Бизнес-процессы и внутренний контроль 6 апреля 2010 года Москва

2 Бизнес-процессы и внутренний контроль Содержание программы 1. Внутренний контроль: концептуальные основы 2. Документирование и оценка СВК Бизнес-процесс: определения и характеристики Описание бизнес-процессов Определение контрольных точек и оценка контрольных процедур

3 Бизнес-процессы и внутренний контроль 1. Внутренний контроль: концептуальные основы

4 Бизнес-процессы и внутренний контроль Подумаем вместе Как часто мы осуществляем контроль в своей жизни? Что такое контроль?

5 Бизнес-процессы и внутренний контроль Определение внутреннего контроля Эффективность и экономичность операций - операционная цель Соответствие законодательству - цель соответствия Достоверность финансовой отчетности – финансовая цель … Внутренний контроль – это процесс, осуществляемый Советом директоров, руководством и прочим персоналом для обеспечения обоснованной гарантии того, что цели компании будут достигнуты (COSO)

Преимущества компании в результате внедрения СУР и СВК..... Выявление возможностей в новых областях бизнеса Большая вероятность достижения целей бизнеса..... Увеличение вероятности достижения инициатив изменений Рост стоимости акций в долгосрочной перспективе Лучшие основы для разработки стратегии Достижение конкурентного преимущества Личная мотивация делать правильные вещи Уменьшение времени руководителей на «тушение пожаров» ПОТЕНЦИАЛЬНЫЕ ПРЕИМУЩЕСТВА Меньше внезапных ситуаций и неприятных сюрпризов Уменьшение стоимости капитала

7 Бизнес-процессы и внутренний контроль Внутренний контроль Задокументированные, «прозрачные» процессы Стандартизация, оптимизация КП Разделение обязанностей Контроли доступа в системы Компания без внутреннего контроля Компания с внутренним контролем Что дает компании наличие системы внутреннего контроля? Акционеры Аудиторы Банки (Инвесторы) Руководство

8 Бизнес-процессы и внутренний контроль Система внутреннего контроля. Концептуальная база В основу Методологии по усовершенствованию системы внутреннего контроля (CВК) заложен концептуальный подход COSO. COSO – добровольная организация, созданная для улучшения качества финансовой отчетности через деловую этику, эффективный внутренний контроль и корпоративное управление. Internal Control – Integrated Framework (1992) – результат изучения, исследования и обсуждения проблемы внутреннего контроля COSO c корпоративными лидерами, законодателями, аудиторами, внешними директорами, юристами, консультантами. –определение внутреннего контроля –основы внутреннего контроля, которые позволят компаниям создать и улучшить свои системы внутреннего контроля

9 Бизнес-процессы и внутренний контроль Система внутреннего контроля (СВК). Модель COSO Мониторинг Оценка систем контроля с течением времени Сочетание постоянно и периодически проводящихся оценок систем Деятельность по руководству и надзору Деятельность по внутреннему аудиту Контрольная среда Устанавливает общий тон в организации, влияющий на осознание людьми их роли в системе внутреннего контроля Факторы включают честность, этические нормы, компетентность, полномочия, ответственность Фундамент для всех других компонентов контроля Информация и коммуникации Нужная информация идентифицирована, обработана и представлена своевременно Доступ к внутренней и внешней информации Поток информации о контрольных действиях: от инструкций по персоналу до отчета руководству об обнаруженных нарушениях Оценка рисков Идентификация и анализ рисков, связанных с достижением целей организации Формирует основу для определения контрольных действий Контрольные процедуры Политики / процедуры, которые гарантируют, что директивы руководства выполняются Действия по рассмотрению, авторизации, сверке, предоставлению рекомендаций, оценке исполнения, сохранности активов и разделению полномочий Контрольная среда Оценка рисков Информация и коммуникации Мониторинг Подразделение 1 Функция 1 Контрольные процедуры Подразделение 2 Функция 2 Операционная эффективность Подготовка финансовой отчетности Требования законодательства

10 Бизнес-процессы и внутренний контроль СВК. Контрольная среда Контрольная среда – это осознание необходимости контроля в организации. Контрольная среда включает осязаемые и неосязаемые элементы: – честность персонала и его этические ценности; – приверженность идее компетентного выполнения обязанностей; – управление и организационная структура компании; – философия управления и стиль руководства; – распределение полномочий и ответственности; – работа с персоналом.

