среда, 14 сентября 2011 г.

Самооценка (перевод)

Сделал перевод подраздела любимой книги CISA Review Manual по интересной мне теме. Хоть сейчас не самое удачное время для проведения самооценки в банках с точки зрения легитимности СТО БР, но всё таки. Так как английский язык я пока знаю далеко не в совершенстве, возможная кривизна перевода может иметь место :) 

Управление самооценкой
Управление самооценкой может быть определено как технология менеджмента, которая обеспечивает уверенность руководству, заказчикам, другим заинтересованным сторонам, что система внутреннего контроля для бизнеса работоспособна. Самооценка обеспечивает осведомленность сотрудников о рисках для бизнеса, регулярную переоценку рисков, проактивный подход контролирования их. Эта методология используется для наблюдения за ключевыми бизнес процессами, связанными с ними рисками, и системой внутреннего контроля, разработанной для формального управления этими бизнес рисками, а также совместного документирования процесса.
Практически самооценка это ряд инструментов, предназначенных для постоянной тренировки, начиная с простого анкетирования до практических занятий. Она проводится для получения информации по рассматриваемой области для предоставления менеджменту организации. Основные инструменты проекта по самооценке: технические, финансовые и операционные. Это могут быть встречи с руководством, семинары с сотрудниками, письменные задания, тесты и др. Это нужно для получения информации с разных уровней организации (некоторые организации часто опрашивают клиентов или партнеров).
Самооценка может проводиться разными методами. Для небольших бизнес подразделений она проводится в виде практических семинаров, где менеджеры совместно с сотрудником, проводящим самооценку, вовлекаются в процесс контроля организации.
Для организаций, имеющих несколько территориальных офисов данная техника не применима. В этом случае нужны смешанные технологии. Для лучшего понимания положения дел может использоваться регулярное анкетирование, с последующим анализом эффективности оцениваемых процессов. Этим может заниматься управляющий менеджмент на регулярной основе. Однако такие технологии эффективны, только если анализ и уточнение вопросов проводится на постоянной основе.

Цели самооценки
У самооценки есть несколько целей. Первичная цель самооценки это воздействие на некоторые функции внутреннего аудита, путем перевода ответственности за наблюдаемые контроли в функциональную плоскость. Это не подразумевает ответственность за аудит, а лишь расширяет её. Линейные руководители, ответственны за управление доверенным им окружением. Самооценка также должна обучать менеджмент управлению, наблюдению, концентрации внимания о высоких рисках. Эти программы не только требуют политик для своего выполнения. Взамен они предлагают разные уровни поддержки, начиная с написанных советов и предложений до углубленных семинаров. Далее семинары включаются в программу в качестве дополнительных целей, после которых доверенные сотрудники определяют уже степень самооценки и улучшают её при необходимости.
Когда выполняется самооценка, измерение показателей успешности должно проводиться на каждой стадии (планирование, разработка, наблюдение) и их оценки должны подходить для последующего использования. Один важный фактор - проведение встреч с ответственными за бизнес процессы. Дополнительно, должны отождествляться действия, направленные на повышение вероятности в достижении главных целей организации.
Главное это установить цели и их метрики для каждого процесса, который может наблюдаться при самооценке, это все сведено в CobiT.
CobiT - это структурированный свод процессов управления и система их контролей, предоставляющая инструкции развитых методов и оценок. Это позволяет разработать метод самооценки, идентифицирующий задачи и процессы, действительные для бизнес окружения и определяющие контроли, подходящие для них. Самооценка, проводимая путем анкетирования, может быть разработана для достоверных целей, которые идентифицируют ИТ-процессы. Разные компоненты CobiT, такие как Матрица входов\выходов процессов, RACI-диаграмма, Цели и Метрики могут быть преобразованы в формы анкет для проведения самооценки по каждой требуемой области.

