Тема внутреннего контроля и аудита многогранна, и поэтому практика внедрения этой функции в конкретных компаниях вызывает живой интерес у большинства специалистов. Сегодня с читателями «ЭЖ» апробированными процедурами внутреннего контроля и опытом организации работы ответственного за эти процедуры подразделения делится Яна Осипенко, советник по развитию бизнес-процессов и контролей, компания HEINEKEN Russia.
В сообществе внутренних аудиторов, контролеров и риск-менеджеров регулярно возникает вопрос о том, как подтвердить свою ценность для компании. Этот вопрос в той или иной степени актуален для любой вспомогательной (supporting) функции. Так, например, функция внутреннего аудита в разных компаниях может играть различные роли — от подтверждения достоверности финансовой отчетности до советника по выстраиванию бизнес-процессов. Роль зависит от многих факторов, но в первую очередь она диктуется потребностью бизнеса и степенью зрелости контрольной среды.
Несколько лет назад в нашей компании функция внутреннего аудита была централизована в глобальном офисе, в российской операционной компании взамен отдела внутреннего аудита была создана служба по развитию бизнес-процессов и контролей. Данное решение предполагает комплексный партнерский подход к поддержке бизнес-функций.
Стандартизация бизнес-процессов: основы построения системы
Комплексность подхода заключается в том, что отдел работает сразу по семи связанным между собой направлениям. Характеристика подхода как партнерского означает, что коммуникации с бизнес-отделами не однонаправленны: если любой специалист в компании чувствует потребность в методологической поддержке с точки зрения процессного подхода, он обращается к нам — специалистам по развитию бизнес-процессов и контролей. Таким образом, это «дорога с двусторонним движением». За каждой функцией закреплен советник по развитию бизнес-процессов и контролей — есть одно «окно», которое можно использовать для обсуждения любых инициатив.
Основные направления работы службы по развитию бизнес-процессов и контролей
Вся работа нашей службы выстроена вокруг семи основных областей:
1. Мониторинг контролей — это работа по подтверждению и повышению эффективности существующих контролей. Данное направление связано с оказанием помощи бизнесу в самооценке проводимых контрольных мероприятий, а также с выявлением несоответствий, отслеживанием статуса и сроков их устранения, поддержкой проведения самооценки соответствия Правилам компании, тестированием финансовых контролей и распределения полномочий.
2. Управление процессами и контролями — область, в которую входит поддержка бизнеса в дизайне и внедрение новых видов контроля.
3. Непрерывное улучшение — это все, что касается нашей проектной деятельности, например: улучшение процессов, тренинги по методологии ведения проектов (как создать команду, выявить заинтересованные стороны, вести документы, проработать риски).
4. Управление рисками включает цикл оценки, мониторинга и создания единого реестра рисков.
КАК В BUSINESS STUDIO создать список контрольных процедур для процесса?
5. Обеспечение соответствия — это часть нашей работы, касающаяся создания и поддержания системы внутренней документации компании. Мы считаем, что все процессы должны быть описаны, а их описания должны быть опубликованы в общей корпоративной базе.
Для того чтобы обеспечить соответствие внутренних документов друг другу и внутренним стандартам компании, мы участвуем в согласовании процедур межфункционального уровня и уровня компании. Одно из обязательных условий для согласования документа — наличие раздела «Риски и контроли». Во-первых, данный раздел помогает развивать риск-ориентированное мышление: составляя процедуру, специалист должен подумать о точках процесса, где что-то может пойти не так, и о способах минимизировать данные риски (о видах контроля). Во-вторых, данный раздел позволяет выявлять потребность в новых нефинансовых контролях.
6. Противодействие мошенничеству — направление, включающее в себя мероприятия по повышению осведомленности, предотвращению и расследованию мошенничества. С целью повышения осведомленности мы регулярно проводим тренинги и ежегодную самооценку подверженности рискам мошенничества, когда сотрудники заполняют опросник с целью оценить вероятность и влияние предложенных рисков и отвечают на открытые вопросы о возможных областях для манипуляций. По результатам самооценки выявляются наиболее рисковые области, которые затем прорабатываются на необходимость внедрения дополнительных контрольных мероприятий.