11 Бизнес-процессы и внутренний контроль Риск - это событие (стечение обстоятельств), которое, в случае реализации, оказало бы существенное положительное или негативное влияние на достижение Компанией своих долгосрочных и краткосрочных целей. риски могут оказать положительное влияние могут оказать негативное влияние на цели возможности угрозы СВК. Оценка рисков. Определение риска

12 Бизнес-процессы и внутренний контроль СВК. Оценка рисков. Карта рисков Главная цель – ранжирование рисков - распределение ресурсов для реагирования на наиболее существенные риски. Значимость риска измеряется по двум параметрам: –Вероятность возникновения –Величина влияния Риск измеряется: – качественно – количественно

13 Бизнес-процессы и внутренний контроль Карта рисков «Базэл»

14 Бизнес-процессы и внутренний контроль СВК. Контрольные процедуры Контрольные процедуры (КП) - действия, осуществляемые руководством и сотрудниками компании, ведущие к выполнению задач контроля и позволяющие снижать риски. По уровню значимости: ключевые (ККП) и неключевые. Контрольные процедуры

15 Бизнес-процессы и внутренний контроль СВК. Типы контрольных процедур Типы контрольных процедур: одобрение, авторизация и верификация (т.е. делегирование ответственности) обзор исполнения (напр., КПИ) защита активов (т.е. физический контроль, инвентаризация) разделение обязанностей (хранение – авторизация – учет) сверки

16 Бизнес-процессы и внутренний контроль Операции и контрольные процедуры Операция Контрольная процедура Внесение договоров в Журнал регистрации ? Подготовка служебной записки на оплату ответственным за договор ? Ведение досье договора ? Подготовка проекта договора ? Чувствуете разницу в своих действиях?

17 Бизнес-процессы и внутренний контроль СВК. Контрольные процедуры. Виды контрольных процедур По моменту выполнения По способу выполнения Предупредительные Выявляющие Ручные Автоматизированные Пример: Финансовый директор подписывает реестр платежных поручений перед отправкой в банк Пример: Система не позволяет принять заказ к исполнению сверх кредитного лимита Пример: Сотрудник экономического отдела ежемесячно проводит анализ фактической себестоимости Пример: Ежемесячно осуществляется сверка реестра дебиторской задолженности с главной книгой Комбинированные Пример: Сотрудник заносит в систему учетные данные с первичных документов, сверяя их с электронным списком возможных проводок

18 Бизнес-процессы и внутренний контроль СВК. Контрольные процедуры. Что такое ККП? КЛЮЧЕВАЯ КОНТРОЛЬНАЯ ПРОЦЕДУРА (ККП) Критичны для достижения задачи контроля Контроль не рутинных операций и исключений Контроль областей, подверженных риску мошенничества Контроль ручного ввода данных Не имеют компенсирующих контролей Не имеют компенсирующих контролей Закрывают большее число задач контроля Первостепенны для достижения задачи контроля

19 Бизнес-процессы и внутренний контроль СВК. Контрольные процедуры. Выявление ККП Требования к ККП: 1. Порядок выполнения предусмотрен внутренними нормативными документами; 2. Остается доказательство выполнения ККП Выявление ККП: Что могло случиться, если бы эти контрольные процедуры не работали? Ошибки были бы идентифицированы другими средствами контроля? да – НЕКЛЮЧЕВАЯ КПнет – КЛЮЧЕВАЯ КП

20 Бизнес-процессы и внутренний контроль Эффективность СВК. Контрольные процедуры. Характеристики Экономичность Дизайн

21 Бизнес-процессы и внутренний контроль СВК. Контрольные процедуры. Модель риск-контроль-риск Целью является достижение приемлемого уровня риска, который лежит в пределах определенного риск-аппетита компании. Оценить риск Эффективные контроли Определение стратегии реагирования Оценка эффективности внутреннего контроля Стратегии реагирования Остаточный риск Контроли Желаемый уровень остаточного риска Остаточный риск Уровень риска Прием- лемый остаточный риск Стратегии реагирования Присущий риск Внутренний контроль

