Положение с комментариями

Развернуть все комментарии
Свернуть все комментарии

Традиционный подход к написанию положений о подразделениях и должностных инструкций (будем честными) – надергать подходящих фраз из интернета. Подход хороший, правильный, часто используемый и, в принципе, ожидаемый результат достигается: какое-никакое положение есть, за что спросить – есть, а то, чем занимается подразделение – в целом соответствует тому, что написано. Если, конечно, не придираться: из первых выдач результатов поиска положения о подразделениях получаются из серии «третий сорт – не брак» независимо от названия подразделения.

Мы пошли немножко другим путем и изобразили положение о подразделении управления рисками и внутреннего контроля на основании политик управления рисками и внутреннего контроля. То есть, в нашей логике, подразделение создается для того, чтобы реализовывать политику. Такая логика, вообще говоря, должна быть в каждом случае организационного проектирования: идеальная ситуация – когда любое действие находит отражение в политике, регламенте, положении о подразделении и в должностной инструкции. Этому, как правило, не следуют: даже политики имеют свойство меняться, не говоря о регламентах, каждый раз не напереписываешься. Но конкретно для подразделения управления рисками и внутреннего контроля все немного проще, так как комплект документов традиционно утверждается оптом (то бишь и политика, и положение, и прочие регламенты), поэтому можно и сделать все документы близкими к идеалу.

Таким образом, в нижеприведенных фразах, которые можно использовать для разработки своего положения о профильном подразделении, мы делаем две вещи: (1) увязываем все с документами более высокого уровня, (2) вспоминая о вводной статье, обеспечиваем максимальный комфорт для работы. Также отметим (для любителей compliance), что всякие должности типа риск-менеджера или постановщика систем внутреннего контроля в России как бы не существуют (см. квалификационный справочник должностей руководителей, специалистов и других служащих), соответственно, и законодательных требований как к положениям о подразделениях, так и должностным инструкциям вроде как и нет. Хотя есть стандарт «специалиста по внутреннему контролю», но это не совсем про то. Соответственно, пишем как знаем.

Положение о подразделении риск-менеджмента и внутреннего контроля.

1. Общие положения.

1.1. Подразделение риск-менеджмента и внутреннего контроля (далее – ПРМиВК) является самостоятельным структурным подразделением Компании и подчиняется непосредственно генеральному директору.

1.2. ПРМиВК создается, реорганизуется и ликвидируется в соответствии с общепринятым порядком.

1.3. Настоящее Положение, изменения и дополнения к нему вводятся в действие приказом генерального директора Компании.

Комментарий

Традиционно в каждой организации есть свои «обязательные» требования к составлению ПП и ДИ, эти разделы, естественно, нужно переписать и сюда (типа «в своей деятельности руководствуется всякому известному законодательству и локальными нормативными актами», «возглавляется начальником, на время отсутствия которого функции выполняет заместитель» и т.п.). Единственное важное в этом разделе – если ПРМиВК каким-либо образом работает на собственника либо на его представителя, то это необходимо зафиксировать в положении о подразделении.

2. Задачи подразделения.

Комментарий

Раздел по объему минимален. Причина — все высокопарные слова уже есть в политиках. 

2.1. Содействие реализации политики управления рисками.

2.2. Содействие реализации политики внутреннего контроля.

Комментарий

Слово «задачи» можно заменить на слово «цели», а слово «содействие» – на «поддержка», «сопровождение» и т.п. Важный момент: слово «содействие» необходимо. Без этого ограничения будет плохо. Как управление рисками, так и внутренний контроль – дело всех и каждого. При назначении «крайнего» в виде ПРМиВК, даже с огромными полномочиями (типа изменения процессов в обязательном порядке), все остальные перестанут заниматься тем же управлением рисками, как результат – процедуры становятся хуже.

3. Функции.

3.1. Поддержание в актуальном состоянии регламентирующих документов Компании по управлению рисками и внутреннему контролю.

Комментарий

Из документов на сайте следует, как минимум: политики, положение о комитете по рискам при Правлении, регламент по управлению рисками, кодекс этики. Хотя последний можно отдать в кадры.

3.2. Исполнение в Компании функции координатора по управлению рисками и внутреннему контролю.

Комментарий

Данной фразы достаточно для непереписывания регламента управления рисками в положение о подразделении. Это позволяет исключить появление в положении таких фундаментальных вещей, как «в течение пяти рабочих дней письменно направляет свои предложения по учету рисков» и аналогичных, актуальных для регламентов.

