Тема внутреннего контроля и аудита многогранна, и поэтому практика внедрения этой функции в конкретных компаниях вызывает живой интерес у большинства специалистов. Сегодня с читателями «ЭЖ» апробированными процедурами внутреннего контроля и опытом организации работы ответственного за эти процедуры подразделения делится Яна Осипенко, советник по развитию бизнес-процессов и контролей, компания HEINEKEN Russia.
В сообществе внутренних аудиторов, контролеров и риск-менеджеров регулярно возникает вопрос о том, как подтвердить свою ценность для компании. Этот вопрос в той или иной степени актуален для любой вспомогательной (supporting) функции. Так, например, функция внутреннего аудита в разных компаниях может играть различные роли — от подтверждения достоверности финансовой отчетности до советника по выстраиванию бизнес-процессов. Роль зависит от многих факторов, но в первую очередь она диктуется потребностью бизнеса и степенью зрелости контрольной среды.
Несколько лет назад в нашей компании функция внутреннего аудита была централизована в глобальном офисе, в российской операционной компании взамен отдела внутреннего аудита была создана служба по развитию бизнес-процессов и контролей. Данное решение предполагает комплексный партнерский подход к поддержке бизнес-функций. Комплексность подхода заключается в том, что отдел работает сразу по семи связанным между собой направлениям. Характеристика подхода как партнерского означает, что коммуникации с бизнес-отделами не однонаправленны: если любой специалист в компании чувствует потребность в методологической поддержке с точки зрения процессного подхода, он обращается к нам — специалистам по развитию бизнес-процессов и контролей. Таким образом, это «дорога с двусторонним движением». За каждой функцией закреплен советник по развитию бизнес-процессов и контролей — есть одно «окно», которое можно использовать для обсуждения любых инициатив.
Основные направления работы службы по развитию бизнес-процессов и контролей
Вся работа нашей службы выстроена вокруг семи основных областей:
1. Мониторинг контролей — это работа по подтверждению и повышению эффективности существующих контролей. Данное направление связано с оказанием помощи бизнесу в самооценке проводимых контрольных мероприятий, а также с выявлением несоответствий, отслеживанием статуса и сроков их устранения, поддержкой проведения самооценки соответствия Правилам компании, тестированием финансовых контролей и распределения полномочий.
2. Управление процессами и контролями — область, в которую входит поддержка бизнеса в дизайне и внедрение новых видов контроля.
3. Непрерывное улучшение — это все, что касается нашей проектной деятельности, например: улучшение процессов, тренинги по методологии ведения проектов (как создать команду, выявить заинтересованные стороны, вести документы, проработать риски).
4. Управление рисками включает цикл оценки, мониторинга и создания единого реестра рисков.
5. Обеспечение соответствия — это часть нашей работы, касающаяся создания и поддержания системы внутренней документации компании. Мы считаем, что все процессы должны быть описаны, а их описания должны быть опубликованы в общей корпоративной базе. Для того чтобы обеспечить соответствие внутренних документов друг другу и внутренним стандартам компании, мы участвуем в согласовании процедур межфункционального уровня и уровня компании. Одно из обязательных условий для согласования документа — наличие раздела «Риски и контроли». Во-первых, данный раздел помогает развивать риск-ориентированное мышление: составляя процедуру, специалист должен подумать о точках процесса, где что-то может пойти не так, и о способах минимизировать данные риски (о видах контроля). Во-вторых, данный раздел позволяет выявлять потребность в новых нефинансовых контролях.
6. Противодействие мошенничеству — направление, включающее в себя мероприятия по повышению осведомленности, предотвращению и расследованию мошенничества. С целью повышения осведомленности мы регулярно проводим тренинги и ежегодную самооценку подверженности рискам мошенничества, когда сотрудники заполняют опросник с целью оценить вероятность и влияние предложенных рисков и отвечают на открытые вопросы о возможных областях для манипуляций. По результатам самооценки выявляются наиболее рисковые области, которые затем прорабатываются на необходимость внедрения дополнительных контрольных мероприятий.
7. Подтверждение достоверности — в основном это взаимодействие с руководством компании и внешними аудиторами.
Каждое из направлений достаточно специфично, но работа в любом из них может привести к выявлению потребности в улучшении процесса или в новом контроле. Таким образом, именно благодаря комплексному подходу мы получаем «большую картину» и видим области для улучшений — в аудиторских отчетах, написанных бизнесом процедурах, новых проектах, в результатах самооценки и в каждой нашей инициативе.
Как оценить эффективность взаимодействия со стейкхолдерами
Для оказания своевременной и качественной поддержки стейкхолдерам (сотрудникам курируемых функций) советнику приходится проявлять гибкость — ранжировать задачи по приоритетности, и при этом учитывать не только краткосрочные выгоды, но и долгосрочные преимущества, поддерживать устойчивые и взаимовыгодные отношения с курируемыми бизнес-функциями, что существенно упрощает взаимодействие и экономит ресурсы.
