Термин «контрольная процедура» используется весьма широко, как в различной специализированной литературе, так и в управленческой практике и даже в нормативных актах. Тем не менее, любая попытка дать этому термину определение оставляет ощущение некоторого недоумения, даже если речь идет о профильных публикациях.
Пусть и с некоторыми трудностями, но нам надо постараться понять терминологию для того, чтобы двигаться дальше. Современная методология систем внутреннего контроля, использующаяся в настоящий момент у нас в стране, является в основном заимствованной. Как в принципе и многое, что касается систем управления в современных экономических условиях в целом. По этой причине основной объем соответствующей терминологии также имеет иностранное происхождение. В ряде случаев даже не стали утруждать себя попытками перевода заимствованных терминов — маркетинг, ковенанты, хеджирование, опцион, аудит, деривативы, таргетирование, кэш, «мыло» и многие другие. Это не говоря уже о том, что существует продолжение этой практики в более специализированном формате (например, в рамках отдельных профессий — пи эн эль, кэш-флоу, реконсалить, фронт-ран, сейлзы, приатачить, чекнуть и т.д.). По этой причине нам нужно для начала разобраться с тем, как была адаптирована оригинальная терминология, так как в ряде случаев не всегда удалось полностью сохранить исходный смысл.
Термин «контрольная процедура» является прямым переводом термина «control procedure», который существует в английском языке довольно давно. Наряду с данным термином также существует термин control activities. И вот в этом месте начинается небольшая лингвистическая путаница. Дело в том, что слово activity (в единственном числе) переводится на русский язык в основном как «деятельность, активность, действие, работа». Соответственно, слово activities, которое представляет собой слово activity во множественном числе, должно вроде бы по накатанной переводиться соответствующими русскими словами во множественном числе. Но из вышеприведенных вариантов перевода наиболее благозвучно будет звучать только словосочетание «контрольные действия». Мы не говорим «контрольные активности» или «контрольные деятельности». По какой-то причине словосочетание «контрольные действия» все никак не приживается в русскоязычной профессиональной литературе, что отчасти объяснимо. Все дело в особенностях как русского, так и английского языков. Именно по этой причине словосочетания control activities и «контрольные действия» имеют разные смысловые оттенки. Забавно, но словосочетание «действия по контролю» имеет почти такой же смысловой оттенок, как и control activities, но, в отличие от последнего, используется только ситуативно в составе предложения, а не как устойчивое самостоятельное словосочетание (т.е. термин). В попытке преодолеть все эти лингвистические разночтения, в материалах по теме внутреннего контроля на русском языке принято переводить словосочетание control activities как «контрольные процедуры», что несколько искажает его смысл. Кроме того, в английском языке есть отдельное словосочетание control procedure, которое буквально и означает «контрольная процедура». Также при переводе с английского языка на русский отдельных фундаментальных материалов по теме внутреннего контроля, к сожалению, переводчики проявили излишнее рвение. Его результатом стало появление термина «средства контроля» (в попытке перевести слово controls как действие). Кроме того, словосочетания «процедуры контроля», «контрольные процедуры», «средства контроля» и слово «контроли» стали взаимозаменяемыми вне зависимости от того, какое словосочетание использовалось в оригинальном источнике на английском языке. В такой ситуации про серьезные опечатки не стоит и упоминать.
Итак, для того чтобы лучше понимать материал, изложенный в данной книге, вся основная «контрольная» терминология приведена в табл. 5.
Таблица 5
Вариант термина на английском языке | Аналог термина на русском языке |
Control procedure (ед. число) | Контрольная процедура, контроль |
Controls (мн. число) | Контроли |
Control activities (мн. число) | Контроли |
Internal control (ед. число) | Внутренний контроль, контроль |
За данным решением, как ни странно, скрывается определенная логика, а именно:
Все вышесказанное означает, что понятия control procedure («контрольная процедура»), control activity («контрольное действие») и control («контроль» как действие) в принципе являются взаимозаменяемыми. В первую очередь эта взаимозаменяемость обусловлена тем, что все они по сути являются процессами или, точнее, бизнес-процессами, цель которых заключается в обеспечении контроля. Слова «внутренний контроль» и «контроль» в рамках данной книги практически всегда идентичны по смыслу (особенно когда речь идет о бизнес-процессе), просто с целью экономии места и времени читателя слово «внутренний» часто опускается. Для обозначения основного элемента систем внутреннего контроля (СВК) выбор пал на термин «контрольная процедура» как по причине большего удобства с точки зрения русского языка, так и возможности использовать короткую аббревиатуру «КП» (опять же, экономим место в книге и ваше время).
Итак, как уже говорилось, любая СВК в значительной мере представляет собой совокупность контрольных процедур (далее КП). Каждая КП представляет собой особый бизнес-процесс, обладающий некоторыми особенностями по сравнению, так скажем, с обычными бизнес-процессами, а именно:
Любая КП состоит из трех ключевых процессов, а именно:
По-хорошему, любая КП также должна сопровождаться специальным бизнес-процессом — «Управление девиациями / Корректировка БП» (см. рис. 6). При использовании автоматизированных систем данный БП часто вообще интегрирован с КП и соответствующим бизнес-процессом. Но в большинстве случаев структурно и функционально БП «Управление девиациями / Корректировка БП» является отдельным БП, а не частью КП или даже соответствующего бизнес-процесса.
Планирование. В ходе выполнения данного процесса формируются ожидания относительно воздействия конкретной КП на различные объекты контроля в рамках конкретного бизнес-процесса. При планировании самого БП должны определяться характеристики недопустимых девиаций объекта контроля. В рамках выполнения специального БП «Управление девиациями / Корректировка БП» по возможности разрабатываются максимально детализированные варианты реагирования на возникновение данных девиаций. Если КП отсутствует полностью или частично, то в ходе выполнения процесса «Планирование» она создается заново либо вносятся различные изменения в уже существующую КП.
Измерение/оценка выхода. Данный процесс является неотъемлемым для любой КП. Термин «измерение», как и термин «оценка», используются в самом широком смысле. Другими словами, речь идет о любых измерениях и/или оценках соответствующих параметров объекта контроля, начиная с использования каких-либо инструментов или приборов вроде датчиков, линеек, весов, тепловизоров и т.д. (или даже человеческих органов чувств) и заканчивая применением различного рода аналитических методов и экспертных оценок и суждений. Основная цель данного процесса заключается в создании и/или получении фактической информации об объекте контроля для ее последующего сравнения с ожидаемой информацией (в форме планов, прогнозов, калькуляций, коэффициентов, нормативов, расчетов и т.д.). В этой связи любой контроль является процессом по созданию информации. Поэтому необходимо не только предпринимать усилия для обеспечения работы КП как бизнес-процесса, но также и обеспечить грамотное управление одним из ключевых результатов ее функционирования — информации. Это означает необходимость обеспечения как минимум ее целостности, достоверности и сохранности.
На рис. 6 показано, что выход из бизнес-процесса поступает сначала в процесс «Измерение/оценка выхода», а затем в последующие бизнес-процессы. Но это лишь один из двух основных вариантов построения взаимодействия КП и бизнес-процесса. Процесс «Измерение/оценка выхода» может выполняться как последовательно относительно бизнес-процесса, так и параллельно.
Сопоставление/сравнение. Это ключевой и неотъемлемый процесс для любой КП, в нем заключается вся суть контроля. В рамках процесса «Сопоставление/сравнение» фактическая информация, полученная в ходе выполнения процесса «Измерение/оценка», сопоставляется или сравнивается с ожидаемой информацией (элемент схемы «БД параметров выхода» на Рисунке 6). Для обеспечения возможности оценки эффективности конкретной КП результаты сопоставления/сравнения необходимо сохранять. Именно на данном этапе оценивается степень достижения одной или нескольких ключевых целей контроля (обоснованность, точность, полнота, своевременность, соответствие и сохранность). В результате выполнения процесса «Сопоставление/сравнение» формируется полная информация о девиациях объекта контроля, включая недопустимые. Информация по недопустимым девиациям направляется в процесс «Управление девиациями / Корректировка БП» для принятия решения о дальнейших действиях в отношении как девиаций, так и самого БП и выполнения данных действий.