3.3. Содействие Правлению и менеджменту Компании в постановке систем управления рисками и внутреннего контроля.

3.4. Анализ проектов документов Компании на соответствие политикам управления рисками и внутреннего контроля.

Комментарий

Возможно, этот пункт – самый важный. Фактически данной фразой ПРМиВК включается в согласование почти всех важных документов любой организации: стратегий, политик, бюджетов, организационно-функциональной структуры, регламентов и т.п.

3.5. Сопровождение системы управления рисками:

Комментарий

Ниже — фразы по мотивам политик, которые должно выполнять подразделением управления рисками и внутреннего контроля. Если не очень понятно, откуда именно они взялись — пишите в обратную связь, поясним. 

3.5.1. Поддержание в актуальном состоянии информации о реализации рисков.

3.5.2. Проведение на основании собственной методологии регулярной независимой от менеджмента идентификации рисков.

3.5.3. Ведение статистики для расчета рисков.

3.5.4. Поддержание в актуальном состоянии реестра рисков.

3.5.5. Формирование карт рисков.

3.5.6. Поддержание и актуализация программ мероприятий по управлению рисками с текущим статусом исполнения мероприятий.

3.5.7. Контроль выполнения планов по улучшению инфраструктуры и процесса управления рисками.

3.6. Сопровождение системы внутреннего контроля:

3.6.1. Поддержание и актуализация программ мероприятий по совершенствованию системы внутреннего контроля.

3.6.2. Регулярный анализ, оценка и внесение предложений по повышению эффективности существующих контрольных процедур.

3.6.3. Поддержание описания контрольных процедур в актуальном состоянии.

3.6.4. Формирование технических заданий по автоматизации контрольных процедур.

3.6.5. Фиксация и обработка обращений по «горячей линии».

3.6.6. Обработка и ведение сводных таблиц по результатам «опроса на выходе».

3.6.7. Ведение сводной информации о выполнении контрольных процедур и выявленных недостатках системы внутреннего контроля (в т.ч. коррупции и воровства).

3.6.8. Организация внешней оценки системы внутреннего контроля.

3.7. Подготовка отчетности о состоянии систем управления рисками и внутреннего контроля.

Комментарий

Можно добавить «для Совета директоров и менеджмента», но лучше не добавлять: исходя из фразы, отчетность может быть двух видов, что как-то напрягает. Отметим, что функция оценки эффективности уже не должна находится в ведении ПРМиВК, это прерогатива внутреннего аудита.

4. Права.

Комментарий

Прав у ПРМиВК поменьше, чем у внутренних аудиторов. Фактически для нормальной работы нужно иметь право: запрашивать и получать информацию, участвовать в совещаниях и привлекать для работы необходимых людей (как изнутри, так и извне организации). Но начнем с другого:

4.1. Инициировать изменения в процессы управления рисками и внутреннего контроля.

Комментарий

Это и право, и обязанность. Окончательное решение, конечно, не за ПРМиВК, но озабоченность наше подразделение должно иметь право выражать 😉 .

4.2. Запрашивать и получать информацию (в т.ч. пояснения в письменной и устной форме) непосредственно от сотрудников Компании с уведомлением их руководителя. Срок предоставления информации с момента получения запроса – не более 5 рабочих дней.

4.3. Получать доступ к информации в электронном виде (в т.ч. электронным файлам, базам данных, архивным хранилищам и т.п.) без права изменения доступа.

Комментарий

Расшифровывать перечень информации можно долго (вплоть до журналов входа/выхода и актов выполненных работ), но это будет лишним. Достаточно указать три важных аспекта: первый – напрямую у сотрудника (исключается переписка по длинному маршруту), второй – срок предоставления информации ограничен, третий — можем пользоваться базами данных.

4.4. Участвовать в совещаниях, проводимых в Компании, в т.ч. по собственной инициативе.

4.5. Привлекать сотрудников других подразделений для получения консультаций.

4.6. Привлекать в соответствии с действующим бюджетом и положением о закупках внешних специалистов (физические и юридические лица) для осуществления своих функций.

4.7. Принимать участие в расследованиях фактов нарушения охраны труда, промышленной безопасности, аварий, а также коррупционных проявлений.

4.8. Передавать результаты работы ПРМиВК в Службу безопасности для проведения дополнительных расследований.