По этой причине ежемесячно среди советников проводятся совещания, так называемые 6X15, — сначала 15 минут обсуждаются общие цели отдела, а затем в течение 15 минут каждый советник сообщает о своих планах на ближайший месяц и прогнозирует загруженность. Для визуализации каждый готовит слайд с семью направлениями, описанными выше, и в каждом направлении перечисляет задачи, которые он берется выполнить в течение месяца. Задачи ранжируются по трудоемкости — большие (больше двух дней) подсвечиваются темно-зеленым, средние (один-два дня) — бледно-зеленым, малые (менее одного дня) — желтым, а неактивные — серым. Так, по насыщенности цветов на слайде можно понять загрузку каждого члена команды и перераспределить ее, для того чтобы наиболее эффективно использовать ресурс.
В направлении «Управление процессами и контролями» у каждого члена команды есть «вечнозеленый» элемент — это задача по взаимоотношениям со стейкхолдерами, так как всегда должен оставаться ресурс на внеплановые задачи — проконсультировать по новой процедуре, помочь с разработкой плана действий по устранению несоответствия, принять участие в совещании по перераспределению зон ответственности в процессе.
Именно своевременная и эффективная поддержка стейкхолдеров при их обращениях и дает специалисту отдела по развитию бизнес-процессов и контролей «кредит доверия», используемый при реализации менее привлекательных контрольных функций.
По результатам ежегодного опроса сотрудников относительно их степени удовлетворенности работой службы средний балл растет из года в год и составляет 3,7 из 4,0 в 2018 г. Опрос включает в себя закрытые и открытые вопросы, а результаты и планы действий сообщаются всем участникам. Мы считаем очень важным фиксировать свои обязательства и обещания и выполнять их, поскольку именно этого мы ожидаем от бизнес-функций при устранении несоответствий. Поэтому если мы получили обратную связь, мы обязательно назначаем план корректирующих мероприятий, ответственного и срок. А о выполнении мероприятий мы рассказываем при проведении следующего опроса.
Цикл контроля: основные этапы на примере компании
1. Выявление потребности в новом контроле.
Создание нового контроля каждый раз начинается с выявления потребности в нем — с обнаружения незакрытого риска. Как уже отмечалось выше, любое взаимодействие с бизнес-функциями в любом из семи направлений может стать источником информации о потребности в контроле. В этом заключается еще один плюс партнерского подхода: например, специалист сам пишет процедуру, задумывается над разделом «Риски и контроли» и обращается за помощью. Или сам оценивает риски мошенничества и задумывается о возможностях для улучшений в процессе. Из таких источников формируется пул локальных кон-тролей к внедрению.
Другой способ выявления потребности в контролях заключается в совместном с бизнесом анализе глобальной «Матрицы рисков и контролей» — реестра, который ежегодно представляют наши глобальные коллеги. В случае, если риск, описанный в Матрице, применим для нашей операционной компании, мы внедряем контроль в соответствии с рекомендованным дизайном или продумываем новый дизайн, отвечающий нашей специфике. Если риск неприменим (например, описанная деятельность не ведется нашей компанией) — мы исключаем его из локальной версии Матрицы. Так в итоге мы получаем пул контролей для внедрения.
2. Дизайн контроля.
После того как мы поняли, что нам нужен новый контроль (или нужны изменения в существующем), возникает вопрос о подходящем дизайне. Отдел по развитию бизнес-процессов и контролей не может сам по себе быть владельцем риска или контроля, поскольку он оказывает именно методологическую поддержку. Именно поэтому за дизайн контроля отвечают в первую очередь владельцы процессов и рисков — бизнес-функции. С этой целью мы разработали стандартный шаблон «Контрольной рабочей инструкции» на основании лучших практик, наших инструкций по тестированию контролей и рекомендаций внешних аудиторов. Это позволяет, во-первых, обучать бизнес (им эти знания точно пригодятся на следующем шаге при самооценке контроля), во-вторых, поддерживать их ответственность за контрольную среду в компании.
Контрольная рабочая инструкция начинается с краткого описания риска и контроля. При описании контроля автор должен ответить на вопросы: зачем, когда, кто, что, как, где. Например, чтобы убедиться, что операционные расходы не капитализируются (зачем), ежемесячно в рамках финансового закрытия (когда) финансовый контролер (кто) подтверждает, что статья «Незавершенное строительство» включает только затраты капитального характера (что). Для этого он проверяет все приходы за месяц на соответствие критериям, обозначенным в «Учетной политике», проставляет комментарий напротив каждой новой позиции в реестре 08 счета (как) и сохраняет результаты в папке C:\CAPEX (где).
Далее в рабочей инструкции перечисляются основные атрибуты контроля (владелец, исполнитель, периодичность, зависимость от информационных систем) и приводится детальное пошаговое описание контроля. Основная цель описанных действий: в случае если исполнитель контроля меняется, новый сотрудник может использовать данную пошаговую инструкцию для выполнения контроля верно с первого раза. Кроме того, используя инструкцию, любой контроль можно повторить и протестировать.
