Определение целей постановки.

Первое, с чем необходимо определиться – это для чего необходима постановка. В зависимости от требований риск-менеджмент, внутренний контроль и внутренний аудит в организации будут совершенно разными.

Если в качестве требований есть требования биржи и регуляторов – этот сайт не нужен, все требования прописаны. Соответственно, берем нужный перечень и делаем по инструкциям то, что нужно. Причем, скорее всего, с привлечением консультантов, которые за несколько десятков тысяч долларов обогатят Вас набором разноцветной макулатуры. Как правило, внешняя оценка проходит без проблем за исключением совсем вопиющих случаев, эффективность возникшего кипиша внутри компании на заключение внешнего аудитора не влияет.

Если же Вы хотите повысить эффективность бизнеса, то нужно определить «глубину» желаемых преобразований. Я бы рассмотрел следующие варианты:

  1. Есть подозрение, что много воруют, надоело. Хочется банального порядка.
  2. Хочется повысить эффективность: ощущение, что слишком много народу занимается перекладыванием бумажек, а решения принимаются кривые и информации на самом деле не хватает.
  3. Хочется отдохнуть, принимать только стратегические решения.
  4. Хочется сделать так, чтобы реализовывались стратегические планы.

Сразу хочу сказать, что с послезавтра управлять стратегическими рисками не получится (п.4), сначала должна быть проделана достаточно большая работа по первым трем пунктам. По ним вполне возможно значительно продвинуться в течение года. При этом выбор между пп. 1 и 2 (3) – это очень большая разница к квалификации персонала (и, соответственно, бюджету на проект), а пп. 2 и 3 по необходимым действиям достаточно близки, так как для их решения нужно выпрямлять процессы.

Кроме того, важно отметить, что всякие вещи по внутреннему совершенствованию, в частности, управление операционными рисками и постановка системы внутреннего контроля, требуют для достижения больших целей достаточно больших усилий. В книге на стр. 20 приведен пример о том, что если бизнес злостно уклоняется от уплаты налогов, то при той же эффективности СВК влияние на денежный поток в адрес владельца значительно ослабевает. Могу только добавить, что на фабрике по фасовке наркотиков надстройки в виде риск-менеджмента, системы внутреннего контроля и внутреннего аудита, скорее всего, не понадобятся.

Выбор темпов развития. 

Совершенно банальный вопрос: как быстро Вы хотите развить внутренний аудит, внутренний контроль и риск-менеджмент в компании?

Мое личное мнение – не нужно торопиться. Хотя бы с той точки зрения, что если набрать сразу 10 человек новых, то они могут вынести мозг всем по всей организационной структуре. Конечно, можно рискнуть, и при должном подходе к поиску руководителя / подбору персонала уже через полгода этот творческий коллектив будет в полном составе понимать процессы и Вы получите вполне себе работоспособную структуру внутри организации. Но цена ошибки здорово возрастет: если ожидания не оправдаются, нужно будет менять не 1-2-3 человека, а чуть ли не 10. И менеджмент с удовольствием потрёт руки: «победили». 

Но не стоит и сильно растягивать процессы внедрения. В принципе, и один аудитор может, выполняя по 4-5 больших аудитов в год, постепенно дойти до каждого уголка предприятия. Но готовы ли вы ждать года этак 4, чтобы понять проблемы в условном вспомогательном производстве? Не говоря о том, что нужна поддержка преобразований, а некоторые риски могут потребовать ежегодных аудитов.

Идеальная ситуация, на мой взгляд – это решение 2-3 не очень сложных задач (например, лечение конкретных 2-3 не очень сложных процессов либо же разработка карты рисков) силами 1-3 новых людей в течение полугода. После этого принимать решения о дальнейшем развитии. При этом ситуация не зависит от того, есть ли уже либо нет подразделения внутреннего аудита / контроля: если ситуация плохая, кадры всё равно понадобятся новые.

Оценка готовности внутренней среды.

Прежде, чем начинать рисовать новые структуры и подбирать персонал, необходимо ответить на следующие вопросы:

  • насколько корпоративная культура способна к изменениям?
  • готов ли менеджмент участвовать в управлении рисками?

В зависимости от ответов потребность в новых людях будет отличаться.

Если корпоративная культура не способна к изменениям, то преобразования должны осуществляться в максимально жестком режиме и в приказном порядке. Численность подразделений риск-менеджмента, внутреннего контроля и внутреннего аудита должна быть больше, чем при хорошей корпоративной культуре: КПД снизится из-за необходимости преодоления дополнительных барьеров.

Если же менеджмент готов к изменениям, готов менять организацию работы, мыслит стратегически, специальные отделы типа риск-менеджмента и постановки систем внутреннего контроля можно не создавать. Вполне достаточно будет подразделения внутреннего аудита (если сейчас слабое – то усиленное), остальные функции можно решать в рамках комитетов и непрерывного совершенствования.

Обеспечение взаимосвязи с масштабом бизнеса.

Построить универсальную зависимость численности подразделений риск-менеджмента, внутреннего контроля и внутреннего аудита от любых показателей масштаба бизнеса невозможно: слишком разные цели могут быть даже для сопоставимых предприятий. Отмечу, что зависимость отнюдь не линейная. Но есть приятная особенность: разница в численности между условным подразделением внутреннего аудита большой организации и очень большой организации – маленькая. То есть в какой-то момент наши подразделения обрастают всем необходимым, в СВК имеется определенное совершенство, численность сохраняется стабильной. Поэтому выбирайте сами, сколько готовы тратить. Отмечу, что такие подразделения всё равно себя окупают даже в случае немного избыточных затрат.

Несколько советов:

  • если численность сотрудников не превышает 500 человек, то специальный человек точно не нужен (за исключением людей, осуществляющих процедуры внутреннего контроля: инвентаризаторы, инспекторы по безопасности и т.д.);
  • если численность сотрудников составляет 800-1000 человек, задумайтесь о внутреннем аудиторе;
  • если выручка бизнеса превышает 3-5 млрд. руб., а регламенты (возможно, за исключением кривого положения о договорной работе) отсутствуют – подумайте о том, что нужны новые документы;
  • если выручка бизнеса превышает 10 млрд. руб., а хотя бы одного человека, оценивающего эффективность бизнес-процессов нет, пора его искать;
  • если выручка бизнеса превышает 50 млрд. руб., а карты рисков нет, пора её построить. Не важно, что может получиться ерунда, нужно пытаться.

Соответствие стандартам.

Существует несколько стандартов про тему этого сайта. Подробнее о них – см. соответствующий раздел. Вопрос – хотите ли Вы им следовать.

В жизни встречались абсолютно разумный внутренний контроль с внутренним аудитом даже при подчинении внутреннего аудита наемному финансовому директору, и беззубый внутренний аудит в полном соответствии с канонами. Все зависит от людей. Поэтому я бы «забил» на все стандарты и делал бы так, как удобнее. Но в идеале канонам все-таки нужно следовать.

Итого. Принципиальные моменты.

Нужно определиться со следующим:

  1. Для чего нам это нужно?
  2. Как быстро нам это нужно?
  3. Сколько мы готовы инвестировать в увеличение бюджета на риск-менеджмент, внутренний контроль и внутренний аудит? Достаточно ли этого для достижения целей?

Последний момент выше не описан, но очень важен.

Если вы нашли ошибку, пожалуйста, выделите фрагмент текста и нажмите Ctrl+Enter.

Shares