперировать как отдельными рисками, так и цепочками рисков различной сложности, располагая только отрывочной информацией об объекте аудита, даже если они прежде его не посещали.
Упрощенный метод
При использовании данного метода основная задача заключается в формировании рейтинга рискованности процессов и выборе наиболее рискованных процессов для проведения проектов внутреннего аудита. Этот метод имеет одно существенное достоинство – его результаты могут быть наглядными, доступными для восприятия неподготовленными гражданами и относительно легкодоказуемыми. Наиболее рискованным процессом считается тот, на достижение цели которого влияет максимальное количество факторов риска максимально негативным образом. Чтобы получить рейтинг рискованности, каждый выбранный для анализа процесс оценивается с точки зрения наличия и существенности определенного перечня факторов риска. Такой перечень формируется произвольно, единственного правильного варианта просто не существует, поскольку каждая компания имеет свою специфику (разумеется, какие-то факторы являются общими для большинства компаний). Единственный критерий отбора – это прямое или опосредованное препятствование достижению процессами (или большей части анализируемых процессов) их целей. При применении упрощенного метода необходимо помнить о ряде нюансов, а именно:
• количество факторов риска ничем не ограничено. Встречаются перечни из 10–15 факторов риска и более. Скорее всего, при работе с факторами риска внутренний аудитор будет ограничен имеющимися ресурсами. Однако до определенного момента увеличение количества факторов риска, используемых для анализа, повышает качество оценки;
• рейтинг и результаты оценки должны быть наглядными. Наиболее распространенным вариантом является создание электронной таблицы (которая к тому же автоматизирует пересчет). Сверху вниз (по строкам) указываются наименования процессов, слева направо (по столбцам) – факторы риска;
• системы оценки могут быть самыми разнообразными. Можно проставлять баллы, можно выделять цветом, можно вводить дополнительные балансирующие и корректирующие элементы (веса факторов риска, степень применимости результатов оценки для отдельных предприятий или для всех предприятий группы и т. д.). В качестве базового варианта можно принять три оценки (например, высокий, средний, низкий);
