Меня зовут Егор Харченко, я руководитель направления по развитию инфраструктурных сервисов и учета активов в «Лаборатории Касперского». Наш отдел отвечает за инфраструктурные сервисы, которые помогают жить и работать сотрудникам компании: корпоративную почту, unified communications, наше внутреннее облако, печать, рабочее место, антивирусную защиту и так далее. Ну и, конечно, мы отвечаем за учет всех материальных и нематериальных активов.

В статье я расскажу про наш опыт выстраивания взаимодействия с аудиторами, опишу паттерны ролевого поведения, а главное — объясню, как при этом извлечь максимальный профит для себя и своего отдела.

Если в вашей компании существует отдел внутреннего аудита, то рано или поздно в вашу дверь постучат. Для чего? Аудиторы хотят провести беспристрастный анализ, оценку и расчеты того, как вы работаете и какой результат выдаете на-гора. Далее вам порекомендуют, что надо менять, убирать, дополнять и далее по списку.

А дальше часто возникает конфликт интересов, где каждая из сторон считает себя правой. Например, аудируемый руководитель подразделения может быть убежден, что аудиторы не понимают структуру и то, чем его отдел занимается, и их предложения лишь номинально повлияют на функционирование команды и процессов. Аудиторы же могут быть уверены в том, что руководитель упрямится, воспринимая любые предложения как претензию на несостоятельность или отсутствие компетентности. Ситуация неприятная, и кажется, что выйти из нее без конфликтов не получится.

Итак, в дверь постучали один раз…

Моя отсылка к бородатому анекдоту в заголовке неспроста — ситуации, происходящие между аудитором и менеджером, чаще всего несколько театральны, так что иногда от уважаемого читателя будет требоваться немного воображения.

Разворачивается сцена. В ней в главной роли — менеджер процесса, который устал от бесконечной рутины, проектов импортозамещения и, конечно, time-driven проектов (то есть когда надо сделать что-то к определенной дате). И тут входит аудитор…

Обычно в компаниях аудит живет согласно N-годовому циклу — когда есть заранее согласованный план проверок, в котором расписано, кого и когда мы будем проверять. Поэтому чаще всего для проверяемого аудит не является новостью. Увы, это не всегда так. Но все же давайте представим, что к вам вломились постучались по графику.

Шаг 1. Больше деталей и ясности

Сроки оговорены, аудит начался. И-и-и… Бесконечные интервью, встречи, протоколы, представление артефактов… А главное — взаимное непонимание. То самое, о котором я писал в самом начале.

Тут вам стоит всегда держать в голове мысль, что аудитор, как правило, не погружен в предметную область так же глубоко, как вы. Это не хорошо и не плохо, это — данность.

Поэтому на встречах с аудиторами стоит более детально рассказывать (под запись, конечно )) про ваши процессы и специфику деятельности. Ваша задача — сделать так, чтобы аудитор начал понимать работу вашего отдела и ее многочисленные нюансы так же плотно, как вы. Если этого не сделать, то следующие шаги будут попросту бессмысленны.

Например, аудитор указывает, что в офисе вашей компании на условном Мадагаскаре есть свободные лицензии на программный продукт Х, в то время как в Московском офисе их не хватает; и когда приходят дополнительные «московские» заявки, то вы покупаете новые. «Кажется, вы неэффективны», — говорит аудитор.

Тогда вы начинаете рассказывать, что у вас разные юридические лица и что, согласно лицензионному соглашению с компанией Х, вы не можете купить лицензию для юрлица А и отдать ее юрлицу Б или наоборот.

Что ж, таких ситуаций у вас будет вагон и маленькая тележка. Наберитесь терпения и готовьтесь — других вариантов нет. :-/

Шаг 2. Принимаем, отвергаем, ищем компромисс

Аудит уже идет довольно долго, копятся замечания. И в этот момент волей-неволей начинается рефлексия. Приходит понимание, что какие-то замечания аудиторов вы поддерживаете, а другие отрицаете. Что-то вообще не замечалось, или же замечалось, но руки не доходили, или вообще оно казалось неважным.

Так рефлексируете вы, рефлексируете, и наконец подходите к аудитору и говорите что-то в таком духе: «Слушай, дружище, я тут вчера посидел, подумал, пообщался с коллегами. Мы вот ту штуку, которую ты нашел, можем, наверное, вот так решить. Как ты смотришь на это?»

И дальше: «Да слушай, нормально». Или: «Ну, так, наверное, не очень. Все равно мы риск закрыть не можем. Предлагаем тебе, допустим, сделать вот так, вот так, вот так».

