Система контроля и её аудит в организации Курныкина Ольга

8. Организация системного управленческого контроля и его взаимодействие с аудитом

С одной стороны, контроль неотъемлемая часть управленческой деятельности, без которой целостность управления нарушается и теряет смысл, а с другой стороны, контроль это самостоятельная системная деятельность, имеющая свои цели, функции и особенности функционирования. Важно так же отметить, что контроли всех видов и аудит, в том числе, организуются менеджментом, поэтому меры регулирующего воздействия по выявленным недостаткам определяются и осуществляются в системе управления, но их проведение контролируется и оценивается внутренним аудитом. Однако в отличие от управленческого контроля внутренний аудит главным образом осуществляет оценку соответствия различных видов контрольной деятельности и контроль системы менеджмента в части качества выполнения контрольных функций, выработки целей и решений, вместе с тем возможны мероприятия по диагностическому аудиту в рамках локальных задач управления технически дополняющих управленческий контроль. Некоторые решения, принимаемые менеджментом в интересах бизнеса, могут противоречить политике и процедурам, принятым в организации, это должно оперативно выявляться в процессе оценки управленческого контроля.

Контроль, осуществляемый менеджментом как постоянная функциональная интегрированная с другими функциями деятельность, определенный нами как управленческий контроль и оценивающий контроль, определяемый как внутренний аудит, имеют тесную связь, но функционировать они должны независимо.

Поэтому структура служб и специалистов внутреннего аудита должна являться неотъемлемой частью структуры управления, но главная особенность в том, что структура контрольных служб функционирует автономно и формируется для проведения оценивающего контроля включающего мониторинг и аудит всех видов контрольной деятельности в организации, в том числе управленческого, технологического и агентского контролей. Из этого следует, что управленческий контроль не должен подменяться аудитом, предназначение которого оценивать полноту и действенность всех выделенных в системе видов контроля.

В основу разграничения управленческого контроля и внутреннего аудита следует взять четкое определение сфер их деятельности и предметов контроля.

Управленческий контроль направлен на формирование контрольной информации для скоординированной деятельности всех звеньев организационной структуры и бизнес-процессов в достижении целей при оптимальных рисках, при этом он рассредоточен по уровням и звеньям.

В процессе внутреннего аудита выявляется адекватность структуры характеру целей, задач и рисков, эффективность распределения полномочий, ответственности, системы заместительства, действующей процедуры принятия решений, форм обмена информацией и отчетности на основании стандартов и эталонов, установленных субъектами управления, при этом необходима автономность, концентрированность и независимость аудита.

Взаимосвязь управленческого контроля и оперативного контроля технологических процессов обусловлена тем, что обеспеченное контролем качество выполнения функций и решений. В отношении объекта процесс управления схематично представляется как: «планирование – учет – контроль – анализ – принятие решений», при этом каждая функция, включая контроль, должна контролироваться на предмет качественности и полноты ее исполнения и эффективности и результативности всего процесса. Так как качество исполнения функций в процессе управления определяет в конечном итоге качество бизнес-процесса, в чем и проявляется взаимосвязь управленческого и технологического контролей. Однако для устранения дублирования необходимо определить их разграничение. Функция управления объединяет в одно целое запланированный результат, практическую деятельность по выполнению намеченных задач и полученный результат.

Отличие управленческого контроля в том, что менеджер контролирует только функциональный процесс в целом и получает информацию о конечном результате, а составляющие его элементы и объекты в рамках специфических детализированных задач соответствия и сохранности в процессе обеспечиваются технологическим контролем.

Сфера управленческого контроля включает:

1) определение объектов контрольной деятельности в управлении и формирование системы контроля с выделение оценивающего контроля как независимый элемент

2) разработку стандартов и оценочных показателей для сравнения получаемых результатов при контроле решений (адекватность установленных стандартов роли объекта в достижении цели)

3) определение качественных характеристик выполнения функций управления

4) оценка экономической целесообразности и эффективности совершаемых организацией операций

5) автоматизм на основе разработки сигнальных отклонений – показателей допустимых отклонений при проведении сравнений стандарт (эталон) и фактические показатели

6) разработку способов получения информации и выбор методов и инструментов контроля, адекватных объекту и рискам

7) определение путей и способов своевременного доведения контрольной информации до субъектов управления.

Принципы управленческого контроля в структуре управления и проведения контроля менеджерами подразделений и служащими должны определяться исходя из целей и задач управления деятельностью организации и соответствующих им целей контроля. Для этого очевидно необходимо определить и установить нормативно специфику полномочий, распределение ответственности, согласований и делегирования прав, подотчетности, информационного обмена и взаимодействия различных звеньев в структуре управления.

Кроме того, учитывая риски, возникающие в процессе управления, представляется необходимым оценивать границу ответственности, т. е. объем прав и полномочий для каждого звена по управлению рисками.

Система контрольных показателей, соответствующих целям и задачам, должна обеспечивать информацию для принятия своевременных и оптимальных решений в управлении и согласованность действий различных уровней и звеньев при осуществлении бизнес-процессов и достижении целей деятельности.

В основе управленческого контроля должен быть положен выбор и установление значимых показателей, характеризующих результаты деятельности (состояние объекта) и степень достижения цели и основных задач, на осуществление которых направлена деятельность контролируемого объекта. Очевидно, что для менеджера каждого уровня управления специфика и конкретизация набора показателей, а также детализация контрольной информации определяются делегированными ему полномочиями и степенью ответственности в рамках организационной структуры.

Это дает возможность установить методы и средства проверки работы подразделения, соблюдения лимитов на риски для оперативного устранения выявляемых нарушений или блокировки нежелательных действий.

