Организация системы внутреннего контроля в ОЦО: практический опыт

Одна из ключевых целей внедрения системы внутреннего контроля в ОЦО — минимизация ошибок и повышение качества оказываемых услуг. Клуб ОЦО обсудил с представителями ведущих центров, каким образом организована СВК в их ОЦО, на что делается упор при автоматизации контрольных функций и как оценить эффективность существующей системы.

Место СВК в ОЦО

Во многих ОЦО головная (управляющая) компания задает правила организации контрольных процедур для всех компаний группы, в том числе для сервисных центров. Как показал опрос представителей ОЦО, в сервисных центрах, как правило, реализованы три варианта организации системы внутреннего контроля.

1. Внутренние контролеры выделены внутри Службы качества.

2. Контрольные процедуры выполняют непосредственно сотрудники операционных/сервисных подразделений.

3. В ОЦО выделена отдельная служба (СВК).

Служба качества

Поскольку одна из основных целей системы — поддержка качества выполняемых сервисов, то во многих ОЦО именно на Службу качества полностью или частично возложены соответствующие функции. Таким образом выстроена работа в ЦОБ «Татнефть», «Сегеже — ОЦО», ряде других Центров. 

Ряд ОЦО используют гибридную систему, когда контрольные процедуры осуществляются одновременно несколькими подразделениями либо внутри ОЦО разделяются методологи и исполнители процедур. Так, по словам Светланы Корчинской, руководителя Центра качества и операционной эффективности Гринфина, их Центр задает методологию контроля, а реализацией процедур занимаются специалисты внутри операционных подразделений. 

В ОЦО «Магнит», как отмечает Ирина Цыпленкова, руководитель Управления организации сервисов ОЦО, выстроена многоуровневая контрольная среда. В Управлении организации сервисов есть Служба качества, внутри которой находится СВК, — в этой службе работают независимые контролеры, разрабатывающие методологию и соответствующие необходимые документы, они определяют разумность существующих процедур и следят за эффективностью их выполнения. В целом можно выделить четыре уровня:

1-й уровень — исполнители: контрольные процедуры на этапе обработки документов;

2-й уровень — супервайзеры: следят за исполнением контролей;

3-й уровень — внутренние контролеры ОЦО: проверяют, насколько качественно выполнены процедуры супервайзерами, и формируют матрицу проверок, в том числе на основе данных из Журнала инцидентов;

4-й уровень — внутренний аудит: проверяет эффективность работы СВК.

СВК как отдельное подразделение

Отдельная СВК выделяется в ОЦО не так часто, чаще подобное подразделение присутствует только в управляющей компании, однако есть и ОЦО, в которых создана своя СВК. Выделенная Служба внутреннего контроля есть в компаниях Металлоинвест корпоративный сервис и в ОЦО Tele2. В «Интер РАО — Управление сервисами» пока нет специализированной службы, но, по словам Марины Голубевой, руководителя Управления отчетности, компания к этому идет. Кроме того, в Управлении транзакционного учета планируется организовать службу, которая будет проверять эффективность подобных процедур (подробнее о том, как была изначально выстроена система в «Интер РАО — Управление сервисами», можно прочитать тут).

Иногда внутренний контроль является сервисом, который ОЦО оказывает для бизнес-подразделений. Такой сервис можно назвать нетрадиционным для ОЦО, он реализован, к примеру, в ОЦО ГК «Командор», где СВК занимается рисками в рамках холдинга. В прошлом году Центром был составлен реестр рисков для компании: их оценили по существенности и стоимостному критерию, после чего составили план проверок исходя из существенности каждого риска.

Автоматизация внутреннего контроля

Один из наиболее актуальных вопросов, который стоит перед ОЦО, — автоматизация СВК. По мнению Марины Голубевой, «Интер РАО — Управление сервисами», важно сделать процедуру не просто автоматизированной, но предупреждающей, конечная же цель — полная автоматизация, чтобы недопустимые операции автоматически блокировались. К максимальной автоматизации контролей стремятся большинство опрошенных нами ОЦО.