Комментарий

Другие традиционные вещи, такие, как обязанности, ответственность, взаимодействие с другими подразделениями, заключительные положения описывать не очень хочется:

  • обязанности, по нашему личному мнению, описываются функционалом, который на этой странице есть;
  • ответственность достаточно традиционна для любого положения о подразделении;
  • взаимодействие с другими подразделениями описывается регламентами, соответственно, в положении о подразделении данный раздел – лишний;
  • заключительные положения одинаковы для всех, само наличие раздела зависит от компании. 

Если убрать комментарии, то получится чуть больше страницы текста. Собственно, этого вполне достаточно для нормального функционирования подразделения риск-менеджмента и внутреннего контроля. Если в организации кадровики и другие не менее важные люди считают, что положение о подразделении должно быть значительно большим по объему – лейте воды столько, сколько нужно, не забывая о том, что управление рисками – дело всех и каждого, а не конкретного подразделения.

Положение без комментариев

Файл в формате Microsoft Word — здесь

Положение о подразделении риск-менеджмента и внутреннего контроля.

1. Общие положения.

1.1. Подразделение риск-менеджмента и внутреннего контроля (далее – ПРМиВК) является самостоятельным структурным подразделением Компании и подчиняется непосредственно генеральному директору.

1.2. ПРМиВК создается, реорганизуется и ликвидируется в соответствии с общепринятым порядком.

1.3. Настоящее Положение, изменения и дополнения к нему вводятся в действие приказом генерального директора Компании.

2. Задачи подразделения.

2.1. Содействие реализации политики управления рисками.

2.2. Содействие реализации политики внутреннего контроля.

3. Функции.

3.1. Поддержание в актуальном состоянии регламентирующих документов Компании по управлению рисками и внутреннему контролю.

3.2. Исполнение в Компании функции координатора по управлению рисками и внутреннему контролю.

3.3. Содействие Правлению и менеджменту Компании в постановке систем управления рисками и внутреннего контроля.

3.4. Анализ проектов документов Компании на соответствие политикам управления рисками и внутреннего контроля.

3.5. Сопровождение системы управления рисками:

3.5.1. Поддержание в актуальном состоянии информации о реализации рисков.

3.5.2. Проведение на основании собственной методологии регулярной независимой от менеджмента идентификации рисков.

3.5.3. Ведение статистики для расчета рисков.

3.5.4. Поддержание в актуальном состоянии реестра рисков.

3.5.5. Формирование карт рисков.

3.5.6. Поддержание и актуализация программ мероприятий по управлению рисками с текущим статусом исполнения мероприятий.

3.5.7. Контроль выполнения планов по улучшению инфраструктуры и процесса управления рисками.

3.6. Сопровождение системы внутреннего контроля:

3.6.1. Поддержание и актуализация программ мероприятий по совершенствованию системы внутреннего контроля.

3.6.2. Регулярный анализ, оценка и внесение предложений по повышению эффективности существующих контрольных процедур.

3.6.3. Поддержание описания контрольных процедур в актуальном состоянии.

3.6.4. Формирование технических заданий по автоматизации контрольных процедур.

3.6.5. Фиксация и обработка обращений по «горячей линии».

3.6.6. Обработка и ведение сводных таблиц по результатам «опроса на выходе».

3.6.7. Ведение сводной информации о выполнении контрольных процедур и выявленных недостатках системы внутреннего контроля (в т.ч. коррупции и воровства).

3.6.8. Организация внешней оценки системы внутреннего контроля.

3.7. Подготовка отчетности о состоянии систем управления рисками и внутреннего контроля.

4. Права.

4.1. Инициировать изменения в процессы управления рисками и внутреннего контроля.

4.2. Запрашивать и получать информацию (в т.ч. пояснения в письменной и устной форме) непосредственно от сотрудников Компании с уведомлением их руководителя. Срок предоставления информации с момента получения запроса – не более 5 рабочих дней.

4.3. Получать доступ к информации в электронном виде (в т.ч. электронным файлам, базам данных, архивным хранилищам и т.п.) без права изменения доступа.

4.4. Участвовать в совещаниях, проводимых в Компании, в т.ч. по собственной инициативе.

4.5. Привлекать сотрудников других подразделений для получения консультаций.

4.6. Привлекать в соответствии с действующим бюджетом и положением о закупках внешних специалистов (физические и юридические лица) для осуществления своих функций.

4.7. Принимать участие в расследованиях фактов нарушения охраны труда, промышленной безопасности, аварий, а также коррупционных проявлений.

4.8. Передавать результаты работы ПРМиВК в Службу безопасности для проведения дополнительных расследований.

Если вы нашли ошибку, пожалуйста, выделите фрагмент текста и нажмите Ctrl+Enter.