Успешность управления в компании зависит от того, насколько результативно осуществляется руководством контроль за деятельностью организации и насколько адекватны возникшие в результате этого контроля изменения в текущих бизнес-процессах компании.
Для удобства управления деятельность компании обычно формализуют и регламентируют, представляя в виде взаимосвязанных процессов, контроль за выполнением которых осуществляет владелец процесса, обеспечивающий также обратную связь. Под владельцем процесса понимается сотрудник компании, наделенный полномочиями для координации выполнения бизнес-процесса, управляющий ресурсами для его осуществления и отвечающий за его результат. Как правило, в этой роли выступает руководитель какого-либо структурного подразделения компании.
Для того чтобы достичь запланированного результата, владелец процесса должен следить за его выполнением во времени, контролируя показатели деятельности. Однако это еще не гарантирует качественного результата. Причинами могут быть непредвиденные обстоятельства, которые приводят к тому, что процесс идет по незапланированному «сценарию». Такие непредвиденные обстоятельства обычно называют событиями риска, а вероятность их наступления — риском. Для гарантированного достижения результата процесса необходимо управлять рисками посредством их выявления, оценки и реализации мер по их предотвращению.
Таким образом, систему контроля за бизнес-процессом необходимо выстраивать в двух направлениях:
1)контроль за текущими показателями процесса;
2)управление рисками.
Рассмотрим два вида контроля («статистический» и «статический»), а также проблемы, возникающие при применении их по отдельности. Кроме того, предложим варианты интеграции их в единую систему.
«СТАТИСТИЧЕСКИЙ» КОНТРОЛЬ
«Статистический» контроль основан на том, что в процессе выполнения ключевых операций мы выделяем контрольные точки, в которых собираются и фиксируются измеримые показатели деятельности с определенной периодичностью. В дальнейшем с помощью методик статистического анализа (в РФ методы статистического анализа описаны в серии стандартов ГОСТ Р 50779.х-199х) показатели анализируются, и на основе результатов анализа владелец процесса вносит соответствующие коррективы в его выполнение.
Следует отметить, что статистический контроль в управлении, основанном на процессном подходе, применяется довольно давно и в настоящее время является широко распространенным. Например, в японской системе менеджмента качества (TQM/TQS) он активно применялся с середины 1960-х гг. Поэтому сегодня существует множество стандартов (в основном отраслевых) и различных методик по их применению.
Необходимость использования данной системы контроля отмечается в требованиях стандарта MS ISO 9001:2000 (далее — ИСО 9001) в пункте 8.2.3 «Мониторинг и измерение процессов». В рекомендациях к ИСО 9001 указывается, что контроль за процессами лучше осуществлять с помощью статистических методов.
Кроме того, «статистический» контроль является неотъемлемой частью методологии «шесть сигм» (Six Sigma).
УПРАВЛЕНИЕ РИСКАМИ, ИЛИ «СТАТИЧЕСКИЙ» КОНТРОЛЬ
Управление рисками, возникающими в бизнес-процессах компании (в западной литературе их часто называют операционными рисками, для отличия от финансовых рисков), основано на идентификации потенциальных рисков, их анализе и проведении мероприятий с целью уменьшить вероятность наступления событий риска. Такими мероприятиями обычно являются контрольные процедуры, суть которых заключается в проведении независимой проверки операций, выполненных в процессе какой-либо деятельности, и осуществлении на основе ее результатов корректировки процесса.
Владелец процесса должен наблюдать за документальными свидетельствами об осуществлении такого контроля, что позволит ему проанализировать полноту покрытия рисков контрольными процедурами и просчитать вероятность достижения запланированного результата при завершении процесса.
Управление рисками является частью системы внутреннего контроля (СВК). СВК и методология управления рисками на основе контрольных процедур подробно описаны Committee of Sponsoring Organizations (COSO, 1998 г.) и COSO Enterprise Risk Management (COSO ERM, 2004 г.) [2].
Также в стандарте ИСО 9001 дается краткое описание требований к системе менеджмента качества (СМК), процедурам управления рисками. Эти требования присутствуют в разделе 8.5.3, однако понятие «управление рисками» заменено на термин «предупреждающие действия», а «риск», точнее «событие риска», — на термин «потенциальное несоответствие».
ВМЕСТЕ ИЛИ ОТДЕЛЬНО
При внедрении в компании системы управления процессами возникает вопрос, какую систему контроля стоит применять в первую очередь и каким образом? Безусловно, все зависит от тех целей, которые стоят перед организацией. Например, если акционерное общество планирует внедрить СВК только для того, чтобы соответствовать требованию закона Sarbanes-Oxley (раздел 404) или чтобы получить сертификат качества для участия в тендере, то вполне достаточно внедрить один из рассмотренных типов контроля.
Однако если руководство организации преследует цель создания полноценной системы управления, благодаря которой все бизнес-процессы, происходящие в компании, будут эффективными и результативными, а риски — минимизированными, то необходимо ввести больше одной из перечисленных систем контроля.
Рассмотрим в качестве примера несколько гипотетических ситуаций. Прежде всего проанализируем ситуацию проведения контрольных процедур, применяемых в СВК.
