Пробежимся по структуре схемы. В центре расположен процесс «Производство» и основные взаимодействующие с ним процессы: процессы «Хранение», «Подача сырья», «Складирование готовой продукции» и «Погрузка в вагоны и взвешивание». Также на процесс «Производство» влияют риски других процессов: «Закупки», «Планирование», «ТОиР» и «Логистика». Черным маркером выделены те процессы, риски которых оказывают наиболее существенное влияние на реализацию риска невыполнения плана производства, а именно:

• процесс «Закупки» – риск несвоевременной закупки сырья (вследствие изменения динамики производства и отсутствия запасов у поставщика);

• процесс «ТОиР» – риск увеличения времени ремонта вследствие внеплановых поломок;

• процесс «Производство» – риск несоблюдения требований техпроцесса по причине ошибки работника;

• процесс «Складирование готовой продукции» – риск несоблюдения условий хранения по причине несвоевременной подготовки складских помещений;

• процесс «Логистика» – риск несвоевременной отгрузки продукции (вследствие изменений позиции покупателя, недостатка вагонов, изменения маршрута транспортировки).

Таким образом, план аудита предусматривал аудит пяти процессов (процессы, отмеченные серым маркером, и неотмеченные процессы в тематику аудита не попали вследствие ограниченности ресурсов ПВА и незначительного совокупного влияния на реализацию основного риска). В ходе аудита уточнялась степень воздействия вышеуказанных рисков на основной риск (выяснилось, что значимость рисков процессов «Производство» и «Складирование готовой продукции» преувеличена), а также выявлялись дополнительные факторы основного риска (например, было установлено, что в данные систем ЦОСАДУ и АСУТП можно было вносить нерегламентированные изменения). Для справки: ЦОСАДУ расшифровывается как центральная оперативная система автоматизированного диспетчерского управления, а АСУТП – автоматизированная система управления технологическим процессом. По результатам аудита был разработан план мероприятий, направленный, в том числе, на минимизацию как изначально определенных, так и выявленных в процессе аудита рисков.

^{Рис. 4. Пример позиционирования риска в кластере процессов}

Рекомендации по выбору подхода к проведению проектов внутреннего аудита

Возможно, ряд внутренних аудиторов со скепсисом воспримут идею и технологию риск-ориентированного подхода. Отчасти они правы. Однако они правы только в том, что многие российские предприятия пока не оперируют в своей повседневной деятельности понятиями «процесс» и «риск». Это усложняет задачу ПВА по внедрению риск-ориентированного подхода, но потенциальный эффект от внедрения с лихвой покроет все трудозатраты. Основные преимущества использования риск-ориентированного подхода заключаются в следующем:

• концентрация на наиболее существенных проблемах, препятствующих успешной работе компании;

• формирование целевых мероприятий по минимизации негативного влияния факторов рисков;

• стимулирование профессионального развития внутренних аудиторов.

Данные преимущества усиливаются при переходе от упрощенного подхода к продвинутому риск-ориентированному подходу к аудиту. Однако даже упрощенный подход дает намного более впечатляющие результаты, чем подходы, не основанные на анализе и оценке рисков.

Глава 5.

Стратегия внутреннего аудита и долгосрочное планирование (год и более), позиционирование

Стратегия функции внутреннего аудита является сферой ответственности как аудиторского комитета, так и руководителя ПВА.

На практике я не встречался с активной позицией аудиторского комитета в отношении стратегии функции внутреннего аудита в компании. Отчасти это связано с тем, что в состав аудиторских комитетов, с которыми я работал, не входили профессиональные внутренние аудиторы. Как бы то ни было, руководителю ПВА необходимо быть готовым к тому, что ему придется определять стратегию функции самостоятельно.

В процессе формирования стратегии ПВА надо определиться с несколькими ключевыми моментами.

• Момент 1. Стратегия – это план действий, который позволит ПВА занять определенное место в структуре компании через определенное время, в определенном внутреннем состоянии и с определенными сложившимися внешними связями. Вряд ли это будет откровением, если я скажу, что наличие цели – половина дела. Но с этой истиной трудно спорить. Вы стремитесь к некоему состоянию ПВА, которое необходимо максимально четко представить. У вас должна быть стратегическая цель. В отсутствие цели высока вероятность того, что ПВА окажется там, где его хотелось бы видеть большинству, – на необитаемом острове без шанса на спасение. С технической точки зрения процесс определения цели ПВА аналогичен процессу определения цели компании. Как именно будет сформулирована стратегия, во многом зависит от опыта и квалификации руководителя ПВА.