Нов-и Аудит
Нов-и Эксперты говорят
audit
eksperty-govoryat

Поделиться:

Как интегрировать СВК в деятельность компании

Как интегрировать СВК в деятельность компании: карта бизнес-процессов и типичные ошибки

2021-12-22 268

На последнем этапе внедрения системы внутреннего контроля в операционную и управленческую деятельность компании нужно проделать немалую работу. Классифицировать бизнес-процессы, оценить возможные риски в каждом из них и запланировать соответствующие контрольные процедуры.

Как внедрить СВК в организации, не допустив типичные ошибки, и при этом снизить уровень сопротивления сотрудников системам контроля — рассказывает финансовый эксперт Татьяна Мнацаканова.

Создаем карту бизнес-процессов верхнего уровня

В предыдущей статье «Практика создания СВК: схема разработки бизнес-процессов и тест на эффективность» мы рассматривали модель построения целостной СВК и управления рисками в виде пирамиды:

  • в основании блок «Внутренняя среда»;
  • затем идут блоки «Процессы и структура компании», «Компетентный персонал»;
  • и в верхушке пирамиды — блок «Структура СВК и УР».

Для эффективного управления компанией важно после создания сильной контрольной среды организовать ее деятельность как цепочку бизнес-процессов, применяя процессный подход. Здесь соглашусь с высказыванием американского консультанта по менеджменту Эдвардса Деминга: «Если вы не способны описать то, что вы делаете, как процесс — вы не знаете, что вы делаете». Если мы не знаем, как организована деятельность компании, то можно сказать, что мы ею не управляем и не контролируем результаты своей деятельности.

Для удобства описания бизнес-процессов нужно выделить в них отдельные части — подпроцессы и операции. Каждая из этих частей (процесс, подпроцесс и операция) будет определенным уровнем управления, а в совокупности они формируют иерархию процессов компании.

Разработка и внедрение процессного подхода к управлению — достаточно сложная и ресурсоемкая задача. Поэтому такой подход имеет смысл применять для сквозных, межфункциональных бизнес-процессов верхнего уровня, и для некоторых наиболее проблемных подпроцессов.

Схема организации деятельности компании с применением процессного подхода может состоять из этапов:

  • разработка единого классификатора бизнес-процессов и матрицы ответственности за эти процессы;
  • определение задач, результатов процессов и их взаимосвязи, и разработка карты бизнес-процессов верхнего уровня, в которой все процессы разделены на управленческие, операционные и сервисные;
  • описание бизнес-процессов — при описании задачи раскрываются функции подразделений, распределяются обязанности и полномочия, а также фиксируются результаты действий подразделений и их адресаты/потребители.

Рассмотрим на примере — ниже классификатор и карта бизнес-процессов для строительной компании.


классификатор бизнес-процессов

В классификаторе есть 3 вида процессов: управленческие, операционные и сервисные. Управленческие процессы необходимо разрабатывать с учетом всех стадий цикла управления:

  • постановка целей и планирование;
  • организация;
  • контроль;
  • информация, учет и коммуникации;
  • координация и корректировка;
  • принятие управленческих решений.


Описать бизнес-процессы можно как в таблице, так и с использованием графических стандартов, что обеспечивает полноту и наглядность представления деятельности компании.

На базе разработанной карты взаимоувязанных бизнес-процессов и их описания в формате, принятом в компании, формируются:

  • классификатор структурных подразделений — исполнителей бизнес-процессов;
  • классификатор документов для управленческих целей (управленческого учета, мониторинга), которые связаны между собой и имеют понятных исполнителей, потребителей;
  • функциональная структура — распределение задач, функций и должностных обязанностей по подразделениям, определение профессиональных компетенций;
  • организационная структура — иерархия подчиненности, распределение полномочий и ответственности;
  • регламенты по сквозным бизнес-процессам верхнего уровня.

Описанный выше порядок построения блока «Процессы и структура компании» позволяет увязать две модели: процессную (динамическую) — в виде карты бизнес-процессов и модель компании в виде организационно-функциональной структуры (статическую). Таким образом можно выстроить рациональный документооборот, который позволит получать своевременную и нужную информацию для эффективного функционирования подразделений и принятия управленческих решений.


