Incep prin a cere un feedback: Ce tehnici/modele le considerati eficiente in abordarea unui proces pentru a analiza riscurile si controalele aferente?
Procesele pot fi foarte diferite de la o companie la alta, de la o industrie la alta. In acest caz cum putem analiza riscurile si controalele de mitigare a riscurilor in fiecare caz in parte?
Chiar si in companii cu procese clar structurate unde exista mai mult sau mai putin nistre procese clar definite vom gasi diverse diferente intre acelasi proces la nivelul a 2 companii/industrii diferite.
Spre exemplu daca luam cazul unei Companii de Distributie ne asteptam sa gasim procese operationale clasice de genul: Achizitii, Vanzari, Marketing, Logistica, etc. Asta nu inseamna ca procesul de Achizitii este similar in Compania A cu Compania B.
Mai mult atunci cand vorbim de un Shared Services unde sunt externalizate diverse procese/ sau parti dintr-un proces cu atat mai mult ne asteptam la organizari diferite si implicit nu ne putem raporta la niste riscuri standard aferente diverselor procese.
Odata ce am stabilit acest lucru cum ar trebui sa abordam analiza Risk & Controls Matrix la un nivel mai general dar unitar?
- Specialistii in Riscuri si Controale, Audit Intern si Financiar, prin prisma experientei din analizarea diverselor procese/companii, pot relativ usor sa abordeze un process total nou, sa-l inteleaga, sa identifice riscurile majore si sa propuna controale cheie care sa minimizeze riscurile.
- Cand vorbim despre Managementul Riscurilor si existenta unui sistem de Controalelor Interne metodologia cea mai des folosita la care se face referire si cu recunoastere internationala este modelul COSO.
- Pentru a privi la un nivel general si unitar fiecare proces propun acronimul SIPOC care cuprinde 5 elemente componente:
S: Sursa de informatie/ cererea: cine furnizeaza informatia input sau cererea
I: Informatiile input: care sunt informatiile input
P: Procesul: care sunt etapele procesului
O: Output: care este outputul /rezultatul procesului
C: Cui i se trimite outputul
Avantajele folosirii modelului SIPOC
- Toate procesele vor putea fi analizate in amanunt prin prisma acestor 5 elemente si avem siguranta analizarii procesului de la inceput pana la finalizare
- Vom putea avea o abordare unitara la nivelul tuturor proceselor
- Folosim acronimul SIPOC ca un chestionar standard de pornire urmand sa analizam in amanunt specificul fiecarui proces
Exemple practice de analiza prin prisma SIPOC
S: Sursa de informatie/ cererea: cine furnizeaza informatia input sau cererea
Riscuri posibile: informatia input este primita de la persoane neautorizate,
I: Informatiile input: care sunt informatiile input
Riscuri posibile: Informatia primita nu este corecta; informatia se primeste cu intarziere, informatia primita nu are aprobarile corespunzatoare
P: Procesul: care sunt etapele procesului
Riscuri posibile: Procesul nu se desfasoara corect, apar erori , unele cereri se omit, nu se obtin aprobarile necesare inainte ca outputul sa fie emis,
O: Output: care este outputul /rezultatul procesului
Riscuri posibile: rezultatul este emis cu intarziere, rezultatul nu este corect, rezultatul nu este conform cu procedura
C: Cui i se trimite outputul
Riscuri posibile: rezultatul nu ajunge unde trebuie (persoane/departamente), rezultatul este trimis cu intarziere
Alina Demeter's Blog 