Гарантирует ли наличие высокого уровня регламентации процессов оптимальную структуру и работу системы внутренних контролей?
В последнее время мы все чаще сталкиваемся с мнением менеджмента компаний о том, что наличие регламентов и политик на бизнес-процессы гарантирует их должную работу, а контрольная среда, реализованная в рамках данных регламентов и политик, обеспечивает эффективность контрольных процедур, определенных для процессов.
На практике это, к сожалению, не совсем так: работа только в направлении регламентации может привести к ситуации, когда «дизайн процесса и системы внутренних контролей», утвержденный менеджментом, отличается от существующего бизнес-процесса и системы контролей, и, в результате, не исполняется владельцами процессов.
Регламентация процессов является лишь одним из компонентов корпоративной системы внутренних контролей (СВК) и процессов.
Так, секция 404 SoX Compliance1, а также знаменитая схема COSO2 (КОСО-Куб) декларируют риск-ориентированный подход «сверху-вниз», и подчеркивают, что эффективно работающие процессы и соответствующая СВК требуют наличия:
- «этического кодекса» Компании, выработанного руководством, который является фундаментом для формирования контрольной среды;
- четко определенных стратегии, целей и задач;
- структуры оценки рисков, в результате которой определяются основные направления контрольных процедур, направленных на минимизацию рисков до «приемлемого уровня»;
- контрольной среды, транслируемой через инфраструктуру политик/регламентов (в т.ч. блок-схем, матриц КП) на процессы;
- мотивированного и обученного персонала;
- системы мониторинга и отчетов по работе СВК и наличия/отсутствия сбоев в процессах;
- существенной поддержки со стороны IT.
Ниже представлена схема ключевых компонентов инфраструктуры СВК:
Для того, чтобы обеспечить успешное функционирование ключевых компонентов выше, необходимо для начала определить:
- существует ли в компании комитет, который организует, наблюдает, осуществляет надзорную функцию за процессом функционирования контрольной среды;
- проведена ли актуальная оценка рисков, присущих бизнес-процессам;
- определен ли дизайн контрольных процедур, отвечающих актуальным рискам;
- регламенты и политики являются документами, которые отвечают текущему дизайну процессов и контрольных процедур;
- существует ли непрерывная система мониторинга изменений в процессах и тестирование контрольных процедур (внутренняя/внешняя);
- существует ли система сбора знаний и обратной связи от сотрудников – владельцев процессов (в т.ч. как настроен входящий-исходящий поток информации в Компании);
- настроена ли IT-система (группа систем), с учетом максимального уровня автоматизации контролей, а также проведения рутинных операций в Компании;
- практикуется ли система «чек-листа» по оценке всех компонентов корпоративной системы процессов и внутренних контролей.
Получив ответы на данные вопросы, менеджмент сможет получить вводные данные по фактическому состоянию инфраструктуры процессов и СВК и разработать дальнейшие шаги для оптимизации и повышения эффективности бизнес-процессов.
1Sarbanes–Oxley Act (созд. Securities and Exchange Commission, 2002).
2Committee of Sponsoring Organizations of the Treadway Commission (COSO).