Как на счет небольшого теста? Сначала прочитайте пожалуйста предлагаемую статью в таблице (оригинал на английском, для вашего удобства перевод сделал сам). Для чистоты эксперимента, не перескакивайте через нее.
Оригинал |
Перевод |
FOUR TECHNIQUES TO DECIDE WHERE CONTROLS SHOULD BE If you have to audit an unfamiliar area, the following are some time-tested techniques to use to gain a better understanding of how the risks are managed. |
ЧЕТЫРЕ МЕТОДА ДЛЯ РЕШЕНИЯ, ГДЕ ДОЛЖНЫ БЫТЬ КОНТРОЛИ Если вам необходимо провести аудит в незнакомой области, ниже приведены некоторые проверенные временем методы, которые можно использовать для лучшего понимания того, как осуществляется управление рисками. |
1. Follow the Money: Understand the business objective and how the process works before trying to assess the risks. At a minimum, make sure you understand how the business or process can generate or lose money. I have found that by following the money trail, it is easier to remember to ask about the competitive environment and the overall business plan (assuming that a documented business plan exists). To test your understanding, see if you can draw the high-level level diagram to depict how the process works. This approach makes it easier to detect holes in the process. These holes may be real or they may indicate that your data collection was not as complete as it should be. If there are major gaps in the flow, schedule more interviews or a walkthrough to obtain more information about how the process works. |
1. Следуйте за деньгами: Поймите бизнес-цели и то, как работает процесс, прежде чем пытаться оценить риски. Как минимум, убедитесь, что вы понимаете, как бизнес или процесс может приносить или терять деньги. Я обнаружил, что, отслеживая денежный след, легче не забыть спросить о конкурентной среде и общем бизнес-плане (при условии, что документально оформленный бизнес-план существует). Чтобы проверить свое понимание, посмотрите, сможете ли вы нарисовать диаграмму высокого уровня, чтобы показать, как работает процесс. Такой подход облегчает обнаружение дыр в процессе. Они могут быть реальными или указывать на то, что ваш сбор данных был не таким полным, как должен быть. Если в потоке данных есть большие пробелы, запланируйте дополнительные интервью или сквозное тестирование, чтобы получить больше информации о том, как работает процесс. |
2. Focus on High Risks: Where are the greatest risks? To identify the high-level risks, invert the business objective. Example: If the business objective is “to process, record and settle trades timely”, inverting the business objective would identify the following high-level risks: ü Trades are not processed completely, accurately, and timely. ü Trades are not recorded completely, accurately, and timely. ü Trades are not settled completely, accurately, and timely. During your discussions with management, focus on how these risks can occur and then discuss the types of controls that are in place. |
2. Сосредоточьтесь на существенных рисках: Где самые большие риски? Чтобы определить риски высокого уровня, инвертируйте бизнес-цель. Пример: если бизнес-цель заключается в «своевременной обработке, регистрации и расчетах по сделкам», инвертирование бизнес-цели выявит следующие риски высокого уровня: ü Сделки не обрабатываются полностью, точно и своевременно. ü Сделки не регистрируются полностью, точно и своевременно. ü Сделки не закрываются полностью, точно и своевременно. Во время обсуждения с руководством сосредоточьтесь на том, как могут возникнуть эти риски, а затем обсудите используемые контрольные процедуры. |
3. Match Control Objectives to the Risk Issues: When discussing control activities and monitors, make sure that they address the risk issue (completeness, timeliness, accuracy, legitimacy, asset protection, and/or people management) and that they produce evidence to indicate they are working as intended. Keep in mind that there are several types of controls: ü Control environmental elements, which provide no direct assurance that what should be happening is actually occurring. Examples of control environmental elements are policies, procedural manuals, training programs, incentive compensation programs, job descriptions, and other things that create a sound environment but do nothing to directly ensure that the process operates as intended. Generally, control environmental elements are not tested. ü Control activities built into the workflow taking effect before the transaction is completed. These may be preventive, detective or corrective. ü Monitors which occur after the transaction is completed and affect a sample of the transactions. |
3. Соотнесите цели контроля с аспектами риска: При обсуждении контрольных процедур и действий по мониторингу убедитесь, что они затрагивают такие аспекты (полнота, своевременность, точность, легитимность, защита активов и/или управление персоналом) и создают следы, по которым можно определить, что они работают как задумывалось. Имейте в виду, что существует несколько типов контрольных процедур: ü Элементы контрольной среды, которые не дают прямой гарантии того, что то, что должно происходить, происходит на самом деле. Примерами таких элементов являются политики, процедурные руководства, программы обучения, программы поощрительных компенсаций, должностные инструкции и другие вещи, которые создают здоровую контрольную среду, но ничего не делают для непосредственного обеспечения того, чтобы процесс работал должным образом. Как правило, элементы контрольной среды не тестируются. ü Контрольные процедуры, встроенные в рабочий процесс, действующие до завершения транзакции. Они могут быть превентивными, детективными или корректирующими. ü Процедуры мониторинга, которые происходят после завершения транзакции и влияют на выборку транзакций. |