Елена Теребинская, руководитель Службы качества и проектов «Сегежа Групп — ОЦО», отмечает, что в их центре матрица рисков пока реализована в Excel, контрольные листы на основании этой матрицы формируются с помощью макросов, после чего сотрудники проверяют выполнение всех необходимых процедур, что достаточно трудоемко. Центр планировал двигаться в сторону полной автоматизации процесса с помощью модуля SAP GRC (governance, risk and compliance), но после ухода с российского рынка иностранных провайдеров этот вопрос приостановлен.

В ОЦО Tele2 матрица контрольных процедур также ранее была в Excel, но с прошлого года в Центре в тестовом режиме работает собственная автоматизированная система, а в 2023 году планируется пилотирование системы в одном из крупнейших подразделений. 

В ЦОБ «Татнефть» регламентированы контрольные процедуры, часть из них реализована в автоматизированной системе Power BI, а часть — это контрольные карты, которые составляют бухгалтеры. В планах у Центра максимальная автоматизация процесса и полное исключение ручного труда. 

В Гринфине есть и автоматизированные контроли, которые «зашиты» в системе, и матрица рисков и контрольных процедур, которые сложно «отловить» на уровне системы. Пока по холдингу внедрена единая матрица рисков по налогам. По остальным сервисам на этот год стоит задача отстроить подобную систему, актуализировать все имеющиеся документы и привести их к единому стандарту.

В ОЦО «Акрихин» внедрена BPM-система, в которую «зашиты» все контроли, она интегрирована с ERP-системой и не позволяет выполнять «запрещенные» действия.

Марина Голубева обращает внимание коллег на то, что возможны ситуации, когда контроль автоматизирован, но все равно не позволяет полностью избежать ошибок. Это означает, что необходимо усиливать систему, возможно, внедрять несколько видов процедур, чтобы они работали комплексно.

Эффективность контролей

Задача ОЦО — постоянно отслеживать эффективность внедренных процедур и при необходимости своевременно дорабатывать их. Одним из инструментов для этих целей является ведение Журнала учета ошибок/инцидентов. При этом следует постоянно объяснять сотрудникам важность занесения ошибок в журнал, ведь в интересах специалистов ОЦО выявить ошибку самостоятельно, до того как ее найдет заказчик. 

В «Сегежа — ОЦО» Журнал учета ошибок реализован в сервисе Jira. Любой — представитель как ОЦО, так и бизнеса — может заявить ошибку, затем эти ошибки разбираются в сервисных линиях. Если разбор инцидента не устраивает заявителя, то информация об этом идет руководителю сервисной линии и руководителю Службы качества. В ОЦО разработана матрица критичности, в соответствии с которой внедрены разные цепочки разбора для простых и критичных ошибок. В будущем планируется связать систему разбора ошибок с системой контроля — заложить отдельные поля, чтобы можно было по шагам собирать информацию об ошибках, что поможет оценить эффективность внедренных процедур. 

В «Интер РАО — Управление сервисами» решили ужесточить Журнал инцидентов, введя внутренние контроли с учетом претензий, полученных от налоговых органов в ходе встречных и камеральных проверок, например из-за неправильно сформированных деклараций, налоговых регистров и т.д. Кроме того, вводятся специальные КПЭ, цель которых — минимизировать количество ошибок и повысить качество работы.

Повышению эффективности системы способствует и регулярная проверка контрольных процедур. По словам Ирины Цыпленковой, в ОЦО «Магнит» выборочная проверка эффективности контрольных процедур выстроена следующим образом. Формируется план проверок на месяц, проверки могут быть выборочными, более глубокими и более узкими. При этом выборка может быть различная — например, проверка молодых сотрудников, документов с высокой стоимостью, документов по спорным номенклатурам и т.п. Иногда проходят тематические проверки — на основе анализа баланса и динамики определенных показателей. Кроме того, в обязательном порядке анализируется Журнал учета ошибок, который позволяет обратить внимание на повторяющиеся инциденты. По итогам проверок формируется план компенсирующих мероприятий, а через три месяца проходит повторная проверка проблемного участка. 

При определении объема проверяемых процедур целесообразно соотносить время, которое требуется на контрольные процедуры, с количеством ошибок и их стоимостью. Кроме того, важно учитывать, на что делает упор внутренний аудит в ходе проверок. 

Таким образом, выстраивание эффективной контрольной среды в ОЦО — это комплексная и регулярная работа, в которую необходимо вовлекать различных специалистов и подразделения.