При этом любой характеризующий деятельность показатель, если он четко сформулирован и конкретизирован, может стать эталоном для контроля. Кроме того, для управленческого контроля, проводимого менеджером конкретного звена должны быть четко определены не только объем полномочий и ответственности, но критерии и характеристики того, в чем именно заключается его ответственность в управлении указанным звеном в пределах выделенных полномочий.

С позиции организации контроля можно выделить в качестве существенного фактора то, что любая структура характеризуется сочетанием вертикальных уровней властной подчиненности, горизонтальных звеньев различной функциональной направленности и выделении бизнес-процессов. В схематичном подходе, можно рассматривать:

вертикальное управление – управление субъектами более низкого уровня и с учетом контроля множества зависимых и независимых объектов, находящихся на различных уровнях;

горизонтальное управление – управление объектом и/или проектом. Управленческий контроль должен осуществляться по уровням вертикальной подчиненности и обеспечивать формирование контрольной информации для скоординированной деятельности всех звеньев организационной структуры и бизнес-процессов горизонтального уровня. Требования к контрольной информации при этом различны, степень ее обобщенности и конкретизации зависят от уровня целевых задач и роли (т. е. возможности оказывать воздействие и принимать решения) субъектов и управляемых ими объектов в ее достижении.

Для характеристики существенных свойств управленческого контроля по уровням вертикальной составляющей структуры выделено 5 основных качеств, определяющих направления его оптимизации.

1) Предмет контроля – наличие сформулированных целей и конкретизированных задач, а также показателей характеризующих выполнение решений и представление на регулярной основе отчетности.

Управленческий контроль на вертикальном уровне определяется необходимостью контролировать качество функций управления (планировании, организация, мотивирование, учет, контроль, анализ) на нижестоящих уровнях в иерархии управления, степень выполнения решений, обеспечивать выполнения согласованность звеньев одного уровня и соблюдение норм законодательства. Задача контроля на вертикальном уровне выявить целесообразность и обоснованность порядка взаимодействия уровней с учетом подчиненности, включая делегирование прав, степень и конкретность ответственности, оптимальность периодичности и информативность отчетности, качество выполнения решений, соблюдение законодательства, стандартов и профессиональной этики.

Поэтому каждый уровень должен иметь определения не только роли в достижении целей, но и индивидуальные не дублируемые с другими звеньями задачи и ограничения определенности полномочий и ответственности.

Управленческий контроль на вертикальном уровне определяется необходимостью контролировать качество функций управления (планировании, организация, мотивирование, учет, контроль, анализ) на нижестоящих уровнях в иерархии управления, степень выполнения решений, обеспечивать выполнения согласованность звеньев одного уровня и соблюдение норм законодательства.

Управленческий контроль должен осуществляться по линии административного и финансового контроля. Административный и финансовый контроль осуществляется в предварительном, текущем и последующем порядке. Административный контроль заключается в обеспечении проведения операций только уполномоченными на то лицами и в строгом соответствии с определенными организацией полномочиями и процедурами принятия решений по проведению операций, а финансовый – в обеспечении проведения операций в строгом соответствии с принятой и закрепленной документально политикой организации и их адекватного отражения в учете и отчетности.

2) Сложная структура исполнительных органов по уровням

Контроль строится исходя из принципа открытости организационных структур и подразделений для контрольных процедур, постоянства контроля за рисками, разделения обязанностей персонала таким образом, чтобы ни одно должностное лицо не отвечало за выполнение операции во всех аспектах, в том числе документирование и учет, обязательности проверки каждого должностного лица другим лицом без дублирования ранее произведенных процедур. Обеспечение соблюдения установленных процедур и полномочий при принятии решений, выполнении требований, выполнение требований по эффективному управлению рисками, соблюдению законодательства.

Эти установки контроля реализуются посредством предоставления отчетности и регламентирования деятельности в соответствии с правилами:

• установить четкие принципы делегирования прав и разделение полномочий и ответственности по уровням структуры на основе градации целей и задач соответствующего уровня

• определить и установить конкретные цели деятельности и периодичность отчетности по показателям, отражающим степень достижения целей

• на вертикальном уровне важно устанавливать персональную ответственность за принимаемые решения и контроль нижестоящего уровня

• менеджеры высшего звена должны контролировать, но не выполнять работу остальных менеджеров, отвечающих за отдельные бизнес-единицы и бизнес-направления

• утверждать структуры управления, состав подразделений, выделение бизнес-процессов и проектов

• утверждать регламенты взаимодействия между структурными подразделениями

• менеджеры высшего звена обязаны принимать ключевые решения только в соответствии с политикой и стратегией банка на основе принципа «четырех глаз», т. е. не единолично

• определять и устанавливать показатели для конкретного звена на каждом уровне организационной структуры на основе градации целей и постановки задач для каждого уровня с учетом разделения и ограничения полномочий при обязательной ответственности в пределах делегированных прав

• определять и конкретизировать способы измерения показателей и уровень допустимых отклонений по каждому показателю

• показатели контрольной информации по вертикали должны отражать информацию:

• о ликвидности, рентабельность, безопасность организации

• перспективах развития бизнеса

• рациональности системы подотчетности

3) Органы управления, имеют принципиально различный статус[11] и соответственно интересы: собственники, исполнительный менеджмент высшего и среднего уровня

Сложность в организации управленческого контроля обусловлена неопределенностью в отношении подотчетности субъектов, так как узкий круг высших менеджеров часто одновременно являются и собственниками, что определяет запутанный характер механизмы принятия решений и управленческого контроля за их выполнением.

В организации должны быть утверждены и периодически пересматриваться владельцами (советом директоров) документы, определяющие стратегию и политику внутреннего контроля: устанавливаться основные виды деятельности организации; идентифицироваться основные неотъемлемые риски, связанные с основными видами деятельности; определяться основные методы контроля и структура контроля, не позволяющие превысить установленные уровни риска.

