Читаем без скачивания Настольная книга по внутреннему аудиту. Риски и бизнес-процессы - Олег Крышкин
Шрифт:
Интервал:
Закладка:
• Описание процесса – существует высокая вероятность того, что один и тот же правильно построенный процесс в разных компаниях будет в целом одинаковым по составу и структуре. Поэтому с определенного момента в своем профессиональном развитии аудитор способен сформировать описание процесса, примерно соответствующее фактическому процессу, без посторонней помощи. Описание может использоваться как этим аудитором, так и его менее опытными коллегами для проведения уточняющего интервью по описываемому процессу. Такое описание можно даже выслать по электронной почте заранее для того, чтобы у собеседника было время более системно представить комментарии. Заранее подготовленное описание удерживает разговор в требуемом русле и экономит время аудитора. Однако оно имеет существенный недостаток, который необходимо научиться преодолевать, – как и с любым заранее подготовленным материалом, вы можете что-то упустить, а собеседник может намеренно или ненамеренно быстро согласиться с тем, что представленное описание полностью соответствует действительности. В первом случае универсального рецепта не существует, и качество проведения интервью в существенной степени зависит от опыта аудитора. Во втором случае имеет смысл не ограничиваться устными увещеваниями, а время от времени просить продемонстрировать то, что собеседник описывает. Например, если при описании процесса «Закупки» собеседник заявляет, что по итогам заседания тендерного комитета составляется протокол, вам надо попросить показать какой-нибудь из последних протоколов. Такой контроль процесса представления достоверной информации довольно прост в исполнении и весьма эффективен. Плюс вы совмещаете интервью с проведением сквозного тестирования.
• Матрица рисков процесса – так же как и вопросники, больше подходит для уточнения информации по процессу. Она помогает структурировать процесс интервью, однако, как и заранее подготовленные описания процесса, может способствовать тому, что какие-то из существенных рисков будут упущены. Поэтому требуются сверки с дополнительными источниками информации. В отличие от заранее подготовленного описания процесса матрица рисков может быть намного обширнее, хотя ключевые риски процессов от предприятия к предприятию во многом схожи. Работа с матрицей рисков требует привлечения более квалифицированного внутреннего аудитора, чем работа с заранее подготовленным описанием процесса. По сравнению с процессами риски – категория более сложная и неоднозначная. Существенным преимуществом матрицы рисков является ее изначальная нацеленность на систему внутреннего контроля процесса.
• Разведка. Суть данного метода заключается в построении многоканального интервью. В базовом варианте у каждого интервью должна быть исходная тема. Однако если для собеседника в большинстве случаев такая тема является единственной, то для аудитора она может быть одной из нескольких тем, в отношении которых аудитор хочет получить информацию. По сути, данный подход является в значительной степени манипулятивным, однако в ряде ситуаций он единственно верный и применимый. Технически интервью строится так, чтобы в центральную тему интервью с подходящей плотностью вкраплялись вопросы по другим тематикам. Такого рода подход к проведению интервью может быть как запланированным, так и просто выработанным практикой. В первом случае вы завуалированно вытягиваете интересующие сведения. Во втором случае вы просто придерживаетесь принципа разведки – не только двигаетесь в определенном направлении, но и прощупываете попутно прилегающую местность. Вообще стоит поработать над тем, чтобы такая манера проведения интервью вошла в привычку. Контролируемо отклоняясь по ходу интервью от основной темы с обязательным применением принципа прицельного любопытства, можно получить попутную информацию (меньше необходимости организовывать дополнительные интервью) и выйти на потенциально интересную тему для дальнейшего исследования.
• Вербовка. Этот термин носит отчасти шуточный характер. В данном пункте объединены действия аудитора по формированию конструктивных и позитивных отношений с собеседником. Результата можно добиться разными способами, и аудитор должен знать, какие из них ему под силу. Основная прикладная цель заключается в получении максимального количества положительных реакций, когда в обычной ситуации больше вероятность отрицательной реакции. Например, если аудитор запрашивает информацию в таком виде, в каком у собеседника она отсутствует, и необходимо приложить усилия для придания информации требуемой структуры, то вероятность получения отказа возрастает. Однако если данная просьба прозвучит в момент достижения определенного уровня позитива в процессе интервью, то вероятность положительного ответа становится более высокой. Данный способ также можно отнести к манипуляции, однако эффект от налаженного взаимодействия аудитора и представителей объекта аудита оправдывает его использование. В то же время многим людям свойственно стремиться выстраивать позитивные отношения на подсознательном уровне, в том числе за счет неосознанного использования манипулятивных по сути методик.
• Оперативное документирование. Результаты интервью лучше всего документировать непосредственно после его завершения. Человек в среднем помнит 10–15 % информации, полученной неделю назад. Также в пользу такого подхода говорит необходимость оперативной оценки полноты полученной информации. Чем быстрее мы выясним, чего не хватает, тем быстрее сможем организовать дополнительные интервью.
• Одна голова хорошо, две лучше. В ряде ситуаций имеет смысл привлечь напарника к участию в интервью. Во-первых, когда один аудитор спрашивает, у второго есть время записать. Во-вторых, личный пример является наилучшим способом обучения малоопытных аудиторов. Однако не стоит забывать, что участие двух аудиторов потенциально удваивает как преимущества правильно поставленного интервью, так и недостатки низкокачественного интервью. Поэтому аудиторы должны контролировать друг друга. Имеет смысл договориться о невербальных сигналах, чтобы в процессе интервью указывать друг другу на упущения.
Описание модели операционной деятельности как в целом, так и в рамках процесса
Классический процессный аудит начинается с описания того процесса, который является объектом аудита. Однако описание процесса само по себе имеет специализированный характер. Вместе с тем каждый процесс обладает набором, так скажем, тактико-технических характеристик, для которых на схеме процесса часто просто нет места. Большинство таких характеристик носят общий характер. Тем не менее наличие представления о них улучшает понимание процесса и приводит к формированию более качественных рекомендаций по улучшению процесса и системы внутреннего контроля. Информация о характеристиках процесса может быть передана посредством формирования модели операционной деятельности[11] в рамках анализируемого процесса. Рассмотрим целесообразность использования описания модели операционной деятельности на примере (рис. 7). В качестве примера дано описание модели операционной деятельности в рамках процесса «Управление денежными средствами» (займы, расчетные счета, наличные, денежные аналоги). Это описание указывает на наличие следующих тактико-технических характеристик процесса:
1) процесс охватывает три группы участников – управляющую компанию (далее УК), заводы (управляемые компании) и сторонние организации;
2) основные денежные потоки идут либо через УК, либо с разрешения УК – УК самостоятельно осуществляет закупку основного сырья, получает плату за готовую продукцию от покупателей, согласует реестры платежей управляемых компаний;
3) существует система определения приоритета платежей (налоги, з/п и кредиты оплачиваются в первую очередь);
4) управляемые компании получают лишь часть денег за реализованную готовую продукцию;
5) существует сложный механизм координации действий УК и управляемых компаний.
Рис. 7. Пример описания модели операционной деятельности
На основании модели операционной деятельности можно получить не только представление об общей структуре и содержании процесса, но и о потенциальных рисках процесса и точках, в которых происходит взаимодействие анализируемого процесса с другими процессами. В нашем примере по модели операционной деятельности видно, что процесс «Управление денежными средствами» взаимодействует как минимум с процессами «Закупки» и «Продажи». Кроме того, аудитор может предположить наличие следующих рисков: