Любая деятельность начинается с постановки целей и определения стратегии их достижения, реализуемой совокупностью деловых процессов. При этом деятельность внутри организации происходит в рамках двух систем, операционной, предполагающей организацию бизнес-процессов, для достижения заданных целей и системы контроля, пронизывающей операционную систему и направленную на создание необходимых предпосылок и повышение вероятности того, что поставленные цели будут достигнуты при оптимальных рисках и затратах.
Системность, как целостность различных направлений и подходов в контроле, имеет большое значение при его организации, при этом под системностью, по мнению автора, следует рассматривать структурную целостность контроля в организации, включающую взаимодействие и взаимодополнение всех видов контрольной деятельности.
Наряду со структурной целостностью контроль должен проводиться как целенаправленный процесс, состоящий из серии непрерывных взаимосвязанных действий по получению объективных данных об экономических действиях и событиях, для определения уровня их соответствия определенному критерию или стандарту. Процессный подход позволяет структурировать все совершаемые в системе контроля действия в их логической последовательности, начиная от момента установления целей и задач функционирования и развития, относительно которых будет оцениваться деятельность организации и составляющих ее бизнес-процессов и, заканчивая подготовкой материалов, позволяющих оценить фактическую деятельность и определить пути и резервы для дальнейшего развития. Таким образом, процессный подход отражает проведение контрольного процесса как многократное воспроизведение процесса контроля, цикла состоящего из ряда последовательных этапов.
Обусловленность структуры операционной системы совокупностью бизнес-процессов и необходимостью контроля над ними, предполагает определение сущности бизнес-процесса и обоснование принципов его контроля. При этом интеграция контрольного процесса и бизнес процесса должна опираться на четкие принципы их взаимодействия, вытекающие из целевых установок контрольной деятельности, определенных целями бизнес-процессов банковской деятельности и экономичностью контроля.
Определение бизнес процесса дано в стандарте ИСО 9001–2001 "Системы менеджмента качества «Требования и руководство по применению» «бизнес процесс – это устойчивая, целенаправленная совокупность взаимосвязанных видов деятельности (последовательность работ), которая по определенной технологии преобразует некие входные ресурсы в выходные, представляющие ценность для потребителя».
Часто выходящие элементы одного процесса непосредственно образуют входящие элементы для следующего процесса. Для эффективного функционирования организации необходимо организовать управление над разнообразными, взаимосвязанными или взаимодействующими процессами при этом возникает потребность их идентификации и проведения адекватного контроля, сопровождающего элементы процессов. Систематическая идентификация процессов, имеющихся в организации, и взаимодействия между этими процессами, является «подходом, ориентированным на процесс». Подход, ориентированный на процесс в деятельности организации, предполагает систематическую идентификацию и контроль элементов образующих бизнес-процесс формирования банковских продуктов и услуг и взаимодействия между различными процессами.
Контроль, осуществляемый в ходе выполнения процесса создания услуг и продуктов, предшествующий и сопровождающий элементы бизнес-процесса и необходимый для их полноценного и эффективного функционирования при достижении целей следует классифицировать как технологический контроль.
Технологический контроль осуществляется оперативно, для предупреждения или выявления и блокировки возникающих рисков или несоответствий элементов бизнес-процесса установленным для них эталонам или индикаторам на основе контрольных методов и приемов, встроенных в бизнес-процесс и сопровождающих формирование продукта, услуги или операции. Процесс технологического контроля основывается на нормах, процедурах, приемах, разработанных для обеспечения разумной гарантии того, что бизнес-цели будут достигнуты, при соблюдении установленных требований качества банковских продуктов, а нежелательные события – предотвращены или обнаружены и исправлены. При этом процесс контроля должен сопровождать элементы и объекты технологических процессов в деятельности банка так, чтобы обеспечить достижение определенных задач при наименьших затратах и соблюдение установленных норм, нормативов и правил. Для этого контрольный процесс, должен включать различные приемы и методы контроля, адекватные целевым требованиям к контролируемому объекту, позволяющие оперативно формировать информацию о возникших отклонениях для регулирования или блокировки деятельности контролируемого объекта.
Важно отметить, что при технологическом контроле следует охватывать конкретный процесс формирования услуги или продукта, в создании которых участвуют несколько подразделений организации, а не отдельное подразделение. При этом необходимо обеспечить поэлементный или поэтапный контроль операции от начала до завершения с учетом возможных рисков возникающих при взаимодействии подразделений, нерегламентированности их взаимодействия и возможных конфликтах интересов. Например, в коммерческом банке кредитование валютных контрактов с аккредитивной формой расчетов, предполагает контроль соблюдения множества требований связанных с кредитованием, безналичными расчетами, валютным законодательством и доходностью проведения операций с учетом рисков.
Технологический контроль – это принципиально новый подход к организации контрольной деятельности основанный на интеграции технологий создания услуг и продуктов и технологии встроенного контрольного процесса. Такая интеграция должна обеспечивать создание условий, при которых достигается комплексный подход к формированию информации характеризуемой тем, что:
1) определяется информация о соответствии проводимых действий и получаемых результатах или осуществляется блокировка нежелательный действий в ходе выполнения элементов бизнес-процесса при достижении целевых установок и задач (состояние объектов и функционирование отдельных этапов)
2) формируется информация по выявлению степени реагирования на риски и соблюдения, установленных отклонений по рискам в целом для бизнес-процесса (оценка контроля в бизнес-процессе).
Основной проблемой организации контроля во многих организациях в настоящее время является невозможность основывать свою деятельность на тщательно разработанных и "технологичных" процедурах (составных частях процессов) в силу их не разработанности, а также отсутствие разработанных индикаторов и методов их оценки для системности контроля над рисками в ходе бизнес-процесса. Идентификация конкретных рисков и их измерения либо делается в очень ограниченном объеме и не являются предметом постоянного контроля.
Характеризуя современный подход к нормативным документам по внутреннему контролю в российском бизнесе, можно отметить, что количество, выражаемое в массе нормативных документов, еще не переросло в качество, выражаемое в четкой системе стандартов и процедур, содержащих контрольные приемы и методы, соответствующие потенциальным рискам возникновения неблагоприятного события. Это приводит к тому, что существующая практика контроля носит поверхностный и низкоэффективный характер, не выявляя системных проблем в деятельности организации, обнаруживая отдельные недостатки и ошибки. Только детально разработанные бизнес-процессы являются основой определяющей эффективный системный технологический контроль. Необходимо составить функциональное описание деятельности организации в целом, затем определить функциональные процессы, составляющие эту деятельность, а далее, следуя иерархическому принципу, определить базовые процедуры, составляющие процессы, и подмножества операций, из которых складываются эти процедуры. В рамках процессного подхода организации бизнеса и контроля основное внимание необходимо уделить требуемому качеству продукта или услуги, которое трактуется как совокупность свойств, обусловливающих способность удовлетворять определенные потребности клиента в соответствии с их назначением, и определяется исходя из потребностей клиента-потребителя результата процесса. В кредитных организациях можно провести аналогию данного положения с понятием "интересы кредиторов и вкладчиков", используемое в законодательных актах, регламентирующих банковскую деятельность.
Качество продуктов и услуг определяется качеством процессов, результатом которых они являются и проведением контроля.
Соответственно, полнота и точность описаний внутренних процессов, в том числе через официальное документирование являются принципиально важными факторами, которые прямо влияют на результаты деятельности организации. При этом важно разрабатывать не только основные бизнес-процессы, но вспомогательные и обеспечивающие, создающие необходимые условия для эффективной деятельности. Это актуально еще и в связи с тем, что в условиях всеобщей компьютеризации деятельности велика опасность образования разрывов в общих процессах управления и контроля в одной и той же организации, использующей разнообразные варианты обслуживания, в том числе дистанционные, каждому из которых сопутствуют те или иные специфические подмножества источников и факторов риска.
Формализация бизнес-процессов предполагает их описание, в котором следует определить:
1. совокупность функций выполняемых при создании товара или услуги
2. объект контроля и характеристику эталона его состояния, т. е. стандартизировать продукт, генерируемый организацией, так как услуги должны иметь минимально гарантированное качество, которое не может самостоятельно проверить непрофессиональный потребитель услуг
3. субъектов ответственных за выполнение каждой функции и их принадлежность структурным подразделениям
4. состав и характеристику входящей и исходящей информации для бизнес-функции
5. взаимосвязи при передаче информации
6. индикаторы, сигнализирующие о возникновении несогласованности функций
7. взаимосвязь с другими процессами.
Характерная особенность технологического контроля в смещении акцента с проверки отдельных направлений деятельности организации или структурных подразделений и отдельных операций на тестирование эффективности выполнения определенных операционных процессов в бизнес-процессе, включающих циклы типовых действий, приводящих к выполнению или невыполнению последовательности типовых операций
Разработка бизнес – процесса должна включать процессы контроля по объектам, характеризуемым критическими точками возможного возникновения несоответствия или индикаторами, и технологического контроля по этапам бизнес-процесса. Необходимо проанализировать все этапы бизнес-процесса для определения степени подверженности их риску неверного выполнения, а также необходимо оценить возможные последствия в случае возникновения такого риска. По итогам подобного анализа необходимо разработать такие функции контроля, которые позволили бы минимизировать подверженность рискам.
Каждое стандартизированное действие состоит из определённого количества неделимых этапов, выполняемых конкретными (ответственными) лицами, а каждый этап приводит к какому-то видимому результату, который, в свою очередь, поддаётся контролю. Исходя из того, что бизнес-процесс представляет собой набор этапов, суть и порядок выполнения которых всегда один и тот же, всю деятельность любой организации можно представить в виде бизнес-процессов. При этом организация бизнес-процесса, предполагает обязательный технологический контроль, сопровождающий этапы этого процесса.
Специфика организации технологического контроля состоит в том, что основную тяжесть проведения контрольных мероприятий следует включить в технологии производственной деятельности и создать условия для проведения самоконтроля (в том числе на основе механизма контроллинга). При этом контрольные процедуры, выполняемые на уровне бизнес-процессов, должны поддерживать общекорпоративный подход и не противоречить законодательно установленным нормам.
Интеграция бизнес-процесса и технологического контроля должна проводиться на основе разработки принципов, позволяющих выполнять контрольные процедуры, методы и приемы в ходе поведения этапов и операций, формирующих бизнес-процессы. Такие принципы определяются исходя из адекватности контроля этапам и объектам, формирующим бизнес-процесс, целям деятельности и потенциальным рискам. При этом следует идентифицировать и описать бизнес-процессы по каждому из направлений деятельности.
Описание состава элементов и структуры, осуществляемых бизнес-процессов носит творческий характер, определяемый спецификой менеджмента и особенностями деятельности организации.
В общем виде логическое описание компонентов и функций, отображающих существенные свойства бизнес-процесса, и обеспечивающих его интеграцию с контрольным процессом можно представить на основе рекомендаций по организации этапов и операций бизнес-процесса и обоснования процедур технологического контроля.
Моделирование включает ряд последовательных мероприятий, сгруппированных нами в три блока.
Первый блок: идентификация и формализация процессов
Формализация процессов предполагает описание существующих технологий в организации, с учетом степени охвата их внутренним контролем, что дает основу для идентификации рисков. Для решения данной задачи целесообразно двигаться "сверху – вниз", формализуя деятельность с верхнего уровня до уровня рабочих мест, описывая поток работ между исполнителями, а также входящую и исходящую информацию.
Целесообразно использовать определение роли, приведенное в ГОСТе ИСО 9001–2001 "Системы менеджмента качества. Требования и руководство по применению", «роль – это заранее определенная совокупность правил, устанавливающих допустимое взаимодействие между субъектами». Роли следует персонифицировать с установлением ответственности за их исполнение. Ответственность должна быть зафиксирована в должностных инструкциях. Ролевое распределение функций и проведения процедур, по мнению автора, следует проводить с учетом требований Стандарта качества менеджмента системы управления качеством, на основе международного стандарта ISO 9000–2000, в котором указано, что «…не рекомендуется, чтобы одна персональная роль целиком отражала цель, например, включала все правила, требуемые для реализации бизнес-процесса. Совокупность правил, составляющих роли, не должна быть критичной для организации. Не следует совмещать в одном лице (в любой комбинации) роли разработки, сопровождения, исполнения, администрирования или контроля, например, исполнителя и администратора, администратора и контролера или других комбинаций». Кроме того роль должна быть обеспечена ресурсами, необходимыми и достаточными для ее выполнения.
Такой уровень детализации требуется для дальнейшего анализа рисков в процессах и формирования контрольных процедур.
В рамках первого блока необходимо:
1) Выделить продукт и соответствующую ему услугу являющиеся результирующим итогом действий составляющих законченный (замкнутый) цикл, осуществляемый различными субъектами для удовлетворения потребности и ожиданий потребителей и других заинтересованных сторон.
2) Определить состав операций, которые должны быть сгруппированы в блоки (этапы), формирующие бизнес-процесс.
3) Раскрыть способы воздействия одних элементов на другие.
4) Установить формы передачи и обмена информацией между элементами.
5) Установить взаимосвязи этапов бизнес-процесса и функционирующих в них объектов с другими объектами и общими целям системы управления для прогнозирования возможных рисков.
6) Выявить зоны, для формализации взаимодействий исходя из того, что нельзя допускать, чтобы одно и то же лицо контролировало все ключевые аспекты сделок, т. е. ключевые обязанности и ответственность в процессе проведении и регистрации сделок и их текущий контроль должны быть разделены между сотрудниками.
7) На основании выделенных этапов бизнес-процессов и контрольных точек следует определить соответствующие роли персонала организации.
8) Вскрыть конфликт интересов субъектов бизнес-процесса.
9) Установить показатели эффективности процесса в отношении достижения требуемых результатов.
10) Распределить ответственность над ходом процесса.
11) Определить ресурсы и стандарты, характеризующих состояние проводимых действий, необходимые для минимизации рисков, и достижения целей посредством процесса.
12) Выявить субъектов менеджмента или реального «владельца» процесса и роль процесса в реализации целей организаци, исходя из того, что управление объектом предполагает объединение контрольной информации на уровне одного субъекта, который наделен полномочиями и должен нести реальную ответственность за результат процесса с точки зрения целей
Обоснование цикла бизнес-процесса и выбор объектов контроля, по нашему мнению, можно проводить, на основе анализа зависимости его целей и возможных рисков. Схема анализа предполагает размещение:
• по вертикали – совокупность целей и задач, определяемых для функционирования элементов бизнес процесса и функционирующих в нем объектов при формировании услуги или продукта;
• по горизонтали – риски предопределенные для выделенных контрольных точек на основе анализа вероятности возникновения неблагоприятного или нежелательного события.
Установленный процесс описать и документировать с учетом его роли в достижении целей деятельности кредитной организации и анализа сопутствующих ему потенциальных рисков. Процедуры, составляющие процесс, должны быть разработаны, задокументированы и утверждены.
После первого блока разработки и формализации технологического бизнес-процесса следует второй блок определения рисков присущих выделенному бизнес-процессу.
Второй блок: идентификация и оценка рисков в процессах.
Для проведения эффективного технологического контроля необходимо, чтобы существенные риски, которые могут оказать отрицательное влияние на проведение бизнес-процесса, выявлялись и оценивались на постоянной основе, с одновременной оценкой существующих процедур контроля, эффективность которых предприятие планирует увеличить.