7. Подтверждение достоверности — в основном это взаимодействие с руководством компании и внешними аудиторами.
Каждое из направлений достаточно специфично, но работа в любом из них может привести к выявлению потребности в улучшении процесса или в новом контроле. Таким образом, именно благодаря комплексному подходу мы получаем «большую картину» и видим области для улучшений — в аудиторских отчетах, написанных бизнесом процедурах, новых проектах, в результатах самооценки и в каждой нашей инициативе.
Как оценить эффективность взаимодействия со стейкхолдерами
Для оказания своевременной и качественной поддержки стейкхолдерам (сотрудникам курируемых функций) советнику приходится проявлять гибкость — ранжировать задачи по приоритетности, и при этом учитывать не только краткосрочные выгоды, но и долгосрочные преимущества, поддерживать устойчивые и взаимовыгодные отношения с курируемыми бизнес-функциями, что существенно упрощает взаимодействие и экономит ресурсы.
По этой причине ежемесячно среди советников проводятся совещания, так называемые 6X15, — сначала 15 минут обсуждаются общие цели отдела, а затем в течение 15 минут каждый советник сообщает о своих планах на ближайший месяц и прогнозирует загруженность. Для визуализации каждый готовит слайд с семью направлениями, описанными выше, и в каждом направлении перечисляет задачи, которые он берется выполнить в течение месяца. Задачи ранжируются по трудоемкости — большие (больше двух дней) подсвечиваются темно-зеленым, средние (один-два дня) — бледно-зеленым, малые (менее одного дня) — желтым, а неактивные — серым. Так, по насыщенности цветов на слайде можно понять загрузку каждого члена команды и перераспределить ее, для того чтобы наиболее эффективно использовать ресурс.
В направлении «Управление процессами и контролями» у каждого члена команды есть «вечнозеленый» элемент — это задача по взаимоотношениям со стейкхолдерами, так как всегда должен оставаться ресурс на внеплановые задачи — проконсультировать по новой процедуре, помочь с разработкой плана действий по устранению несоответствия, принять участие в совещании по перераспределению зон ответственности в процессе.
Именно своевременная и эффективная поддержка стейкхолдеров при их обращениях и дает специалисту отдела по развитию бизнес-процессов и контролей «кредит доверия», используемый при реализации менее привлекательных контрольных функций.
По результатам ежегодного опроса сотрудников относительно их степени удовлетворенности работой службы средний балл растет из года в год и составляет 3,7 из 4,0 в 2018 г. Опрос включает в себя закрытые и открытые вопросы, а результаты и планы действий сообщаются всем участникам. Мы считаем очень важным фиксировать свои обязательства и обещания и выполнять их, поскольку именно этого мы ожидаем от бизнес-функций при устранении несоответствий. Поэтому если мы получили обратную связь, мы обязательно назначаем план корректирующих мероприятий, ответственного и срок. А о выполнении мероприятий мы рассказываем при проведении следующего опроса.
Цикл контроля: основные этапы на примере компании
1. Выявление потребности в новом контроле.
Создание нового контроля каждый раз начинается с выявления потребности в нем — с обнаружения незакрытого риска. Как уже отмечалось выше, любое взаимодействие с бизнес-функциями в любом из семи направлений может стать источником информации о потребности в контроле. В этом заключается еще один плюс партнерского подхода: например, специалист сам пишет процедуру, задумывается над разделом «Риски и контроли» и обращается за помощью. Или сам оценивает риски мошенничества и задумывается о возможностях для улучшений в процессе. Из таких источников формируется пул локальных кон-тролей к внедрению.
Другой способ выявления потребности в контролях заключается в совместном с бизнесом анализе глобальной «Матрицы рисков и контролей» — реестра, который ежегодно представляют наши глобальные коллеги. В случае, если риск, описанный в Матрице, применим для нашей операционной компании, мы внедряем контроль в соответствии с рекомендованным дизайном или продумываем новый дизайн, отвечающий нашей специфике. Если риск неприменим (например, описанная деятельность не ведется нашей компанией) — мы исключаем его из локальной версии Матрицы. Так в итоге мы получаем пул контролей для внедрения.
2. Дизайн контроля.