4. Locate the evidence: If management cannot produce evidence that the control activity or monitor is working, i.e., any substantiating documentation, consider whether the control exists. If management considers this unsubstantiated control activity or monitor to be a “key control”, consider how you will test to ensure that the control is functioning as intended. |
4. Найдите свидетельства работы контроля: Если руководство не может предоставить свидетельства того, что контрольные процедуры и действия по мониторингу работают, например, какую-либо подтверждающую документацию, задумайтесь, а существует ли контроль. Если руководство считает такую неформальную контрольную процедуру или действие по мониторингу «ключевым контролем», подумайте, как вы будете проводить тестирование, чтобы убедиться, что контроль работает, как задумано. |
SEVEN SHORTCUTS TO DECIDING WHERE CONTROLS SHOULD BE The following shortcuts are helpful once you have an understanding of the business or process objective: |
СЕМЬ БЫСТРЫХ СПОСОБОВ ДЛЯ ОПРЕДЕЛЕНИЯ, ГДЕ ДОЛЖЕН БЫТЬ КОНТРОЛЬ Следующие быстрые способы будут полезны, когда вы поймете цель бизнеса или процесса: |
Input Processing: Does the area need to substantiate the amount and nature of incoming work or inputs to the department? If so, there should be some input controls that function to answer the question, “How does management know that they received all input?” |
Обработка входных данных: Нужно ли в данном месте процесса подтверждать объем и характер входящей работы или входов в подразделение? Если да, то должны быть какие-то контроли входов, которые отвечают на вопрос: «Откуда руководство узнает, что они получили все входы?» |
Output Processing: Does the area need to substantiate the amount and nature of outgoing work or outputs? How does the area know that its outputs meet pre-defined standards, e.g., regulating requirements, contractual agreements? |
Обработка выходов: Нужно ли в этом месте процесса подтверждать объем и характер исходящей работы или выходов/результатов? Как в данном месте процесса установить, что выходы/результаты соответствуют заранее определенным стандартам, например, регулирующим требованиям, договорным соглашениям? |
Decision Points: What types of decisions are made in the area? How critical are these decisions relative to achieving the business objectives? How bad would it be if these decisions were wrong? What impact do these decisions have on financial reporting? How does management know that the right decisions were made? |
Точки принятия решений: Какие типы решений принимаются в данном месте процесса? Насколько важны эти решения для достижения бизнес-целей? Насколько плохо было бы, если бы эти решения были неправильными? Какое влияние эти решения оказывают на финансовую отчетность? Как руководство узнает, что были приняты правильные решения? |
Work in Progress: Does the area need to locate a transaction at any point during the time it is in the area? How does the area know that all transactions are complete? How does management know how many items are in process at any given time? |
Незавершенное производство: Нужно ли в данном месте процесса оценивать состояние транзакции в каждый момент ее выполнения? Как в данном месте процесса становится известно, что все транзакции завершены? Как руководство узнает, сколько транзакций находится в процессе исполнения в любой момент времени? |
Exception Processing: If non-standard or unique transactions are processed in the area, how does management know that they are processed correctly? Who decides when a transaction should be processed in a manner that does not conform to the standard? How does management know that the number of exceptions is not excessive? How does management know that exception items are profitable? |
Работа с исключениями: Если в данном месте процесса выполняются нестандартные или уникальные транзакции, как руководство узнает, что они выполняются правильно? Кто решает, когда транзакция должна быть выполнена способом, не соответствующим стандарту? Как руководство узнает, что количество исключений не является чрезмерным? Как руководство узнает, что уникальные транзакции прибыльны? |
Accuracy and Timeliness of Information, Data and Communications: How does the area know that the right people (including the area's management) have and use accurate and timely data, particularly if the work is performed in geographically dispersed areas? What impact does information generated by the area have on the financial statement? |
Точность и своевременность информации, данных и связи: Откуда в данном месте процесса становится известно, что правильные люди (включая локальное руководство) имеют и используют точные и своевременные данные, особенно если работа выполняется в географически разбросанных районах? Какое влияние оказывает информация, созданная в данном месте процесса, на финансовый отчет? |
Mandatory Regulatory Requirements: What requirements exist? What controls are in place to assure management that these requirements are met? |
Обязательные нормативные требования: Какие существуют требования? Какие контрольные процедуры используются для обеспечения уверенности руководства, что такие требования выполняются? |
While these techniques are not exhaustive, they do make it easier to focus in on the areas that warrant controls, and should make it easier for you to audit new or unfamiliar areas. |
Хотя эти методы не являются исчерпывающими, они облегчают фокусировку на областях, требующих контроля, и должны облегчить вам проведение аудита новых или незнакомых областей. |
Возможно, вы сочтете неким подвохом то, что будет сказано далее, но мною движут совсем иные мотивы. Речь не о том, чтобы испортить друг другу настроение. Мы просто должны вместе разобраться.