Данная оценка должна охватывать все риски, принимаемые на индивидуальной и консолидированной основе, и выявлять зоны риска и предопределяя, критические события, возможные к возникновению в той или иной зоне, способные стать причиной повышения уровня риска. В эти зоны следует встраивать контрольные процедуры и методы, виды и формы которых будут зависеть от выделенных зон и сделанных прогнозов и расчетов.
В рамках второго блока следует:
1) Выделить контрольные точки на основе анализа вероятности рисков возникновения неблагоприятного или нежелательного события.
2) Определить требования к формируемой контрольной информации в точках контроля на основе целей, критериев и функций контроля на данном уровне и в целом по системе управления, на основе оценки потенциальных рисков и допустимых величин отклонений, вероятных в ходе процесса.
3) Определить перечень внешних нормативных актов, которым нужно соответствовать, а также требования регулирующих законов, которые должны быть выполнены, и установить критичные области в информационном окружении, бизнес-процессах и инфраструктуре.
4) При идентификации рисков в процессах следует установить, насколько существующие процессы в компании рискованны с точки зрения невыполнения требований регулирующих законов.
Необходимо принимать во внимание все риски, способные привести к умышленному или случайному искажению финансовых данных и, соответственно, финансовой отчетности, а также к мошенничеству. Число рисков обусловливает объем проекта по построению системы внутреннего контроля. В дальнейшем уточнение качественных оценок операционных рисков проводится уже в рамках их количественной (стоимостной) оценки, требующей больших временных затрат. Поэтому ключевой задачей качественной оценки помимо определения значимости рисков является "отсечение" тех рисков, которые с высокой степенью вероятности не оправдают дальнейших затрат на их минимизацию или не влияют на критичную информацию. Идентификация рисков проводится на основании анализа детального описания процессов. По его результатам формируется список рисков, привязанных к процессам и функциям, где они были обнаружены. Процедура формирования этого списка основана на опросе экспертов и анализе процессов.
Оценка рисков производится на уровне бизнес-процессов, которые вызвали наибольшее беспокойство. Таким образом, предприятие "отфильтровывает" те контрольные процедуры, необходимость в которых на текущий момент не актуальна. Определяется эффективная стратегия минимизации и предотвращения рисков, при этом оценка рисков позволяет ранжировать их по степени критичности и исключить не опасные для компании риски. Управление всеми рисками экономически невыгодно для компании, поскольку для части рисков проще согласиться с убытками, чем создавать и внедрять контрольную процедуру. В данном случае чаще всего применяется метод качественных оценок, позволяющий ранжировать риски по критериям "вероятность" и "убытки" на основании экспертного мнения. Он используется для составления перечня (с использованием рейтинговых оценок) всех идентифицированных операционных рисков, которые актуальны для системы внутреннего контроля.
Минимизировать вероятность наступления риска либо его последствия можно посредством внедрения в текущие процессы контрольных процедур.
Третий блок: разработка и включение в бизнес-процесс контрольных процедур.
В рамках третьего блока следует для каждого цикла выявить приоритетные направления проверки исходя из особенностей деятельности организации. На основании классификации бизнес-процессов выявляются виды хозяйственных операций, подлежащие обязательной проверке.
Это могут быть:
типовые операции, совершаемые в процессе текущей деятельности;
• операции, наиболее существенные по объему;
• операции, нетипичные для основной деятельности организации;
• операции, связанные с финансовыми рисками.
На этом же этапе составляется перечень контрольных процедур.
Для обеспечения возможности проверки эффективности существующих и создаваемых контрольных процедур в процессах предусматривается формирование документального подтверждения выполнения всех требований контрольной процедуры. Разрабатывается порядок организации недостающих контрольных процедур.
Однако важно учитывать, что внутренний контроль должен быть регулярным процессом.