После того как мы поняли, что нам нужен новый контроль (или нужны изменения в существующем), возникает вопрос о подходящем дизайне. Отдел по развитию бизнес-процессов и контролей не может сам по себе быть владельцем риска или контроля, поскольку он оказывает именно методологическую поддержку. Именно поэтому за дизайн контроля отвечают в первую очередь владельцы процессов и рисков — бизнес-функции. С этой целью мы разработали стандартный шаблон «Контрольной рабочей инструкции» на основании лучших практик, наших инструкций по тестированию контролей и рекомендаций внешних аудиторов. Это позволяет, во-первых, обучать бизнес (им эти знания точно пригодятся на следующем шаге при самооценке контроля), во-вторых, поддерживать их ответственность за контрольную среду в компании.
Контрольная рабочая инструкция начинается с краткого описания риска и контроля. При описании контроля автор должен ответить на вопросы: зачем, когда, кто, что, как, где. Например, чтобы убедиться, что операционные расходы не капитализируются (зачем), ежемесячно в рамках финансового закрытия (когда) финансовый контролер (кто) подтверждает, что статья «Незавершенное строительство» включает только затраты капитального характера (что). Для этого он проверяет все приходы за месяц на соответствие критериям, обозначенным в «Учетной политике», проставляет комментарий напротив каждой новой позиции в реестре 08 счета (как) и сохраняет результаты в папке C:CAPEX (где).
Далее в рабочей инструкции перечисляются основные атрибуты контроля (владелец, исполнитель, периодичность, зависимость от информационных систем) и приводится детальное пошаговое описание контроля. Основная цель описанных действий: в случае если исполнитель контроля меняется, новый сотрудник может использовать данную пошаговую инструкцию для выполнения контроля верно с первого раза. Кроме того, используя инструкцию, любой контроль можно повторить и протестировать.
Еще один важный раздел инструкции посвящен распределению полномочий — в нем должно быть определено, доступ к каким функциям/транзакциям может помешать специалисту провести контроль, поскольку может влиять на его независимость и объективность. Например, в примере выше сотрудник не может осуществлять контроль за операционными расходами, если он является держателем бюджета или принимает решения относительно данного типа расходов — он может быть заинтересован в неверной классификации и поэтому пропустить соответствующую позицию в контроле.
Важным является определение источников информации, используемой в контроле (системы, отчеты, файлы). Прежде чем осуществлять контроль на основе информации, исполнитель должен убедиться в том, что информация получена из надежного источника, что она характеризуется полнотой и точностью. Поэтому в контрольной инструкции перечисляются действия, которые нужно выполнить для того, чтобы подтвердить пригодность источника для осуществления контроля.
Таким образом, контрольная рабочая инструкция — важный инструмент для дизайна контроля, который позволяет оценить эффективность потенциального контроля даже до его осуществления. И безусловно, данные инструкции — большое подспорье для внутренних и внешних аудиторов. В таблице представлена структура стандартной Контрольной рабочей инструкции.
3. Самооценкаи тестирование контролей.
Каждый год владельцы и исполнители контролей проходят через несколько циклов самооценки. Степень детализации вопросов в самооценке зависит от природы контролей (финансовые/нефинансовые) и соответствующих рисков. Минимальный набор вопросов — это просьба для владельца контроля оценить его эффективность и прокомментировать, каким образом он убедился в эффективности. Максимальный набор для выборки контролей — это самооценка и описание всех шагов контроля, включая вопросы о распределении полномочий и способах подтверждения корректности информации, используемой для контроля.
В случае если контроль оценен как неэффективный, несоответствие фиксируется и разрабатываются планы компенсирующих (на время починки) и корректирующих мероприятий. В случае если контроль оценен как эффективный, он может быть выбран для дальнейшей валидации или тестирования специалистом по развитию бизнес-процессов и контролей. Независимость и объективность тестирующего обеспечивается тем, что советник не может работать над подтверждением эффективности контроля партнерской функции и весь процесс подтверждения детально документируется, так как выборочно он анализируется при проверке качества со стороны коллег из международного центрального офиса компании.
Для того чтобы стимулировать владельцев процессов к объективной и вдумчивой самооценке, показатель совпадения результатов самооценки и оценки рассчитывается и доводится до высшего руководства.
