11) Определить ресурсы и стандарты, характеризующих состояние проводимых действий, необходимые для минимизации рисков, и достижения целей посредством процесса.
12) Выявить субъектов менеджмента или реального "владельца" процесса и роль процесса в реализации целей организаци, исходя из того, что управление объектом предполагает объединение контрольной информации на уровне одного субъекта, который наделен полномочиями и должен нести реальную ответственность за результат процесса с точки зрения целей
Обоснование цикла бизнес-процесса и выбор объектов контроля, по нашему мнению, можно проводить, на основе анализа зависимости его целей и возможных рисков. Схема анализа предполагает размещение:
• по вертикали – совокупность целей и задач, определяемых для функционирования элементов бизнес процесса и функционирующих в нем объектов при формировании услуги или продукта;
• по горизонтали – риски предопределенные для выделенных контрольных точек на основе анализа вероятности возникновения неблагоприятного или нежелательного события.
Установленный процесс описать и документировать с учетом его роли в достижении целей деятельности кредитной организации и анализа сопутствующих ему потенциальных рисков. Процедуры, составляющие процесс, должны быть разработаны, задокументированы и утверждены.
После первого блока разработки и формализации технологического бизнес-процесса следует второй блок определения рисков присущих выделенному бизнес-процессу.
Второй блок: идентификация и оценка рисков в процессах.
Для проведения эффективного технологического контроля необходимо, чтобы существенные риски, которые могут оказать отрицательное влияние на проведение бизнес-процесса, выявлялись и оценивались на постоянной основе, с одновременной оценкой существующих процедур контроля, эффективность которых предприятие планирует увеличить.
Данная оценка должна охватывать все риски, принимаемые на индивидуальной и консолидированной основе, и выявлять зоны риска и предопределяя, критические события, возможные к возникновению в той или иной зоне, способные стать причиной повышения уровня риска. В эти зоны следует встраивать контрольные процедуры и методы, виды и формы которых будут зависеть от выделенных зон и сделанных прогнозов и расчетов.
В рамках второго блока следует:
1) Выделить контрольные точки на основе анализа вероятности рисков возникновения неблагоприятного или нежелательного события.
2) Определить требования к формируемой контрольной информации в точках контроля на основе целей, критериев и функций контроля на данном уровне и в целом по системе управления, на основе оценки потенциальных рисков и допустимых величин отклонений, вероятных в ходе процесса.
3) Определить перечень внешних нормативных актов, которым нужно соответствовать, а также требования регулирующих законов, которые должны быть выполнены, и установить критичные области в информационном окружении, бизнес-процессах и инфраструктуре.
4) При идентификации рисков в процессах следует установить, насколько существующие процессы в компании рискованны с точки зрения невыполнения требований регулирующих законов.
Необходимо принимать во внимание все риски, способные привести к умышленному или случайному искажению финансовых данных и, соответственно, финансовой отчетности, а также к мошенничеству. Число рисков обусловливает объем проекта по построению системы внутреннего контроля. В дальнейшем уточнение качественных оценок операционных рисков проводится уже в рамках их количественной (стоимостной) оценки, требующей больших временных затрат. Поэтому ключевой задачей качественной оценки помимо определения значимости рисков является "отсечение" тех рисков, которые с высокой степенью вероятности не оправдают дальнейших затрат на их минимизацию или не влияют на критичную информацию. Идентификация рисков проводится на основании анализа детального описания процессов. По его результатам формируется список рисков, привязанных к процессам и функциям, где они были обнаружены. Процедура формирования этого списка основана на опросе экспертов и анализе процессов.
Оценка рисков производится на уровне бизнес-процессов, которые вызвали наибольшее беспокойство. Таким образом, предприятие "отфильтровывает" те контрольные процедуры, необходимость в которых на текущий момент не актуальна. Определяется эффективная стратегия минимизации и предотвращения рисков, при этом оценка рисков позволяет ранжировать их по степени критичности и исключить не опасные для компании риски. Управление всеми рисками экономически невыгодно для компании, поскольку для части рисков проще согласиться с убытками, чем создавать и внедрять контрольную процедуру. В данном случае чаще всего применяется метод качественных оценок, позволяющий ранжировать риски по критериям "вероятность" и "убытки" на основании экспертного мнения. Он используется для составления перечня (с использованием рейтинговых оценок) всех идентифицированных операционных рисков, которые актуальны для системы внутреннего контроля.