Для преодоления указанных противоречий следует установить правила:

• четко разграничить функции контроля между собственниками и менеджерами, на основе адекватности управленческих функций, разграничения прав и ответственности

• разграничить сферу в проведении контрольных процессов различными субъектами управления различных уровней и службой аудита

• для владельцев и менеджмента установить такие правила разработки процедур, которые не позволят совершать хозяйственные операции без учета всех неотъемлемых рисков и встраивания в процессы адекватных рискам процессов контроля

При организации взаимодействия субъектов управления по уровням вертикали организационной структуры необходимо для каждого уровня определить методологические подходы осуществления контроля.

• на уровне органов управления и учредителей основные направления контроля:

• проверка наличия стратегии развития организации и плана обеспечения ее реализации

• установление величин показателей, характеризующих адекватность вознаграждения и затрат на обеспечение деятельности топ-менеджеров результатам финансово-хозяйственной деятельности

• проверка степени реализации стратегических целей,

• определение полномочий единоличного исполнительного органа

• утверждение статуса, целей, задач и направлений деятельности службы оценивающего контроля.

4) Уровни организационной структуры отражают различные иногда противоречивые интересы субъектов управления, при этом контроль должен обеспечить гармонизацию.

Это возможно только при условии формирования показателей оценки деятельности подконтрольного уровня или звена на основе правил:

• четкой определенности для каждого подразделения на всех уровнях отчетности, характеризующейся набором показателей, отражающих полноту выполнение управленческих решении, и периодичность отчетности по ним обеспечивающей возможность своевременно предпринять корректирующие действия

• использование в оценке деятельности для каждого подразделения на всех уровнях четких критериев, основанных на количественной оценке степени достижения целей и задач

• выделение направлений информации по направлениям деятельности и формирование на этой основе совокупности показателей для обеспечения конкретных бизнес процессов и представление ее функциональным подразделениям в конкретной форме с установленной периодичностью

5) На вертикальном уровне обеспечивается разработка направлений стратегического развития и планирования.

Управленческий контроль должен обеспечивать соответствие в текущей деятельности в рамках установленных планов и показателей достижения целей и решений и направлен на стратегическое развитие.

На вертикальном уровне следует определить степень агрегированности (укрупнения) контрольной информации при переходе от уровня к уровню.

Менеджмент организации на основе внутренних и внешних факторов, которые могут неблагоприятно повлиять на достижение организацией поставленных целей, должен утвердить организационную структуру и провести распределение полномочий структуры внутреннего контроля.

Характеризуя существенные свойств управленческого контроля по горизонтальному уровню структуры, следует выделить предмет контроля и основные качества.

Горизонтальный уровень управления обеспечивает упорядоченность управления процессом в целом, проектом или иным мероприятием. Он включает контроль управления бизнес-процессами по созданию и предоставлению конкретных стандартизированных банковских продуктов и услуг по направлениям деятельности или контроль функций и решений управления проектом.

На горизонтальном уровне управленческого контроля должна обеспечиваться:

• разработка бизнес-процессов в соответствии стратегией развития

• методическое обеспечение и разработка технологии создания продуктов или предоставления услуг и информации о функционировании бизнес-процессов

• направленность и координация деятельности вертикальных уровней и горизонтальных звеньев для осуществления конкретных бизнес-процессов через систему формируемой информации по определенным показателям

• стандартизация продуктов и услуг, предоставляемых организацией Горизонтальную образующую представляют инструкции, тарифы, технические порядки и операционные процедуры, определяющие технологическую последовательность совершаемых хозяйственных операций и сделок, лимиты установленных нормативных показателей, зоны ответственности и контрольные операции по минимизации операционных рисков.

Для обеспечения процесса управленческого контроля технологией бизнес-процесса следует провести ряд обеспечивающих контроль методических мероприятий:

1) определить полный состав участников операции (мероприятия) в лице конкретных инстанций (подразделений, органов коллегиального управления) и рабочих мест. В соответствующем регламенте должны быть четко определены функции каждого из них (управленческие, экспертные, исполнительские), границы компетенции, порядок взаимодействия, включая решение потенциально конфликтных вопросов, распределение ответственности, возможные санкции

2) разработать последовательность и непосредственное содержание действий в рамках каждого технологического этапа, его результатов, критерии и порядок контроля их качества. Определяется также порядок действий в случае выявления ненадлежащего качества конечного результата, особенно при предъявлении к нему претензий со стороны клиента. Здесь же определяется необходимость привлечения независимых экспертов

3) описать технологической последовательности выполнения операций (мероприятий) с указанием промежуточных и конечного сроков их окончания. При участии в операции нескольких подразделений или инстанций специально выделяются сроки передачи ими друг другу соответствующей информации, иных ресурсов, законченных результатов. В обязательном порядке устанавливается порядок мониторинга соблюдения директивных сроков со стороны инстанции, отвечающей за операцию в целом

4) при разработке технологического процесса осуществления операций необходимо выделить точки контроля, характерные для этого процесса и составляющих его элементов и объектов. К каждой точке контроля подбираются соответствующие процедуры и методы контроля (так называемые контроли), которые должны входить в технологический процесс и выполняться в автоматическом режиме. За организацию, т. е. выбор, регламентацию и регулирование процесса, соблюдение режима контроля в нем в целом отвечает соответствующий линейно функциональный менеджер, который или сам осуществляет полностью контрольные функции или делегирует часть из них специалистам контролерам, при условии получения от них необходимой контрольной информации для достижения целей управления. Функционирование контрольных процессов соответствующих каждой операции или точке контроля является технологическим контролем, обеспечиваемым исполнителями и в автоматизированном режиме

5) каждый отдельный относительно обособленный технологически и структурно (т. е. имеющий линейно функционального менеджера) объект, имеющий точки контроля и адекватные им контроли условно можно назвать «центром контроля и ответственности».