Система внутреннего контроля в большинстве компаний покрывает лишь бухгалтерские и финансовые процессы. При этом возможен парадокс: руководство компании уверено в полноте и достоверности данных о финансовых потоках компании, но при этом деятельность, которая порождает эти потоки, является крайне неэффективной.
Рассмотрим следующий случай. В компании, производящей некоторый товар, внедрена система управления рисками (часто ее называют системой внутреннего контроля). Руководство уверено в том, что данные о финансовых потоках достоверные и полные, т. е. комплектующие закуплены по установленным ценам, все первичные документы учтены в соответствующих отчетных периодах и финансовые показатели компании, представленные на бумаге, соответствуют реальному положению. Однако качество продукции оказывается ниже, чем у конкурентов, наблюдается увеличение числа потребительских рекламаций, что влечет за собой, как правило, потерю доли рынка сбыта. Причина возникновения такой ситуации заключается в том, что система управления рисками решает только узкую задачу обеспечения достоверности и полноты финансовой информации и минимизации финансовых рисков.
Обратную ситуацию можно наблюдать в случае внедрения «статистического» контроля как элемента системы менеджмента качества. При внедрении СМК должны быть описаны процессы работы с измеримыми показателями, которые собираются и анализируются. Однако сфера применения ИСО 9001 ограничивается технологическими процессами (производством товаров / услуг) и несколькими поддерживающими процессами (например, управлением человеческими ресурсами), т. к. в данном стандарте не затрагиваются вопросы управления финансовыми и бухгалтерскими процессами. В результате мы наблюдаем ситуацию, совершенно противоположную описанной выше: продукция является конкурентоспособной, показатели удовлетворенности потребителя — положительными, однако контроль за дебиторской задолженностью отсутствует, финансовые данные о результатах деятельности не соответствуют действительности, что приводит (особенно если компания является акционерным обществом) к появлению недовольства акционеров, уменьшению притока инвестиций и сокращению общей капитализации компании.
Как видно из вышеприведенных примеров, используя разные типы контроля в отдельности, мы не уделяем внимания то одной то другой сфере деятельности компании, из-за чего достижение общей результативности и эффективности деятельности компании становится весьма проблематичным.
Имеется еще один весомый аргумент для совместного применения «статической» и «статистической» систем контроля: контрольные процедуры и статистические методы применяются для разных видов анализа функционирования процесса.
Организация контроля наряду с выполнением контрольных процедур на наиболее критичных участках процесса и с оперативным независимым контролем позволяет отслеживать деятельность в реальном времени, оперативно вносить изменения в ход процесса и предотвращать появление результата, отличного от запланированного. В качестве примера такого контроля выступает сверка данных в счете на оплату с данными договора. Выполнив контрольную процедуру, сотрудник компании предотвращает риск переплаты счета.
«Статистический» контроль, наоборот, дает полную картину прохождения процесса за определенный промежуток времени (когда выборка показателей репрезентативна). Его применяют, когда необходимо анализировать динамику процесса. Например, когда необходимо оценить степень изменения потребительской удовлетворенности товаром. Для этого, как правило, используют показатели числа рекламаций за определенный промежуток времени и количества обращений в сервис и проводят анализ, выстраивая соответствующий график.
Стоит отметить, что при совместном использовании рассматриваемых систем, «статистический» контроль можно применять
для изучения контрольных процедур с помощью анализа документальных свидетельств об осуществлении контроля за определенный промежуток времени. Исходя из результатов такого анализа можно сформировать заключение об эффективности контрольных процедур и вероятности наступлений неблагоприятных событий.
Рассмотрим пример практического применения данного метода. В телекоммуникационной компании действует система расчетов (система биллинга), в которою технические специалисты вводят нормативно-справочную информацию. В таком случае контрольная процедура — это сопоставление коммерческими специалистами данных, введенных в систему, с данными, указанными в контракте.
изучение документальных свидетельств осуществления контрольных процедур позволяет оценить частоту возникновения ошибок при вводе недостоверных данных специалистами и выявить их причины (например, неэффективность процесса передачи данных от коммерсантов в технические службы, неудобная форма заполнения данных в информационной системе). Таким образом, мы, с одной стороны, минимизируем вероятность наступления события риска, а с другой — выявляем его причины.
ВНЕДРЕНИЕ И ПОДДЕРЖАНИЕ ИНТЕГРИРОВАННОЙ СИСТЕМЫ КОНТРОЛЯ
Для того чтобы интегрированная система контроля работала эффективно, ее следует правильно внедрить, по возможности избежав проблем, имеющих системный характер. Для этого желательно осуществить регламентацию деятельности компании, которая заключается в формальном описании бизнеспроцессов и привлечении к участию в них каждого сотрудника компании.
Этим вопросам посвящено много литературы, поэтому в данной статье мы не будем подробно останавливаться на данной теме.
Ограничимся только несколькими рекомендациями относительно внедрения именно интегрированной системы контроля.
Прежде чем начать внедрение интегрированной системы контроля, необходимо создать единую проектную команду во главе с менеджером проекта, подчиняющимся непосредственно первому лицу компании, которое будет координировать процесс внедрения системы.