описание бизнес-процесса

Связь между первой моделью и формированием второй приведена на схеме:

Важно!

  1. Разработка карты бизнес-процессов верхнего уровня позволит сформировать интегрированную систему управления компанией, в которую встроены:
  • контрольные функции управления;
  • средства контроля;
  • процессы обмена информацией и мониторинга, управления рисками.
  1. Достоверное описание бизнес-процессов организации способствует выявлению и оценке всех существенных рисков. Независимо от того, проводится ли в них внутренний контроль в настоящее время. Также можно доработать систему контрольных процедур с учетом рисков, выявленных при описании процессов.
  1. Если формировать состав и функционал подразделений строго на основании карты бизнес-процессов, и при этом соблюдать взаимосвязь динамической и статической моделей компании, то можно:
  • избежать дублирования, размытых или раздутых функций и «слепых» зон;
  • построить оптимальную оргструктуру, адекватную целям и задачам компании.

А теперь рассмотрим, как выстроить бизнес-процессы на основе риск-ориентированного подхода.

Как разработать бизнес-процессы с учетом рисков и контрольных процедур

Если компания вышла из стадии стартапа, процессы в ней уже функционируют, но еще, зачастую, неэффективным образом. А все изменения вносятся после негативных последствий реализовавшихся рисков. Поэтому линейным руководителям важно уметь выстраивать бизнес-процессы, за которые они отвечают, с применением риск-ориентированного подхода.

Для этого в бизнес-процессы нужно внедрить стандартные контрольные процедуры:

  • эффективное разделение обязанностей;
  • процедуры санкционирования;
  • сверку данных;
  • фактический контроль за активами;
  • инвентаризацию и прочее.

Разработка и регламентация бизнес-процессов с учетом рисков и встроенных процессов контроля может быть проведена по следующей схеме.

Схема разработки бизнес-процессов с учетом рисков и контрольных процедур

Этап работ

Содержание

1. Описание бизнес-процесса и определение его целей

  • Описание бизнес-процессов с использованием принятой в компании методологии (нотации моделирования).

  • Определение целей бизнес-процессов, которые должны вытекать из стратегических и тактических целей компании (должны быть результатом декомпозиции целей).

2. Выявление и оценка рисков бизнес-процесса

  • Выявление потенциальных событий.
  • Идентификация рисков.

Нужно провести независимый опрос участников и пользователей

результатов бизнес-процесса. Проанализировать данные на предмет полноты и достаточности. И выделить наиболее существенные риски для определения контрольных процедур.


Методологическую поддержку Владельцам процессов может осуществлять Эксперт по рискам.


Чтобы описать риск, нужно указать:


а) потенциальное неблагоприятное внутреннее и внешнее событие (факт, обстоятельство), порождающее риск;


б) причину и вероятность его возникновения;


в) возможные негативные последствия (ущерб), их количественную и качественную оценку.


Риски должны быть производными от целей бизнес-процесса. Если цели бизнес-процессов не достигнуты, следует выявить, какие причины больше всего на это влияют.

3. Определение контрольных мероприятий и процедур для минимизации рисков

  • Разработка контрольных процедур и тестов контрольных процедур.

4. Формирование матрицы рисков и контрольных процедур

  • Данные обо всех выявленных рисках бизнес-процессов во время контрольных процедур документируются — заносятся в матрицу рисков и контрольных процедур.

Если нужно выстроить процесс с оптимальным выполнением целей и показателей, стоит проанализировать возможные рисковые события, которые негативно на него повлияют. И с учетом этих рисков разработать контрольные процедуры.

В моей практике были случаи, когда разработали в большом количестве матрицы рисков и контрольных процедур, которые на практике не снижали эти риски. Поэтому здесь важен системный подход, учитывающий взаимосвязь рисков и контролей в привязке к целям компаний на разных уровнях.

Владельцы бизнес-процессов могут самостоятельно определять оптимальную комбинацию контролей, которые адекватно покрывают выявленный риск. И выбрать наиболее эффективные виды контролей: выявляющие или предотвращающие, автоматизированные, ИТ-зависимые ручные или только ручные.