К слову, в статье в таблице есть отдельные светлые мысли, но они встроены в целом ущербную методологию. Хотя методология это громко сказано – перед нами один из многочисленных примеров, образно говоря, «недометодологий» – они напоминают просмотр фильма с середины, но не до конца, при этом периодически пропадает то звук, то картинка.
Если что-то из статьи в таблице вам показалось интересным для обогащения вашего профессионального арсенала, то скорее всего он находится в состоянии хаоса и без четкой системы координат (этой статье, к слову, уже 20 лет; ссылку на оригинал дать не могу – в Сети уже не найти). В принципе это нормальное состояние, если так вообще можно сказать, для многих внутренних аудиторов и не только. Каждый раз, когда специалист в какой-то области набирается опыта и знаний, пользуясь множеством разрозненных источников, он рискует пойти по пути неуправляемой хаотизации своей квалификации. А это значит, что ее развитие может пойти и в, условно, отрицательную сторону. Эту ситуацию отлично проиллюстрировал Эдвардс Деминг в своем эксперименте с воронкой. Обязательно ознакомьтесь с ним, так как выводы по его результатам имеют отношение к самым различным обстоятельствам.
Немногим лучше ситуация, когда есть ключевой источник, но его методология имеет смысловые и логические пробелы, фрагментарна, непоследовательна, отчасти ошибочна и, самое главное, далеко не всегда может быть применена на практике. В большинстве случаев такая методология имеет один фундаментальный изъян – ей не хватает оптимальной детализации – универсальной, достаточно глубокой и практически целесообразной, и возможной. Истинная методология любого вида деятельности — это всегда некое подобие исходного кода, молекулярной структуры, генома или любого иного аналога оптимальной детализации, точки отсчета как для причинно-следственных связей, так и петель обратной связи на системном уровне.
Я знаю, что многие сходу не согласятся с вышесказанным. Давайте я попробую объяснить почему. Если вы когда-нибудь занимались каким-либо видом спорта, то вы должны легко понять, о чем идет речь. Вспомните как вы отрабатывали тот или иной элемент в вашем виде спорта и реакцию тренера. Во многих случаях вам наверняка казалось, что вы все делаете правильно, но тренер был с вами не согласен. И продолжал «гонять» вас снова и снова. А причина довольно банальна – пока вы не выйдете на определенный уровень мастерства, вы неспособны понять как свои ошибки, так и ошибки других. Вы просто как бы не видите их, так как без наличия определенного уровня мастерства у вас нет и базы для сравнения, а значит и возможности видеть разницу. И так происходит не менее, чем в 95% случаев. Это сродни эффекту Даннинга-Крюгера.
Как понять, что методология, которой вы владеете, правильная. Прямо сейчас у меня нет универсального и простого рецепта. Но есть вероятность, что сработает подход, основанный на… методе «5 почему». Итак, в процессе выполнения каждого проекта внутреннего аудита (знаю, многим более привычен термин «проверка», что ж, используйте его, хотя те, кто, образно говоря, придумал внутренний аудит, данным термином не пользуются) вы должны ответить не менее, чем на 5 последовательных вопросов, начиная с вопроса «почему тема данного аудита выбрана правильно/обосновано?». При этом последний вопрос должен касаться причин вероятных или наблюдаемых негативных явлений. А еще лучше причин причин. И каждый ответ должен быть именно полноценным ответом, то есть раскрывающим следующий элемент причинно-следственной связи. Другими словами, все ответы должны выстраиваться в последовательную причинно-следственную цепочку, одно вытекает из другого, без резких перескоков. В начале проекта, это должны быть ответы-гипотезы, ближе к завершению проекта – ответы-факты. И наконец самое сложное – все вопросы должны быть универсальны, вне зависимости от деталей любого проекта аудита. Если вы способны сформировать такой перечень вопросов, значит вы владеете правильной методологией. В этом месте обычно должен идти пример, но прямо сейчас он не сильно поможет понять сказанное. Давайте пока остановимся на том, что уже сказано – в этой теме избыточность языка пока работает против понимания.
Да пребудет с вами контроль!
P.S. Про правильную методологию можно больше узнать на бизнес-тренинге «Пятое измерение». Просто для сведения. Опять ищете подвох? А вдруг его здесь нет?