Настольная книга по внутреннему аудиту. Риски и бизнес-процессы - Олег Крышкин

Глава 3.

Принципы контроля

В своем исходном варианте деятельность внутренних аудиторов во многом направлена на совершенствование системы внутреннего контроля. Такая специализация требует существенных знаний в тех областях, которые напрямую связаны с системой внутреннего контроля, включая технические и даже психологические аспекты. В данной главе детально разобраны ключевые цели контроля, а также ряд принципов контроля, знание которых может существенно улучшить результаты работы внутреннего аудитора.

С фундаментальной точки зрения в основе системы внутреннего контроля предприятия лежит выбор оптимальной пропорции между контролем и риском (см. рис. 1). Оптимум практически всегда индивидуален. Выбор оптимальной пропорции часто осуществляется неосознанно. Одна из ключевых задач внутреннего аудитора – сделать процесс выбора осознанным.

Рис. 1. Корреляция контроля и риска

Необходимость выбора вытекает из того, что в любой момент времени предприятие не может одновременно максимизировать и контроль, и рост. Оно либо фокусируется на росте и подвергает свою деятельность большему количеству разных по существенности рисков, либо концентрируется на контроле деятельности, жертвуя возможностями. Условно говоря, предприятие, ориентированное на рост, движется больше по экстенсивному пути развития – завоевывает новые рынки, увеличивает штат сотрудников, наращивает производственные мощности и т. д. Предприятие, сконцентрированное на контроле, в большей степени тяготеет к интенсивному пути развития – пытается максимизировать имеющийся потенциал процессов, проводя при этом более консервативную политику в области управления рисками.

На рис. 1 представлена общая логика перехода от стратегии роста к стратегии контроля и наоборот. Такая логика обусловлена в первую очередь тем, что ресурсы, имеющиеся в распоряжении любого предприятия, всегда ограниченны. Например, можно не испытывать дефицита денежных средств, но все равно не иметь возможности сочетать обе стратегии, роста и контроля, по максимуму, так как контроль требует дополнительных затрат времени, а в условиях стратегии роста любое промедление может означать проигрыш. При движении в сторону стратегии абсолютного роста уровень риска растет (от Y2 к Y1), при этом расходы на контроль падают (от X2 к X1). При движении в сторону стратегии абсолютного контроля происходит обратное. Понятие «расходы» используется в широком смысле (денежные средства, время, оборудование, энтузиазм и т. д.).

Каждое предприятие в разные периоды своего развития тяготеет к одной из двух ключевых стратегий. Внутренние аудиторы по определению являются адептами стратегии контроля. Однако правильный внутренний аудитор должен стимулировать своими действиями выбор руководством оптимального сочетания риска и контроля, оптимального сочетания двух ключевых стратегий.

Ключевые цели контроля

Можно выделить шесть ключевых, унифицированных целей контроля:

1) обоснованность;

2) правильность;

3) полнота;

4) своевременность;

5) соответствие;

6) сохранность.

Обоснованность. При прочих равных условиях данная цель контроля является, пожалуй, наиболее важной с точки зрения последствий, которые возникают в результате ее недостижения. Во многих случаях, чтобы обеспечить достижение данной цели, необходимо ответить на вопрос «почему?». По сути, контроль обоснованности заключается в оценке того, насколько объект контроля соотносится с взаимодействующими с ним объектами и/или явлениями, событиями сообразно определенным правилам. Обоснованность обеспечивает наличие истинной причинно-следственной связи. Контролировать обоснованность – значит следить за тем, чтобы события развивались в соответствии именно с истинной причинно-следственной связью. Контроль обоснованности часто осложняется потребностью в специальных знаниях. В среде российских управленцев популярен такой механизм контроля обоснованности, как экспертное мнение, даже тогда, когда достаточно выполнить несложные расчеты. Последствия такого выбора – сотни миллиардов рублей, неэффективно потраченных и порой откровенно сворованных.

