Про организационные структуры много написано в книге (со стр. 39).

Организация подразделений в соответствии со Стандартами.

Начну с описания «каноничной» структуры.

Стандарты, если кратко, сообщают нам о следующем:

  • управление рисками – процесс, осуществляемый Советом директоров, менеджментом и другими сотрудниками (COSO ERM);
  • внутренний контроль – процесс, осуществляемый Советом директоров, руководством и другим персоналом организации (COSO IC IF);
  • внутренний аудит – деятельность по предоставлению независимых и объективных гарантий и консультаций (определение Института внутренних аудиторов).

Из этих определений следует, что для независимости внутреннего аудита он не должен подчиняться генеральному директору, а риск-менеджмент и внутренний контроль – наоборот, дело именно генерального директора.

Поэтому есть два принципиальных варианта организации правильных подразделений.

Первый принципиальный вариант:

Структура 1

При этом нужно отметить, что дирекция по риск-менеджменту даже в больших организациях частенько ограничивается двумя людьми, одна из которых – ассистентка. Подвариант – объединить дирекции по риск-менеджменту и внутреннему контролю в одну.

Второй вариант – не создавать отдельные подразделения по внутреннему контролю и риск-менеджменту. Риск-менеджментом можно заниматься в рамках комитета по рискам, внутренним контролем (в частности, регламентацией процессов) – с помощью подразделения организационного развития / системы менеджмента качества либо же непосредственно топ-менеджмента и менеджмента среднего уровня. Функции секретаря должен в этом случае выполнять кто-то из финансово-экономических подразделений (для риск-менеджмента) либо же руководитель подразделения организационного развития / СМК (для постановки и совершенствования системы внутреннего контроля). При этом вспомните фразу из введения про то, как лучше всего загубить преобразования, и не делайте так. 

Организация подразделений в российской жизни.

Ключевые проблемы, с которыми можно столкнуться при постановке системы внутреннего контроля, связаны с тем, что преобразования могут быть затруднительны. Есть несколько вариантов:

  • менеджмент хочет, но не может;
  • менеджмент может, но не хочет;
  • менеджмент не хочет и не может.

Варианты встречаются примерно с одинаковой частотой. При этом указанная закономерность не зависит от масштаба организации. Также отмечу, что в больших организациях при нежелании / неспособности у менеджмента часто больше рычагов для срыва работы, чем в маленькой, поэтому бороться сложнее.

Результат примерно одинаков: даже если генеральный директор и совет директоров/владельцы согласны с тем, что имеются проблемы, что нужно предпринимать хоть какие-то действия по улучшению внутреннего контроля (а, возможно, и риск-менеджмента), поручить это некому. Следствие – кто обнаружил, тот пусть и чинит. И возникает совершенно обычная идея: у нас есть хоть какое-то подразделение внутреннего аудита (а скорее всего на проблемы во внутреннем контроле обратит именно оно, см. «Последовательность создания подразделений» ниже), пусть оно и посовершенствует нам СВК/риски. Соответственно, организационно-функциональная структура рассматриваемых подразделений должна измениться.

В этом случае абсолютно рабочей структурой на некоторое время является примерно следующая:

Структура 2

Про риск-менеджера не забыл, в такой ситуации каждый внутренний аудитор становится риск-менеджером, к тому же в МПСВА (Международные профессиональные стандарты внутреннего аудита) прямо написано, что «если такой концепции (управления рисками) нет, то руководитель внутреннего аудита применяет собственное суждение о рисках». На самом деле от отдела постановки СВК можно в принципе и отказаться как от отдельного этапа и сделать так, что внутренние аудиторы и ставят СВК, и ее анализируют. Во всяком случае, такой вариант предложен в книге на стр. 42. Но для руководителя внутреннего аудита возникнут определенные сложности, которые нужно будет преодолеть (подробнее см. здесь).

Последовательность создания подразделений.

Каноничным является подход «цели-риски-контрольные процедуры». То есть вроде как сначала должно возникнуть подразделение риск-менеджмента, потом – постановки СВК, потом – внутренний аудит.

На самом деле всё должно быть ровно наоборот. То есть сначала – внутренний аудит, потом другие подразделения. Почему так?

Первое. Возможно, что без подразделения риск-менеджмента и постановки СВК вполне можно обойтись. А внутренний аудит, если следовать МПСВА, все-таки независимая от менеджмента функция, ее кто-то должен выполнять. Второе. Начинать постановку внутреннего контроля сверху, то есть с контрольной среды и далее по списку – может, конечно, и правильно. Во всяком случае, в лучших традициях Big4. Чем заканчивается – более-менее понятно. Поэтому лучше сначала закрыть имеющиеся (я бы их назвал «зияющие») дыры в СВК. При выборе плана аудита, описанного в разделе про подходы к годовому планированию, с этого и начнут.

При этом сами процессы и процедуры управления рисками и внутреннего контроля пострадать не должны.

Риск-менеджер, на мой взгляд, вообще не является какой-то очень специфической профессией (если речь не идет о риск-инженере в страховой организации либо же риск-менеджере в банке). Фактически функции риск-менеджера в промышленных и торговых предприятиях должен уметь выполнять как генеральный, так и финансовый директор (хотя в некоторых случаях может этот процесс инициировать и внутренний аудитор).