22 Бизнес-процессы и внутренний контроль Оценка контрольных процедур Оценка дизайна: Анализ задокументированных процедур «Сквозной» контроль (прослеживание) Выявление недостатков контроля План по устранению недостатков Внедрение Оценка операционной эффективности Программа тестирования Тестирование Отчет о результатах Выявление недостатков контроля План по устранению Внедрение Недостаток в дизайне контрольных процедур: контроля нет (процедура отсутствует), процедура существует, но не формализована контроль не закрывает риск полностью (остаточный риск выше допустимого) Недостаток в функционировании контрольных процедур: процедура не работает так, как задумано (не выполняется / формальное выполнение), сотрудник, исполняющий контрольные функции, не обладает соответствующими полномочиями или квалификацией

23 Бизнес-процессы и внутренний контроль Недостатки контрольных процедур (КП) Оценка дизайна: Анализ соответствия существующих контролей задачам контроля Недостаток дизайна КП: контроля нет контроль не закрывает риск полностью процедура существует, но не формализована Дизайн КП: Запланированный порядок выполнения КП Показатели (составные части) дизайна контрольной процедуры: 1.Кто? - Исполнитель КП 2. Что делает? - Описание действия КП 3.Когда? – Частота выполнения КП 4. Доказательство выполнения 5. Чем регламентируется? – Регламентирующий документ

24 Бизнес-процессы и внутренний контроль СВК. Информация и коммуникации Подразумевается, что достоверная внешняя и внутренняя информация своевременно идентифицируется, обрабатывается и передается в рамках организации. Информация передается через: - вербальные коммуникации (заседания) - письменные коммуникации (политика) - коммуникацию через действия (руководство подает пример) Для принятия эффективных управленческих решений обязательна правдивая информация –механизмы контроля должны давать обоснованную гарантию, что информация соответствующая, текущая, своевременная, точная и понятная. Обязанности менеджмента: – доводить до сотрудников их права и обязанности – обеспечить коммуникации сверху вниз, снизу вверх и параллельно на всех уровнях организации – поддерживать каналы коммуникации с внешними сторонами разумно открытыми

25 Бизнес-процессы и внутренний контроль СВК. Мониторинг Мониторинг – оценка качества процедур внутреннего контроля и их способности влиять на риски. Цель мониторинга – определить: –адекватно ли разработан внутренний контроль в организации; –как внутренний контроль адаптируется; –насколько менеджмент и персонал следуют требованиям внутреннего контроля; –насколько внутренний контроль эффективен. Состояние внутреннего контроля оценивается путем: –постоянного мониторинга операций (функция менеджмента) –отдельных периодических оценок (функция менеджмента и внутреннего и внешнего аудита) Частота и объем оценки зависит от: –существенности контролируемых рисков –значимости контрольных действий по снижению рисков

26 Бизнес-процессы и внутренний контроль Обсуждение Контроль: мифы и реальность

27 Бизнес-процессы и внутренний контроль Миф Факт Внутренний контроль начинается с установки сильных и строгих контрольных политик и процедур ? Собственником системы внутреннего контроля являются внутренние аудиторы ? Внутренний контроль охватывает только финансовые аспекты ? Со снижением уровня полномочий и уменьшением размера субъекта контроля меняются формы контроля ? Контроль. Мифы и реальность (1)

28 Бизнес-процессы и внутренний контроль Миф Факт Внутренний контроль - неизбежное зло. Приходится тратить время и отрываться от основной деятельности на заполнение форм и написание процедур ? Если контроль в компании достаточно силен, можно быть уверенным, что это является гарантией защиты от фактов мошенничества, и вся отчетность компании корректна и достоверна ? Контроль. Мифы и реальность (2)

29 Бизнес-процессы и внутренний контроль 2. Документирование и оценка СВК

30 Бизнес-процессы и внутренний контроль Документирование СВК: Блок-схема процесса «Закупки»

31 Бизнес-процессы и внутренний контроль Бизнес-процесс: Определения и характеристики

32 Бизнес-процессы и внутренний контроль Что такое бизнес-процесс? –Это повторяющийся набор действий, направленный на получение результата, имеющего ценность для потребителя.

