Опубликовано 26.12.17
Положение с комментариями
Традиционный подход к написанию положений о подразделениях и должностных инструкций (будем честными) – надергать подходящих фраз из интернета. Подход хороший, правильный, часто используемый и, в принципе, ожидаемый результат достигается: какое-никакое положение есть, за что спросить – есть, а то, чем занимается подразделение – в целом соответствует тому, что написано. Если, конечно, не придираться: из первых выдач результатов поиска положения о подразделениях получаются из серии «третий сорт – не брак» независимо от названия подразделения.
Мы пошли немножко другим путем и изобразили положение о подразделении управления рисками и внутреннего контроля на основании политик управления рисками и внутреннего контроля. То есть, в нашей логике, подразделение создается для того, чтобы реализовывать политику. Такая логика, вообще говоря, должна быть в каждом случае организационного проектирования: идеальная ситуация – когда любое действие находит отражение в политике, регламенте, положении о подразделении и в должностной инструкции. Этому, как правило, не следуют: даже политики имеют свойство меняться, не говоря о регламентах, каждый раз не напереписываешься. Но конкретно для подразделения управления рисками и внутреннего контроля все немного проще, так как комплект документов традиционно утверждается оптом (то бишь и политика, и положение, и прочие регламенты), поэтому можно и сделать все документы близкими к идеалу.
Таким образом, в нижеприведенных фразах, которые можно использовать для разработки своего положения о профильном подразделении, мы делаем две вещи: (1) увязываем все с документами более высокого уровня, (2) вспоминая о вводной статье, обеспечиваем максимальный комфорт для работы. Также отметим (для любителей compliance), что всякие должности типа риск-менеджера или постановщика систем внутреннего контроля в России как бы не существуют (см. квалификационный справочник должностей руководителей, специалистов и других служащих), соответственно, и законодательных требований как к положениям о подразделениях, так и должностным инструкциям вроде как и нет. Хотя есть стандарт «специалиста по внутреннему контролю», но это не совсем про то. Соответственно, пишем как знаем.
Положение о подразделении риск-менеджмента и внутреннего контроля.
1. Общие положения.
1.1. Подразделение риск-менеджмента и внутреннего контроля (далее – ПРМиВК) является самостоятельным структурным подразделением Компании и подчиняется непосредственно генеральному директору.
1.2. ПРМиВК создается, реорганизуется и ликвидируется в соответствии с общепринятым порядком.
1.3. Настоящее Положение, изменения и дополнения к нему вводятся в действие приказом генерального директора Компании.
Комментарий
Традиционно в каждой организации есть свои «обязательные» требования к составлению ПП и ДИ, эти разделы, естественно, нужно переписать и сюда (типа «в своей деятельности руководствуется всякому известному законодательству и локальными нормативными актами», «возглавляется начальником, на время отсутствия которого функции выполняет заместитель» и т.п.). Единственное важное в этом разделе – если ПРМиВК каким-либо образом работает на собственника либо на его представителя, то это необходимо зафиксировать в положении о подразделении.
2. Задачи подразделения.
Комментарий
Раздел по объему минимален. Причина — все высокопарные слова уже есть в политиках.
2.1. Содействие реализации политики управления рисками.
2.2. Содействие реализации политики внутреннего контроля.
Комментарий
Слово «задачи» можно заменить на слово «цели», а слово «содействие» – на «поддержка», «сопровождение» и т.п. Важный момент: слово «содействие» необходимо. Без этого ограничения будет плохо. Как управление рисками, так и внутренний контроль – дело всех и каждого. При назначении «крайнего» в виде ПРМиВК, даже с огромными полномочиями (типа изменения процессов в обязательном порядке), все остальные перестанут заниматься тем же управлением рисками, как результат – процедуры становятся хуже.
3. Функции.
3.1. Поддержание в актуальном состоянии регламентирующих документов Компании по управлению рисками и внутреннему контролю.
Комментарий
Из документов на сайте следует, как минимум: политики, положение о комитете по рискам при Правлении, регламент по управлению рисками, кодекс этики. Хотя последний можно отдать в кадры.
3.2. Исполнение в Компании функции координатора по управлению рисками и внутреннему контролю.
Комментарий
Данной фразы достаточно для непереписывания регламента управления рисками в положение о подразделении. Это позволяет исключить появление в положении таких фундаментальных вещей, как «в течение пяти рабочих дней письменно направляет свои предложения по учету рисков» и аналогичных, актуальных для регламентов.
3.3. Содействие Правлению и менеджменту Компании в постановке систем управления рисками и внутреннего контроля.
3.4. Анализ проектов документов Компании на соответствие политикам управления рисками и внутреннего контроля.
Комментарий
Возможно, этот пункт – самый важный. Фактически данной фразой ПРМиВК включается в согласование почти всех важных документов любой организации: стратегий, политик, бюджетов, организационно-функциональной структуры, регламентов и т.п.
3.5. Сопровождение системы управления рисками:
Комментарий
Ниже — фразы по мотивам политик, которые должно выполнять подразделением управления рисками и внутреннего контроля. Если не очень понятно, откуда именно они взялись — пишите в обратную связь, поясним.
3.5.1. Поддержание в актуальном состоянии информации о реализации рисков.
3.5.2. Проведение на основании собственной методологии регулярной независимой от менеджмента идентификации рисков.
3.5.3. Ведение статистики для расчета рисков.
3.5.4. Поддержание в актуальном состоянии реестра рисков.
3.5.5. Формирование карт рисков.
3.5.6. Поддержание и актуализация программ мероприятий по управлению рисками с текущим статусом исполнения мероприятий.
3.5.7. Контроль выполнения планов по улучшению инфраструктуры и процесса управления рисками.
3.6. Сопровождение системы внутреннего контроля:
3.6.1. Поддержание и актуализация программ мероприятий по совершенствованию системы внутреннего контроля.
3.6.2. Регулярный анализ, оценка и внесение предложений по повышению эффективности существующих контрольных процедур.
3.6.3. Поддержание описания контрольных процедур в актуальном состоянии.
3.6.4. Формирование технических заданий по автоматизации контрольных процедур.
3.6.5. Фиксация и обработка обращений по «горячей линии».
3.6.6. Обработка и ведение сводных таблиц по результатам «опроса на выходе».
3.6.7. Ведение сводной информации о выполнении контрольных процедур и выявленных недостатках системы внутреннего контроля (в т.ч. коррупции и воровства).
3.6.8. Организация внешней оценки системы внутреннего контроля.
3.7. Подготовка отчетности о состоянии систем управления рисками и внутреннего контроля.
Комментарий
Можно добавить «для Совета директоров и менеджмента», но лучше не добавлять: исходя из фразы, отчетность может быть двух видов, что как-то напрягает. Отметим, что функция оценки эффективности уже не должна находится в ведении ПРМиВК, это прерогатива внутреннего аудита.
4. Права.
Комментарий
Прав у ПРМиВК поменьше, чем у внутренних аудиторов. Фактически для нормальной работы нужно иметь право: запрашивать и получать информацию, участвовать в совещаниях и привлекать для работы необходимых людей (как изнутри, так и извне организации). Но начнем с другого:
4.1. Инициировать изменения в процессы управления рисками и внутреннего контроля.
Комментарий
Это и право, и обязанность. Окончательное решение, конечно, не за ПРМиВК, но озабоченность наше подразделение должно иметь право выражать 😉 .
4.2. Запрашивать и получать информацию (в т.ч. пояснения в письменной и устной форме) непосредственно от сотрудников Компании с уведомлением их руководителя. Срок предоставления информации с момента получения запроса – не более 5 рабочих дней.
4.3. Получать доступ к информации в электронном виде (в т.ч. электронным файлам, базам данных, архивным хранилищам и т.п.) без права изменения доступа.
Комментарий
Расшифровывать перечень информации можно долго (вплоть до журналов входа/выхода и актов выполненных работ), но это будет лишним. Достаточно указать три важных аспекта: первый – напрямую у сотрудника (исключается переписка по длинному маршруту), второй – срок предоставления информации ограничен, третий — можем пользоваться базами данных.
4.4. Участвовать в совещаниях, проводимых в Компании, в т.ч. по собственной инициативе.
4.5. Привлекать сотрудников других подразделений для получения консультаций.
4.6. Привлекать в соответствии с действующим бюджетом и положением о закупках внешних специалистов (физические и юридические лица) для осуществления своих функций.
4.7. Принимать участие в расследованиях фактов нарушения охраны труда, промышленной безопасности, аварий, а также коррупционных проявлений.
4.8. Передавать результаты работы ПРМиВК в Службу безопасности для проведения дополнительных расследований.