А профессии «постановщик систем внутреннего контроля», повторюсь со страницей «Несколько слов о сайте», вообще как бы и не существует. И система внутреннего контроля, например, регламенты, вполне может разрабатываться менеджментом под контролем независимого подразделения, то есть того же внутреннего аудита. Никакого противоречия с МПСВА здесь не возникает. Более того, даже есть практическое указание МПСВА 1120-1 «Индивидуальная объективность», в котором четко сказано, что «если аудитор рекомендует стандарты контроля или анализирует процедуры до их внедрения, это не оказывает отрицательного влияния на его объективность».

Естественно, если внедрение внутреннего контроля сильно затянется, то нужно рассматривать другие возможности. Кстати, в этом случае можно не только создавать отделы постановки систем внутреннего контроля, но и задуматься о смене менеджмента, в том числе из категории «топ».

В заключение нужно отметить, что лаг между появлением первого внутреннего аудитора и выделенного риск-менеджера должен составлять не менее 2-3 лет. Иначе – бидапичаль, еще поссориться могут.

Разработка организационно-функциональной структуры и штатного расписания.

Требования к функционалу зависят от поставленных целей, требования к численности определяются скоростью необходимых преобразований и особенностями внутренней работы подразделения. Если организация большая и целей много – сделайте пару подразделений: условно внутреннего аудита и контрольно-ревизионных проверок.

После наброска основных функций необходимо проанализировать уже существующий функционал, чтобы не возникло дублирования функций. Такое дублирование может возникнуть:

  • по функционалу отдела контрольно-ревизионных проверок. В СБ наверняка есть очень похожие функции, беда в том, что коллеги не всегда справляются. На мой взгляд, разделения можно добиться простым способом: СБ контролирует в режиме он-лайн, КРУ проводит внеплановые инвентаризации, анализирует сигналы (в т.ч. по горячей линии) и т.д. и т.п. Заметьте, что горячую линию в СБ лучше не отдавать: то, что в столовой невкусно кормят, СБ пропустит, а внутренний аудитор может подумать об измерении удовлетворенности персонала путем анкетирования и, в итоге, привезти несколько интересных тем для генерального либо совета директоров;
  • по функционалу при постановке систем внутреннего контроля, в т.ч. регламентации процессов. При наличии подразделений организационного развития и менеджмента качества целесообразно использовать их в качестве формализаторов СВК. Однако это бывает затруднительно: почему-то многие внедрятели СМК напоминают Ж. Агузарову в текущий период поздней молодости, то есть для нормального человека выглядят прилетевшими из космоса. Понятное дело, что с таких людей «где сядешь, там и слезешь» в части «подумать». Тем не менее, они умеют, соблюдая отступы, размеры шрифтов и наклон букв написать то, что им скажешь. Поэтому в случае наличия, но неполной адекватности внутренних бумагописателей, очень неплохо закрепить в подразделении внутреннего аудита их куратора, а отдельный отдел не создавать.

По поводу всякого рода начальников и заместителей начальников. В принципе, всё равно. Будучи внутренним аудитором, я работал и начальником отдела, и обычным специалистом. Особой разницы в восприятии со стороны менеджмента не заметил. Но для некоторых сильно замученных директоров в регионах статус руководителя проверок неплохо приподнять. Традиционное название для толкового аудитора, как мне кажется – менеджер проектов.

С квадратиками определиться проще, а функции все равно будут периодически меняться. Сложнее – с численностью. Естественно, ограничивающим фактором является бюджет. Наши профессии – удовольствие недешевое. Помимо представленных в разделе про ключевые моменты рассуждений про выбор темпов развития и оценку готовности внутренней среды можно указать следующие факторы, влияющие на численность:

  • разнонаправленность поставленных задач. Конечно, наверное, существуют в жизни стратеги-сметчики и юристы-производственники. Но найти их сложно;
  • наличие квалифицированных специалистов в конкретном регионе. Внутренних аудиторов мало, как и квалифицированных представителей достаточно большого количества профессий. Не повод впадать в отчаяние, как рекомендация – можно просто увеличить штат. Зато зарплаты очень большие можно не платить: количество когда-то да перерастет в качество.

В общем, факторов много, но формулы не придумать. Дополнительные рассуждения о численности подразделений и подборе персонала – здесь.

Что рекомендую: если бизнес уже достаточно большой, а внутреннего аудита нет, то лучше брать сразу не меньше двух, а лучше – трех человек. При наличии рассматриваемого на сайте функционала хоть в каком-то виде рост может быть постепенным. 

В заключение про построение структуры. Может оказаться, что должность, например, руководителя по внутреннему аудиту уже занята человеком, описанным в предыдущем разделе. Новый человек не должен попасть к нему в подчинение: предыдущий сожрёт. Поэтому придумайте для нового человека другой квадратик (название сам предложит) в организационной структуре. Что касается развития – возможны варианты. Но понятное дело, что если сам руководитель инициирует расширение функционала, то и нужно человека искать ему в подчинение.

Итого. Принципиальные моменты.

При рисовании организационной структуры подразделений риск-менеджмента, внутреннего контроля и внутреннего аудита не имеют значение названия квадратиков, важно, чтобы был правильно подобран функционал. Очень важный момент – при резком расширении функций нужно соблюсти интересы как уже имеющегося персонала, так и вновь «вливающихся в команду» людей.

Первое подразделение, которое необходимо организовать – подразделение внутреннего аудита. Если функции внутреннего аудита не было – лучше сразу начать с нескольких разноплановых людей.

Если вы нашли ошибку, пожалуйста, выделите фрагмент текста и нажмите Ctrl+Enter.