На этой странице приведем возможные подходы к определению перечня и разработке необходимого набора документов по управлению рисками, внутреннему контролю и внутреннему аудиту.

Какие документы можно разработать.

Традиционно на руководителей подразделений риск-менеджмента, внутреннего контроля и внутреннего аудита возлагается ответственность за разработку, согласование и поддержание определенного набора документов. Рассмотрим типы этих документов.

Первый тип – это целеполагающие (высокоуровневые) документы. Можно выделить два подтипа:

  • Политика. Это «Кодекс строителя коммунизма», то есть документ в стиле «за все хорошее против всего плохого». Содержит цели, принципы, подходы, ключевые особенности и пр.
  • Стратегия развития. Более конкретный по сравнению с политикой документ, в котором дополнительно указываются если не путь, по которому будем двигаться, то хотя бы сроки наступления эпохи всеобщего благоденствия.

Второй тип – это документы, определяющие статус подразделения, то бишь положения о подразделениях. Содержит права, обязанности, ответственность и прочие судьбоносные для дальнейшего функционирования детали.

Третий тип документов – это регламенты процессов, то есть регламенты взаимодействий. Эти документы отвечают на вопросы кто? когда? кому? чего? что будет, если? и т.п.

Четвертый тип документов – это должностные инструкции. На сайте их не будет, пусть забота об их наличии ляжет на отделы кадров, им это нужнее.

Чем конкретнее документ, тем он полезней. Поэтому с точки зрения руководителя подразделения риск-менеджмента, внутреннего контроля и внутреннего аудита:

  • регламент (управления рисками, проведения проверок) должен стать основным документом. Потому что без него работать нельзя – любая попытка «повзаимодействовать» с любым другим подразделением может привести к остановке процесса;
  • положение о самом профильном подразделении нужно «на всякий случай». Жить без него, в принципе, можно, но наличие прописанных прав и ответственности может усмирить пыл особо протестующих тружеников;
  • должностные инструкции бывают полезны для обуздания подчиненных. Например, отсутствие данного документа не позволяет даже чисто теоретически уволить сотрудников, не прошедших испытательный срок, да и в целом некоторые ценят данные документы. Можно разработать по желанию;
  • с точки зрения развития функций высокоуровневые документы не нужны, но если очень хочется – пусть будут. Мы видели достаточно большое количество подразделений внутреннего контроля и внутреннего аудита (некоторые создавали сами), успешно функционирующих без политик и стратегий.

Источники информации.

Для разработки документов, регламентирующих риск-менеджмент, внутренний контроль и внутренний аудит в первую очередь стоит использовать стандарты:

  • для риск-менеджмента – FERMA и ISO31000;
  • для внутреннего контроля – COSO IC IF;
  • для внутреннего аудита – Международные основы профессиональной практики внутреннего аудита.

Подробнее о стандартах — на соответствующей странице.

Все целеполагающие документы – это сокращенные версии стандартов с уточнениями относительно реализации в каждом конкретном случае. Но политика по управлению рисками выглядела бы странно, если написать ее одной фразой «Мы строим управление рисками исходя из ISO31000». Соответственно, нужно взять только ключевое, что такое «ключевое» — решается в каждом конкретном случае. Кстати, как понимаете, объем документа практически не ограничен, то есть по каждому высокоуровнему документу можно написать хоть 50 страниц.

Для остальных документов используются умные фразы из стандартов:

  • для положения о подразделениях – цели, задачи, функции (положения о подразделениях трансформируются в должностные инструкции). Права и обязанности подразделений – это следствие необходимости исполнения задач и функций;
  • для регламентов – последовательность действий, описанных в стандартах.

Источниками информации определяется и уровень плагиата в имеющихся документах. Как показал наш опыт, уровень антиплагиата в высокоуровневых документах и положениях – около 50%, то есть примерно наполовину всё у всех совпадает (в т.ч. будет совпадать и у нас, несмотря на уникальность сайта). А вот получающиеся регламенты взаимодействия уникальны на 100%, то есть в интернетах даже похожие документы отсутствуют.

Заинтересованные стороны. 

Как понимаете, документы в рассматриваемых областях затрагивают практически всех сотрудников. И у каждого пользователя есть свое видение целей функционирования, а также как набора, так и состава документов. Выделим три группы заинтересованных сторон и опишем специфику их поведения.

Группа 1. Заказчики (спонсоры) процессов.

Как правило, это акционеры либо совет директоров, но в некоторых случаях в роли заказчика процесса могут выступать генеральный директор, финансовый директор, директор по корпоративному управлению, директор по непрерывному совершению etc. Данную группу заинтересованных лиц интересует, чтобы все работало, документы – это побочно. Исключение – профессиональные особенности конкретных людей, некоторые стремятся к определенной идеализации, и тот же самый совет директоров может потребовать зафиксировать прообраз результата в виде какого-нибудь основополагающего документа (типа политики внутреннего контроля).

Группа 2. Ответственные за процесс.