Минимизировать вероятность наступления риска либо его последствия можно посредством внедрения в текущие процессы контрольных процедур.
Третий блок: разработка и включение в бизнес-процесс контрольных процедур.
В рамках третьего блока следует для каждого цикла выявить приоритетные направления проверки исходя из особенностей деятельности организации. На основании классификации бизнес-процессов выявляются виды хозяйственных операций, подлежащие обязательной проверке.
Это могут быть:
типовые операции, совершаемые в процессе текущей деятельности;
• операции, наиболее существенные по объему;
• операции, нетипичные для основной деятельности организации;
• операции, связанные с финансовыми рисками.
На этом же этапе составляется перечень контрольных процедур.
Для обеспечения возможности проверки эффективности существующих и создаваемых контрольных процедур в процессах предусматривается формирование документального подтверждения выполнения всех требований контрольной процедуры. Разрабатывается порядок организации недостающих контрольных процедур.
Однако важно учитывать, что внутренний контроль должен быть регулярным процессом.
Последовательность процессов контроля должна соответствовать ходу определенного бизнес-процесса и обеспечивать превентивный, текущий и последующий контроля. Кроме того, в зависимости от обнаруженного недостатка необходимо воздействовать либо на процесс, либо на сотрудника, его выполняющего, поэтому для обеспечения оценки эффективности контрольных процедур должны создаваться документальные подтверждения работоспособности каждой контрольной процедуры – свидетельства контроля. Кроме того, важно определять четкую грань между необходимостью контрольных процедур и потерями, которые может принести их исполнение.
Принимая во внимание существующую тенденцию к перенасыщению процедурами внутреннего контроля всех этапов бизнес-процессов организации, главным направлением оптимизации данных процедур, по мнению автора, должна стать разработка принципиально новой концепции системы внутреннего контроля, основанной на транзитивности контрольных методов в контрольном процессе, позволяющей исключить множество промежуточных процедур, выявив опорные точки контроля. Речь идет о детальном анализе имеющихся контрольных процессов, в ходе которого можно идентифицировать различные процедуры, тестирующие составные элементы хозяйственной операции в одном и том же направлении. Таким образом, искусственно увеличивается трудоемкость процесса контроля за счет проведения процедур, по существу являющихся перекрестными. Целесообразной представляется аккумуляция их функций с последующей трансформацией существующих процедур, направленной на сокращение их общего количества и увеличение качества.
Прогнозируемый риск в процессе создания услуги или продукта должен быть проанализирован для выбора методов предупреждающего и выявляющего контроля и выявления допустимых величин риска, превышение которых предполагает блокировку действий, являющихся индикаторами контроля.
Для получения информации в ходе процесса следует внедрить методы измерения эффективности и результативности конкретных видов действий формирующих услугу и продукт в определенном процессе. Для этого наблюдение над проведением измерений соответствия действий формирующих услугу и продукт в определенном процессе закрепляется за конкретными исполнителями, участвующими в этом процессе и определяются средства, необходимые для предотвращения несоответствий и устранения их причин.
Таким образом, можно выделить правила организации технологического контроля интегрированного в бизнес-процесс, обеспечивающие оперативное получение полной и достоверной информации об отклонениях возникающих в процессе осуществления операций для регулирования или блокировки деятельности:
1. Контрольные процессы должен быть адекватными процессам, осуществляемым в организации при формировании услуг или продуктов.
2. Количество циклов процесса контроля определяется контрольными точкам, определяемыми в соответствии с целями проведения бизнес-процесса и функционирования объекта и предполагаемыми рисками возникновения неблагоприятного или нежелательного события на определенном этапе.
3. Каждый цикл процесса контроля должен встраиваться в технологические процессы организации, так чтобы обеспечивать автоматизм контроля, то есть включать различные приемы и методы контроля с учетом особенностей контролируемого объекта позволяющие оперативно формировать информацию о возникших отклонениях для регулирования или блокировки деятельности контролируемого объекта.
