Это продолжение серии коротких статей («многа буквов» сейчас никто читать не будет), в которых в максимально упрощённой форме, без всяких умных слов, я рассказываю, что такое внутренний контроль. Больше того, это не изложение той псевдонаучной мути, которая обычно известна широкому кругу читателей под именем внутреннего контроля. Я рассказываю свою, новую теорию внутреннего контроля. Начинать читать лучше сначала, с первой части.
Итак, стоит задача: у специалиста по внутреннему контролю – разработать контрольную процедуру; у внутреннего аудитора – её оценить. Как это сделать?
Вообще-то, когда мы оцениваем что-то, некий предмет (автомашину, например), то у нас есть некий набор критериев (свойств объекта оценки). Машина, грубо говоря, в первом приближении, должна иметь двигатель, руль и колёса. Есть они – хорошо, можно переходить к более подробной оценке – оценивать спепень износа и мощность двигателя. Нет их – нечего тратить время, делаем вывод, что это скорее металлолом, чем машина. И идём отдыхать.
Вроде бы как предельно ясно и логично. Но во внутреннем контроле, как он есть сейчас, никаких критериев оценки контрольных процедур просто нет. Современные теории внутреннего контроля не предлагает нам каких-либо формальных критериев оценки контрольных процедур. Поэтому вопрос о том, хороша или нет конкретная контрольная процедура, зависит от мнения аудитора, который оценивает. И не дай Бог, как говорится, если он имеет не шибко большой опыт, квалификацию, желание поработать. Или утром встанет не с той ноги.
За более чем 10 лет моей работы руководителем внутреннего аудита подчиненные мне аудиторы сочинили порядка 1000 отчётов. И мне все их пришлось внимательно прочитать. Сказать, что каждый раз при чтении волосы на голове вставали дыбом, не могу. Но это исключительно по причине отсутствия волос. Говорил им: «От ваших отчётов я не ругаюсь матом не потому, что отчёты хорошие, а исключительно потому, что человек я культурный».
Они старались. Трогательно, по детски описывали каждую царапинку на кузове автомашины (условно говоря). Но при этом не замечали отсутствия двигателя и колёс, давно украденных шустрым менеджером. Нет, конечно, высокохудожественно описать недостачу 10 метров кафельной плитки на складу может каждый. А вот когда речь идет об оценке контрольных процедур, тут у внутреннего аудитора и начинаются когнитивные и методологические проблемы.
Поэтому давайте несколько формализуемые процесс оценки контрольных процедур и назовем параметры, которые нужно оценивать в первую очередь. Заодно расскажу, как именно их нужно оценивать. Сегодня начнём с первого.
Итак, параметр «Достоверность».
Кто внимательно читал предыдущие части моего повествования, обратили внимание на то, что внутренний контроль – это прежде всего регистрация всяких операций (действий людей и гибридных систем). Например, взвешивание прибывающего на предприятие автотранспорта. Одна гибридная система (водитель в грузовике) приезжает, становится на весы. А другая гибридная система (весы + приёмщик) измеряет количество прибывшего груза. Это измерение есть контрольная процедура. Логично предположить, что точность измерения (взвешивания) – очень важное свойство КП. Если весы врут, или приёмщик подложил куда надо кирпич, то такой контроль будет не очень хорошим, мягко говоря.
Поэтому, оценивая такую контрольную процедуру, неплохо бы задать несколько вопросов (и получить несколько ответов на них) о том, насколько точно (достоверно) контрольная процедура замеряет результат операции. В данном случае, эти вопросы могут быть:
– соответствует ли тип весов и порядок проведения операции (взвешивания) параметрам процесса и техническим данным оборудования;
– проводится ли своевременное техническое обслуживание и поверка оборудования;
– как исключается умышленное искажение показаний весов по инициативе или небрежности человеческой составляющей гибридных систем (водителя и приёмщика);
– и так далее.
Как разработать такие вопросы для каждой конкретной бионической, гибридной или автоматической системы контроля, расскажу как-нибудь отдельно. Пока намекну, что для этого неплохо бы изучить дисциплину под названием «критическое мышление», но и этим не ограничиваться.
Подводим итоги (на сегодня). Выводы:
– в распоряжении внутреннего аудитора и разработчика контрольных процедур должны быть методики, достаточно формализованные, для оценки контрольных процедур, которые позволяли бы не зависеть от квалификации исполнителя и его психофизиологического состояния после вчерашнего.
– для этого надо иметь набор параметров контрольной процедуры, которые должны оцениваться (чёткий и точный перечень), и для каждого параметра – критерии оценки (какое значение параметра есть хорошо, а какое – плохо).
– первым параметром, о котором нам сегодня стало известно, является «Достоверность», который говорит нам о том, насколько точно контрольная процедура регистрирует истинное значение контролируемого параметра.
Ну вот, восходит солнце, и пора опять затыкать свой фонтан красноречия😊
А кто хочет узнать про всё сказанное малость поширше и поглубже, пишите. Кстати, такой вот сайт появился: http:www.bs-news.ru – это про наши мероприятия.
3 ответа к “Внутренний контроль. Часть 7”
[…] Source link […]
Предполагаю, что процесс формализации чего-то на данном этапе вряд ли уже поможет с учётом достигнутых за более чем 10 лет результатов. Автомашину (условно) можно было бы либо утилизировать (ликвидировать) либо тихо продать. Странно, что ещё до этого не додумались. Глобально-токсичная, наверно. Идём отдыхать. )
По теме: разве достоверность не должна черпаться из эталона? Или набор параметров контрольной процедуры – это он и есть? Без метрологии, в данном конкретном случае, – не обойтись.
P.S. Я не аудитор и не спец по ИБ, я – случайно зашедший, привлечённый Вашим стилем изложения мысли.
…У нас это называется “адекватность контрольной процедуры”. Ставлю нам плюсик)