Контрольные процедуры должны обеспечивать адекватное покрытие риска. Для этого при разработке процедур контроля нужно:

  • четко разделить обязанности;
  • установить ясную и понятную ответственность сотрудников за выполнение функциональных обязанностей;
  • ввести контроль и необходимые ограничения доступа сотрудников к программным продуктам и имуществу;
  • установить авторизацию операций ответственными лицами (например, визирование счетов на оплату, выдачи материальных ценностей);
  • ввести регистрацию операций в учетной системе;
  • утвердить внутренними распорядительными документами процедуры, обя­занности, бизнес-процессы;
  • регулярно следить за исполнением установленных процедур;
  • обучить сотрудников требуемому порядку выполнения операций.

Важно!

В компании нужна регулярная оценка эффективности и корректировки контрольных процедур, которую должны проводить линейные руководители подразделений. В крупных компаниях процессы совершенствования контролей ведут специалисты службы внутреннего контроля совместно с руководителями структурных подразделений.

Типичные ошибки при внедрении СВК в компании

Проблемы с эффективностью СВК очень часто возникают по следующим причинам:

  • слабая внутренняя среда;
  • недостаточность корпоративных контролей;
  • нарушение принципов СВК, в частности, непрерывности и рационального контроля — когда затраты на функционирование системы внутреннего контроля превышают ожидаемые выгоды;
  • при определении контрольных процедур для конкретных объектов управления не учитывается существенность этого объекта в системе управления организацией. А также частота возникновения негативных событий, связанных с работой объекта. Это приводит к неэффективному использованию ресурсов, выделенных на контроль;
  • работники не заинтересованы выполнять контрольные процедуры;
  • процедуры контроля могут быть неадекватными, так как изменились условия деятельности компании.

Одна из существенных проблем при создании и функционировании СВК — это сопротивление работников системам контроля. Тут также может быть несколько причин.

  • Чрезмерный контроль

В компании может сложиться тенденция к тотальной и частой проверке объектов. Это может привести к тому, что из-за постоянных отчетов и психологического раздражения работник просто не сможет выполнять свои обязанности. Он будет считать, что ему не доверяют либо сомневаются в его компетенции и квалификации.

  • Несоответствующий фокус

Контроли могут быть слишком узкими. Сосредоточиваться на количественных показателях и не оставлять места для интерпретации. Если стандарты контроля слишком сужены, то работники будет сопротивляться целям СВК и сосредотачиваться только на выполнении показателей эффективности. Например, им будет важно количество выпущенных единиц продукции в час, а не их качество.

Также к причинам саботажа можно отнести несоответствие ответственности и полномочий. И отсутствие «обратной» связи от руководства в части корректирующих управленческих решений.

В завершение — важные аспекты, на которые следует обратить внимание при создании эффективной СВК в компании.

  • Современные тенденции. Это риск-ориентированный подход к организации СВК: цели – риски – процессы – контроли – остаточные риски – регулярный мониторинг эффективности средств контроля.
  • Акцент на риски. Принятие управленческих решений при обязательном анализе и оценке вероятных рисков, построение бизнес-процессов с учетом рисков и покрываемых их мер контроля.
  • Приоритеты и рациональность при функционировании СВК. Акцент на развитие внутренней контрольной среды, применение адекватной модели 3-х линий защиты с учетом масштаба и специфики компании.
  • Развитие корпоративной информационной системы — автоматизация бизнес-процессов и средств контроля.

Этот материал завершает цикл статей эксперта о создании эффективной СВК в компании. Если вы пропустили предыдущие материалы, советуем почитать:

Оцените материал

Поделиться:

Добро пожаловать!

Куда хотите войти:

В систему дистанционного
обучения

Войти

В личный кабинет пользователя
вебинаров

Войти

Рады приветствовать на нашем сайте!

У нас есть два полезных портала для повышения квалификации!
Скажите, что именно вас интересует?

Курсы повышения
квалификации

Зарегистрироваться

Вебинары об изменениях
в законодательстве

Зарегистрироваться