Выделение центров контроля и ответственности условно и необходимо для того, чтобы обосновать управленческий контроль, осуществляемый над уровнями (звеньями) управления, т. е. вышестоящего менеджера над нижестоящим линейно функциональным менеджментом. Принципиальное отличие контроля в «центрах контроля и ответственности» и в уровнях структуры в том, что менеджер центра контролирует только функциональный процесс, обеспечивая соответствие составляющих его элементов и объектов в рамках специфических детализированных целей (задач) управления. Контроль по вертикальным звеньям предполагает контролирование над менеджментом центров их деятельностью и качеством разработки технологий, что определяет расширение задач контроля, но более высокий, обобщающий их уровень. Контроль над уровнями предполагает формирование информации подтверждающей эффективность управления персоналом, технологическими процессами, сохранность и эффективность использования активов.

Определив основные подходы управленческого контроля на вертикальном и горизонтальном уровне организационной структуры можно выделить основы направления для их взаимодействия и координации.

Главная роль в объединении и обеспечении гармоничного субъектно-объекного взаимодействия и функционирования принадлежит принципу обратной связи, обеспечиваемому управленческим контролем.

Одно из требований построения организационной структуры организации в том, что она должна поддерживаться адекватным потоком информации управленческого контроля – вверх, вниз и по горизонтали. При этом в общем виде специфика информация, поступающей снизу вверх, должна обеспечивать высший уровень менеджмента необходимыми сведениями о принятых в ходе деятельности рисках и о текущем состоянии банка, определяющем основные цели его деятельности. Информация, которая направляется вниз, должна обеспечивать доведение эталонов контроля, отражающих цели организации, её стратегию, установленные порядки и процедуры до руководства среднего и низшего уровней и рядовых сотрудников.

Такая структура передачи информации необходима для того, чтобы достичь согласованной работы всех сотрудников по выполнению целей и задач. Передача информации по горизонтали необходима, чтобы информация, которой владеет одно подразделение организации, была доступна другим его заинтересованным подразделениям.

В целом это означает, что контрольные функции должны быть четко определены по вертикали и по горизонтали организационной структуры организации, образуя тем самым сплошную сеть контрольных процессов, при этом для исключения дублирования и согласованности действий необходима их координация и направленность на объект контроля, сущность которого определяется эталонами, установленными для каждого конкретного уровня и звена.

Процессный подход в управленческом контроле может достигаться путем формирования выходящей информации для определенного звена и использование ее как входящую информацию для другого звена. Организационная структура, ориентированная на бизнес-процессы должна формироваться с учетом возможности и обязательности формирования контрольной информации поступающей от взаимосвязанных уровней и звеньев для ее переработки, использования и поставки в другие последовательно связанные с ним звенья. Для функционирования любой организационной структуры необходимо взаимодействие звеньев и подразделений всех уровней на основе поставки контрольной информации обеспечивающей обратную связь функциональных звеньев и позволяющей обеспечивать предсказуемость ситуаций и управление для достижения целей деятельности.

Контрольные функции, реализуемые высшими менеджерами, обеспечивают, как правило, решение комплексных задач контроля, которые формулируются в самом общем виде и представляют собой не что иное, как более или менее конкретизированное выражение целей контроля, достигаемых в результате решения определенной совокупности взаимосвязанных задач контроля. Поэтому решение всей совокупности задач контроля, учитывающих организационные, информационные, технические, методические и другие возможности его осуществления, обеспечивает последовательное и поступательное движение к целям контроля.

При формировании контрольной информации следует соблюдать правило, согласно которого контрольной информация является только в случае возможности ее сопоставления, т. е. либо сравнивается информация план-факт, либо информация из различных источников.

Контрольным фактором, определяющим саморегулирование системы управления, является заранее определенная и обоснованная допустимая величина отклонения, при которой риск возникновения нежелательного события является оптимально сбалансированным с ожидаемой прибылью.

В качестве неблагоприятного события в практике организаций могут рассматриваться всевозможные явления, которые препятствуют осуществлению главных целей: крупные убытки, связанные с коммерческой деятельностью; подрыв репутации; потеря клиентов, осуществление сделок в ущерб организации; нарушение норм законодательства и др.

Необходимо отметить, что накопление неблагоприятных событий, незначительных по отдельности, может вызвать определенный переход количества в качество, при котором совокупность накопленных недостатков приведет к тяжелым проблемам. Наиболее разумно выявить эти неблагоприятные события заранее путем осуществления контроля и минимизировать их, нежели потом устранять последствия возникших проблем либо кризисных явлений. Выявление неблагоприятных событий должно быть основано на формировании контрольных показателей допустимых величин отклонений состояния объекта – являющихся сигнальными факторами для применения регулирующего воздействия.

Допустимыми отклонениями можно считать величину отклонения, при которой не утрачивается способность объекта к выполнению целевых задач, в противном случае возникает необходимость инициировать процесс управления и контроля, предполагающий изменение целевых задач и выбора новых объектов и т. д. Определить риск и его воздействие, приводящее к возникновению отклонения в характеристиках и величинах описывающих состояние объекта или процесса, от установленных для него эталонных или стандартных показателей.

В управленческом контроле необходимо на этапе определения стандартов определять не только желаемые состояния и характеристики и показатели, а и допустимые отклонения от них, при этом показатели допустимости определяют риск ориентированность. Контрольная информация должна формироваться с учетом принципов исключения и нейтральности. Принцип исключения в менеджменте – концепция, согласно которой только значительные отклонения от стандартов и правил должны побуждать срабатывать системы контроля и управления. Принцип нейтральности – исключает одностороннее удовлетворение интересов определенных групп.

Для получения контрольной информации, т. е. информации об отклонениях могут использоваться не только предопределенные заранее величины (планы, нормы, стандарты) или характеристики из регламентов деятельности, но и возможность формирования информации для сравнения из различных независимых источников.

При организации управленческого контроля следует основываться на принципы:

1. Непрерывности и всеобъемлемости процессов управленческого контроля

2. Интеграции управленческого контроля всеми функциями управления

3. Приоритетности и организующей основы для всех видов контрольной деятельности

4. Сбалансированности состоящий в том. что субъекту вменяются выполнение контрольные функции, обеспеченные соответствующими организационными и техническими средствами для их исполнения

5. Соответствия делегирования прав и разделение полномочий и ответственности по уровням структуры адекватно целей и задач соответствующего уровня

6. Соответствие принимаемых решений стратегии и политике организации

7. Дифференциация подходов и критериев при организации контроля в зависимости от уровня вертикали и специфики функций звена горизонтального уровня.

8. Отчетности по показателям, отражающим степень достижения целей и ответственности за принимаемые решения и контроль нижестоящего уровня

9. Подконтрольности состоящий в том, что должно обеспечиваться формальное разрешение всех финансово-хозяйственных операций руководителями разных уровней в рамках их документально подтвержденных полномочий

10. Полнота прохождения информации между уровнями

11. Процессного подхода интегрирующего контрольную информацию по уровням и звеньям на основе агрегирования, синергетики и транзитивности

9. Технологический контроль. Формирование процессов контроля и встраивание их в бизнес процессы

Любая деятельность начинается с постановки целей и определения стратегии их достижения, реализуемой совокупностью деловых процессов. При этом деятельность внутри организации происходит в рамках двух систем, операционной, предполагающей организацию бизнес-процессов, для достижения заданных целей и системы контроля, пронизывающей операционную систему и направленную на создание необходимых предпосылок и повышение вероятности того, что поставленные цели будут достигнуты при оптимальных рисках и затратах.

Системность, как целостность различных направлений и подходов в контроле, имеет большое значение при его организации, при этом под системностью, по мнению автора, следует рассматривать структурную целостность контроля в организации, включающую взаимодействие и взаимодополнение всех видов контрольной деятельности.

Наряду со структурной целостностью контроль должен проводиться как целенаправленный процесс, состоящий из серии непрерывных взаимосвязанных действий по получению объективных данных об экономических действиях и событиях, для определения уровня их соответствия определенному критерию или стандарту. Процессный подход позволяет структурировать все совершаемые в системе контроля действия в их логической последовательности, начиная от момента установления целей и задач функционирования и развития, относительно которых будет оцениваться деятельность организации и составляющих ее бизнес-процессов и, заканчивая подготовкой материалов, позволяющих оценить фактическую деятельность и определить пути и резервы для дальнейшего развития. Таким образом, процессный подход отражает проведение контрольного процесса как многократное воспроизведение процесса контроля, цикла состоящего из ряда последовательных этапов.

Обусловленность структуры операционной системы совокупностью бизнес-процессов и необходимостью контроля над ними, предполагает определение сущности бизнес-процесса и обоснование принципов его контроля. При этом интеграция контрольного процесса и бизнес процесса должна опираться на четкие принципы их взаимодействия, вытекающие из целевых установок контрольной деятельности, определенных целями бизнес-процессов банковской деятельности и экономичностью контроля.

Определение бизнес процесса дано в стандарте ИСО 9001–2001 "Системы менеджмента качества «Требования и руководство по применению»[12] «бизнес процесс – это устойчивая, целенаправленная совокупность взаимосвязанных видов деятельности (последовательность работ), которая по определенной технологии преобразует некие входные ресурсы в выходные, представляющие ценность для потребителя».

Часто выходящие элементы одного процесса непосредственно образуют входящие элементы для следующего процесса. Для эффективного функционирования организации необходимо организовать управление над разнообразными, взаимосвязанными или взаимодействующими процессами при этом возникает потребность их идентификации и проведения адекватного контроля, сопровождающего элементы процессов. Систематическая идентификация процессов, имеющихся в организации, и взаимодействия между этими процессами, является «подходом, ориентированным на процесс». Подход, ориентированный на процесс в деятельности организации, предполагает систематическую идентификацию и контроль элементов образующих бизнес-процесс формирования банковских продуктов и услуг и взаимодействия между различными процессами.

Контроль, осуществляемый в ходе выполнения процесса создания услуг и продуктов, предшествующий и сопровождающий элементы бизнес-процесса и необходимый для их полноценного и эффективного функционирования при достижении целей следует классифицировать как технологический контроль.

Технологический контроль осуществляется оперативно, для предупреждения или выявления и блокировки возникающих рисков или несоответствий элементов бизнес-процесса установленным для них эталонам или индикаторам на основе контрольных методов и приемов, встроенных в бизнес-процесс и сопровождающих формирование продукта, услуги или операции. Процесс технологического контроля основывается на нормах, процедурах, приемах, разработанных для обеспечения разумной гарантии того, что бизнес-цели будут достигнуты, при соблюдении установленных требований качества банковских продуктов, а нежелательные события – предотвращены или обнаружены и исправлены. При этом процесс контроля должен сопровождать элементы и объекты технологических процессов в деятельности банка так, чтобы обеспечить достижение определенных задач при наименьших затратах и соблюдение установленных норм, нормативов и правил. Для этого контрольный процесс, должен включать различные приемы и методы контроля, адекватные целевым требованиям к контролируемому объекту, позволяющие оперативно формировать информацию о возникших отклонениях для регулирования или блокировки деятельности контролируемого объекта.

Важно отметить, что при технологическом контроле следует охватывать конкретный процесс формирования услуги или продукта, в создании которых участвуют несколько подразделений организации, а не отдельное подразделение. При этом необходимо обеспечить поэлементный или поэтапный контроль операции от начала до завершения с учетом возможных рисков возникающих при взаимодействии подразделений, нерегламентированности их взаимодействия и возможных конфликтах интересов. Например, в коммерческом банке кредитование валютных контрактов с аккредитивной формой расчетов, предполагает контроль соблюдения множества требований связанных с кредитованием, безналичными расчетами, валютным законодательством и доходностью проведения операций с учетом рисков.