Управление девиациями/Корректировка БП. При отсутствии недопустимых девиаций бизнес-процесс продолжает свою работу без какого-либо вмешательства. Если выявляются недопустимые девиации, то возможны четыре основных сценария развития событий, которые схематично изображены на рис. 7.
Сценарий 1 (Игнорирование девиаций — Изменение БП). При этом сценарии для конкретных недопустимых девиаций никаких действий не осуществляется. При этом происходит относительно оперативное (порой мгновенное) вмешательство в бизнес-процесс с целью внесения изменений, которые способны устранить дальнейшие недопустимые девиации. Такого рода сценарий в первую очередь свойственен автоматическим системам, так как мгновенное вмешательство в бизнес-процесс предполагает наличие определенных предустановленных алгоритмов реагирования и соответствующей скорости реакции. В ряде случаев изменения также могут осуществляться и в ручном режиме. Сценарий 1 широко используется в производственных процессах. Когда фиксируются недопустимые девиации в параметрах полуфабрикатов или готовой продукции, то в первую очередь вносят изменения в технологический процесс — меняют режимы работы оборудования, увеличивают или уменьшают подачу материальных компонентов и т.д. Игнорирование недопустимых девиаций (при условии внесения изменений в БП) можно позволить в том случае, если они в целом не приводят к выходу результатов БП за определенные рамки (например, допустимая погрешность).
Сценарий 2 (Удаление носителя девиаций). При этом сценарии так же, как и в Сценарии 1, не происходит прямого воздействия на сами недопустимые девиации. Вместо этого из бизнес-процесса удаляется объект (обычно материальный), в структуре и/или содержании которого данные девиации были обнаружены. Обычно дальнейшее использование таких объектов в цепочке последующих бизнес-процессов либо физически невозможно, либо может привести к недопустимым девиациям в них. Дальнейшая судьба такого объекта зависит от наличия вариантов его дальнейшего использования. Наиболее типичным примером использования Сценария 2 является производственный брак.
Сценарий 3 (Устранение девиаций). В рамках данного сценария предпринимается попытка прямого воздействия на недопустимые девиации в рамках бизнес-процесса. Например, если руководитель замечает в отчете ошибку, то он возвращает данный отчет на доработку. Для использования данного сценария имеет значение наличие физической возможности для устранения девиаций, а также возможности дальнейшего использования объекта — носителя девиаций по прямому назначению. Кроме того, устранение девиаций должно быть еще и экономически целесообразным. Иначе есть основания пойти по Сценарию 2.
Сценарий 4 (Удаление носителя девиаций / Устранение девиаций — Изменение БП). Данный сценарий является максимально комплексным и эффективным в средне- и долгосрочной перспективе. Последнее уточнение важно, так как порой все равно возникает необходимость в дополнительных расходах, связанных как с удалением носителя девиаций / устранением недопустимых девиаций, так и с внесением изменений в бизнес-процесс.
Общим для всех упомянутых сценариев является потребность в дополнительных расходах, связанная с возникновением недопустимых девиаций, причем не только с точки зрения материальных и трудовых ресурсов, но и времени. Также необходимо учитывать параметры упущенной выгоды, которые также связаны именно с фактором времени. Поэтому, при выборе, допустим, между Сценарием 2 и 3 могут чаще склоняться к выбору Сценария 2, так как он требует меньших затрат ресурсов, а также имеет обычно меньшую величину упущенной выгоды.
Также при любом из четырех сценариев высока вероятность возникновения дополнительных расходов, связанных не только с недопустимыми девиациями, но и с их последствиями. Данное обстоятельство существенно усложняет общую картину выбора, так как количество сценариев возрастает с четырех до как минимум восьми. При этом негативные последствия могут возникнуть не только в исходном бизнес-процессе, но также и в последующих. Это связано как с изменением параметров работы исходного бизнес-процесса, так и с попаданием объектов — носителей недопустимых девиаций в последующие бизнес-процессы.
Разумеется, максимальная эффективность любой СВК достигается в случае Сценария 1 и Сценария 4, так как в них происходит изменение самого бизнес-процесса. Другими словами, здесь наблюдается стремление воздействовать на причину, а не на следствие проблемы. С точки зрения теории систем, при настойчивом использовании исключительно Сценария 2 и/или Сценария 3 (возможно, даже Сценария 5 — игнорирование девиаций и точка) создаются усиливающие петли обратной связи, и они являются совсем не созидательными. В соответствии с теорией систем, при отсутствии изменений бизнес-процесса как реакции на недопустимые девиации, он начинает утрачивать функциональность. Часто ситуацию спасает лишь то, что, в соответствии с той же теорией систем, на бизнес-процесс также действуют балансирующие петли обратной связи, которые могут остановить его деградацию на определенном этапе (так бывает не всегда). Например, в ряде случаев бизнес-процессы не разваливаются окончательно, так как дают возможность владельцу бизнес-процесса реализовывать свои личные замыслы. Но такие бизнес-процессы всегда далеки (порой бесконечно) от своей максимальной эффективности.
Разумеется, для создания КП недостаточно знать только то, что она состоит из трех процессов. Не слишком эффективно и прямолинейное копирование КП, используемых другими организациями во внешне аналогичных обстоятельствах. Структура и содержание любой КП диктуется особенностями объектов контроля, а значит, структурой и содержанием обычных бизнес-процессов. При общей схожести бизнес-процессов в разных организациях они почти всегда различны в деталях. Также следует понимать, что часто при создании КП требуется тонкая настройка, в том числе после ввода КП «в эксплуатацию». И это нормально. Более детально мы разберем процесс создания КП в следующей главе. Сейчас же нам важно разобраться с особенностями построения процессов «Измерение/оценка» и «Сопоставление/сравнение».
На схеме КП на рис. 6 данный процесс следует после бизнес-процесса, в рамках которого находится объект контроля. Если быть точнее, то объектом контроля может выступать как параметр бизнес-процесса, так и результат его функционирования. Но с точки зрения контроля изменение параметра бизнес-процесса — это частный случай результата его функционирования. Данный нюанс не оказывает существенного влияния, но знать о нем нужно. Более важен тот факт, что с точки зрения хронологии (а значит, и последовательности действий) процесс «Измерение/оценка» всегда располагается после бизнес-процесса, в ходе выполнения которого появляется объект контроля. Термин «измерение» относится больше к выполнению простых действий, результаты которых во многом основываются на прямом восприятии информации человеком с помощью органов чувств. Термин «оценка» относится к восприятию и обработке информации с акцентом на использование сознательных умственных усилий. Обратите внимание на табл. 6 и 7.
В табл. 6 перечислены основные действия по измерению и простой оценке (с некоторым использованием аналитического мышления, часто интуитивного характера). Обратите внимание, что разные действия позволяют достичь разных целей контроля. В целом действия по измерению и простой оценке не являются взаимозаменяемыми, но в ряде случаев это возможно без потери эффективности. Например, свежесть некоторых продуктов можно оценить как с помощью обоняния, так и визуально. Рассмотрим содержательную часть каждого действия по измерению или простой оценке:
Таблица 6
В табл. 7 перечислены основные действия по сложной оценке, которые в отличие от действий, перечисленных в табл. 6, связаны с необходимостью широкого использования сознательных умственных усилий. Опять же, действия по сложной оценке не являются взаимозаменяемыми, но в ряде случаев это возможно. Зачастую сложная оценка — вынужденная мера. Например, краш-тест автомобиля можно смоделировать на компьютере, но в силу многофакторности взаимодействия автомобиля с препятствием и связанной с ней неопределенностью лучше провести данный тест в реальности. Выполнение сложной оценки предъявляет повышенные требования к профессиональной подготовке ее исполнителя. Сложная оценка дороже и продолжительнее простой. Поэтому решение о проведении сложной оценки может приниматься после проведения простой оценки, которая в том числе может позволить оценить экономическую целесообразность сложной оценки. Рассмотрим содержательную часть сложных оценок:
Таблица 7
В результате функционирования процесса «Измерение/оценка» с использованием 13 простых методов измерения и простой оценки и восьми сложных методов оценки, мы получаем информацию об объекте контроля. По сути, весь процесс «Измерение/оценка» является подготовкой к выполнению процесса «Сопоставление/сравнение» — Amat victoria curam. Оба процесса тесно взаимосвязаны, и порой настолько, что происходят почти одновременно, хотя присутствует хронологическая последовательность. Например, при сортировке овощей или фруктов сортировщик за доли секунды визуально определяет состояние плода по внешним признакам (процесс «Измерение/оценка») и принимает решение оставить его или убрать (процесс «Сопоставление/сравнение» плюс, кстати, специальный БП «Управление девиациями / Корректировка БП»). Также процесс «Сопоставление/сравнение» тесно взаимосвязан с процессом «Планирование», так как эталон для сравнения создается именно при выполнении последнего. При этом необходимо понимать, что параметры эталона определяются в первую очередь требованиями к объекту контроля со стороны бизнес-процесса, но необходимо учитывать и возможности процесса «Измерение/оценка». Например, если вы хотите в десятилитровое ведро набрать только пять литров воды, то без наличия соответствующей шкалы на самом ведре или других вариантов измерений вашим эталоном станет некая «середина ведра», которая весьма вероятно будет находится не совсем там, где могла бы быть отметка «5 литров». В табл. 8 перечислены основные методы выполнения процесса «Сопоставление/сравнение».
Таблица 8
Давайте разберемся в том, что представляет собой каждый из них:
Как бы ни отличались в деталях все методы выполнения процесса «Сопоставление/сравнение», в основе каждого из них лежит сравнение. Последнее в свою очередь является основой любого контроля, но не возможно без выполнения процесса «Измерение/оценка». По этой причине в дальнейшем мы будем называть связку процесса «Измерение/оценка» и процесса «Сопоставление/сравнение» контрольным действием (далее КД). Еще неизвестно, приживется ли в деловой среде данный термин или нет (сложно сказать, насколько это реально необходимо), но для восприятия и понимания дальнейшего материала точно будет полезен.
Итак, мы разобрались, что ключевым элементом процесса «Измерение/оценка» являются 13 простых методов измерения и простой оценки и восемь сложных методов оценки, а ключевым элементом процесса «Сопоставление/сравнение» — пять методов сравнения. Однако этого не совсем достаточно для создания полноценной КП. Здесь можно привести аналогию с автомобилем, при этом методами измерения, оценки и сравнения являются кузов, колеса, руль, сидения и прочие крупные элементы автомобиля. Но любой автомобиль, если верить Википедии, состоит в среднем из 15 000–20 000 деталей. Что касается КП, то хорошая новость в том, что количество «деталей» в ее составе несколько меньше — где-то в пределах 100. В применении к КП деталь — это вопрос, на который необходимо дать ответ для того, чтобы создать более-менее полноценную КП. Процесс «Планирование» как раз и предназначен для этого.
Вот и наступил самый подходящий момент для введения термина «дизайн КП», который активно используется в профессиональной среде специалистов по внутреннему контролю. У данного термина есть два значения. С одной стороны, дизайн — это процесс создания КП. С другой стороны, он является структурой и содержанием КП, то есть во многом результатом процесса создания КП. В табл. 9 перечислены ключевые элементы дизайна любой КП. В ней каждый элемент дизайна КП рассматривается с точки зрения направления развития (или тренда) своей эффективности (то есть максимизации результата при минимизации затрат). Таким образом, для каждого элемента дизайна КП существуют условия, при которых эффективность КП либо увеличивается, либо снижается при (!) прочих равных. Это крайне важный момент для правильного понимания содержания табл. 9. На практике в некоторых ситуациях конкретные условия могут оказывать иное влияние на эффективность КП, в том числе и противоположное по сравнению с указанным в табл. 9. Например, возьмем элемент № 53, техподдержку. Обычно техподдержка требует дополнительных затрат, что в целом увеличивает стоимость контроля. Поэтому наличие техподдержки при (!) прочих равных снижает эффективность КП. Однако увеличение расходов на техподдержку может кратно улучшить результаты контроля и таким образом увеличить эффективность КП. Другими словами, в табл. 9 элементы дизайна КП распределены по колонкам исходя из своего первоначального влияния на эффективность КП.
Правильный подход к использованию методологии, приведенной в табл. 9, следующий. Необходимо изначально стремиться к тому, чтобы дизайн КП соответствовал параметрам из колонки «Тренд на увеличение эффективности». Также необходимо периодически проводить анализ соотношения затраты/выгоды в отношении дизайна КП (как отдельных КП, так и групп КП в совокупности) как на этапе создания КП, так и в процессе ее функционирования. Результаты данного анализа являются основанием либо для сохранения исходного дизайна КП, либо для внесения в него изменений. Вполне возможно, что в определенных ситуациях окажется, что с точки зрения эффективности более предпочтителен противоположный вариант дизайна КП, особенно когда важен результат, невзирая на расходы. Тема многофакторных моделей оценки дизайна КП выходит за рамки данной книги, так как в таких моделях многое зависит от конкретных особенностей организации. Тем не менее, в Таблице 9 представлен именно практический инструмент, достаточный для создания эффективных КП, как минимум, в соответствии с принципом Парето. Больше информации по теме создания КП содержится в главе «Создание контрольных процедур».
Таблица 9
Тренд на увеличение эффективности | Тренд на снижение эффективности | Комментарии | |
1 | Используется первичная информация | Используется готовая информация | Любой контроль — это в первую очередь работа с информацией. Базовая структура КП предполагает, что такая информация будет создаваться внутри самой КП, за счет выполнения КД. Но так происходит не всегда. В ряде случаев КП использует информацию из внешнего по отношению к ней источника, то есть использует уже готовую информацию. Например, когда вы сопоставляете цены на свою продукцию с ценами конкурентов, информация по ценам конкурентов берется со стороны — из данных таможенной статистики, информационно-аналитических агентств, прайс-листов и т.д. Ключевым вопросом в этом случае является вопрос достоверности, актуальности, сопоставимости, точности и полноты готовой информации. Чтобы ответить на этот вопрос, необходимы отдельные КП в отношении контроля качества готовой информации |
2 | Постоянный эталон для выполнения контроля | Переменный эталон для выполнения контроля | Эталон для сравнения формируется при выполнении процесса «Планирование» и используется в процессе «Сопоставление/ сравнение». Бывает, что эталон остается неизменным длительное время, например параметры полуфабрикатов или готовой продукции. Зачастую изменения эталона более динамичны (например, цены на готовую продукцию), что влечет за собой необходимость периодической тонкой настройки КП, а значит, и дополнительных расходов |
3 | Простые параметры девиаций | Сложные параметры девиаций | Чем сложнее задача с точки зрения исполнения, тем больше вероятность ошибок и просчетов. Но нередко сложных параметров девиаций просто нельзя избежать. Например, организация при закупках может ориентироваться исключительно на цену (часто это, мягко говоря, недальновидно), и это будет простой параметр девиаций. Но стоит добавить в уравнение хотя бы качество, и выбрать поставщика станет сложнее. А обычно ценой и качеством не ограничиваются — есть еще бесперебойность поставок, возможность кастомизации, особенности доставки и т.д. |