4. Последовательность встраиваемых процессов контроля должна обеспечивать предупреждение, выявление и устранение рисков нежелательных и неблагоприятных событий, то есть превентивный, текущий и последующий контроли
5. Контрольный процесс должен иметь системный характер, но при этом исключать тотальность и быть эффективным, что достигается на основе транзитивности видов контроля и целесообразности формируемой информации, отвечающей ряду параметров, таких как:
• контрольная информация формируется на протяжении всего процесса, начиная от постановки цели и формирования продукта и соответствующей ему услуги, заканчивая выявлением соответствия конечного продукта установленным для него параметрам качества и доходности;
• информация о соответствия конечного продукта установленным для него параметрам качества и доходности доводится до субъектов менеджмента или реального "владельца" процесса;
• информация о соответствии последовательных конкретных действий составляющих элементы процесса формируется по ходу совершения операций посредством методов встроенного контроля и используется для оперативного регулирования и внесения изменений или блокировки в случае выявления недопустимых отклонений.
10. Характеристика способов и методов контроля
Анализ проблем, возникающих при внедрении большинства организационных мероприятий, программ и нормативных документов показывает, что они не приносят желаемого результата из-за несовершенства или отсутствия в них механизмов контроля. Нерациональный механизм контроля не только снижает его эффективность, но способен парализовать и дезорганизовать работу, так как внимание и усилия направляются не на выполнение намеченных задач, а на контрольные мероприятия. Недопустимым является и внедрение тотального контроля вызывающего существенные затраты, небрежность и снижение личной ответственности исполнителя, предполагающего, что ошибки будут устранены в процессе проверки.
Контроль подразумевает отслеживание установленного в банке порядка проведения операций, для выявления степени их соответствия желаемым или нормативно установленным величинам и целям, т. е. эталонам, а также предотвращение или блокировку негативных событий и развитие положительных тенденций.
Механизм контролирования должен обеспечивать эффективный, непрерывный и постоянный процесс воздействия субъекта контролирования на бизнес-процессы и контрольные точки для обеспечения контроля собственно банковской и административно-хозяйственной деятельности. При этом, имея в виду разные ее уровни – от отдельных рабочих мест и проведения операций до итоговых параметров деятельности организации в целом и предусматривать средства контролирования за внешней средой.
Рассчитывать на предотвращение негативных событий, способных препятствовать достижению целей организации позволяет, прежде всего, обоснованный выбор используемых для проведения контролирования методов, приемов и средства контроля.
В качестве основного термина объединяющего по смыслу определения понятий: "метод", "способ", "прием", "средства", "инструмент", "процедура", нами выбрано понятие "способ контроля".
Автором уточнено определение понятия "способ контроля". "Способ контроля" – это целенаправленное действие, отдельный прием или операция, осуществляемые для выявления соответствия фактического состояния контролируемого объекта установленному для него стандарту или блокирующее нежелательное события.
Метод контроля – это совокупность способов контроля используемых в контрольном процессе.
Необходимо спроектировать и ввести в действие способы и методы контроля над процессами с целью обеспечить выполнение задач каждого процесса, включая оперативные задачи, задачи финансовой отчетности и соблюдения нормативных требований. Процессы контроля должны органично встраиваться в технологические производственные процессы, сопровождая их, для этого необходим анализ и обоснование перечня средств и методов контроля, которые позволяют обоснованно рассчитывать на предотвращение или обнаружение и исправление существенных ошибок.
Методы являются контрольными только в том случае, если они позволяют воздействовать на контролируемый объект и добиваться установления состояния определенного с учетом его роли в достижении цели или появления риска.
Каждому объекту и проблеме необходимы адекватные им способы и методы, которые формируются в зависимости от целевой функции контроля и допустимого риска. Выделяя приоритеты контролирования, или объекты (точки контроля) следует учитывать два момента:
повышенный риск, т. е. области, где риск ошибок наиболее высок,
значимость с точки зрения достижения цели его функционирования, т. е. целевое предназначение.
В настоящее время в контрольной деятельности используется достаточно широкий набор способов и методов для осуществления контроля, перечислить которые в полном объеме практически невозможно.
