На последнем этапе внедрения системы внутреннего контроля в операционную и управленческую деятельность компании нужно проделать немалую работу. Классифицировать бизнес-процессы, оценить возможные риски в каждом из них и запланировать соответствующие контрольные процедуры.
Как внедрить СВК в организации, не допустив типичные ошибки, и при этом снизить уровень сопротивления сотрудников системам контроля — рассказывает финансовый эксперт Татьяна Мнацаканова.
Создаем карту бизнес-процессов верхнего уровня
В предыдущей статье «Практика создания СВК: схема разработки бизнес-процессов и тест на эффективность» мы рассматривали модель построения целостной СВК и управления рисками в виде пирамиды:
- в основании блок «Внутренняя среда»;
- затем идут блоки «Процессы и структура компании», «Компетентный персонал»;
- и в верхушке пирамиды — блок «Структура СВК и УР».
Для эффективного управления компанией важно после создания сильной контрольной среды организовать ее деятельность как цепочку бизнес-процессов, применяя процессный подход. Здесь соглашусь с высказыванием американского консультанта по менеджменту Эдвардса Деминга: «Если вы не способны описать то, что вы делаете, как процесс — вы не знаете, что вы делаете». Если мы не знаем, как организована деятельность компании, то можно сказать, что мы ею не управляем и не контролируем результаты своей деятельности.
Для удобства описания бизнес-процессов нужно выделить в них отдельные части — подпроцессы и операции. Каждая из этих частей (процесс, подпроцесс и операция) будет определенным уровнем управления, а в совокупности они формируют иерархию процессов компании.
Разработка и внедрение процессного подхода к управлению — достаточно сложная и ресурсоемкая задача. Поэтому такой подход имеет смысл применять для сквозных, межфункциональных бизнес-процессов верхнего уровня, и для некоторых наиболее проблемных подпроцессов.
Схема организации деятельности компании с применением процессного подхода может состоять из этапов:
- разработка единого классификатора бизнес-процессов и матрицы ответственности за эти процессы;
- определение задач, результатов процессов и их взаимосвязи, и разработка карты бизнес-процессов верхнего уровня, в которой все процессы разделены на управленческие, операционные и сервисные;
- описание бизнес-процессов — при описании задачи раскрываются функции подразделений, распределяются обязанности и полномочия, а также фиксируются результаты действий подразделений и их адресаты/потребители.
Рассмотрим на примере — ниже классификатор и карта бизнес-процессов для строительной компании.
В классификаторе есть 3 вида процессов: управленческие, операционные и сервисные. Управленческие процессы необходимо разрабатывать с учетом всех стадий цикла управления:
- постановка целей и планирование;
- организация;
- контроль;
- информация, учет и коммуникации;
- координация и корректировка;
- принятие управленческих решений.
Описать бизнес-процессы можно как в таблице, так и с использованием графических стандартов, что обеспечивает полноту и наглядность представления деятельности компании.
На базе разработанной карты взаимоувязанных бизнес-процессов и их описания в формате, принятом в компании, формируются:
- классификатор структурных подразделений — исполнителей бизнес-процессов;
- классификатор документов для управленческих целей (управленческого учета, мониторинга), которые связаны между собой и имеют понятных исполнителей, потребителей;
- функциональная структура — распределение задач, функций и должностных обязанностей по подразделениям, определение профессиональных компетенций;
- организационная структура — иерархия подчиненности, распределение полномочий и ответственности;
- регламенты по сквозным бизнес-процессам верхнего уровня.
Описанный выше порядок построения блока «Процессы и структура компании» позволяет увязать две модели: процессную (динамическую) — в виде карты бизнес-процессов и модель компании в виде организационно-функциональной структуры (статическую). Таким образом можно выстроить рациональный документооборот, который позволит получать своевременную и нужную информацию для эффективного функционирования подразделений и принятия управленческих решений.
Связь между первой моделью и формированием второй приведена на схеме:
Важно!
- Разработка карты бизнес-процессов верхнего уровня позволит сформировать интегрированную систему управления компанией, в которую встроены:
- контрольные функции управления;
- средства контроля;
- процессы обмена информацией и мониторинга, управления рисками.
- Достоверное описание бизнес-процессов организации способствует выявлению и оценке всех существенных рисков. Независимо от того, проводится ли в них внутренний контроль в настоящее время. Также можно доработать систему контрольных процедур с учетом рисков, выявленных при описании процессов.
- Если формировать состав и функционал подразделений строго на основании карты бизнес-процессов, и при этом соблюдать взаимосвязь динамической и статической моделей компании, то можно:
- избежать дублирования, размытых или раздутых функций и «слепых» зон;
- построить оптимальную оргструктуру, адекватную целям и задачам компании.
А теперь рассмотрим, как выстроить бизнес-процессы на основе риск-ориентированного подхода.
Как разработать бизнес-процессы с учетом рисков и контрольных процедур
Если компания вышла из стадии стартапа, процессы в ней уже функционируют, но еще, зачастую, неэффективным образом. А все изменения вносятся после негативных последствий реализовавшихся рисков. Поэтому линейным руководителям важно уметь выстраивать бизнес-процессы, за которые они отвечают, с применением риск-ориентированного подхода.
Для этого в бизнес-процессы нужно внедрить стандартные контрольные процедуры:
- эффективное разделение обязанностей;
- процедуры санкционирования;
- сверку данных;
- фактический контроль за активами;
- инвентаризацию и прочее.
