Татьяна Барабаш, директор по развитию «Северсталь – Центр Единого Сервиса» рассказала Центру компетенций ОЦО о системе внутреннего контроля, которая помогает предотвращать реализацию рисков.
Система внутреннего контроля (СВК) – это принятые в «Северсталь – ЦЕС» стандарты и практики, обеспечивающие предотвращение или выявление возможных отклонений процесса от установленных параметров и норм. У нас они применяются в любых процессах, не только в управлении рисками.
Согласно внутренней статистике, 76% причин отклонений – это ошибки персонала, которые произошли из-за нарушения процедур контроля. По этой причине мы делаем всё возможное, чтобы доносить до сотрудников важность СВК.
Система состоит из нескольких этапов:
- Мы описываем бизнес-процесс как цепочку операций, определяем его цели и задачи;
- Проводим идентификацию риска, то есть для каждой операции прописываем проблемы, которые могут произойти при её выполнении и, тем самым, привести к недостижению целей и задач;
- Разрабатываем меры и процедуры контроля, которые могут предотвратить риск, исправить последствия или выявить проблемы при выполнении бизнес-процесса;
- Оцениваем экономическую эффективность контрольных мер и процедур;
- После такой «бумажной» работы – внедряем соответствующие меры и процедуры контроля, включая фиксацию требований к их выполнению в локальных нормативных актах, обязательное обучение и ознакомление сотрудников с изменениями.
Но и на этом наши действия не заканчиваются. Мы регулярно анализируем бизнес-процессы и при выявлении новых проблем принимаем решение о внедрении дополнительных мер и процедур контроля, постоянно совершенствуя СВК.
Самое сложное во всей этой истории – правильно прописать контрольные процедуры. Они должны быть не формальными, а рабочими, чтобы мотивировать сотрудников выполнять их. Именно для этого так важно досконально прописать необходимость этих действий в локальной нормативной базе. Иначе можно столкнуться с шантажом со стороны работника: «Я не буду регистрировать инцидент, если вы меня за него накажете».
Пример работы СВК по процессу «Изменение базовой даты платежа»
Выбрала в качестве примера универсальный – актуальный для любого бизнеса.
Этап 1. Оценка
Смотрим, как фактически устроен процесс «Изменение базовой даты платежа», и что может пойти не так. Во-первых, есть риск отсрочки платежа и связанное с ним необоснованное увеличение срока дебиторской задолженности в результате изменения даты платежа. Во-вторых, искажаются KPI заинтересованных сотрудников, в которых заложено требование выводить деньги раньше или позже определённого срока.
Анализируем причины возможной реализации риска. Среди них – отсутствие контрольной процедуры у исполнителя, ошибки в расчёте базовой даты и искажённое понимание процесса заказчиком.
Этап 2. Контрольные процедуры
На этом шаге думаем, как можно этого риска избежать. По итогам мозгового штурма мы разработали 3 подходящих сценария (в предыдущей статье я упоминала, что всегда должно быть несколько альтернативных вариантов работы с риском):
- внедрение контрольной процедуры и следа её выполнения по корректному изменению даты платежа;
- автоматизация уведомлений учётной системы, которые будут подсвечивать любые изменения даты оплаты;
- регламентирование требований к процессу и ознакомление с ними заказчика (и исполнителя – на следующем этапе).
Этап 3. Информация и коммуникация
На этом этапе мы обдумываем, как довести решения до исполнителей. Обычно используются классические, проверенные временем способы: передача информации через руководителей, актуализация внеоборотных активов, информирование ответственных о принятых контролях и создание информационных следов о выполнении контрольных процедур.
Этап 4. Мониторинг
Внедрить систему – это половина дела. Нужно ещё убедиться, что она работает. Для этого мы внедряем мониторинг на уровне ответственного подразделения. Каждый месяц исполнение контрольных процедур проверяет супервайзер «Северсталь – ЦЕС». Кроме того, есть и третья точка контроля – выборочная проверка со стороны ответственных за внутренний аудит и контроль.
Экосистема управления качеством
У нас она выглядит так:
Такая экосистема позволяет нам, не нанимая дополнительных сотрудников, мониторить выполнение прописанных в документах мер минимизации и предотвращения рисков. Когда за контрольные процедуры отвечает один человек – легко допустить ошибку и не заметить её. Наша экосистема управления качеством позволяет предотвращать подобные ситуации.
Разграничение полномочий
Наша основа эффективного внутреннего контроля в работе с рисками выглядит так:
Как видите, такое разделение предотвращает ряд действий, способных привести к большим потерям бизнеса. У нас оно автоматизировано в SAP с помощью GRC Access Control. Также совместно с владельцами процессов разработаны матрицы рисков SoD. Более того, при запросе доступа пользователем система показывает утверждающему, какие конфликты порождаются. И здесь важно понимать, что абсолютно любая, даже, казалось бы, идеальная система может дать сбой, и к нему нужно подготовиться, чтобы вовремя отреагировать. Приведу наш внутренний пример:
Менеджер по продажам был уполномочен заключать сделки с клиентами на условиях действующего прайс-листа. При этом у него была возможность изменять этот документ. При анализе логов системы были зафиксированы многочисленные краткосрочные изменения цен в прайс-листе, оформления сделки по сниженной стоимости, и возврат цены в исходную позицию.
Такие примеры в очередной раз показывают, что важно не просто внедрить контрольные процедуры, а постоянно мониторить их выполнение.
Внутренний аудит
Внутренний аудит – разумная и обоснованная гарантия того, что в компании сформированы и функционируют эффективные системы управления рисками, внутреннего контроля и корпоративного управления.
К тому же, по сравнению с внешним у него имеется масса преимуществ. Внешний аудитор ограничен, например, периодичностью работы или закрытостью информации компании-заказчика, в связи с чем зачастую выступает в роли карателя. Тогда как внутренний аудитор – это партнёр, нацеленный не на поиск «виновных» и их наказание, а на помощь в построении эффективных процессов с контролируемыми рисками.
При этом наши аудиторы – это не «всезнайки-теоретики», а практикующие эксперты по оценке надёжности процессов. Сотрудник этого отдела может не быть узким специалистом, но мы уверены, что он знает методики риск-ориентированного подхода. А его собственная подотчётность гарантирует независимость проверок и беспристрастность выводов.
Регулярный аудит позволяет сохранить и/или повысить эффективность бизнес-процессов, исследовать основные циклы компании и процессы управления. С его помощью можно выявить:
- причины ухудшения финансовых показателей;
- реальную эффективность и производительность сотрудников;
- формальное отношение к обязанностям;
- наличие инициатив, направленных на повышение эффективности, кто их автор, результат;
- наличие сложностей и проблем;
- причины резких спадов или роста отдельных показателей эффективности процессов;
- проблемы с человеческими ресурсами (профессиональное выгорание, переработки и др.).
Иными словами, внутренний аудит необходим всем: чтобы обнаружить проблемы и риски или же убедиться, что их на самом деле нет.