Еще один важный раздел инструкции посвящен распределению полномочий — в нем должно быть определено, доступ к каким функциям/транзакциям может помешать специалисту провести контроль, поскольку может влиять на его независимость и объективность. Например, в примере выше сотрудник не может осуществлять контроль за операционными расходами, если он является держателем бюджета или принимает решения относительно данного типа расходов — он может быть заинтересован в неверной классификации и поэтому пропустить соответствующую позицию в контроле.
Важным является определение источников информации, используемой в контроле (системы, отчеты, файлы). Прежде чем осуществлять контроль на основе информации, исполнитель должен убедиться в том, что информация получена из надежного источника, что она характеризуется полнотой и точностью. Поэтому в контрольной инструкции перечисляются действия, которые нужно выполнить для того, чтобы подтвердить пригодность источника для осуществления контроля.
Таким образом, контрольная рабочая инструкция — важный инструмент для дизайна контроля, который позволяет оценить эффективность потенциального контроля даже до его осуществления. И безусловно, данные инструкции — большое подспорье для внутренних и внешних аудиторов. В таблице представлена структура стандартной Контрольной рабочей инструкции.
3. Самооценкаи тестирование контролей.
Каждый год владельцы и исполнители контролей проходят через несколько циклов самооценки. Степень детализации вопросов в самооценке зависит от природы контролей (финансовые/нефинансовые) и соответствующих рисков. Минимальный набор вопросов — это просьба для владельца контроля оценить его эффективность и прокомментировать, каким образом он убедился в эффективности. Максимальный набор для выборки контролей — это самооценка и описание всех шагов контроля, включая вопросы о распределении полномочий и способах подтверждения корректности информации, используемой для контроля.
В случае если контроль оценен как неэффективный, несоответствие фиксируется и разрабатываются планы компенсирующих (на время починки) и корректирующих мероприятий. В случае если контроль оценен как эффективный, он может быть выбран для дальнейшей валидации или тестирования специалистом по развитию бизнес-процессов и контролей. Независимость и объективность тестирующего обеспечивается тем, что советник не может работать над подтверждением эффективности контроля партнерской функции и весь процесс подтверждения детально документируется, так как выборочно он анализируется при проверке качества со стороны коллег из международного центрального офиса компании.
Для того чтобы стимулировать владельцев процессов к объективной и вдумчивой самооценке, показатель совпадения результатов самооценки и оценки рассчитывается и доводится до высшего руководства.
Обучение и мотивация
На протяжении всего цикла контроля активно применяются инструменты обучения и оценки результатов деятельности. Так, например, самооценке контролей предшествуют тренинги по оценке контролей для владельцев и исполнителей контрольных мероприятий. Обучение сотрудников позволяет сделать процесс работы с контролями более понятным и менее трудозатратным — и для них, и для курирующих их направления советников.
Конечно, поддержание интереса к контрольной среде со стороны бизнес-функций осуществляется не только через обучение и выстраивание партнерских отношений с отделом по развитию бизнес-процессов и контролей. Инструменты материальной мотивации реализованы на основе методологии Управления по целям: в набор ключевых показателей эффективности для финансовой функции включается блок целевых показателей по состоянию контрольной среды, например отсутствие несоответствий со сроком устранения более определенного периода, совпадение результатов самооценки контролей с результатами их тестирования, отсутствие потенциальных конфликтов распределения полномочий без соответствующих мероприятий по компенсации данных конфликтов и т.д.
***
Так, поддерживая наших партнеров на всех этапах — от формулирования потребности и до оценки эффективности, давая им необходимые инструменты и обучая их основам анализа рисков и проведения контрольных мероприятий, — мы работаем над зрелостью контрольной среды. Чем более ответственными становятся наши партнеры (сотрудники компании) и чем более зрелой становится контрольная среда, тем меньшая доля нашей деятельности приходится на проработку и тестирование различных видов контроля и больше времени остается на творческую работу над проектами по непрерывному совершенствованию процессов в качестве членов межфункциональных команд.
Контрольная рабочая инструкция (таблица)
|
Название контроля |
… |
||
|
Риск |
Описание риска |
||
|
Влияние контроля на отчетность |
Статьи отчетности |
||
|
Категория контроля |
Предотвращающий — Выявляющий |
||
|
Описание контроля: Зачем — Когда — Кто — Что — Как — Где |
|||
|
Что может пойти не так (WCGW ) |
|||
|
Потенциальные ошибки в информации, используемой в контроле/Потенциальные ошибки при выполнении контроля |
|||
|
Распределение ответственности для исполнителя контроля |
|||
|
Функции, к которым исполнитель контроля не должен иметь доступа |
|||
|
Владелец контроля |
Должность |
Исполнитель контроля |
Должность |
|
Периодичность контроля |
… |
Местоположение контроля |
Глобальный/Локальный |
|
Зависимость от информационных систем |
… |
Финансовый/нефинансовый контроль |
… |
|
Детальное описание шагов контроля |
|||
|
Источники информации, используемые для контроля, и проверка их корректности |
|||
|
Связь с другими контролями |
|||
|
Документальное подтверждение факта проведения контроля |
|||