Последовательность процессов контроля должна соответствовать ходу определенного бизнес-процесса и обеспечивать превентивный, текущий и последующий контроля. Кроме того, в зависимости от обнаруженного недостатка необходимо воздействовать либо на процесс, либо на сотрудника, его выполняющего, поэтому для обеспечения оценки эффективности контрольных процедур должны создаваться документальные подтверждения работоспособности каждой контрольной процедуры – свидетельства контроля. Кроме того, важно определять четкую грань между необходимостью контрольных процедур и потерями, которые может принести их исполнение.
Принимая во внимание существующую тенденцию к перенасыщению процедурами внутреннего контроля всех этапов бизнес-процессов организации, главным направлением оптимизации данных процедур, по мнению автора, должна стать разработка принципиально новой концепции системы внутреннего контроля, основанной на транзитивности контрольных методов в контрольном процессе, позволяющей исключить множество промежуточных процедур, выявив опорные точки контроля. Речь идет о детальном анализе имеющихся контрольных процессов, в ходе которого можно идентифицировать различные процедуры, тестирующие составные элементы хозяйственной операции в одном и том же направлении. Таким образом, искусственно увеличивается трудоемкость процесса контроля за счет проведения процедур, по существу являющихся перекрестными. Целесообразной представляется аккумуляция их функций с последующей трансформацией существующих процедур, направленной на сокращение их общего количества и увеличение качества.
Прогнозируемый риск в процессе создания услуги или продукта должен быть проанализирован для выбора методов предупреждающего и выявляющего контроля и выявления допустимых величин риска, превышение которых предполагает блокировку действий, являющихся индикаторами контроля.
Для получения информации в ходе процесса следует внедрить методы измерения эффективности и результативности конкретных видов действий формирующих услугу и продукт в определенном процессе. Для этого наблюдение над проведением измерений соответствия действий формирующих услугу и продукт в определенном процессе закрепляется за конкретными исполнителями, участвующими в этом процессе и определяются средства, необходимые для предотвращения несоответствий и устранения их причин.
Таким образом, можно выделить правила организации технологического контроля интегрированного в бизнес-процесс, обеспечивающие оперативное получение полной и достоверной информации об отклонениях возникающих в процессе осуществления операций для регулирования или блокировки деятельности:
1. Контрольные процессы должен быть адекватными процессам, осуществляемым в организации при формировании услуг или продуктов.
2. Количество циклов процесса контроля определяется контрольными точкам, определяемыми в соответствии с целями проведения бизнес-процесса и функционирования объекта и предполагаемыми рисками возникновения неблагоприятного или нежелательного события на определенном этапе.
3. Каждый цикл процесса контроля должен встраиваться в технологические процессы организации, так чтобы обеспечивать автоматизм контроля, то есть включать различные приемы и методы контроля с учетом особенностей контролируемого объекта позволяющие оперативно формировать информацию о возникших отклонениях для регулирования или блокировки деятельности контролируемого объекта.
4. Последовательность встраиваемых процессов контроля должна обеспечивать предупреждение, выявление и устранение рисков нежелательных и неблагоприятных событий, то есть превентивный, текущий и последующий контроли
5. Контрольный процесс должен иметь системный характер, но при этом исключать тотальность и быть эффективным, что достигается на основе транзитивности видов контроля и целесообразности формируемой информации, отвечающей ряду параметров, таких как:
• контрольная информация формируется на протяжении всего процесса, начиная от постановки цели и формирования продукта и соответствующей ему услуги, заканчивая выявлением соответствия конечного продукта установленным для него параметрам качества и доходности;
• информация о соответствия конечного продукта установленным для него параметрам качества и доходности доводится до субъектов менеджмента или реального «владельца» процесса;
• информация о соответствии последовательных конкретных действий составляющих элементы процесса формируется по ходу совершения операций посредством методов встроенного контроля и используется для оперативного регулирования и внесения изменений или блокировки в случае выявления недопустимых отклонений.