Дыра в заборе

Посмотрите мультик (ниже) и сравните показанную в нём систему внутреннего контроля с контрольными процедурами в Вашей компании.

Ответьте на вопросы:

– Насколько часто такая ситуация встречается в реальной жизни?

– Как часто бывает, что контрольная процедура умышленно разрабатывается с “дырами в заборе” (уязвимостями) для обеспечения возможности её обхода при необходимости?

– Стоит ли устранять уязвимость в контрольной процедуре, если её устранение вызовет резкое увеличение затрат на её исполнение?

– Как достичь баланса между затратами на внутренний контроль и надежностью контрольной процедуры?

– Как оценить величину риска, связанного с наличием “недокументированных” уязвимостей в контрольной процедуре?

Если размышление над ответами на эти вопросы вызвали у вас желание углубленно поразбираться с ними, то вам точно надо прийти на наш тренинг “Оптимизация процессов внутреннего контроля” 13-14 мая 2019 года .

 

А теперь – мои ответы на эти вопросы.

Вопрос 1. Насколько часто такая ситуация встречается в реальной жизни?

– Очень часто, вы даже не представляете, насколько часто. Человек всегда стремится оптимизировать свои затраты труда, а выполнение контрольных процедур занимает много времени – в среднем 30% от общих трудозатрат на каждом рабочем месте. Поэтому исполнитель контрольной процедуры всегда её оптимизирует – создаёт “дырку в заборе” для себя любимого, и тщательно прячет эту дырку от аудитора.

Вопрос 2. Как часто бывает, что контрольная процедура умышленно разрабатывается с “дырами в заборе” (уязвимостями) для обеспечения возможности её обхода при необходимости?

– И это бывает совсем не редко. Скрытые возможности обхода контроля создаются “на голубом глазу” менеджерами, думающими о том, как украсть и не попасться. Вспомните регламент закупок, который существует в вашей компании.

Вопрос 3. Стоит ли устранять уязвимость в контрольной процедуре, если её устранение вызовет резкое увеличение затрат на её исполнение?

– А вот здесь надо хорошенько посчитать, во что обойдётся устранение уязвимости КП. Но я ещё ни разу не встречал живого внутреннего аудитора, который оценивал стоимость исполнения контрольной процедуры, оцифровывал эти затраты и записывал оценки в отчёт. Ответ на вопрос: если устранение уязвимости оказывается невыгодным, то контрольная процедура обычно должна быть изменена полностью.

Вопрос 4. Как достичь баланса между затратами на внутренний контроль и надежностью контрольной процедуры?

– А вот для этого и нужно изучить мою теорию внутреннего контроля, которую мы рассмотрим на тренинге “Оптимизация внутреннего контроля”. И не только изучить, но и немного попрактиковаться в ней ручками. В целом выход – в унификации и стандартизации контрольных процедур.

Вопрос 5. Как оценить величину риска, связанного с наличием “недокументированных” уязвимостей в контрольной процедуре?

– “Оцифровать” величину риска и при этом не попасть пальцем в небо вряд ли получится. Об этом я писал здесь.  Да и вообще на этом сайте есть целый раздел с моими статьями по управлению рисками.