Технологический контроль – это принципиально новый подход к организации контрольной деятельности основанный на интеграции технологий создания услуг и продуктов и технологии встроенного контрольного процесса. Такая интеграция должна обеспечивать создание условий, при которых достигается комплексный подход к формированию информации характеризуемой тем, что:

1) определяется информация о соответствии проводимых действий и получаемых результатах или осуществляется блокировка нежелательный действий в ходе выполнения элементов бизнес-процесса при достижении целевых установок и задач (состояние объектов и функционирование отдельных этапов)

2) формируется информация по выявлению степени реагирования на риски и соблюдения, установленных отклонений по рискам в целом для бизнес-процесса (оценка контроля в бизнес-процессе).

Основной проблемой организации контроля во многих организациях в настоящее время является невозможность основывать свою деятельность на тщательно разработанных и "технологичных" процедурах (составных частях процессов) в силу их не разработанности, а также отсутствие разработанных индикаторов и методов их оценки для системности контроля над рисками в ходе бизнес-процесса. Идентификация конкретных рисков и их измерения либо делается в очень ограниченном объеме и не являются предметом постоянного контроля.

Характеризуя современный подход к нормативным документам по внутреннему контролю в российском бизнесе, можно отметить, что количество, выражаемое в массе нормативных документов, еще не переросло в качество, выражаемое в четкой системе стандартов и процедур, содержащих контрольные приемы и методы, соответствующие потенциальным рискам возникновения неблагоприятного события. Это приводит к тому, что существующая практика контроля носит поверхностный и низкоэффективный характер, не выявляя системных проблем в деятельности организации, обнаруживая отдельные недостатки и ошибки. Только детально разработанные бизнес-процессы являются основой определяющей эффективный системный технологический контроль. Необходимо составить функциональное описание деятельности организации в целом, затем определить функциональные процессы, составляющие эту деятельность, а далее, следуя иерархическому принципу, определить базовые процедуры, составляющие процессы, и подмножества операций, из которых складываются эти процедуры. В рамках процессного подхода организации бизнеса и контроля основное внимание необходимо уделить требуемому качеству продукта или услуги, которое трактуется как совокупность свойств, обусловливающих способность удовлетворять определенные потребности клиента в соответствии с их назначением, и определяется исходя из потребностей клиента-потребителя результата процесса. В кредитных организациях можно провести аналогию данного положения с понятием "интересы кредиторов и вкладчиков", используемое в законодательных актах[13], регламентирующих банковскую деятельность.

Качество продуктов и услуг определяется качеством процессов, результатом которых они являются и проведением контроля.

Соответственно, полнота и точность описаний внутренних процессов, в том числе через официальное документирование являются принципиально важными факторами, которые прямо влияют на результаты деятельности организации. При этом важно разрабатывать не только основные бизнес-процессы, но вспомогательные и обеспечивающие, создающие необходимые условия для эффективной деятельности. Это актуально еще и в связи с тем, что в условиях всеобщей компьютеризации деятельности велика опасность образования разрывов в общих процессах управления и контроля в одной и той же организации, использующей разнообразные варианты обслуживания, в том числе дистанционные, каждому из которых сопутствуют те или иные специфические подмножества источников и факторов риска.

Формализация бизнес-процессов предполагает их описание, в котором следует определить:

1. совокупность функций выполняемых при создании товара или услуги

2. объект контроля и характеристику эталона его состояния, т. е. стандартизировать продукт, генерируемый организацией, так как услуги должны иметь минимально гарантированное качество, которое не может самостоятельно проверить непрофессиональный потребитель услуг

3. субъектов ответственных за выполнение каждой функции и их принадлежность структурным подразделениям

4. состав и характеристику входящей и исходящей информации для бизнес-функции

5. взаимосвязи при передаче информации

6. индикаторы, сигнализирующие о возникновении несогласованности функций

7. взаимосвязь с другими процессами.

Характерная особенность технологического контроля в смещении акцента с проверки отдельных направлений деятельности организации или структурных подразделений и отдельных операций на тестирование эффективности выполнения определенных операционных процессов в бизнес-процессе, включающих циклы типовых действий, приводящих к выполнению или невыполнению последовательности типовых операций

Разработка бизнес – процесса должна включать процессы контроля по объектам, характеризуемым критическими точками возможного возникновения несоответствия или индикаторами, и технологического контроля по этапам бизнес-процесса. Необходимо проанализировать все этапы бизнес-процесса для определения степени подверженности их риску неверного выполнения, а также необходимо оценить возможные последствия в случае возникновения такого риска. По итогам подобного анализа необходимо разработать такие функции контроля, которые позволили бы минимизировать подверженность рискам.

Каждое стандартизированное действие состоит из определённого количества неделимых этапов, выполняемых конкретными (ответственными) лицами, а каждый этап приводит к какому-то видимому результату, который, в свою очередь, поддаётся контролю. Исходя из того, что бизнес-процесс представляет собой набор этапов, суть и порядок выполнения которых всегда один и тот же, всю деятельность любой организации можно представить в виде бизнес-процессов. При этом организация бизнес-процесса, предполагает обязательный технологический контроль, сопровождающий этапы этого процесса.

Специфика организации технологического контроля состоит в том, что основную тяжесть проведения контрольных мероприятий следует включить в технологии производственной деятельности и создать условия для проведения самоконтроля (в том числе на основе механизма контроллинга). При этом контрольные процедуры, выполняемые на уровне бизнес-процессов, должны поддерживать общекорпоративный подход и не противоречить законодательно установленным нормам.