Руководители подразделений риск-менеджмента, внутреннего контроля и внутреннего аудита. Основная цель этой группы – обеспечить себе разумные условия для функционирования. Достигается тем, что должны быть регламентированы права этой группы и некие обязанности других участников процесса. Под обязанностями других участников процесса подразумевается два типа действий: напряженная работа (или хотя бы ее имитация) в части развития риск-менеджмента и внутреннего контроля и (как минимум) непосылание в пешее эротическое путешествие внутреннего аудита. Кроме того, данная группа заинтересованных лиц традиционно преследует цель «как бы сделать так, чтобы у меня все было, и ничего мне за это не было», то бишь (будем честными) минимальную ответственность за неготовность организации к рискам, прососы во внутреннем контроле и отсутствие изменений в деятельности организации по итогам работы внутреннего аудита. 

Группа 3. Участники процесса.

Основная задача остальных участников процесса, за некоторыми исключениями – минимизация собственных действий. Согласны, что бывают замечательные работники, которые искренне заинтересованы в эффективном управлении рисками и внутреннем контроле, а может быть, даже и во внутреннем аудите (чтобы еще что-то улучшить в процессе). Таких встречали, но их абсолютное меньшинство, при этом именно им всякие бумажки об устройстве мира не очень важны. Соответственно, такое поведение определяет необходимость разработки документов исходя из недружественных действий остальных участников процесса. 

Советы.

Приведенные выше особенности поведения заинтересованных сторон позволяют спрогнозировать сложности при внедрении, которых целесообразно избежать. Принципиальная сложность – из-за того, что цели второй и третьей группы выше, мягко говоря, не совпадают, со стороны группы участников процесса возникает противодействие группе ответственных за процесс. Данные участники будут стремиться не только к минимизации собственной деятельности, но и ограничению прав подразделений риск-менеджмента, внутреннего контроля и внутреннего аудита, а также переложению ответственности (типа «если даете рекомендации, то и отвечайте за результат»). Потенциальный конфликт будет усиливать ситуация «Пастернака не читал, но осуждаю», то есть людям затруднительно осилить много больших книжек (на самом деле и не нужно всем читать стандарты), но ссылки на них, а также содержание им не нравятся. Поэтому совет следующий – подходите к согласованию исходя из необходимости документов (см. первый раздел):

  • в высокоуровневых документах – на самом деле, пусть пишут, что хотят, главное, чтобы не было ереси. Пример ереси — как обычно, с первой страницы яндекса на дату публикации: «Что такое аудит внутренний – созданная система контроля за тем, как определенный хозяйствующий субъект соблюдает принятый порядок ведения бухгалтерского учета». Взято отсюда;
  • в положениях о подразделениях – необходимо четко отстаивать права и категорически исключить ситуацию ответственности за текущее состояние управления рисками и внутреннего контроля;
  • в регламентах – старайтесь описывать не только обязанности менеджмента, но и свои действия. В комментариях к регламентам будут приведены соответствующие методики ускорения решения потенциальных конфликтов. Требования к хорошим регламентам описаны здесь.

Следующий совет касается объема документа: мы искренне считаем, что чем меньше по объему документ, тем лучше. Но короткий документ в процессе согласования вызовет вопросы и требования конкретики (типа «а расшифруйте нам, что именно подразумевается под этим пунктом»). Поэтому совет (применять только для этого случая) – используйте открытые перечни, лучшая находка – это фраза «включая, но не ограничиваясь». Понимаем, что сам документ от этого выглядит хуже, но другого выхода не видим.

Последний совет: определите оптимальный круг согласования. Прийти к заказчику и утвердить регламенты и положение о самом себе лично у него — путь простой, но стратегически проигрышный, потому что за все косяки будете отвечать Вы. Согласование в максимально широком круге заинтересованных лиц вызовет продолжительное по времени и ненужное по сути бурление. В результате может оказаться, что времени потрачено много, а разногласия настолько глубоки, что останется только первый путь. 

Из чего состоит раздел.

Лишний раз подчеркнем, что окончательный выбор документов зависит от множества факторов: запросы заказчиков, сложившаяся корпоративная культура, масштабы организации и пр.

Начать чтение необходимо с подходов к построению организационно-функциональной структуры подразделений риск-менеджмента, внутреннего контроля и внутреннего аудита на этой странице. Какую структуру выбрать – решать Вам, если нужно проконсультироваться – пишите в обратную связь.

После выбора организационной структуры можно приступить к формированию документов для конкретного бизнеса. Для этого можно творчески переработать документы, которые размещены на сайте:

Выбор данных документов обусловлен исключительно точкой зрения авторов. Собственно, из всего этого можно создать один документ типа «Регламент внутреннего контроля», включив наиболее ценные для конкретного бизнеса мысли страниц эдак на 5-10-15-20. Для среднего бизнеса – самое оно.

Будут дополнения и пожелания – пишите.

Если вы нашли ошибку, пожалуйста, выделите фрагмент текста и нажмите Ctrl+Enter.