Способы, методы и процедуры проведения контроля непрерывно развиваются и совершенствуются с тем, чтобы постоянно и полно соответствовать изменяющимся хозяйственным условиям, минимизировать ошибки в деятельности, быть экономичными. Кроме того, встраивание контролирования в технологический и управленческий процесс предполагает наряду с использованием традиционных приемов, расширением и модификацией действующих, выдвижение на первый план новых приемов, помогающих предотвратить существенные риски. Синтез различных приемов и методов позволяет разрабатывать действенные методики реализации контроля. Говоря о средствах и методах контроля, необходимо четко представлять их классификацию в зависимости от целевого использования и их эффективности в уменьшении риска возникновения существенных ошибок и злоупотреблений.
Принимая во внимание, что средства и методы контроля необходимы для того, чтобы "держать ситуацию под контролем", т. е. иметь уверенность или информацию о том, что объект или ситуация не отклоняются от установленных нормативов или желаемого состояния, а при отклонении оно будет оперативно выявлено, зафиксировано и доведено до субъекта способного осуществить регулирование или заблокировано, перечень приемов для контроля достаточно широкий. Вместе с тем, контроль необходим если, нужно выявить факт соответствия целевым, плановым, нормативным параметрам, или в ситуациях, где возможны изменения или искажения параметров объекта (например, при передаче ценностей, переносе информации), имеется потенциал для хищения, потери или намеренных злоупотреблений. Потенциал или оценка возможной величины несоответствий, искажений или злоупотреблений является риском и определяющим фактором при выборе методов контроля.
Наиболее сложной проблемой системного встроенного контролирования является выбор области контроля или контрольных точек т. е. определить что и в каком объеме контролировать, и одними из главных направляющих критериев являются цели контролирования и экономическая эффективность осуществления контроля (т. е. соотношение затрат на проведение контроля и потенциальных потерь).
Однако проблему экономической эффективности осуществления контроля несмотря на всю ее очевидность разрешить нелегко, так как не всегда имеются условия для расчета соотношения таких затрат так как превентивность контроля снижает вероятность реальности таких расчетов. Кроме того фактические средств и методы контроля также могут использоваться неравномерно, например, использование хранилищ или сейфов, при сопоставимых затратах в них могут размещаться как слитки золота, так и упаковки с монетами.
Невозможно оценить результативность контролирования, учитывая, что его результатом может быть сохранение имиджа и высокой репутации организации, просто создание атмосферы, исключающей "желание" злоупотреблений. Кроме того, поддержание эффективности контрольной деятельности требует постоянного внимания к изменяющимся обстоятельствам и меняющейся операционной среде, включая рост использования информационной технологии, которая может сделать устаревшими и бесполезными существующие формы контроля и потребовать разработки и внедрения новых методов и средств.
Поэтому на первый план выходит проблема подбора средств и методов контроля, адекватных целям, функциям контроля по отношению к объекту контроля, т. е. построение механизма контролирования.
Для того, чтобы осуществить эффективный подбор и встраивание контролирования в технологический банковский процесс необходимо обладать достаточно широким набором различных средств и методов контроля, пригодных для применения в определенной контрольной ситуации и четко представлять их назначение с точки зрения выполняемых функций в контроле и потенциального результата.
При организации встроенного контролирования важно учесть, что превентивные средства позволяют эффективно предотвратить или уменьшить риск ошибки или злоупотребления, защитить от негативных явлений, прогнозировать возможные риски, распознавать и предотвращать явления негативные как по форме, так и по содержанию. Эти методы так же применимы при оценке окружающей среды и провоцируемых ею рисков, в том числе на раннем этапе их возникновения.
Использование средств обнаружения осуществлять контролирование бизнес-процессов и операций во время или после их проведения и оценивать выполнение задач соответствующего процесса, включая выявление ошибок или злоупотреблений. Средства обнаружения могут применяться к группе операций.
Акценты контроля в аудите смещаются с прямого исследования объекта контроля на оценку действующих методов контроля. Он должен сочетать методы прямого контроля и диагностики объекта контроля с методами мониторингового наблюдения на контрольными методами и приемами по отношению к этому объекту.