Интеграция бизнес-процесса и технологического контроля должна проводиться на основе разработки принципов, позволяющих выполнять контрольные процедуры, методы и приемы в ходе поведения этапов и операций, формирующих бизнес-процессы. Такие принципы определяются исходя из адекватности контроля этапам и объектам, формирующим бизнес-процесс, целям деятельности и потенциальным рискам. При этом следует идентифицировать и описать бизнес-процессы по каждому из направлений деятельности.

Описание состава элементов и структуры, осуществляемых бизнес-процессов носит творческий характер, определяемый спецификой менеджмента и особенностями деятельности организации.

В общем виде логическое описание компонентов и функций, отображающих существенные свойства бизнес-процесса, и обеспечивающих его интеграцию с контрольным процессом можно представить на основе рекомендаций по организации этапов и операций бизнес-процесса и обоснования процедур технологического контроля.

Моделирование включает ряд последовательных мероприятий, сгруппированных нами в три блока.

Первый блок: идентификация и формализация процессов

Формализация процессов предполагает описание существующих технологий в организации, с учетом степени охвата их внутренним контролем, что дает основу для идентификации рисков. Для решения данной задачи целесообразно двигаться "сверху – вниз", формализуя деятельность с верхнего уровня до уровня рабочих мест, описывая поток работ между исполнителями, а также входящую и исходящую информацию.

Целесообразно использовать определение роли, приведенное в ГОСТе ИСО 9001–2001 "Системы менеджмента качества. Требования и руководство по применению", «роль – это заранее определенная совокупность правил, устанавливающих допустимое взаимодействие между субъектами». Роли следует персонифицировать с установлением ответственности за их исполнение. Ответственность должна быть зафиксирована в должностных инструкциях. Ролевое распределение функций и проведения процедур, по мнению автора, следует проводить с учетом требований Стандарта качества менеджмента системы управления качеством, на основе международного стандарта ISO 9000–2000, в котором указано, что «…не рекомендуется, чтобы одна персональная роль целиком отражала цель, например, включала все правила, требуемые для реализации бизнес-процесса. Совокупность правил, составляющих роли, не должна быть критичной для организации. Не следует совмещать в одном лице (в любой комбинации) роли разработки, сопровождения, исполнения, администрирования или контроля, например, исполнителя и администратора, администратора и контролера или других комбинаций». Кроме того роль должна быть обеспечена ресурсами, необходимыми и достаточными для ее выполнения.

Такой уровень детализации требуется для дальнейшего анализа рисков в процессах и формирования контрольных процедур.

В рамках первого блока необходимо:

1) Выделить продукт и соответствующую ему услугу являющиеся результирующим итогом действий составляющих законченный (замкнутый) цикл, осуществляемый различными субъектами для удовлетворения потребности и ожиданий потребителей и других заинтересованных сторон.

2) Определить состав операций, которые должны быть сгруппированы в блоки (этапы), формирующие бизнес-процесс.

3) Раскрыть способы воздействия одних элементов на другие.

4) Установить формы передачи и обмена информацией между элементами.

5) Установить взаимосвязи этапов бизнес-процесса и функционирующих в них объектов с другими объектами и общими целям системы управления для прогнозирования возможных рисков.

6) Выявить зоны, для формализации взаимодействий исходя из того, что нельзя допускать, чтобы одно и то же лицо контролировало все ключевые аспекты сделок, т. е. ключевые обязанности и ответственность в процессе проведении и регистрации сделок и их текущий контроль должны быть разделены между сотрудниками.

7) На основании выделенных этапов бизнес-процессов и контрольных точек следует определить соответствующие роли персонала организации.

8) Вскрыть конфликт интересов субъектов бизнес-процесса.

9) Установить показатели эффективности процесса в отношении достижения требуемых результатов.

10) Распределить ответственность над ходом процесса.

11) Определить ресурсы и стандарты, характеризующих состояние проводимых действий, необходимые для минимизации рисков, и достижения целей посредством процесса.

12) Выявить субъектов менеджмента или реального «владельца» процесса и роль процесса в реализации целей организаци, исходя из того, что управление объектом предполагает объединение контрольной информации на уровне одного субъекта, который наделен полномочиями и должен нести реальную ответственность за результат процесса с точки зрения целей

Обоснование цикла бизнес-процесса и выбор объектов контроля, по нашему мнению, можно проводить, на основе анализа зависимости его целей и возможных рисков. Схема анализа предполагает размещение:

• по вертикали – совокупность целей и задач, определяемых для функционирования элементов бизнес процесса и функционирующих в нем объектов при формировании услуги или продукта;

• по горизонтали – риски предопределенные для выделенных контрольных точек на основе анализа вероятности возникновения неблагоприятного или нежелательного события.

Установленный процесс описать и документировать с учетом его роли в достижении целей деятельности кредитной организации и анализа сопутствующих ему потенциальных рисков. Процедуры, составляющие процесс, должны быть разработаны, задокументированы и утверждены.

После первого блока разработки и формализации технологического бизнес-процесса следует второй блок определения рисков присущих выделенному бизнес-процессу.

Второй блок: идентификация и оценка рисков в процессах.

Для проведения эффективного технологического контроля необходимо, чтобы существенные риски, которые могут оказать отрицательное влияние на проведение бизнес-процесса, выявлялись и оценивались на постоянной основе, с одновременной оценкой существующих процедур контроля, эффективность которых предприятие планирует увеличить.

Данная оценка должна охватывать все риски, принимаемые на индивидуальной и консолидированной основе, и выявлять зоны риска и предопределяя, критические события, возможные к возникновению в той или иной зоне, способные стать причиной повышения уровня риска. В эти зоны следует встраивать контрольные процедуры и методы, виды и формы которых будут зависеть от выделенных зон и сделанных прогнозов и расчетов.

В рамках второго блока следует:

1) Выделить контрольные точки на основе анализа вероятности рисков возникновения неблагоприятного или нежелательного события.