33 Бизнес-процессы и внутренний контроль Характеристики бизнес-процесса Границы процесса Владелец Входы и выходы, ресурсы Поставщик и Клиент Участники Временные параметры процесса …

34 Бизнес-процессы и внутренний контроль Границы бизнес-процесса (1) Начало процесса: момент, в который совершается первое действие, относящееся к данному процессу. Окончание процесса: момент, в который завершено формирование результата процесса и его передача Клиенту.

35 Бизнес-процессы и внутренний контроль Владелец процесса Владелец процесса - должностное лицо: имеющее в своем распоряжении ресурсы: – человеческие, – информационные, – материальные; необходимые и достаточные для управления бизнес-процессом, управляющее ходом процесса; несущее ответственность за результаты и эффективность процесса. ОЧЕНЬ ВАЖНЫ Личностные качества, отношение к результату и эффективности процесса

36 Бизнес-процессы и внутренний контроль Поставщик и Клиент Поставщиком процесса называется субъект, предоставляющий необходимые для выполнения процесса ресурсы - как изменяемые при выполнении процесса, так и неизменяемые. Клиентом бизнес-процесса называется субъект, получающий результаты бизнес- процесса и определяющий критерии качества результата. –Внешний клиент находится за пределами организации. –Внутренний клиент находится в рамках той же организации.

37 Бизнес-процессы и внутренний контроль Входы и выходы процесса Входы процесса - материалы, информация и т.п., необходимые для выполнения процесса и изменяемые в процессе создания выхода (результата) процесса. Выходы процесса - измеримые результаты выполнения процесса, представляющие ценность для Клиента.

38 Бизнес-процессы и внутренний контроль Ресурсы бизнес-процесса Ресурсы находятся в распоряжении владельца бизнес-процесса и используются при его выполнении. При описании процесса под понятием «ресурсы» обычно объединяются те из них, которые не подвергаются изменениям при выполнении процесса. К ресурсам процесса могут быть отнесены: –информация –финансы –персонал (участники процесса) –оборудование –и т.п.

39 Бизнес-процессы и внутренний контроль Временные параметры процесса Временные параметры процесса являются одним из важнейших показателей процесса. К временным параметрам можно отнести: временные условия начала / окончания процесса –«каждую среду» –«с 8 до 8:30 утра» продолжительность выполнения –всего процесса –отдельных шагов продолжительность циклически выполняемых работ время как критерий принятия решений

40 Бизнес-процессы и внутренний контроль Процессное управление организацией

41 Бизнес-процессы и внутренний контроль Прохождение процесса по структуре

42 Бизнес-процессы и внутренний контроль Процессное управление организацией Управление организацией как системой взаимосвязанных процессов может называться процессным подходом к управлению.

43 Бизнес-процессы и внутренний контроль Функция vs. Процесс Функциональный подход Процессный подход Маркетинг Маркетинг, продажи, производство, логистика Фокус на сотрудниках «Делаю свою работу» Сотрудник разбирается в своей работе Меряем и оцениваем работу людей Изменения: меняем людей Можем найти лучшего сотрудника Мотивируем людей Кто допустил ошибку? Устранить ошибку! Фокус на сотрудниках «Делаю свою работу» Сотрудник разбирается в своей работе Меряем и оцениваем работу людей Изменения: меняем людей Можем найти лучшего сотрудника Мотивируем людей Кто допустил ошибку? Устранить ошибку! Фокус на процессах «Обеспечиваю результат» Сотрудник понимает место своей работы в процессе Меряем и оцениваем процессы Изменения: меняем процессы Можем улучшить процесс Устраняем барьеры Что позволило ошибке произойти? Как можно уменьшить число ошибок? Фокус на процессах «Обеспечиваю результат» Сотрудник понимает место своей работы в процессе Меряем и оцениваем процессы Изменения: меняем процессы Можем улучшить процесс Устраняем барьеры Что позволило ошибке произойти? Как можно уменьшить число ошибок?