Комментарий
Другие традиционные вещи, такие, как обязанности, ответственность, взаимодействие с другими подразделениями, заключительные положения описывать не очень хочется:
- обязанности, по нашему личному мнению, описываются функционалом, который на этой странице есть;
- ответственность достаточно традиционна для любого положения о подразделении;
- взаимодействие с другими подразделениями описывается регламентами, соответственно, в положении о подразделении данный раздел – лишний;
- заключительные положения одинаковы для всех, само наличие раздела зависит от компании.
Если убрать комментарии, то получится чуть больше страницы текста. Собственно, этого вполне достаточно для нормального функционирования подразделения риск-менеджмента и внутреннего контроля. Если в организации кадровики и другие не менее важные люди считают, что положение о подразделении должно быть значительно большим по объему – лейте воды столько, сколько нужно, не забывая о том, что управление рисками – дело всех и каждого, а не конкретного подразделения.
Положение без комментариев
Файл в формате Microsoft Word — здесь.
Положение о подразделении риск-менеджмента и внутреннего контроля.
1. Общие положения.
1.1. Подразделение риск-менеджмента и внутреннего контроля (далее – ПРМиВК) является самостоятельным структурным подразделением Компании и подчиняется непосредственно генеральному директору.
1.2. ПРМиВК создается, реорганизуется и ликвидируется в соответствии с общепринятым порядком.
1.3. Настоящее Положение, изменения и дополнения к нему вводятся в действие приказом генерального директора Компании.
2. Задачи подразделения.
2.1. Содействие реализации политики управления рисками.
2.2. Содействие реализации политики внутреннего контроля.
3. Функции.
3.1. Поддержание в актуальном состоянии регламентирующих документов Компании по управлению рисками и внутреннему контролю.
3.2. Исполнение в Компании функции координатора по управлению рисками и внутреннему контролю.
3.3. Содействие Правлению и менеджменту Компании в постановке систем управления рисками и внутреннего контроля.
3.4. Анализ проектов документов Компании на соответствие политикам управления рисками и внутреннего контроля.
3.5. Сопровождение системы управления рисками:
3.5.1. Поддержание в актуальном состоянии информации о реализации рисков.
3.5.2. Проведение на основании собственной методологии регулярной независимой от менеджмента идентификации рисков.
3.5.3. Ведение статистики для расчета рисков.
3.5.4. Поддержание в актуальном состоянии реестра рисков.
3.5.5. Формирование карт рисков.
3.5.6. Поддержание и актуализация программ мероприятий по управлению рисками с текущим статусом исполнения мероприятий.
3.5.7. Контроль выполнения планов по улучшению инфраструктуры и процесса управления рисками.
3.6. Сопровождение системы внутреннего контроля:
3.6.1. Поддержание и актуализация программ мероприятий по совершенствованию системы внутреннего контроля.
3.6.2. Регулярный анализ, оценка и внесение предложений по повышению эффективности существующих контрольных процедур.
3.6.3. Поддержание описания контрольных процедур в актуальном состоянии.
3.6.4. Формирование технических заданий по автоматизации контрольных процедур.
3.6.5. Фиксация и обработка обращений по «горячей линии».
3.6.6. Обработка и ведение сводных таблиц по результатам «опроса на выходе».
3.6.7. Ведение сводной информации о выполнении контрольных процедур и выявленных недостатках системы внутреннего контроля (в т.ч. коррупции и воровства).
3.6.8. Организация внешней оценки системы внутреннего контроля.
3.7. Подготовка отчетности о состоянии систем управления рисками и внутреннего контроля.
4. Права.
4.1. Инициировать изменения в процессы управления рисками и внутреннего контроля.
4.2. Запрашивать и получать информацию (в т.ч. пояснения в письменной и устной форме) непосредственно от сотрудников Компании с уведомлением их руководителя. Срок предоставления информации с момента получения запроса – не более 5 рабочих дней.
4.3. Получать доступ к информации в электронном виде (в т.ч. электронным файлам, базам данных, архивным хранилищам и т.п.) без права изменения доступа.
4.4. Участвовать в совещаниях, проводимых в Компании, в т.ч. по собственной инициативе.
4.5. Привлекать сотрудников других подразделений для получения консультаций.
4.6. Привлекать в соответствии с действующим бюджетом и положением о закупках внешних специалистов (физические и юридические лица) для осуществления своих функций.
4.7. Принимать участие в расследованиях фактов нарушения охраны труда, промышленной безопасности, аварий, а также коррупционных проявлений.
4.8. Передавать результаты работы ПРМиВК в Службу безопасности для проведения дополнительных расследований.
Если вы нашли ошибку, пожалуйста, выделите фрагмент текста и нажмите Ctrl+Enter.