Обучение и мотивация
На протяжении всего цикла контроля активно применяются инструменты обучения и оценки результатов деятельности. Так, например, самооценке контролей предшествуют тренинги по оценке контролей для владельцев и исполнителей контрольных мероприятий. Обучение сотрудников позволяет сделать процесс работы с контролями более понятным и менее трудозатратным — и для них, и для курирующих их направления советников.
Конечно, поддержание интереса к контрольной среде со стороны бизнес-функций осуществляется не только через обучение и выстраивание партнерских отношений с отделом по развитию бизнес-процессов и контролей. Инструменты материальной мотивации реализованы на основе методологии Управления по целям: в набор ключевых показателей эффективности для финансовой функции включается блок целевых показателей по состоянию контрольной среды, например отсутствие несоответствий со сроком устранения более определенного периода, совпадение результатов самооценки контролей с результатами их тестирования, отсутствие потенциальных конфликтов распределения полномочий без соответствующих мероприятий по компенсации данных конфликтов и т.д.
Так, поддерживая наших партнеров на всех этапах — от формулирования потребности и до оценки эффективности, давая им необходимые инструменты и обучая их основам анализа рисков и проведения контрольных мероприятий, — мы работаем над зрелостью контрольной среды. Чем более ответственными становятся наши партнеры (сотрудники компании) и чем более зрелой становится контрольная среда, тем меньшая доля нашей деятельности приходится на проработку и тестирование различных видов контроля и больше времени остается на творческую работу над проектами по непрерывному совершенствованию процессов в качестве членов межфункциональных команд.
Контрольная рабочая инструкция (таблица)
Источник: www.eg-online.ru
Проведение контрольных процедур
Узнайте, как виртуальный робот RPA помог разгрузить отдел бухгалтерии и взял на себя проведение 20 контрольных процедур в 1C:ERP.
Регламентные контрольные процедуры — это рутинный процесс в бухгалтерии, который отнимает большое количество ресурсов и времени.
В процессе проведения контрольных процедур участвует 80 крупных предприятий и требуется проведение 20-ти контрольных процедур по каждому предприятию в системе 1С:ERP. Бизнес-процесс вручную выполняет более 15-ти человек в компании.
Разработали автономного робота, который самостоятельно авторизуется в системе 1С:ERP и формирует 20 контрольных процедур. После проделанной работы робот отправляет отчет ответственным сотрудникам.
Этапы процесса
- Ежедневный автоматический запуск робота по расписанию.
- Робот авторизуется в 1С:ERP по каждому предприятию. Всего в системе существует 80 предприятий.
- Робот формирует 20 контрольных процедур в 1С:ERP.
- Робот отправляет результат на электронную почту ответственным лицам.
Инструменты
Инструменты, которые были использованы в бизнес-процессе.
RPA-платформа UiPath
Системы, которые участвовали в бизнес-процессе.
MS Outlook
Файловое хранилище
- В 30 раз ускорился бизнес-процесс
- На 100% снизилось количество ошибок.
- Разгружен отдел бухгалтерии.
У вас есть похожая задача?
Поможем внедрить типовой проект роботизации или подберем для компании персональное решение, даже если вам кажется, что процесс невозможно автоматизировать.
Москва, Варшавское шоссе, дом 37а, стр. 8, офис 12. Пн — пт с 10:00 до 19:00
Мы всегда на связи
Связаться с нами
Если у вас есть какие-то вопросы или вы планируете внедрить RPA напишите нам мы обязательно ответим
Ошибка отправки. Проверьте правильно ли вы заполнили поля.
Форма успешно отправлена. Скоро с вами свяжется наш специалист
Политика в отношении обработки персональных данных
1. Общие положения
Настоящая политика обработки персональных данных составлена в соответствии с требованиями Федерального закона от 27.07.2006. №152-ФЗ «О персональных данных» и определяет порядок обработки персональных данных и меры по обеспечению безопасности персональных данных, предпринимаемые ООО «Мэйшн» (далее – Оператор).
1.1. Оператор ставит своей важнейшей целью и условием осуществления своей деятельности соблюдение прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.