4 | Контроль не требует создания существенной дополнительной инфраструктуры | Контроль требует создания существенной дополнительной инфраструктуры | Ряд КП вы можете начать делать без длительной подготовки. Однако для выполнения многих КП необходимо сначала создать соответствующую инфраструктуру — определить и подготовить место проведения контроля, закупить и настроить необходимое оборудование, ИТ-системы, сформировать методологию проведения КП, создать систему отчетности, выстроить управление КП и взаимодействие с владельцами БП и т.д. Разумеется, при этом необходимо понести и определенные дополнительные затраты, в том числе и капитального характера. Также все эти действия потребуют дополнительного времени |
5 | Без применения инструментов | Применяются инструменты | Отсутствие необходимости приобретать инструменты для выполнения контроля означает отсутствие дополнительных расходов на контроль (сами инструменты, расходы на обучение, расходы на эксплуатацию и т.д.). Но порой использование инструментов будет все равно необходимо (например, для контроля строительных работ), так как без них эффективность контроля снизится |
6 | КП не требует изменения организационной структуры | КП требует изменения организационной структуры | В ряде случаев КП будет работать только при внесении тех или иных изменений в оргструктуру организации. Например, если служба качества находится в подчинении директора по производству, то для ее эффективной работы она должна быть подчинена напрямую генеральному директору. Изменение оргструктуры связано не только с дополнительными затратами, но также может приводить к временному снижению, условно, КПД бизнес-процессов |
7 | В рамках существующей ответственности | Сверх существующей ответственности | В идеале КП органично вписывается в БП и для ее функционирования в него не приходится вносить каких-либо существенных изменений. Но так бывает не всегда, и это нормально — как мы уже знаем, контроль является инородным элементом для БП. Если новая КП влияет на сложившуюся структуру полномочий и обязанностей, то это может потребовать внесения изменений в бизнес-процесс помимо внедрения самой КП. Но и в этом случае контроль может забуксовать. Например, если сотрудника «нагружают» еще и обязанностью выполнять КП, что идет в разрез с его должностной инструкцией, и при этом, например, оплата труда не изменяется, то весьма вероятно, что он не будет испытывать особого желания выполнять новые обязанности |
8 | Разработана детальная методология выполнения контроля | Отсутствует детальная методология выполнения контроля | Мало какие КП можно эффективно выполнять без соответствующей подготовки. Особенно если речь идет о сложных КП как с технической (сложные действия), так и с организационной (много участников) и структурной (много шагов процесса) точки зрения. В этом случае наличие детально проработанных методик в письменной форме будет очень полезным. В том числе и для внесения дальнейших изменений в КП |
9 | Альтернативные варианты выполнения контроля разработаны и готовы к применению | Альтернативные варианты выполнения контроля отсутствуют | Эффективное управление подразумевает в том числе наличие планов на случай непредвиденных обстоятельств (contingency planning, англ.), что является частью системы обеспечения непрерывности деятельности организации (business continuity planning, англ.). В отношении ряда КП будет разумно обеспечить запасные варианты их выполнения как минимум временного характера |
10 | Каналы передачи данных защищены от воздействия | Каналы передачи данных не защищены | В основе контроля лежит процесс создания информации. Разумеется, данная информация может передаваться как от процесса «Измерение/оценка» в процесс «Сопоставление/сравнение», так и по другим направлениям. При этом рано или поздно найдется желающий немного изменить ее содержание. Необходимо предпринимать меры по защите от подобного вмешательства |
11 | Без дополнительной оплаты труда | Дополнительная оплата труда | Внедрение новой КП без дополнительных расходов на оплату труда повышает эффективность. Хотя это не всегда целесообразно |
12 | Контроль создается и выполняется в рамках существующего бюджета | Для создания и выполнения контроля необходимо увеличение бюджета | Иногда внедрение контроля вполне может пройти незамеченным для бюджета. Но чаще, конечно, возникает необходимость нести дополнительные расходы, возможно, с увеличением расходной части бюджета и проведением всех соответствующих процедур по его пересмотру |
13 | Найм дополнительного персонала не требуется | Требуется найм дополнительного персонала | Найм дополнительного персонала влечет за собой увеличение прямых расходов, а также увеличение трудоемкости и косвенных расходов в ряде БП (обучение, инструктаж, охрана труда, обеспечение СИЗ, контроль качества работы и т.д.) |
14 | Создание контроля занимает минимум времени | Создание контроля занимает существенное количество времени | Чем быстрее получится внедрить КП, тем быстрее она принесет результат. Хотя порой бывают ситуации, когда «лучше день потерять, зато потом за пять минут долететь» |
15 | Создание контроля не требует внешней экспертизы | Создание контроля требует внешней экспертизы | Привлечение внешней экспертизы требует дополнительных расходов, но способно существенно восполнить пробелы в соответствующих знаниях и навыках. Также необходимо учитывать риски, связанные с работой с внешними экспертами, в основном по линии взаимоотношений принципала и агента. Вообще большинство подрядчиков часто стремится к «легким деньгам». Поэтому надо быть настороже, особенно когда начинается песня про незаменимость |
16 | Для выполнения контроля требуется исключительно внутренняя информация | Для выполнения контроля требуется исключительно внешняя информация | Информация, создаваемая внутри организации, при прочих равных более надежна и прозрачна по сравнению с информацией, поступающей извне. Также она условно бесплатна. Но для выполнения ряда КП придется использовать внешнюю информацию (например, данные о конкурентах, рынках сбыта продукции, характеристиках покупателей и т.д.). В этом случае необходим контроль достоверности, актуальности, сопоставимости, точности и полноты внешней информации |
17 | Владелец БП отличается от владельца КП | Владелец БП и владелец КП совпадают | См. раздел «Нюансы КП» далее в этой главе |
18 | Для выполнения контроля не требуется внешняя экспертиза | Для выполнения контроля требуется внешняя экспертиза | В ряде ситуаций организация может не обладать собственными возможностями по выполнению конкретной КП (временно или постоянно). В этом случае выполнение КП либо приостанавливается, либо производится силами сторонней организации (полностью или частично) |
19 | Коллективное выполнение (один или несколько человек из группы) | Персональное выполнение (только конкретный человек) | Взаимозаменяемость исполнителей КП обеспечивает непрерывность контроля. Любая система, завязанная на конкретного человека, уязвима. Но иногда контроль может требовать настолько специфичных навыков, что выбора особо не остается. Тем не менее, необходимо всячески избегать ситуаций зависимости от конкретного исполнителя КП |
20 | Часто | Редко | Речь идет о частоте выполнения КП в единицу времени или в привязке к какому-либо действию или событию, что опосредовано также является привязкой ко времени. Например, патруль обходит периметр предприятия 1 раз в час — это привязка ко времени. Или, например, служба приемки сырья проводит оценку качества и количества каждой поставки сырья, поступающего от недобросовестного поставщика, — это привязка к событию |
21 | Постоянно | Периодически | Речь о непрерывности выполнения КП. Простой пример — многие КП перестают выполняться ночью. При этом некоторые БП, в отношении которых действуют данные КП, могут в это время работать. Это может приводить к ситуациям, например, когда вред организации стараются нанести именно в период бездействия СВК |
22 | Есть автозапуск на старт КП | Отсутствует автозапуск на старт КП | Выполнение многих КП зависит от инициативы конкретных сотрудников. Захотели — сделали как полагается, не захотели — и так сойдет. Необходимо создавать механизмы автозапуска КП, имеющие минимальную зависимость от человеческого фактора |
23 | Контроль в момент действия | Контроль после действия | Речь идет об общем принципе обеспечения своевременности. При этом необходимо помнить, что контроль может быть выполнен ТОЛЬКО после того, как сформируется его объект (результат БП). Необходимо стремиться к тому, чтобы контроль проводился, как только появляется возможность для его выполнения. Промедления с выполнением КП увеличивают вероятность того, что на ее результаты негативно повлияют сторонние факторы. Также необходимо учитывать, что у результатов контроля всегда есть срок годности — часто они могут принести пользу сегодня, но уже завтра оказываются бесполезными |
24 | Контроль требует минимум времени на выполнение | Контроль требует время на выполнение | Все просто — чем быстрее, тем лучше, но не в ущерб качеству, ради которого часто лучше взять паузу |