2) Определить требования к формируемой контрольной информации в точках контроля на основе целей, критериев и функций контроля на данном уровне и в целом по системе управления, на основе оценки потенциальных рисков и допустимых величин отклонений, вероятных в ходе процесса.

3) Определить перечень внешних нормативных актов, которым нужно соответствовать, а также требования регулирующих законов, которые должны быть выполнены, и установить критичные области в информационном окружении, бизнес-процессах и инфраструктуре.

4) При идентификации рисков в процессах следует установить, насколько существующие процессы в компании рискованны с точки зрения невыполнения требований регулирующих законов.

Необходимо принимать во внимание все риски, способные привести к умышленному или случайному искажению финансовых данных и, соответственно, финансовой отчетности, а также к мошенничеству. Число рисков обусловливает объем проекта по построению системы внутреннего контроля. В дальнейшем уточнение качественных оценок операционных рисков проводится уже в рамках их количественной (стоимостной) оценки, требующей больших временных затрат. Поэтому ключевой задачей качественной оценки помимо определения значимости рисков является "отсечение" тех рисков, которые с высокой степенью вероятности не оправдают дальнейших затрат на их минимизацию или не влияют на критичную информацию. Идентификация рисков проводится на основании анализа детального описания процессов. По его результатам формируется список рисков, привязанных к процессам и функциям, где они были обнаружены. Процедура формирования этого списка основана на опросе экспертов и анализе процессов.

Оценка рисков производится на уровне бизнес-процессов, которые вызвали наибольшее беспокойство. Таким образом, предприятие "отфильтровывает" те контрольные процедуры, необходимость в которых на текущий момент не актуальна. Определяется эффективная стратегия минимизации и предотвращения рисков, при этом оценка рисков позволяет ранжировать их по степени критичности и исключить не опасные для компании риски. Управление всеми рисками экономически невыгодно для компании, поскольку для части рисков проще согласиться с убытками, чем создавать и внедрять контрольную процедуру. В данном случае чаще всего применяется метод качественных оценок, позволяющий ранжировать риски по критериям "вероятность" и "убытки" на основании экспертного мнения. Он используется для составления перечня (с использованием рейтинговых оценок) всех идентифицированных операционных рисков, которые актуальны для системы внутреннего контроля.

Минимизировать вероятность наступления риска либо его последствия можно посредством внедрения в текущие процессы контрольных процедур.

Третий блок: разработка и включение в бизнес-процесс контрольных процедур.

В рамках третьего блока следует для каждого цикла выявить приоритетные направления проверки исходя из особенностей деятельности организации. На основании классификации бизнес-процессов выявляются виды хозяйственных операций, подлежащие обязательной проверке.

Это могут быть:

типовые операции, совершаемые в процессе текущей деятельности;

• операции, наиболее существенные по объему;

• операции, нетипичные для основной деятельности организации;

• операции, связанные с финансовыми рисками.

На этом же этапе составляется перечень контрольных процедур.

Для обеспечения возможности проверки эффективности существующих и создаваемых контрольных процедур в процессах предусматривается формирование документального подтверждения выполнения всех требований контрольной процедуры. Разрабатывается порядок организации недостающих контрольных процедур.

Однако важно учитывать, что внутренний контроль должен быть регулярным процессом.

Последовательность процессов контроля должна соответствовать ходу определенного бизнес-процесса и обеспечивать превентивный, текущий и последующий контроля. Кроме того, в зависимости от обнаруженного недостатка необходимо воздействовать либо на процесс, либо на сотрудника, его выполняющего, поэтому для обеспечения оценки эффективности контрольных процедур должны создаваться документальные подтверждения работоспособности каждой контрольной процедуры – свидетельства контроля. Кроме того, важно определять четкую грань между необходимостью контрольных процедур и потерями, которые может принести их исполнение.

Принимая во внимание существующую тенденцию к перенасыщению процедурами внутреннего контроля всех этапов бизнес-процессов организации, главным направлением оптимизации данных процедур, по мнению автора, должна стать разработка принципиально новой концепции системы внутреннего контроля, основанной на транзитивности контрольных методов в контрольном процессе, позволяющей исключить множество промежуточных процедур, выявив опорные точки контроля. Речь идет о детальном анализе имеющихся контрольных процессов, в ходе которого можно идентифицировать различные процедуры, тестирующие составные элементы хозяйственной операции в одном и том же направлении. Таким образом, искусственно увеличивается трудоемкость процесса контроля за счет проведения процедур, по существу являющихся перекрестными. Целесообразной представляется аккумуляция их функций с последующей трансформацией существующих процедур, направленной на сокращение их общего количества и увеличение качества.

Прогнозируемый риск в процессе создания услуги или продукта должен быть проанализирован для выбора методов предупреждающего и выявляющего контроля и выявления допустимых величин риска, превышение которых предполагает блокировку действий, являющихся индикаторами контроля.

Для получения информации в ходе процесса следует внедрить методы измерения эффективности и результативности конкретных видов действий формирующих услугу и продукт в определенном процессе. Для этого наблюдение над проведением измерений соответствия действий формирующих услугу и продукт в определенном процессе закрепляется за конкретными исполнителями, участвующими в этом процессе и определяются средства, необходимые для предотвращения несоответствий и устранения их причин.

Таким образом, можно выделить правила организации технологического контроля интегрированного в бизнес-процесс, обеспечивающие оперативное получение полной и достоверной информации об отклонениях возникающих в процессе осуществления операций для регулирования или блокировки деятельности:

1. Контрольные процессы должен быть адекватными процессам, осуществляемым в организации при формировании услуг или продуктов.

2. Количество циклов процесса контроля определяется контрольными точкам, определяемыми в соответствии с целями проведения бизнес-процесса и функционирования объекта и предполагаемыми рисками возникновения неблагоприятного или нежелательного события на определенном этапе.