1.2. Настоящая политика Оператора в отношении обработки персональных данных (далее – Политика) применяется ко всей информации, которую Оператор может получить о посетителях веб-сайта https://mation.ru.
2. Основные понятия, используемые в Политике
2.1. Автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники;
2.2. Блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);
2.3. Веб-сайт – совокупность графических и информационных материалов, а также программ для ЭВМ и баз данных, обеспечивающих их доступность в сети интернет по сетевому адресу https://mation.ru;
2.4. Информационная система персональных данных — совокупность содержащихся в базах данных персональных данных, и обеспечивающих их обработку информационных технологий и технических средств;
2.5. Обезличивание персональных данных — действия, в результате которых невозможно определить без использования дополнительной информации принадлежность персональных данных конкретному Пользователю или иному субъекту персональных данных;
2. Основные понятия, используемые в Политике
2.1. Автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники;
2.2. Блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);
2.3. Веб-сайт – совокупность графических и информационных материалов, а также программ для ЭВМ и баз данных, обеспечивающих их доступность в сети интернет по сетевому адресу https://mation.ru;
2.4. Информационная система персональных данных — совокупность содержащихся в базах данных персональных данных, и обеспечивающих их обработку информационных технологий и технических средств;
2.5. Обезличивание персональных данных — действия, в результате которых невозможно определить без использования дополнительной информации принадлежность персональных данных конкретному Пользователю или иному субъекту персональных данных;
Согласие на обработку персональных данных
Настоящим подтверждаю, что я согласен(а) и ознакомлен(а) с условиями Политики в отношении обработки персональных данных в ООО “Мэйшн”. Настоящим я даю разрешение ООО “Мэйшн” (далее — Общество) в целях обработки запросов и заявок на сайте https://mation.ru/ (далее — Сайт) предоставления обратной связи потенциальным клиентам и в иных целях, предусмотренных Политикой в отношении обработки персональных данных, обрабатывать — собирать, записывать, систематизировать, накапливать, хранить, уточнять (обновлять, изменять), извлекать, использовать, передавать (в том числе поручать обработку третьим лицам), обезличивать, блокировать, удалять, уничтожать — мои персональные данные: фамилию, имя отчество; электронный адрес; номера телефонов; год, месяц, дата и место рождения; пол; географическое местоположение; название компании и численность сотрудников компании, а также иную информацию, предоставленную в Общество или ставшую известной Обществу как от меня, так и любых третьих лиц.
Также я разрешаю ООО “Мэйшн” в целях распространения информационных сообщений осуществлять обработку вышеперечисленных персональных данных и направлять на указанную мною электронную почту и/или на номер мобильного телефона, а также с помощью системы мгновенного обмена сообщениями (социальные сети, электронная почта, иные интернет-ресурсы) сообщения информационного и рекламного характера. Согласие может быть отозвано мною в любой момент путем направления письменного уведомления по адресу ООО “Мэйшн” или путем направления электронного письма по адресу, указанному в Политике в отношении обработки персональных данных.
Я подтверждаю, что, предоставляя настоящее согласие, я действую исключительно своей волей и в своих интересах.
Источник: mation.ru
Как построить систему внутреннего контроля
Пока гром не грянет, мужик не перекрестится, — эта пословица прекрасно описывает российскую специфику управления операционными рисками. К сожалению наши компании нередко отличаются слабым уровнем работы с операционными рисками и полным отсутствием системы внутреннего контроля. Исправить данный недостаток можно построив систему внутреннего контроля, применяя методологию американского законодательства SOX (Sarbanes-Oxley Act) к существующим бизнес-процессам компании.
Что такое операционный риск
Операционный риск, можно определить, как риск прямых или косвенных убытков в результате неверного исполнения бизнес-процессов, неэффективности процедур внутреннего контроля, технологических сбоев, мошенничества, несанкционированных действий персонала или внешнего воздействия.
Ключевой идеей системы управления операционными рисками является определение наиболее вероятных и серьёзных в части ущерба рисков, с последующим изменением существующих бизнес-процессов с целью недопущения реализации данных рисков или минимизации последствий в случае, если риск всё-таки реализовался.