А дальше, если шаг 1 у вас был не для галочки, вам самому захочется сделать из аудитора ментора, который может помочь решить найденные проблемы. В процессе этого самого диалога и поиска компромиссов вы просите совета, просите поделиться экспертизой или вообще впрямую спрашиваете, как бы поступил сам аудитор на вашем месте.

И если вам повезло и ваш аудитор — реальный эксперт, начитанный, насмотренный, то в результате вы с аудитором не только обретете взаимную профессиональную гармонию, но и получите роадмап повышения зрелости ваших процессов.

Шаг 3. Составляем план, создаем процесс

Итак, наконец аудит закончился. К какому результату вы пришли?

Любой аудит завершается отчетом, который описывает не только, что и как у вас проверяли, но главное — найденные риски и их приоритизацию. И по этому отчету у вас должно быть полное согласие с аудитором — в таком случае и ваш руководитель, и руководитель аудиторов поймут, что ситуация становится контролируемой: выявлено то-то, сделать надо то-то, для этого есть такой-то процесс и вы оба с этим согласны.

Далее вы планируете реализацию этих мер и по итогу возвращаетесь к аудитору. «Смотрите, друзья, во время аудита вы нашли вот такие риски, мы вот так их закрыли. Вы с этим ок или нет?» Если ок, то риск можно считать закрытым.

Самое интересное здесь то, что эту активность важно превратить в некое подобие цикла Деминга. Аудит -> Отчет по аудиту -> Каталог рисков -> План по исправлению -> Исправление -> Аудит и так далее. Таким образом, хотите вы того или нет, но зрелость ваших процессов будет расти после каждого пройденного круга.

Собираем зрелые плоды от процессов

Чтобы не быть голословным, хочу привести пару наших собственных не попадающих под NDA примеров «аудита здорового менеджера».

Допустим, аудитор задает вопрос: «У вас так много оборудования на складах, а мы еще новые дата-центры заказываем. Зачем?» Начинаем объяснять, что часть оборудования б/у, часть оказалось невостребованной. А сами думаем: «И правда, может, что-то с этим сделать?» В результате сделали «Магазин свободного железа», когда какая-либо команда, запрашивающая оборудование для сервера, получает ответное письмо с предложением посмотреть похожее железо в нашем внутреннем магазине. Если их все устраивает, то остается только сформировать запрос и получить. Более того, если оборудование б/у, то команда получает его бесплатно, а если это новое невостребованное оборудование, то на тех, кто забрал железо, дотируется часть затрат той команды, которой этот хард оказался не нужен, чтобы сбалансировать их бюджеты.

И конечно, оптимизировали процессы, чтобы железо просто так не пылилось. Теперь у заказавшей железо команды есть некий срок, в течение которого оборудование необходимо забрать. Как только хард прибыл, то пингуют ответственного. Если он не забирает, то дальше начинают пинговать руководителя, а потом (если, конечно, не было предоставлено никакого смягчающего обоснования), оборудование возвращается в магазин, и забрать его может любая другая команда.

Еще один пример — инвентаризация для управленческого учета. Как известно, по законодательству раз в три года все должны проходить инвентаризацию основных средств. Это долго, дорого, сложно (часть на удаленке, часть на гибриде — всех не обойдешь), но нужно.

Мы придумали такой порядок. Делаем ежемесячную рассылку на один из 12 сегментов сотрудников компании. По ссылке человек попадает в специальную систему учета, где приведено все оборудование, которое у него есть. Хочешь что-то сдать — отмечай, придут, заберут. Если вдруг что-то отсутствует, начинаем разбираться. 12 сегментов — 12 месяцев, то есть полный цикл актуализации составляет один год.

Аналогично аудиторы часто уточняют насчет софта: почему кто-то из сотрудников не использует лицензии тех сервисов, которые на него записаны. Что с хардом, что с софтом есть разные причины: уволился, перешел в другой отдел, ушла в декрет и так далее. И мы точно так же ищем невостребованные лицензии и передаем их тем, кому они нужнее. Или, если сотрудник уходит из компании, направляем письмо его менеджеру, чтобы уточнить, что делать с его лицензиями и кому их передать. 

Что в итоге?

Моя главная мысль: внутренние аудиторы — это счастье. Это возможность найти те недостатки, которые у вас почти наверняка есть, — как говорится, «здоровых людей не бывает, есть недообследованные» :))

Главное — превратить процесс аудита и исправления ошибок в цикл. Пара-тройка циклов — и ваши процессы уже другие, они выросли и стали совершеннее. А из такого отношения к аудиту, в свою очередь, могут родиться и внутренние продукты, и даже интересные проекты, что опять же будет на пользу и вам и компании.