44 Бизнес-процессы и внутренний контроль Описание бизнес-процессов

45 Бизнес-процессы и внутренний контроль Цели описания бизнес-процессов Для упорядочения деятельности Для последующей оптимизации Для тиражирования успешной практики …

46 Бизнес-процессы и внутренний контроль Описание бизнес-процессов Модель (описание) бизнес-процесса – это: –Графическое (карта процесса) и текстовое (процедура) описание того, как выполняется процесс. –Отражает: –Характеристики процесса (границы, ресурсы, владелец, временные параметры и т.п.) –Технологию выполнения процесса –Управление процессом –Входы / выходы процесса, поставщиков и клиентов –…

47 Бизнес-процессы и внутренний контроль Чем хорошо наличие описаний процессов? В процессе описания процесса улучшается понимание того, как протекает бизнес-процесс. При описании процессов происходит инвентаризация ресурсов, механизмы их распределения становятся более прозрачными и рациональными. При описании процессов вся деятельность организации представляется как набор цепочек «Поставщик-Клиент», что способствует повышению качества конечного результата и скорости работы.

48 Бизнес-процессы и внутренний контроль Чем хорошо наличие описаний процессов? При наличии описанной технологии (карта + процедура) выполнения процесса упрощается управление процессом – можно легко расставить контрольные точки и формализовать контроль. При наличии описания (карта + процедура) упрощается замена и обучение участников процесса, возможно быстрое тиражирование процесса. Что еще?

49 Бизнес-процессы и внутренний контроль Как описывать бизнес-процессы? Использовать принцип декомпозиции Использовать несколько источников информации Подвергать каждое описание критике

50 Бизнес-процессы и внутренний контроль Для описания больших процессов используют «принцип декомпозиции» Бизнес-процесс 1 Подпроцесс 1.1. Подпроцесс 1.1. Подпроцесс 1.2. Подпроцесс 1.3. Операция Операция Операция

51 Бизнес-процессы и внутренний контроль Принципы выделения бизнес-процессов Следует избегать излишней детализации – количество процессов / операций на каждой схеме должно быть таким, чтобы она легко читалась. Рекомендуется использовать реально существующие названия функций или работ. Не следует пытаться отразить все детали работы, это должно быть сделано на следующем уровне детализации. Важно отразить основную логику процесса, последовательность работ и вовлеченные в процесс ресурсы.

52 Бизнес-процессы и внутренний контроль Как описывать бизнес-процессы? Использовать принцип декомпозиции Использовать несколько источников информации Подвергать каждое описание критике

53 Бизнес-процессы и внутренний контроль Источники информации для описания процесса Документация: –Должностные инструкции –Описания процедур (если есть) –Отчетность –Данные информационных систем

54 Бизнес-процессы и внутренний контроль Источники информации для описания процесса Анкетирования и опросы: –Владельцев процессов –Участников процессов (обязательно!) –Поставщиков –Клиентов

55 Бизнес-процессы и внутренний контроль Источники информации для описания процесса Визуальные наблюдения: –Наблюдения за ходом процесса –Измерение временных параметров процесса (!) Важно документировать результаты наблюдений

56 Бизнес-процессы и внутренний контроль Обработка полученной информации

57 Бизнес-процессы и внутренний контроль Как описывать бизнес-процессы? Использовать принцип декомпозиции Использовать несколько источников информации Подвергать каждое описание критике

58 Бизнес-процессы и внутренний контроль Критика осуществляется с целью проверки описаний бизнес-процессов Рецензентами / критиками могут быть: –Аналитики, участвующие в описании процесса –Владелец процесса (обязательно!) –Участники процесса –Поставщик и Клиент процесса

59 Бизнес-процессы и внутренний контроль Как проверять описания? На непрерывность На полноту На непротиворечивость На адекватность процессу На соответствие стандарту На единство терминологии

60 Бизнес-процессы и внутренний контроль Типовые ошибки в ходе проекта по описанию бизнес-процессов Ошибки при планировании сроков работ по сбору и обработке информации Излишняя формализация процесса Несоблюдение стандарта описания Формальный подход к проверке адекватности описаний Затягивание процесса согласования и утверждения описаний Попытки улучшить процесс в момент его описания

61 Бизнес-процессы и внутренний контроль Взаимосвязь: бизнес-процессы - цели - риски Подпроцессы Подпроцесс 3.1 Подпроцесс 3.3 Подпроцесс 3.2 Цели подпроцесса … Цели подпроцесса достигнуты? Риски выявлены? Риски покрыты контрольными процедурами? Контрольных процедур достаточно? Рискообразующие факторы

62 Бизнес-процессы и внутренний контроль Практическая иллюстрация. Документация по процессам Документ Назначение Описание процесса и блок- схемы Краткое описание процесса, владельцев процесса, основных подпроцессов Матрица рисков и контрольных процедур Информация о рисках, присущих процессу, утверждениях руководства, соответствующих задачах контроля, проявлениях риска и контрольных процедурах Матрица контрольных процедур Данные об атрибутах контрольных процедур Матрица тестирования Информация о способе и результатах тестирования контрольных процедур Матрица недостатков Данные о выявленных недостатках контрольных процедур

63 Бизнес-процессы и внутренний контроль Пример: Блок-схема процесса «Закупки»

64 Бизнес-процессы и внутренний контроль Документирование контрольных процедур. Матрицы (1)

65 Бизнес-процессы и внутренний контроль

66 Бизнес-процессы и внутренний контроль Документирование контрольных процедур. Матрицы (2) Матрица рисков и контрольных процедур Матрица контрольных процедур Матрица тестирования контрольных процедур Матрица недостатков контрольных процедур

67 Бизнес-процессы и внутренний контроль Рационализация системы внутреннего контроля Целью рационализации является сокращение затрат компании на выполнение контрольных процедур и поддержание их эффективности, повышение эффективности процессов. –Возможность централизации контрольных процедур, их выполнение на уровне Группы –Возможность автоматизации контрольных процедур –Поиск путей автоматизации документооборота, более комплексной автоматизации процесса –Наличие излишних, дублирующих контрольных процедур –Шаги в рамках процессов, которые не приносят добавленной стоимости –Выявление нескольких точек ввода одной и той же информации

68 Бизнес-процессы и внутренний контроль Самооценка. Проект вопросника Вопросы для Владельца контроля Эффективность дизайна: Покрывает ли данный контроль соответствующие риски и цели контроля Документируется ли данный контроль? Оперативная эффективность: Выполнялся ли контроля с периодичностью, указанной дизайном в течение отчетного периода? Доказательства: Остаются ли доказательства выполнения контроля после каждого контрольного события ? Готовы ли вы предоставить доказательства выполнения контроля за последние 6 месяцев отчетного периода для независимой проверки? Изменения: Изменялся ли дизайн контроля и/или Владелец контроля в течение последних 6 месяцев отчетного периода? Если да, то задокументировали ли вы новый контроль и убедились ли в том, что он покрывает соответствующие риски и цели контроля? Ожидаете ли вы какие-либо изменения в будущем? Недостатки: Обнаружены ли новые недостатки в течении последних 6 месяцев отчетного периода? Разработан ли план по устранению этих недостатков? Согласованы ли планы по устранению недостатков? Общая оценка контроля: Эффективен ли данный контроль? Вопросы для Владельца процесса Изменения: Изменялся ли дизайн процесса и/или Владелец процесса в течение последних 6 месяцев отчетного периода? Ожидаете ли вы какие-либо изменения в будущем? Риск мошенничества: Были ли обнаружены какие-либо случаи мошенничества в течении последних 6 месяцев отчетного периода? Независимое тестирование: Производилось ли тестирование процесса Внутренними или Внешними аудиторами в течении последних 6 месяцев отчетного периода? Если процесс был оценен как неэффективный, был ли разработан план устранения недостатков? Общая оценка процесса: Эффективен ли данный процесс (существуют неисправленные недостатки среднего и высокого уровня)?

69 Бизнес-процессы и внутренний контроль 1. Руководство обладает разумной уверенностью в надежности и эффективности системы внутреннего контроля. 2. Внутренние аудиторы в рабочем порядке тестируют и оценивают эффективность контрольной среды 3. Внешний аудитор начинает анализ и тестирование соответствующих процессов и системы внутреннего контроля в рамках своей стратегии аудита 4. Владельцы процессов в рабочем порядке обеспечивают ведение документации и оценку процессов и контрольных процедур Концепция устойчивой системы ВК. Показатели успеха

70 Бизнес-процессы и внутренний контроль Выявление контрольных процедур (КП) Контроль ные процед уры Задачи контроля Действия, закрывающие / снижающие риск Снижение риска Факторы, которые могут привести к негативным последствиям Матрица контроль ных процедур Риски

71 Бизнес-процессы и внутренний контроль Документирование СВК: Контрольная Матрица

72 Бизнес-процессы и внутренний контроль Вопросы

73 Бизнес-процессы и внутренний контроль Спасибо