25 | Контроль навсегда | Контроль на какое-то время | Каждая КП должна создаваться надолго, то есть все должно быть основательно и серьезно. Также надо понимать, что в отношении любого контроля «надолго» означает «до тех пор, пока выполнение контроля способствует повышению эффективности БП». Если создавать контроль по принципу «и так сойдет», то и отношение к нему и польза от его выполнения (если он вообще заработает) будут соответствующими |
26 | Адаптивный контроль | Статичный контроль | Хороший контроль должен обладать способностью к самонастройке в зависимости от динамики объектов контроля. Часто многое зависит от исполнителя контроля и его стремления к эффективному выполнению своей работы. Необходимо помнить, что рано или поздно статичные контроли перестают работать |
27 | Контроль многозадачен | Контроль однозадачен | Контроль, который позволяет достичь одновременно более чем одной цели контроля (если это, конечно, необходимо), лучше, чем несколько контролей каждый для своей цели. Разумеется, это происходит в том случае, если один контроль обходится дешевле, чем несколько при сопоставимой эффективности |
28 | Минимальная субъективность | Максимальная субъективность | Необходимо стремится устранять влияние конкретного человека на результаты контроля |
29 | Стандартный контроль | Уникальный контроль | Стандартный контроль, выполняемый в разных организациях, в целом сопоставим по структуре и содержанию. При этом он скорее всего дешевле, чем уникальный контроль, и не менее эффективен. Но бывает и наоборот, когда уникальный контроль дорог, но крайне полезен. Уникальный контроль может требовать уникальных ресурсов для своего исполнения. Например, многие контроли, связанные с дегустацией, можно причислить к уникальным контролям, так как далеко не каждый человек может выступить в качестве исполнителя такого контроля |
30 | Контроль охватывает все существенные девиации процесса | Контроль дискретен | По разным причинам (бюджет на контроль, отсутствие понимания и т.д.), контроль может быть заточен только под определенные девиации объекта контроля. Например, если у вас весы со шкалой 1 кг, то будет непросто фиксировать девиации в десятки граммов, даже если такая необходимость имеется. Разумеется, лучше, когда есть четкое понимание сути и динамики девиаций и контроль способен работать с любыми ее вариантами |
31 | Параметры девиаций можно определить с максимальной точностью | Параметры девиаций можно определить с минимальной точностью | Все логично — тем точнее определены параметры девиаций, тем меньше места для субъективного толкования и тем выше эффективность контроля |
32 | В месте выполнения БП | В месте, отличном от места выполнения БП | Для выполнения контроля необязательно присутствовать в месте физического нахождения объекта контроля. Но в целом удаление от объекта контроля ограничивает его эффективность по ряду причин — ограничение потенциально возможных для использования действий по измерению/оценке (например, сложно использовать визуальное восприятие), необходимость организации каналов передачи данных, воздействие на данные при передаче, временные задержки между созданием и использованием результатов измерений/оценки и т.д. |
33 | Мало шагов | Много шагов | Речь идет о сложности КП с точки зрения количества шагов процесса (или подпроцессов), из которых она состоит. Обычно, чем КП более «компактна», тем лучше для ее эффективного функционирования |
34 | Контроль всегда на страже | Контроль может впадать в спящий режим | Если контроль адаптивен и существует автозапуск, то контроль действует по принципу третьего закона Ньютона, то есть динамика контроля подстраивается под динамику девиаций. Поэтому получается, что когда отсутствуют девиации, то контроль как бы отсутствует, хотя это не так. Но если контроль статичен и отсутствует автозапуск, то фазы девиаций могут не совпадать с фазами контроля, если только он не поддерживает постоянную активность, что на практике случается не всегда. Так может создаваться впечатление, что контроль как бы перешел в спящий режим. Крайне важно, чтобы активность контроля совпадала с активностью девиаций, и дизайн любой КП должен иметь соответствующие элементы для обеспечения такого совпадения |
35 | Выбор объектов контроля объективен | Выбор объектов контроля субъективен | Речь идет, по сути, о подходе к осуществлению выборки. Здесь объективность часто предпочтительней субъективности. Также важна репрезентативность выборки. Статистические методы — это, конечно, классика жанра, но использовать исключительно эти методы не стоит. Порой важно намеренно искать объекты контроля, имеющие девиации. Однако и в этом случае важно сохранять максимальную объективность |
36 | Контроль может выполняться в отрыве от БП | Контроль привязан к БП | Речь идет о степени и особенностях интеграции КП в БП. Часть КП являются неотъемлемой частью БП. Типичным примером является контроль качества при приемке сырья и материалов или контроль качества полуфабрикатов при переходе от одного передела производства к другому. В определенных ситуациях такой контроль может быть проигнорирован (полностью или частично) ради, например, сохранения повышенных темпов производства (при отставании от плана, например). Другими словами, такого рода КП как бы привязаны к БП и их функционирование зависит от функционирования самого БП. Отсутствие привязки КП к БП дает необходимое время на полноценное выполнение КП, особенного сложных с технической точки зрения. Этот момент полезно учитывать при ее дизайне и по возможности предусматривать способы управления рисками привязки КП к БП (например, за счет использования дополнительного персонала при необходимости) |
37 | Существуют допустимые девиации в работе контроля | Отсутствуют допустимые девиации в работе контроля | Наличие допустимых девиаций позволяет экономить на контроле, но злоупотребление этим в конце концов может привести к сбою. Повышенные требования к контролю создают общее напряжение в системе, что может позитивно сказаться на эффективности контроля, но привести к дополнительным расходам и также не гарантирует отсутствие сбоя. Тем не менее, часто имеет смысл начинать именно с «мягких» вариантов контроля |
38 | Периодичность контроля соответствует периодичности девиации | Периодичность контроля не соответствует периодичности девиации | Оптимально, когда контроль активизируется в момент появления девиации. Но далеко не всегда контроль имеет, так сказать, привязку к девиации и далеко не всегда известна их периодичность. В этом случае периодичность контроля устанавливается эмпирическим путем, но это может потребовать ее регулярной переоценки, если девиации имеют неравномерную динамику. Разумеется, все эти сложности неактуальны в том случае, если частота выполнения контроля существенно превышает частоту возникновения девиаций, но такой дизайн КП может дорого стоить |
39 | Скрытый контроль | Открытый контроль | При проведении скрытого контроля его объект (точнее, владелец объекта контроля) может в лучшем случае только догадываться, что контроль выполняется. При проведении открытого контроля часть КД доступна, условно, для всеобщего обозрения. Скрытый контроль может быть необходим в ситуациях, когда его объект может быть подвергнут определенным воздействиям с целью скрыть истинную структуру и содержание девиаций |
40 | Внезапный контроль | Запланированный контроль | Логика аналогична скрытому/открытому контролю, только в секрете держится не вся КП, а в основном только время и место ее начала, а также сам объект. Скрытый контроль зачастую автоматически является еще и внезапным. При этом внезапный контроль может проводится относительно открыто |
41 | Контроль не требует повтора | Контроль может требовать повтора | В силу ряда причин иногда требуется повторение контроля. Такое может произойти, например, в случае низкой квалификации исполнителя контроля. В целом лучше все делать правильно с первого раза, это поможет как минимум снизить расходы |
42 | Сплошной | Выборочный | Разумеется, сплошной контроль позволяет полностью охватить все объекты контроля. Тем не менее, это не всегда необходимо, а порой еще и нецелесообразно (например, это может тормозить БП) |
43 | Возможность оценки значимости девиации есть | Возможность оценки значимости девиации отсутствует | Здесь два основных аспекта. Во-первых, контроль не стоит всегда выстраивать исключительно на основе бинарной логики. Контроль должен давать возможность анализировать девиации. Контроль должен действовать дифференцировано в зависимости от существенности девиации — например, определенная величина девиации может считаться критической и запускать сценарий антикризисного управления (сценарий «красной лампочки»). Во-вторых, контроль должен давать возможность дифференцировать девиации на недопустимые и потенциально желательные. Что касается последних, то речь идет о девиациях, как бы намекающих на перспективу дополнительной выгоды. Например, на предприятии существует норма выработки на одного работника, допустим, 100 ед. готовой продукции за смену. Это эталон. СВК заточена только на контроль недовыполнения, то есть фиксируются только девиации в минус. При этом девиации в плюс фиксируются в формате «зачет / не зачет», без конкретных цифр. Такая СВК не позволит понять, почему время от времени происходит превышение плана, а значит, не позволит развить эту тенденцию. Многие акционеры в силу разных причин покорно терпят свой менеджмент, неспособный или нежелающий максимизировать прибыль за счет минимизации упущенной выгоды, в том числе в результате использования «одноклеточных» СВК |