Если в компании уже существуют центры компетенций разных систем контроля (например, за внедрение «статистического» контроля отвечает отдел качества, а за внедрение контрольных процедур — бухгалтерия), то руководство может решить внедрять данные системы по отдельности. Опасность такого подхода состоит в том, что амбиции руководителей различных подразделений могут привести к конкуренции между ними, к «политическим играм», к спорам, чья система контроля имеет наибольший приоритет в организации. Все это усугубляется направленностью отдела качества на процессы изготовления продукции, а бухгалтерии — на финансовые процессы компании. В результате такого подхода могут сформироваться сразу две системы регламентации процессов, т. е. на один и тот же процесс будут созданы два документа не только с описаниями различных процедур контроля, но и, скорее всего, с разными описаниями самой деятельности. В результате этого рядовые исполнители процессов не смогут выполнять свои обязанности в соответствии с содержанием регламентирующих документов, а владельцы процессов не смогут ими управлять.
Кроме того, на этапе описания бизнеспроцесса должны быть идентифицированы и описаны риски, оценена вероятность их наступления не только в финансовых процессах, но и в процессах производства товара / услуги, сервисного обслуживания, управления человеческими ресурсами и др.
Далее в процедурах, в которых присутствует вероятность наступления события риска, проводятся следующие контрольные процедуры:
■проверка документов на корректность и полноту заполнения;
■проверка на право проведения какой-либо операции;
■проверка документов на достоверность информации, представленной в них, с помощью сравнения их с независимыми источниками аналогичной информации;
■периодическая инвентаризация активов компании.
После осуществления контрольной процедуры ее исполнитель должен составить документальное свидетельство о ее выполнении. При этом должна быть внедрена соответствующая процедура, включающая сбор, хранение и передачу для анализа документальных свидетельств об исполнении контрольных процедур.
На этом же этапе создается реестр показателей процесса, характеризующих его результативность и эффективность.
Сам анализ проводится по методикам оценки выполнения контрольных процедур и «статистического» анализа показателей процесса, описанных в соответствующем документе.
Отметим, что для интегрированной системы контроля необходим один регламентирующий документ, в котором давалось бы описание процесса, контрольных процедур и ключевых показателей, в крайнем случае, возможны два-три взаимоувязанных документа. Главное, чтобы исполнителю регламентирующего документа было удобно с ним работать, чтобы он не искал нужную информацию во множестве разных документов, сопоставляя их содержание. Также хотелось бы отметить, что документ должен быть удобным для чтения, а его объем не должен превышать в среднем 30-50 страниц.
При поддержании любой системы контроля внутреннюю независимую аттестацию для определения ее эффективности обычно проводят посредством внутреннего аудита, и интегрированная система контроля не является исключением. В данном случае важно обратить внимание, что институт внутреннего аудита должен быть также универсальным, направленным не только на анализ эффективности контрольных процедур в финансовых процессах, но и на оценку системы управления в целом.
ЗАКЛЮЧЕНИЕ
Интеграция двух систем контроля позволит, выражаясь «военным» языком, эффективно прикрыть фланги и тылы, устранив пробелы в управлении. Внедрение интегрированной системы контроля повысит степень прозрачности деятельности компании как для владельца бизнеса, так и для потенциальных и реальных инвесторов.
Собственнику бизнеса такая система контроля позволит отслеживать все потоки деятельности внутри компании, оценивая результативность и эффективность бизнес-процессов и оперативно реагируя на изменения.
Инвесторам она даст гарантии того, что уже вложенные в компанию средства будут использоваться эффективно и по назначению, что, в свою очередь, может привлечь в будущем дополнительные инвестиции.
Однако внедрение интегрированной системы контроля — процесс трудный и длительный. Могут возникнуть самые неожиданные проблемы, включая проблемы системного характера, поэтому создание единой проектной команды, курируемой непосредственно руководством компании, и привлечение к внедрению всех сотрудников организации будет одним из ключей к успешной реализации проекта — внедрению интегрированной системы контроля.
ЛИТЕРАТУРА
1.MS ISO 9001:2000 Quality management systems. Requirements (ГОСТ Р ИСО 9001-2001. Системы менеджмента качества. Требования).
2.COSO ERM 2004 — COSO Enterprise Risk Management — Integrated Framework, Committee of Sponsoring Organizations of the Treadway Commission, 2004.
3.Харрингтон Д., Эсселинг K. C., Нимвеген Х. Оптимизация бизнес-процессов. Документирование, анализ, управление, оптимизация. — СПб.: Азбука, 2002.
4.Елиферов В. Г., Репин В. В. Бизнес-процессы. Регламентация и управление. — М.: ИНФРА-М, 2005.
Автор:
Грачев А. И. — ведущий менеджер по качеству зарубежной IT-компании. Сфера профессиональных интересов: оптимизация бизнес-процессов, управление качеством в области IT и телекоммуникаций (г. Москва)
Журнал МЕНЕДЖМЕНТ СЕГОДНЯ ■ 04(34)2006