По статистике среднестатистическая компания теряет 5% прибыли только из-за мошенничества, тогда как потери из-за других видов операционных рисков в разы больше. Смысл системы управления операционными рисками хорошо иллюстрирует следующее определение — управление операционными рисками – это возможность не терять значительные деньги по незначительным поводам.
Многие операционные риски отличает от финансовых и кредитных рисков тот факт, что их источник лежит внутри самой организации, и значит вероятности реализации операционных рисков могут быть снижены за счет устранения причин, их порождающих. Операционные риски в основном являются неоправданными потерями, и в случае их обнаружения и устранения компания получает ощутимую выгоду с точки зрения повышения качества внутренних бизнес-процессов и снижения неоправданных потерь.
Формализация операционных рисков
Формализация операционных рисков необходима для превентивного определения тех точек в бизнес-процессах, где с высокой вероятностью может произойти нештатное событие. Однако на практике, некоторые российские компании даже в случае многократной реализации операционного риска так и не предпринимают никаких мер, для исключения его в будущем.
Тут можно привести известный афоризм, что грабли бывают двух видов, первые чему-то учат и вторые – мои любимые. Именно поэтому в рамках управления операционными рисками помимо формализации операционных рисков в специальном реестре или даже в специализированной информационной системе, рекомендуется создавать базу убытков, в которую заносить случаи реализации рисков в компании, а также понесенный ущерб для того, чтобы специальными мероприятиями снизить вероятность их реализации в будущем.
Первым шагом является создание реестра операционных рисков, который будет наполняться экспертами из подразделений или внутренними аудиторами, а после того, как ключевые риски будут собраны, можно начать накапливать статистику по случаям их реализации, чтобы определиться с первоочередными мероприятиями по их предотвращению.
Сложным вопросом в части выявления операционных рисков является доказательство полноты выявленных рисков, и тут наиболее просто использовать отраслевые реестры рисков, которые, как правило, собираются аудиторами. Использование отраслевых реестров операционных рисков позволяет выполнить формализацию операционных рисков в бизнес-процессах на порядок быстрее, чем использование экспертных методов сбора операционных рисков от своих сотрудников и руководителей.
Оценка операционных рисков
Учитывая, что количество операционных рисков для крупной компании может смело перевалить за тысячу, то нужен простой способ их оценки и ранжирования для определения наиболее критичных рисков с которыми придется бороться в первую очередь.
Управление всеми найденными операционными рисками экономически невыгодно для компании, поскольку для рисков с небольшим ущербом и низкой вероятностью реализации проще смириться с убытками, чем проектировать и внедрять мероприятия по их предотвращению. Именно поэтому ключевой задачей оценки операционных рисков является «отсечение» тех рисков, которые с высокой степенью вероятности не оправдают дальнейших затрат на их предотвращение.
Существует множество подходов к оценке рисков, однако самым простым является экспертное ранжирование рисков по двум критериям: вероятность реализации риска и объем ущерба от случая реализации. Данная оценка производится на основании мнений экспертов, которые анализируют вероятность и ущерб для всех операционных рисков актуальных для компании.
После того как оценка проведена, можно использовать четыре стратегии управления операционными рисками. Первая, самая применяемая в России, называется «принимать» — риски принимаются к сведению, но действия по их минимизации не планируются. Вторая стратегия «страховать», особенно часто эту стратегию используют для маловероятных рисков с серьёзным ущербом. Третья стратегия называется «избегать», когда компания начинает отказаться от рискованных бизнес-процессов, либо сосредоточивает максимальные усилия на оптимизации данных процессов в части снижения и ущерба, и вероятности. Четвертая стратегия называется «предотвращать», и требует построения контрольных процедур для минимизации высоковероятных рисков со средним или малым ущербом.
Построение системы внутреннего контроля
Для недопущения реализации рисков или минимизации последствий используется система внутреннего контроля, в рамках которой не только определяется ответственный за операционный риск, но и создается контрольная процедура, которая внедряется в существующий бизнес-процесс.
Контрольная процедура — это действие, которое помогает удостовериться, что все необходимые меры в отношении предотвращения случаев реализации операционных рисков предприняты. При этом для проверки работоспособности контрольной процедуры, должно быть также создано свидетельство контроля — документальное подтверждение факта ее исполнения.
