Система внутреннего контроля «Северсталь – ЦЕС»

Татьяна Барабаш, директор по развитию «Северсталь – Центр Единого Сервиса» рассказала Центру компетенций ОЦО о системе внутреннего контроля, которая помогает предотвращать реализацию рисков.

Система внутреннего контроля (СВК) – это принятые в «Северсталь – ЦЕС» стандарты и практики, обеспечивающие предотвращение или выявление возможных отклонений процесса от установленных параметров и норм. У нас они применяются в любых процессах, не только в управлении рисками.

Согласно внутренней статистике, 76% причин отклонений – это ошибки персонала, которые произошли из-за нарушения процедур контроля. По этой причине мы делаем всё возможное, чтобы доносить до сотрудников важность СВК.

Система состоит из нескольких этапов:

1. Мы описываем бизнес-процесс как цепочку операций, определяем его цели и задачи;
2. Проводим идентификацию риска, то есть для каждой операции прописываем проблемы, которые могут произойти при её выполнении и, тем самым, привести к недостижению целей и задач;
3. Разрабатываем меры и процедуры контроля, которые могут предотвратить риск, исправить последствия или выявить проблемы при выполнении бизнес-процесса;
4. Оцениваем экономическую эффективность контрольных мер и процедур;
5. После такой «бумажной» работы – внедряем соответствующие меры и процедуры контроля, включая фиксацию требований к их выполнению в локальных нормативных актах, обязательное обучение и ознакомление сотрудников с изменениями.

Но и на этом наши действия не заканчиваются. Мы регулярно анализируем бизнес-процессы и при выявлении новых проблем принимаем решение о внедрении дополнительных мер и процедур контроля, постоянно совершенствуя СВК.

Самое сложное во всей этой истории – правильно прописать контрольные процедуры. Они должны быть не формальными, а рабочими, чтобы мотивировать сотрудников выполнять их. Именно для этого так важно досконально прописать необходимость этих действий в локальной нормативной базе. Иначе можно столкнуться с шантажом со стороны работника: «Я не буду регистрировать инцидент, если вы меня за него накажете».

Пример работы СВК по процессу «Изменение базовой даты платежа»

Выбрала в качестве примера универсальный – актуальный для любого бизнеса.

Этап 1. Оценка

Смотрим, как фактически устроен процесс «Изменение базовой даты платежа», и что может пойти не так. Во-первых, есть риск отсрочки платежа и связанное с ним необоснованное увеличение срока дебиторской задолженности в результате изменения даты платежа. Во-вторых, искажаются KPI заинтересованных сотрудников, в которых заложено требование выводить деньги раньше или позже определённого срока.
Анализируем причины возможной реализации риска. Среди них – отсутствие контрольной процедуры у исполнителя, ошибки в расчёте базовой даты и искажённое понимание процесса заказчиком.

Этап 2. Контрольные процедуры

На этом шаге думаем, как можно этого риска избежать. По итогам мозгового штурма мы разработали 3 подходящих сценария (в предыдущей статье я упоминала, что всегда должно быть несколько альтернативных вариантов работы с риском):

• внедрение контрольной процедуры и следа её выполнения по корректному изменению даты платежа;
• автоматизация уведомлений учётной системы, которые будут подсвечивать любые изменения даты оплаты;
• регламентирование требований к процессу и ознакомление с ними заказчика (и исполнителя – на следующем этапе).

Этап 3. Информация и коммуникация

На этом этапе мы обдумываем, как довести решения до исполнителей. Обычно используются классические, проверенные временем способы: передача информации через руководителей, актуализация внеоборотных активов, информирование ответственных о принятых контролях и создание информационных следов о выполнении контрольных процедур.

Этап 4. Мониторинг

Внедрить систему – это половина дела. Нужно ещё убедиться, что она работает. Для этого мы внедряем мониторинг на уровне ответственного подразделения. Каждый месяц исполнение контрольных процедур проверяет супервайзер «Северсталь – ЦЕС». Кроме того, есть и третья точка контроля – выборочная проверка со стороны ответственных за внутренний аудит и контроль.

Экосистема управления качеством

У нас она выглядит так:

Такая экосистема позволяет нам, не нанимая дополнительных сотрудников, мониторить выполнение прописанных в документах мер минимизации и предотвращения рисков. Когда за контрольные процедуры отвечает один человек – легко допустить ошибку и не заметить её. Наша экосистема управления качеством позволяет предотвращать подобные ситуации.

Разграничение полномочий

Наша основа эффективного внутреннего контроля в работе с рисками выглядит так:

Как видите, такое разделение предотвращает ряд действий, способных привести к большим потерям бизнеса. У нас оно автоматизировано в SAP с помощью GRC Access Control. Также совместно с владельцами процессов разработаны матрицы рисков SoD. Более того, при запросе доступа пользователем система показывает утверждающему, какие конфликты порождаются. И здесь важно понимать, что абсолютно любая, даже, казалось бы, идеальная система может дать сбой, и к нему нужно подготовиться, чтобы вовремя отреагировать. Приведу наш внутренний пример:

Менеджер по продажам был уполномочен заключать сделки с клиентами на условиях действующего прайс-листа. При этом у него была возможность изменять этот документ. При анализе логов системы были зафиксированы многочисленные краткосрочные изменения цен в прайс-листе, оформления сделки по сниженной стоимости, и возврат цены в исходную позицию.

Такие примеры в очередной раз показывают, что важно не просто внедрить контрольные процедуры, а постоянно мониторить их выполнение.

Внутренний аудит

Внутренний аудит – разумная и обоснованная гарантия того, что в компании сформированы и функционируют эффективные системы управления рисками, внутреннего контроля и корпоративного управления.

К тому же, по сравнению с внешним у него имеется масса преимуществ. Внешний аудитор ограничен, например, периодичностью работы или закрытостью информации компании-заказчика, в связи с чем зачастую выступает в роли карателя. Тогда как внутренний аудитор – это партнёр, нацеленный не на поиск «виновных» и их наказание, а на помощь в построении эффективных процессов с контролируемыми рисками.

При этом наши аудиторы – это не «всезнайки-теоретики», а практикующие эксперты по оценке надёжности процессов. Сотрудник этого отдела может не быть узким специалистом, но мы уверены, что он знает методики риск-ориентированного подхода. А его собственная подотчётность гарантирует независимость проверок и беспристрастность выводов.

Регулярный аудит позволяет сохранить и/или повысить эффективность бизнес-процессов, исследовать основные циклы компании и процессы управления. С его помощью можно выявить:

• причины ухудшения финансовых показателей;
• реальную эффективность и производительность сотрудников;
• формальное отношение к обязанностям;
• наличие инициатив, направленных на повышение эффективности, кто их автор, результат;
• наличие сложностей и проблем;
• причины резких спадов или роста отдельных показателей эффективности процессов;
• проблемы с человеческими ресурсами (профессиональное выгорание, переработки и др.).

Иными словами, внутренний аудит необходим всем: чтобы обнаружить проблемы и риски или же убедиться, что их на самом деле нет.