Разработка и регламентация бизнес-процессов с учетом рисков и встроенных процессов контроля может быть проведена по следующей схеме.
Схема разработки бизнес-процессов с учетом рисков и контрольных процедур
|
Этап работ |
Содержание |
|---|---|
|
1. Описание бизнес-процесса и определение его целей |
|
|
2. Выявление и оценка рисков бизнес-процесса |
Нужно провести независимый опрос участников и пользователей результатов бизнес-процесса. Проанализировать данные на предмет полноты и достаточности. И выделить наиболее существенные риски для определения контрольных процедур. Методологическую поддержку Владельцам процессов может осуществлять Эксперт по рискам. Чтобы описать риск, нужно указать: а) потенциальное неблагоприятное внутреннее и внешнее событие (факт, обстоятельство), порождающее риск; б) причину и вероятность его возникновения; в) возможные негативные последствия (ущерб), их количественную и качественную оценку. Риски должны быть производными от целей бизнес-процесса. Если цели бизнес-процессов не достигнуты, следует выявить, какие причины больше всего на это влияют. |
|
3. Определение контрольных мероприятий и процедур для минимизации рисков |
|
|
4. Формирование матрицы рисков и контрольных процедур |
|
Если нужно выстроить процесс с оптимальным выполнением целей и показателей, стоит проанализировать возможные рисковые события, которые негативно на него повлияют. И с учетом этих рисков разработать контрольные процедуры.
В моей практике были случаи, когда разработали в большом количестве матрицы рисков и контрольных процедур, которые на практике не снижали эти риски. Поэтому здесь важен системный подход, учитывающий взаимосвязь рисков и контролей в привязке к целям компаний на разных уровнях.
Владельцы бизнес-процессов могут самостоятельно определять оптимальную комбинацию контролей, которые адекватно покрывают выявленный риск. И выбрать наиболее эффективные виды контролей: выявляющие или предотвращающие, автоматизированные, ИТ-зависимые ручные или только ручные.
Контрольные процедуры должны обеспечивать адекватное покрытие риска. Для этого при разработке процедур контроля нужно:
- четко разделить обязанности;
- установить ясную и понятную ответственность сотрудников за выполнение функциональных обязанностей;
- ввести контроль и необходимые ограничения доступа сотрудников к программным продуктам и имуществу;
- установить авторизацию операций ответственными лицами (например, визирование счетов на оплату, выдачи материальных ценностей);
- ввести регистрацию операций в учетной системе;
- утвердить внутренними распорядительными документами процедуры, обязанности, бизнес-процессы;
- регулярно следить за исполнением установленных процедур;
- обучить сотрудников требуемому порядку выполнения операций.
Важно!
В компании нужна регулярная оценка эффективности и корректировки контрольных процедур, которую должны проводить линейные руководители подразделений. В крупных компаниях процессы совершенствования контролей ведут специалисты службы внутреннего контроля совместно с руководителями структурных подразделений.
Типичные ошибки при внедрении СВК в компании
Проблемы с эффективностью СВК очень часто возникают по следующим причинам:
- слабая внутренняя среда;
- недостаточность корпоративных контролей;
- нарушение принципов СВК, в частности, непрерывности и рационального контроля — когда затраты на функционирование системы внутреннего контроля превышают ожидаемые выгоды;
- при определении контрольных процедур для конкретных объектов управления не учитывается существенность этого объекта в системе управления организацией. А также частота возникновения негативных событий, связанных с работой объекта. Это приводит к неэффективному использованию ресурсов, выделенных на контроль;
- работники не заинтересованы выполнять контрольные процедуры;
- процедуры контроля могут быть неадекватными, так как изменились условия деятельности компании.
Одна из существенных проблем при создании и функционировании СВК — это сопротивление работников системам контроля. Тут также может быть несколько причин.
- Чрезмерный контроль
В компании может сложиться тенденция к тотальной и частой проверке объектов. Это может привести к тому, что из-за постоянных отчетов и психологического раздражения работник просто не сможет выполнять свои обязанности. Он будет считать, что ему не доверяют либо сомневаются в его компетенции и квалификации.
- Несоответствующий фокус
Контроли могут быть слишком узкими. Сосредоточиваться на количественных показателях и не оставлять места для интерпретации. Если стандарты контроля слишком сужены, то работники будет сопротивляться целям СВК и сосредотачиваться только на выполнении показателей эффективности. Например, им будет важно количество выпущенных единиц продукции в час, а не их качество.
Также к причинам саботажа можно отнести несоответствие ответственности и полномочий. И отсутствие «обратной» связи от руководства в части корректирующих управленческих решений.
В завершение — важные аспекты, на которые следует обратить внимание при создании эффективной СВК в компании.
- Современные тенденции. Это риск-ориентированный подход к организации СВК: цели – риски – процессы – контроли – остаточные риски – регулярный мониторинг эффективности средств контроля.
- Акцент на риски. Принятие управленческих решений при обязательном анализе и оценке вероятных рисков, построение бизнес-процессов с учетом рисков и покрываемых их мер контроля.
- Приоритеты и рациональность при функционировании СВК. Акцент на развитие внутренней контрольной среды, применение адекватной модели 3-х линий защиты с учетом масштаба и специфики компании.
- Развитие корпоративной информационной системы — автоматизация бизнес-процессов и средств контроля.
Этот материал завершает цикл статей эксперта о создании эффективной СВК в компании. Если вы пропустили предыдущие материалы, советуем почитать:
