Контроллинг, управление соответствиями и внутренний контроль

Управление рисками и соответствиями требованиям предполагает удовлетворение требований всех заинтересованных сторон, с которыми взаимодействует компания. Такие требования могут быть внутренними или внешними, обязательными или принимаемыми добровольно, текущими или ожидаемыми в будущем. В любом случае компания должна достоверно определить соответствующие процессы, описать, распределить и оценить соответствующие риски, внедрить в бизнес-процессы соответствующую систему внутреннего контроля и наладить мониторинг ее эффективности. Активное законотворчество и рост числа нормативных требований все больше ограничивают автономию современных компаний. Соблюдение нормативных требований имеет колоссальное значение, так как несоответствие может повлечь за собой не только имиджевые риски для компании, но и штрафные санкции, ответственность топ-менеджеров, распространяющуюся на их собственные активы, и даже уголовное преследование. В этих условиях системы контроллинга, ориентированные на бизнес-процессы, позволяют компаниям отслеживать это соответствие и в случае возникновения проблем предлагать шаги, направленные на восстановление соответствия.

Проектируя систему внутреннего контроля, современным компаниям необходимо решить несколько задач:

• 1) сократить сложность;
• 2) гарантировать эффективное решение всех (не создающих добавленное качество) задач, связанных с обеспечением и демонстрацией соответствия;
• 3) обеспечить соответствие: ориентация на бизнес-процессы, а не разовые проекты;
• 4) вести непрерывный мониторинг этого соответствия.

В частности, большинство требований, предъявляемых законом Сарбейнс — Оксли, подразумевает создание соответствующих инструментов контроля в финансовых процессах компании. При проектировании этих инструментов очень важно не нанести ущерб эффективности процесса, постоянно учитывая его контекст.

Для управления соответствиями прежде всего необходимо определить и описать систему внутреннего контроля. При этом определяются правила, нормативные документы и законы, которые распространяются на компанию или которые она считает необходимым соблюдать, вытекающие из них требования, а также составляются необходимые корпоративные инструкции. Кроме того, связанные с этими требованиями риски документируются, соотносятся с бизнес-процессами и анализируются; также определяются меры по минимизации рисков и механизмы контроля.

Выбранные внешние и внутренние нормативные документы, вытекающие из них требования и риски инкорпорируются в бизнес-процессы с помощью инструментов моделирования ARIS.

Для обеспечения соответствия требованиям контрольные механизмы должны быть как минимум стандартизированы. Тем не менее их надежность гарантирована только при условии регулярного мониторинга их эффективности и общей конструкции, для чего и используются системы контроллинга. Большое значение имеет возможность получения данных контроллинга в соответствии с целевыми группам (топы, владельцы процессов, операционные менеджеры), а также для внутренних или внешних аудиторов.

Для мониторинга эффективности существующих мер по обеспечению соответствия, равно как и статуса процессов и организационных единиц, затронутых тестами и контрольными механизмами, необходимы КПР, а также быстрое извлечение и представление данных в доступном для восприятия формате.