Наиболее результативными считаются превентивные контрольные процедуры, которые позволяют минимизировать саму вероятность наступления рискового события, однако для повышения надежности бизнес-процесса их часто применяют одновременно с детективными процедурами. Например, наряду с процедурой изъятия карточки-пропуска при увольнении сотрудника должна существовать контрольная процедура сверки списка сотрудников, которым закрыт доступ по их карточкам-пропускам со списком уволенных за определенный период.
Для создания контрольной процедуры в бизнес-процессе, нужно ответить на следующие вопросы:
- Когда и как часто выполняются процедуры контроля?
- Кто выполняет контрольную процедуру?
- Что необходимо выполнить в процедуре контроля?
- Как понять, что процедура контроля выполнена правильно?
- Как процедура контроля документирована?
- Какие свидетельства выполнения процедуры контроля существуют?
- Где расположены контрольные точки в бизнес-процессах?
При проектировании контрольной процедуры в обязательном порядке необходимо предусмотреть необходимость создания свидетельств контроля, подтверждающих факт правильного выполнения контрольной процедуры. На практике свидетельством контроля может являться акт сверки, Log-файл информационной системы – все то, что подтвердит факт успешного выполнения контрольной процедуры сотрудником или информационной системой.
При этом нужно учитывать, что ручной контроль требует серьёзных трудозатрат, и поэтому автоматизация контрольных процедур является ключевым направлением развития системы внутреннего контроля в последнее время. Чем больше в компании автоматизированных контрольных процедур, результаты выполнения которых видны в Log-файлах информационных систем, тем эффективнее, и главное дешевле, система внутреннего контроля.
Тестирование эффективности системы внутреннего контроля
Чтобы быть уверенным в том, что система внутреннего контроля эффективна, необходимо с определенной периодичностью проверять, как на практике выполняются контрольные процедуры. Данная проверка осуществляется с помощью специализированных тестов, которые состоят из следующих шагов: сначала устанавливается наличие регламента, где определяется порядок и правила выполнения данного бизнес-процесса и соответствующих контрольных процедур, далее проверяется выполнение на практике требований, описанных в документе, и документируются конкретные примеры выполнения, а уже по результатам проведенного теста принимается решение об эффективности или неэффективности анализируемых контрольных процедур.
Дополнительной сложностью в тестировании является требование, чтобы тестирование выполнялось сотрудниками, не участвующими в проверяемых бизнес-процессах. Тысяча тестов, которые необходимо выполнить в течение месяца, — это нормальная ситуация для системы внутреннего контроля крупной компании, при этом количество проводимых тестов зависит от количества экземпляров бизнес-процессов, проходящих через проверяемую контрольную процедуру, таким образом периодичность проведения тестирования устанавливается в зависимости от критичности операционных рисков и частоты исполнения бизнес-процесса и может варьироваться.
В существующих условиях количество трансакций в деятельности крупной компании достигает сотен тысяч в день, а число операционных рисков превышает несколько сотен, при этом достаточно сложно отследить эффективность выполнения контрольных процедур «на ручном уровне», поэтому единственным эффективным путем является максимальная автоматизация как контрольных процедур, так и проверочных тестов.
Почему нужно равняться на методологию SOX?
Анализируя разные подходы к построению систем внутреннего контроля, стало понятно, что максимально жесткой и проработанной в части внедрения является именно методология закона SOX, которая предназначена для минимизации нарушений, связанных с финансовой отчётностью. Только в системе внутреннего контроля, построенной по требованиям SOX, можно обнаружить не только контрольные процедуры и свидетельства контроля, но и специализированные тесты, с помощью которых в регулярном режиме проверяют эффективность работы контрольных процедур.
При этом, вся система помимо внутренних тестов, дополнительно проверяется внешним аудитором, который выборочно проверяет не только проведенную оценку операционных рисков, но и правильность работы контрольных процедур, существование свидетельств контроля, а также регулярность проводимого внутреннего тестирования системы.
И хотя внедрение такого объёма контрольных процедур и тестов часто слишком дорого для большинства бизнес-процессов компании, в тех процессах, над которыми нужно установить максимальный контроль можно использовать методологию SOX в полном объеме.
А. Коптелов, опубликовано на E-xecutive
Источник: koptelov.info