Дыра в заборе

Посмотрите мультик (ниже) и сравните показанную в нём систему внутреннего контроля с контрольными процедурами в Вашей компании.

Ответьте на вопросы:

— Насколько часто такая ситуация встречается в реальной жизни?

— Как часто бывает, что контрольная процедура умышленно разрабатывается с «дырами в заборе» (уязвимостями) для обеспечения возможности её обхода при необходимости?

— Стоит ли устранять уязвимость в контрольной процедуре, если её устранение вызовет резкое увеличение затрат на её исполнение?

— Как достичь баланса между затратами на внутренний контроль и надежностью контрольной процедуры?

— Как оценить величину риска, связанного с наличием «недокументированных» уязвимостей в контрольной процедуре?

Если размышление над ответами на эти вопросы вызвали у вас желание углубленно поразбираться с ними, то вам точно надо прийти на наш тренинг «Оптимизация процессов внутреннего контроля» 13-14 мая 2019 года .

 

А теперь — мои ответы на эти вопросы.

Вопрос 1. Насколько часто такая ситуация встречается в реальной жизни?

— Очень часто, вы даже не представляете, насколько часто. Человек всегда стремится оптимизировать свои затраты труда, а выполнение контрольных процедур занимает много времени — в среднем 30% от общих трудозатрат на каждом рабочем месте. Поэтому исполнитель контрольной процедуры всегда её оптимизирует — создаёт «дырку в заборе» для себя любимого, и тщательно прячет эту дырку от аудитора.

Вопрос 2. Как часто бывает, что контрольная процедура умышленно разрабатывается с «дырами в заборе» (уязвимостями) для обеспечения возможности её обхода при необходимости?

— И это бывает совсем не редко. Скрытые возможности обхода контроля создаются «на голубом глазу» менеджерами, думающими о том, как украсть и не попасться. Вспомните регламент закупок, который существует в вашей компании.

Вопрос 3. Стоит ли устранять уязвимость в контрольной процедуре, если её устранение вызовет резкое увеличение затрат на её исполнение?

— А вот здесь надо хорошенько посчитать, во что обойдётся устранение уязвимости КП. Но я ещё ни разу не встречал живого внутреннего аудитора, который оценивал стоимость исполнения контрольной процедуры, оцифровывал эти затраты и записывал оценки в отчёт. Ответ на вопрос: если устранение уязвимости оказывается невыгодным, то контрольная процедура обычно должна быть изменена полностью.

Вопрос 4. Как достичь баланса между затратами на внутренний контроль и надежностью контрольной процедуры?

— А вот для этого и нужно изучить мою теорию внутреннего контроля, которую мы рассмотрим на тренинге «Оптимизация внутреннего контроля». И не только изучить, но и немного попрактиковаться в ней ручками. В целом выход — в унификации и стандартизации контрольных процедур.

Вопрос 5. Как оценить величину риска, связанного с наличием «недокументированных» уязвимостей в контрольной процедуре?

— «Оцифровать» величину риска и при этом не попасть пальцем в небо вряд ли получится. Об этом я писал здесь.  Да и вообще на этом сайте есть целый раздел с моими статьями по управлению рисками.