44 | Время между выявлением девиации и реакцией на девиацию минимально, так что последние оказывают минимальное влияние на БП | Время между выявлением девиации и реакцией на девиацию позволяет девиациям БП еще какое-то время оказывать на него определенное влияние | Весьма важный аспект дизайна КП, хотя реакция на девиацию во многом зависит от управления конкретным БП. Основная задача КП — как можно быстрее донести информацию о девиациях до центра принятия решений (это не всегда человек, например, в технических системах эту роль выполняет контроллер). Чем более существенное влияние на БП способна оказать девиация (с учетом скорости такого влияния), тем более критичной становится способность КП оперативно их выявлять и сигнализировать об их появлении. Ну и скорость реакции самого БП имеет значение |
45 | Контроль нельзя прервать | Контроль можно прервать | Речь идет о любой возможности вмешаться в работу КП, чем вызвать прекращение ее работы. Необходимо предусматривать защитные меры, так как такие ситуации — не редкость |
46 | Ошибки контроля невозможны | Ошибки контроля возможны | Разумеется, весьма желательно, чтобы КП работала без ошибок. Но на практике такое происходит не всегда. Поэтому сама по себе КП может требовать своей системы контроля (то есть тех же КП), которая способствует минимизации ошибок |
47 | Контроль не имеет уязвимостей | Контроль имеет уязвимости | Речь идет об особенностях дизайна и функционирования КП, которые позволяют негативно воздействовать на работу КП тем или иным образом. Например, если приемку выполненных работ выполняет исключительно представитель подразделения, взаимодействующего с подрядчиком, то вероятность нежелательного развития событий повышается (например, приемка несуществующих работ или завышение объемов). Необходимо проводить регулярный мониторинг СВК на предмет наличия уязвимостей |
48 | Контроль нельзя форсировать | Контроль можно форсировать | Форсирование (игнорирование) КП — это одно из ключевых ограничений (рисков) для СВК любой организации. Наилучшим вариантом будет, если дизайн КП и самого БП сами воспрепятствуют форсированию. Но этого сложно добиться на практике. Здесь стоит подумать о соответствующем развитии корпоративной культуры и контрольной среды, начиная с тона сверху |
49 | Защита от дурака необходима, и она есть | Защита от дурака необходима, но ее нет | КП должна иметь механизмы защиты от несанкционированного запуска и некорректного использования. Если, конечно, таковые актуальны |
50 | Дополнительное обучение исполнителя контроля не требуется | Дополнительное обучение исполнителя контроля требуется | Все просто — если не надо никого учить, то значит, и расходы уменьшаются, что увеличивает эффективность. Но нередко контроль требует дополнительного обучения, но и окупаются такие вложения также часто. |
51 | Выполнение контроля безопасно | Выполнение контроля несет опасность | Некоторые КП могут быть связаны с необходимостью выполнения каких-либо действий, потенциально, например, опасных для здоровья (например, диагностика промышленного оборудования). Расходы на обеспечение безопасности снижают эффективность, но зачастую неизбежны |
52 | КП не связана с необходимостью выполнения требований законодательства | КП связана с необходимостью выполнения требований законодательства | В целом необходимость соответствия требованиям законодательства при выполнении КП является ее обременением. Основная причина — далеко не всегда такие требования способствуют эффективности как КП, так и БП |
53 | Для выполнения контроля не требуется техподдержка | Для выполнения контроля требуется техподдержка | Хорошо, когда все участники КП понимают, как в точности нужно ее выполнять. Но это чаще всего нереально. Всегда появляются вопросы, и на них надо давать ответы компетентным специалистам. Поэтому с одной стороны расходы на техподдержку снижают эффективность, а с другой могут существенно ее увеличить |
54 | Контроль может работать без мониторинга | Контроль требует периодического мониторинга | Практически любой контроль по разным причинам рано или поздно перестает работать максимально эффективно. Поэтому ему необходим, условно говоря, периодический «техосмотр». Периодичность зависит от ряда факторов. Ключевым фактором является динамика результативности контроля в сопоставлении с динамикой объекта контроля. Например, если объем выпуска продукции был 100 ед., а стал 200 ед., но при этом объем брака не изменился (допустим, 2 ед.), то это явный повод для подробного разбирательства, особенно если особых предпосылок для снижения объема брака не было. В общем, к определению периодичности (да и содержания) мониторинга можно подойти либо аналитически и творчески, либо просто волюнтаристски |
55 | Контроль контроля | Отсутствует контроль контроля | Мониторинг проводится в основном силами владельца КП либо владельца БП, в рамках которого данная КП функционирует (если владелец БП заинтересован в эффективном контроле). В отдельных случаях создается специальное подразделение, которое занимается «сопровождением» СВК В этом пункте также уместно вспомнить и о сторонних по отношению к владельцу КП или БП субъектах. Типичным примером такого субъекта является внутренний аудит. В целом такие подразделения способны повысить эффективность СВК |
56 | Контроль имеет обратную связь | Контроль не имеет обратной связи | КП должна иметь механизмы сбора и передачи информации о статусе своей работы или даже результатов «самооценки». Для этой цели можно использовать мониторинг и/или «контроль контроля». При этом оба этих метода часто имеют свою логику и могут активироваться в тот момент, когда с конкретным контролем все в порядке. Образно говоря, лучше, если сама КП сообщает «куда следует» о проблемах в своей работе |
57 | Эффективность контроля оценивается регулярно | Эффективность контроля не оценивается регулярно | Данная оценка вполне может быть частью, например, мониторинга или «контроля контроля». Тем не менее она выделена в отдельный пункт, чтобы подчеркнуть ее особую значимость. Эффективность контроля может быть очень динамичной, так как на нее влияет множество факторов, при этом часть из них находятся вне сферы влияния СВК (например, финансовые результаты деятельности организации). Любая СВК теряет смысл, если она не в состоянии, проще говоря, окупить свое существование |
58 | Результаты контроля не имеют срока годности | Результаты контроля имеют срок годности | Конечно, было бы удобно получить результаты контроля, а потом использовать их в любой удобный момент. Но в реальности практически всегда время работает против контроля. Польза от контроля чаще всего обратно пропорциональна времени, прошедшем с момента получения результата контроля |
59 | Результаты контроля используются широким кругом лиц | Результаты контроля используются ограниченным кругом лиц | К сожалению, «спрос» на результаты контроля часто не возникает автоматически. Более распространена ситуация, когда они всеми силами игнорируются со стороны владельцев БП, например, потому что возникает дополнительный объем работ, связанный с необходимостью изменения БП. Конечно, многое зависит от качества таких результатов, но оно не является единственным фактором, влияющим на активность их использования. Многое зависит, например, от корпоративной культуры и контрольной среды и, особенно от тона сверху. Тем не менее результаты контроля действительно могут быть полезны многим владельцам БП для принятия решений, особенно касающихся определения необходимости внесения изменений в БП и выстраивания взаимодействия БП между собой |
60 | Выход на проектную мощность сразу | Выход на проектную мощность не сразу | Практически любой БП или КП не сразу достигают пика своей функциональности и эффективности. Время, необходимое для достижения такого пика, нужно учитывать при оценке эффективности конкретной КП. Также необходимо учитывать то, что результативность КП сложнее прогнозировать, чем результативность БП, так как результативность КП является производной величиной от последней. Отсюда следует вывод о том, что прогнозный эффект от внедрения КП должен всегда иметь привязку к параметрам БП |
61 | Внедрение КП оказывает положительное или нейтральное влияние на работу и результаты других КП и БП | Внедрение КП оказывает негативное влияние на работу и результаты других КП и БП | По общему правилу любая КП должна быть экономически эффективной. Но такая экономическая эффективность не должна достигаться за счет несоразмерного снижения эффективности других КП или БП, а также тем или иным образом препятствовать достижению их целей |
62 | Внедрение КП повышает эффективность СВК в целом | Внедрение КП нейтрально или негативно влияет на эффективность СВК в целом | Другими словами, общая эффективность СВК и организации в целом должны возрастать при каждом внедрении новой КП |
Сейчас давайте вернемся ненадолго к четвертому процессу КП — «Управление девиациями / корректировка БП». Выше мы рассмотрели четыре основных сценария развития событий в рамках данного процесса. Внутри этих сценариев результаты контроля используются как для воздействия на недопустимые девиации и их последствия, так и для изменения бизнес-процессов. В этой связи надо разобраться с одним крайне важным моментом.