Правильность. Основной вопрос, на который нужно ответить для достижения данной цели контроля, – это «как?». Если для оценки обоснованности необходимо оценить соотношения, то для оценки правильности требуется сравнение с эталоном. Чаще всего контролируют правильность цифр. Обоснованность часто ситуативна, т. е. сейчас это обоснованно, а завтра нет. Правильность более универсальна, так как часто подчиняется общим правилам.

Полнота. Эта цель контроля при прочих равных условиях является, пожалуй, наиболее редкой. Чтобы оценить полноту, необходимо ответить на вопрос «есть ли что-то еще?». Контроль полноты может осложняться отсутствием точного представления о конечном значении. Контроль полноты относится исключительно к количественным характеристикам.

Своевременность. Основной вопрос, на который нужно ответить для достижения данной цели контроля, – это «когда?». Чтобы обеспечить своевременность, необходимо создать условия для того, чтобы конкретное событие произошло в конкретный момент. По этой причине понятие своевременности всегда связано либо с действием, либо с бездействием. Контроль своевременности – это прямой контроль порядка использования такого ключевого ресурса, как время.

Соответствие. Это довольно специфичная цель контроля. Отчасти она напоминает контроль правильности, однако при контроле соответствия в первую очередь обращают внимание на форму, а не на содержание. Соответствие часто означает именно внешнее, формальное соответствие. Оценить соответствие – значит ответить на вопрос «насколько?» или «в какой степени?».

Сохранность. Это также специфичная цель контроля. Контроль сохранности в первую очередь направлен на обеспечение физической целостности и сохранение исходных физических свойств объекта контроля. По этой причине в большинстве случаев контроль сохранности связан с понятиями, характеризующими движимое и недвижимое материальное имущество. Часто, чтобы оценить контроль сохранности, нужно ответить на вопрос «как?».

Может показаться, что шести базовых целей контроля маловато, особенно с учетом того, что они формируют практически исчерпывающий перечень целей контроля для любого процесса и любой системы. Однако не стоит забывать, что шесть целей контроля образуют 120 сочетаний. Это особенно важно в связи с тем, что на практике очень часто цели контроля присутствуют в различных сочетаниях. Например, при формировании параметров бюджета необходимо обеспечить как обоснованность параметров, так и их правильный расчет и подготовку к определенному моменту. Таким образом, в данном примере мы имеем сочетание трех целей контроля, а это приводит к созданию определенного дизайна сочетания контрольных процедур, который отличается от дизайна каждой контрольной процедуры в отдельности. Кроме того, не стоит забывать, что структура и содержание контроля очень сильно зависят от структуры и содержания объектов контроля, например процессов. А ведь даже одинаковые процессы могут сильно отличаться друг от друга в зависимости от различных факторов, например таких элементарных, как владельцы процессов.

Также хотелось бы обратить внимание на еще пару нюансов. Первый касается понятия «достоверность». Ряд аудиторов считают, что достоверность – это отдельная цель контроля. Однако она, по сути, всего лишь сочетание нескольких целей контроля – обоснованности, правильности, полноты и в меньшей степени своевременности.

Второй нюанс касается понятия «авторизация». В соответствии с определением, данным в Википедии, «авториза́ция (от англ. authorization – разрешение, уполномочивание) – предоставление определенному лицу или группе лиц прав на выполнение определенных действий; а также процесс проверки (подтверждения) данных прав при попытке выполнения этих действий». Классическим примером авторизации является подпись сотрудника на документе, согласующего осуществление определенных действий определенным лицом в будущем. В последнее время понятие авторизации все чаще ассоциируется с компьютерными программами, но суть от этого не меняется и заключается в том, что авторизация не является контролем, а в идеале представляет собой только свидетельство проведения определенного контроля. Однако нередко люди, осуществляющие авторизацию, не совсем представляют себе, какие именно контрольные действия они должны осуществить, а само построение процесса оставляет это им на откуп. По этой причине необходимо расшифровывать и уточнять, проведение каких контрольных действий и в каком объеме означает авторизацию.