Преимущества самооценки
Некоторые преимущества самооценки:
·         Легкое обнаружение рисков;
·         Более эффективная, по сравнению с внутренним контролем;
·         Создание сплоченной команды, вовлеченной в процесс;
·         Разработка разумных для собственников контролей персонала и процессов, и снижение их сопротивляемости к инициативам для усовершенствования контролей;
·         Увеличение осведомленности персонала организации целям, рискам и внутренним контролям;
·         Улучшение уровня взаимодействия между линейными руководителями и топ менеджментом;
·         Повышение уровня мотивации персонала;
·         Повышение уровня значимости аудита;
·         Снижение стоимости контрольных процедур;
·         Уверенность руководства и заказчиков;
·         Некоторая уверенность топ менеджмента об адекватности системы внутреннего контроля, требованиям различных проверяющих организаций, законов, таких как US Sarbanes-Oxley Act.

Недостатки самооценки
Самооценка потенциально содержит несколько недостатков, среди которых:
·         Это может быть ошибкой, так как функции аудитора замещаются;
·         Это может быть оценено как дополнительная нагрузка (например, лишние отчеты для руководства);
·         Отказ от действий по улучшению может повредить моральным качествам персонала;
·         Недостаток мотивации может ограничить эффективность в обнаружении слабых сторон.

Роль аудитора при проведении самооценки
Когда отдел аудита проводит самооценку, роли аудиторов должны быть достаточно широкими и продуманными. Когда роли разработаны, аудиторы могут профессионально помогать службе внутреннего контроля. Результаты оценки – данные, которые являются собственностью организации, за которые менеджмент организации берет ответственность в процессе улучшения структуры управления, включающей действия по наблюдению за оцениваемой областью.
Для того, чтобы аудит был эффективным и рациональным, аудитор должен понимать оцениваемые бизнес процессы. Он может использовать такие традиционные подходы, как предварительное изучение и только потом выход на место. Также аудитор должен помнить, что он частично помогает менеджменту организации управлять персоналом, проводя самооценку. Например, в течение семинаров, аудитор проводит детализированные процедуры, ведет и обучает процессу аудита с целью получения свидетельств, согласующихся с целями аудита,  используя риск ориентированный подход. Менеджеры, наблюдая за тем как проходит процесс аудита и желая его улучшить, должны предлагать заменять одни технологии на лучшие. В этом случае, аудитор лучше может объяснить риски, которые ассоциируются с подобными изменениями.

Технологии проведения самооценки
Разработка техник получения информации и принятия решений необходимая часть самооценки. Некоторые техники предписывают включать аппаратные и программные средства для поддержки самооценки и использовать электронные системы проведения собраний, а также системы, помогающие принимать решения. Группа принятия решений - важный компонент проводимых семинаров, целью которой является проверка полномочий, присутствующих на них сотрудников. В случае анкетирования определенные принципы применяются для анализа и совершенствования анкет.

Традиционный подход против самооценки
Традиционный подход основывается преимущественно на обязанности анализировать и сообщать службе внутреннего контроля о выявленных аудиторами рисках, причем, делая это нужно стремиться уменьшать область проводимой оценки, контролируемую отделом аудита или внешними консультантами. Этот подход создан и укрепляется позициями традиционных аудиторов и консультантов, но не менеджмента организации и рабочих групп, ответственных за оценку и подготовку отчетов для службы внутреннего контроля.
Самооценка же проводится по-другому:  подчеркивается участие менеджмента, в том числе финансового для наблюдения за важными и критичными бизнес процессами и последующей подготовки отчета для службы внутреннего контроля.
Отличие одного подхода от другого:
Традиционный (исторически сложившийся)
Самооценка
Определение обязанностей / возможностей персонала
Понимание полномочий / подотчетность персонала
Следование политикам и правилам
Постоянное улучшение / обучающие курсы
Ограничение участия персонала
Тренинги для расширения участия персонала
Ограниченное наблюдение руководством
Наблюдение советом директоров
Аудиторы и другие специалисты
Персонал всех уровней, выполняющий все контролируемые функции
Подготовка отчетов
Подготовка отчетов


2 комментария:

  1. Спасибо! очень интересная статья и перевод неплохой. А удалось реализовать на вашем предприятии самооценку?
    Сергей

    ОтветитьУдалить
  2. Нет, мы очень поверхностно прошлись по вопросам самооценки. Понимание того, что такое хорошо, а что такое плохо у нас есть, а так как СТО БР не обязателен, мы впереди паровоза не спешим.

    ОтветитьУдалить