Крайне важный момент. В мировой практике внутреннего контроля менеджмент организации несет ответственность за максимально эффективное использование результатов контроля. Как, впрочем, он же отвечает и за создание эффективной СВК. Специалисты в области систем внутреннего контроля лишь помогают менеджменту выполнять данную задачу. Но на практике все несколько усложняется. В основе всех сложностей лежит нежелание и/или неспособность менеджмента заниматься созданием и управлением СВК. На то есть ряд как объективных, так и субъективных причин, многие из которых мы рассмотрели в главе «Ограничения систем внутреннего контроля». Но для тех управленцев, которые все-таки взвалили на себя эту ношу, в дополнение к табл. 9 (выше) имеет смысл ответить на вопросы из табл. 10 (далее).
Ответы на вопросы из Таблицы 10 помогут определиться с направлением дальнейших действий после того, как недопустимые девиации будут выявлены и, строго говоря, не имеют отношения к дизайну самой КП. Другими словами, параллельно с созданием любой КП необходимо также ответить на важный вопрос — «Что будет, когда КП сработает и недопустимая девиация будет выявлена?». Ответ на данный вопрос зависит от владельца соответствующего БП, а также от позиции высшего руководства организации в отношении роли СВК в организации.
Таблица 10
Тренд на увеличение эффективности | Тренд на снижение эффективности | Комментарии | |
1 | Реакция на девиацию дифференцирована | Реакция на девиацию шаблонная (например, остановка БП) | Многие КП будут намного более полезны, если реакции на девиации будут разнообразными. По общему правилу реакция на девиацию должна соответствовать ее сути и степени ее существенности |
2 | Сценарии реакции на девиации есть | Сценарии отсутствуют | Любые девиации БП не должны становится неожиданностью. Иметь хоть какой-то план действий заранее лучше, чем не иметь никакого. Еще полезнее процесс планирования сам по себе, так как заставляет посмотреть на возможное развитие событий с разных сторон |
3 | Результаты контроля используются для оперативного устранения девиаций / последствий девиаций | Результаты контроля не используются для оперативного устранения девиаций / последствий девиаций | Вне зависимости от того, вносятся ли изменения в БП, способствующие уменьшению количества и существенности девиаций, часто существует необходимость устранять как сами девиации, так и их последствия. Во-первых, девиации в одном БП могут способствовать девиациям во взаимосвязанных с ним процессах. Во-вторых, часть девиаций могут быть обратимыми. В-третьих, необходимо устранить влияние девиаций на результаты самого БП |
4 | Результаты контроля используются для оперативного внесения изменений в БП | Результаты контроля не используются для оперативного внесения изменений в БП | Высшая цель любой СВК заключается в предоставлении информации для оценки целесообразности изменения БП. Если СВК работает, а БП не меняются, то это означает, что либо результаты контроля не являются достаточным обоснованием для внесения изменений в БП, либо проблема на стороне системы управления БП — меняться или не хотят, или не могут. При этом необходимо понимать, что любое решение может оказаться как правильным, так и ошибочным. В любом случае, если результаты контроля не находят своего применения на практике, необходимо искать истинную причину этой ситуации, так как невостребованность серьезно дискредитирует смысл существования СВК и сама по себе вполне может способствовать ее деградации |
5 | Изменение БП силами самого владельца БП | Изменение БП силами третьей по отношению к владельцу БП стороны | Принципиальной разницы нет, однако на практике не все владельцы БП готовы что-то менять. И в этом случае участие, например, некоего модератора процесса изменений может быть оправдано. Важно, чтобы такой модератор обладал необходимыми полномочиями |
6 | Мониторинг внесения изменений в БП | Нет мониторинга внесения изменений в БП | Теория систем говорит нам о том, что в системе существует множество взаимосвязей, о части которых мы можем даже не подозревать. По этой причине процесс изменения БП должен управляться централизованно, а не отдаваться полностью на откуп руководству отдельных БП. Например, изменение СВК БП «Производство» приводит к увеличению выпуска готовой продукции, но что толку, если БП «Продажи» еще не готов продавать дополнительные объемы или вообще узнает об этом по факту |
7 | Изменения в БП вносятся навсегда | Изменения в БП вносятся на время | По аналогии с п. 25 табл. 9 (выше) |
8 | Актуальность изменений пересматривается | Актуальность изменений не пересматривается | На практике периодически возникают ситуации, когда в процессе внесения изменений сами изменения теряют свой смысл по ряду причин. Например, изменения могли касаться существующей ИТ-системы, но в процессе ее развития руководство приняло решение о замене существующей ИТ-системы на новую. Переоценка актуальности должна проводиться вплоть до завершения процесса внесения изменений |
Многие люди неправильно понимают суть контроля. Они уверены, что контроль нужен исключительно для создания неких препятствий для, условно говоря, нежелательных событий. На самом деле чаще всего контроль необходим для определения целесообразности и момента для изменения бизнес-процесса. Если существуют недопустимые девиации в бизнес-процессе, то это означает, что какую-то часть своего времени бизнес-процесс работает «вхолостую», то есть не выдает тот результат, на который рассчитан. Поэтому каждый факт выявления недопустимой девиации — это всегда повод задаться вопросом: «Есть ли возможность и целесообразность внесения изменений в бизнес-процесс?». И эти восемь пунктов табл. 10 являются тем минимумом, с которого можно начать процесс разработки и внесения изменений в БП.
Имеет смысл акцентировать ваше внимание на некоторых существенных нюансах процесса управления КП.
Если говорить о владельце КП, то подход к его определению находится в условной середине между подходом к определению владельца БП и подходом к определению владельца рисков. Многие КП часто не выходят за рамки соответствующих БП, поэтому внешне логично, если их владелец совпадает с владельцем БП. Также ряд КП так или иначе затрагивает несколько БП. В этом случае владелец КП определяется по аналогии с подходом к определению владельца риска, то есть он может быть просто назначен в рамках формальной процедуры. Хорошо, если при этом будут в наличии три вышеупомянутых качества хорошего ответственного. Но при определении конкретного владельца КП есть своя специфика, так что переходим к нюансу 2.
Возможно, наступил наиболее подходящий момент расставить все точки в вопросе взаимодействия риска и контроля. Ранее в книге уже несколько раз делался акцент на том, что контроль не является методом или инструментом минимизации или управления рисками. Последними управляют путем внедрения, выполнения и оптимизации соответствующих бизнес-процессов.
Исключительно из практических соображений я предлагаю вам считать, что риск — это СОБЫТИЕ, которое МОЖЕТ произойти с определенной вероятностью в течение определенного периода времени и оказать негативное воздействие на бизнес-процесс, что приведет к недопустимой девиации его фактического результата от ожидаемого. Когда подобное событие происходит в реальности, говорят, что риск реализовался. В отношении любого крупного бизнес-процесса вы легко сможете сформулировать пару сотен рисков, но на практике в течение определенного периода времени лишь некоторые из них реализуются. Оптимальным местом для мониторинга фактически реализовавшихся рисков является именно выход бизнес-процесса, так как обычно интерес представляют именно те риски, которые способны повлиять на его результаты в случае реализации. Другими словами, проводя периодическую или постоянную оценку результата бизнес-процесса (а данная оценка и является контролем), вы сможете заметить, в какой момент фактический результат вдруг отклонится от ожидаемого результата. Во многих случаях изначально причины такой девиации неясны, вы просто понимаете, что произошло нечто такое, что повлияло на результаты бизнес-процесса. Чтобы установить точную причину, вам обычно необходимо провести анализ причинно-следственной связи. Дальнейшие ваши действия зависят от результатов такого анализа. Поэтому обратите внимание на рис. 8. Здесь отображены три основных сценария реакции на обнаружение недопустимых девиаций результата бизнес-процесса. В результате такого анализа возможны три основных сценария дальнейших действий, а именно:
Возможны ситуации, когда два или даже три сценария могут выполняться одновременно. Все зависит от конкретной причинно-следственной цепочки событий, но стоит обратить внимание на то, что сами по себе контрольные действия (измерение/оценка и сопоставление/сравнение) направлены лишь на создание информации, которая в дальнейшем используется для принятия решений. Важно понимать, что процесс анализа данной цепочки, выбор сценария дальнейших действий и выполнение данных действий не являются частью СВК, на что есть ряд оснований, а именно:
Давайте сформулируем основные выводы по результатам наших рассуждений. Суть и предназначение любого бизнес-процесса определяется «неотвратимостью» его результата и безальтернативностью действий, направленных на достижение данного результата. Но ряд событий может помешать БП достигнуть своих целей и желаемого результата. Такого рода события и являются рисками. В случае своей реализации риски будут приводить к появлению недопустимых девиаций результатов БП. Такие девиации выявляются путем измерения/оценки и сравнения/сопоставления фактических результатов с желаемыми результатами, что и является контролем. В результате выполнения контроля создается информация для принятия решения о способе воздействия на девиации. Как бы вы ни старались, не существует иного способа получить полную и достоверную информацию о девиациях бизнес-процесса. Исходя из сказанного, однозначно можно утверждать, что контроль может способствовать управлению рисками, так как он создает информацию для принятия решений. Если контроль сопровождается процессом анализа причин девиаций и последующим изменением систем и/или бизнес-процессов, тогда можно утверждать, что он способствует управлению рисками. Но контроль не может воздействовать на риски напрямую. Руководство организаций, которое считает, что с созданием СВК можно забыть о рисках, глубоко заблуждается. Чтобы управлять ими, надо управлять бизнес-процессами, а СВК — это лишь вспомогательный инструмент, хотя во многом и безальтернативный. Тем не менее, полноценная СВК может считаться таковой лишь в том случае, когда ее результаты используются для внесения изменений в системы и/или бизнес-процессы. При этом сам по себе процесс разработки и внесения изменений в бизнес-процессы не может считаться исключительно частью СВК.
В завершение давайте еще раз вернемся к Сценарию 1. Как уже упоминалось, существуют три ситуации, в которых оправдано использование исключительно только этого сценария — недопустимые девиации случайны, их истинные причины пока не удается установить, а также отсутствуют варианты эффективного воздействия на такие причины. Во всех иных случаях нельзя концентрироваться только на управлении девиациями, нужно оптимизировать системы и/или бизнес-процессы.
Разумеется, есть определенная польза и от самого управления девиациями. Их выявление способствует устранению влияния на результаты и функционирование как данного БП, так и других. Другими словами, за счет использования контроля вы получаете основания прервать цепочку негативных событий, то есть воспрепятствовать реализации рисков. Но у такой практики есть ряд существенных недостатков (не говоря уже о снижении производительности, непроизводительной потери ресурсов и т.д.). Они основаны на риске контроля, то есть на неспособности контроля выявить недопустимую девиацию. Рано или поздно недопустимая девиация может быть пропущена, и тогда она отправится, образно говоря, ломать следующий БП. А если и в следующем БП есть недостаток контроля, то так может дойти и до экспоненциального роста недопустимых девиаций. В числе последствий будут деградация корпоративной культуры, контрольной среды, репутации и т.д. Попытки воздействия на девиации без понимания их реальных причин (например, путем использования системы наказаний за недопустимые девиации) порождают разнообразные реакции, но часто это приводит лишь к проявлению творческого подхода в изобретении способов сокрытия девиаций или переноса ответственности с себя любимого на коллегу и тому подобном.
Неким половинчатым успехом можно считать попытки улучшить если не сам БП, то хотя бы МУВ БП в ответ на динамику недопустимых девиаций. В этом случае есть определенная надежда на то, что рано или поздно дело дойдет и до самого БП. Например, если начать документировать недопустимые девиации и продолжить делать это в течение некоторого времени, то в итоге общая картинка имеет шанс напугать хотя бы особо впечатлительных управленцев и сподвигнуть их на поиск причин девиаций и, возможно, последующее улучшение самого БП.
И напоследок еще пара нюансов.
Нюанс 1. В стандарте ISO 31000:2018, в п. 3.8 дано свое определение термина controls («контроли»), но если вы внимательно вчитаетесь в пояснение № 1, то под «контролями» подразумеваются в основном именно «процессы» — Controls include, but are not limited to, any process, policy, device, practice, or other conditions and/or actions which maintain and/or modify risk («Контроли включают, но не ограничиваются, любой процесс, политику, устройство, практику применения или другие условия и/или действия, которые сдерживают и/или модифицируют риск»). Это без сомнения вносит путаницу в понимание значения слова «контроль». Это как назвать ноги и руки человека «лапами», но потом уточнить что «верхние лапы» это руки, а «нижние» — ноги. То есть в итоге все равно назвать вещи своими именами, но вначале запутать за счет использования терминов, не отражающих суть определяемого объекта.
В российском варианте данного стандарта, ГОСТ Р ИСО 31000–2019, термин controls был вообще переведен как «методы управления риском». Что весьма разумно, так как такой перевод отражает суть термина controls, которая подразумевается в исходном стандарте (ISO 31000:2018 на английском языке). Кстати, вам лучше пользоваться именно данным ГОСТом, так как иные варианты перевода ISO 31000:2018 на русский язык могут вас дополнительно запутать. Например, в одном из вариантов перевода термин controls был переведен как «средства контроля», что совершенно не соответствует смыслу данного термина в исходном стандарте.
И еще один момент. В практике управления рисками используется такой инструмент как матрица риска и контроля (risk and control matrix, англ.). Само название данной матрицы вносит дополнительную путаницу в правильное понимание термина «контроль». Было бы намного лучше если бы вместо слова «контроль» использовалась формулировка «меры по управлению риском» (то есть процессы), так как во многих случаях речь идет именно о них.
Нюанс 2. Весьма часто многие риски формулируются в формате «фактические результаты БП не соответствуют требуемым/желаемым/установленным/плановым». В этом случае вполне ожидаемо, что КП напрямую влияют именно на выявление факта реализации данного риска — ведь в этом их основное предназначение, выявлять девиации в результатах БП! Но создается иллюзия, что вы с помощью контроля управляете рисками напрямую, ведь если риск реализовался и вы его выявили, то есть шанс остановить его воздействие на бизнес-процесс. Однако при этом обычно отсутствует влияние КП на вероятность и существенность риска. И это понятно, так как контроль и не предназначен для прямого управления рисками. Первоочередной целью любой системы управления рисками является выявление новых, не известных на данный момент причинно-следственных цепочек событий, которые при определенных условиях могут приводить к девиациям результатов БП. Желательно, до того момента, как они реально могут повлиять на такие результаты. Далее следует внесение изменений в данный БП или взаимодействующие с ним БП/системы, чтобы тем или иным образом снизить как вероятность, так и существенность (как минимум, есть, например, еще скорость возникновения и влияния девиации и т.д.) влияния выявленной новой причинно-следственной цепочки событий. К сожалению, на практике, часто отсутствует адекватная реакция руководства (изменение БП) не то, что на потенциально деструктивные причинно-следственные цепочки, но даже и на вполне реально существующие на данный момент. Вместо этого все увлеченно заняты имитацией бурной деятельности — вылавливанием девиаций в результатах БП, что и преподносится собственникам как неоценимый вклад в успех деятельности организации. При этом «забывают» упомянуть, что как минимум часть этих девиаций можно устранить за счет изменения БП.