Для риск-менеджера

Введение.

Для риск-менеджера работа с операционными рисками (выявление дыр и последующая постановка / совершенствование СВК) – штука разовая. Рассмотрим принципиальные отличия рисков в процессах (подавляющее большинство из них не являются стратегическими) от стратегических рисков.

Большинство стратегических рисков связано с внешней средой. Внешняя среда может меняться быстро, риски являются абсолютно нетиповыми. Сравните, условно, начало и середину 2014 года: мало кто ожидал реальной войны у соседей. Большинство рисков в бизнес-процессах – это практически типовые события, в большинстве случаев внутренняя среда оказывает на возникновение событий значительно большее влияние, чем внешняя. Соответственно, так как события типовые, то и бороться с ними можно типовыми способами путем регламентации процессов, установления лимитов и пр.

Именно поэтому анализ бизнес-процессов (один из методов выявления рисков) с последующим лечением при выявлении неприемлемого уровня риска – фактически однократное мероприятие. Безусловно, должна быть «обратная связь» и непрерывное совершенствование. Однако, как я уже упоминал, карта рисков долго не живёт. Поэтому при первоначальной постановке либо при наличии определенной статистики по давно отлаженным процессам можно включать риски по итогам анализа процессов. Но, на самом деле, они практически пропадут (либо установятся на приемлемом уровне) через несколько итераций по постановке СВК. То есть риск останется, но будет все больше тяготеть к левому нижнему углу на карте рисков. А мелочевку, как сказано, в карту рисков тянуть не нужно.

Как не нужно (но можно) анализировать риски в процессах.

Для начала повторю рисунок из книги со стр. 136.

Риски в процессах

С помощью этого рисунка можно последовательно для каждого процесса набросать сотню-другую рисков. На примере любого промежуточного расчета:

  • расчёт может выполняться подразделением, заинтересованном в результате расчёта (не соблюдается принцип «четырех глаз»);
  • расчёт может быть построен на некорректных прогнозных данных;
  • расчёт может содержать арифметические ошибки;
  • при рассмотрении расчета возможно рассмотрение предыдущей версии

и т.д. и т.п., короче, любой квадратик при должном подходе – кладезь рисков (как в анекдоте про полиционера «докопайтесь до столба»).

Безусловно, дальше можно описать контрольные процедуры для каждого из рисков, при этом контрольных процедур может быть несколько. Будет прикольно оценивать вероятность и ущерб (вероятность того, что расчёт при передаче по электронной почте может потеряться, ненулевая: у Иван Ивановича, может быть, ящик забит, потому что он в отпуске). Можно даже построить карту рисков для процесса, при этом разбить саму карту на несколько квадратиков, и в квадратике указывать количество попавших туда рисков. Потом передать внутреннему аудиту для дальнейшей работы (например, для формирования программы проверки процесса). Ну, в общем, интересно. И методологически, не поверите, правильно.

Вроде бы клёво, но работать с этим практически невозможно, хотя картинки и смешные.

Как можно (и целесообразно) выявлять риски процессов.

Что предлагаю я.

Основной принцип – нужно смотреть на процесс целиком. То есть процесс – это некий черный ящик. Что-то есть на входе, как-то работает внутри, что-то есть на выходе. Немного по-другому: трудности с планированием (на входе что-то не так), трудности при исполнении (внутри), трудности на выходе (не достигается требуемый результат), трудности в измерении результатов (корявая отчетность). Кроме того, для некоторых процессов присущи стратегические риски.

Результаты такого подхода – см. в разделах по процессам.

При этом я предлагаю не рассматривать отдельно риски:

  • кривого планирования (хотя для тех же инвестиций может быть отдельным риском, так как имеет совсем другую природу по сравнению с некорректным планированием закупок);
  • искривленной отчетности (это особая беда. Речь идет не о финансовой отчетности, а управленческой информации, на основании которой принимаются решения);
  • бюрократизации деятельности (показано только для положения о заключении договоров, хотя может встречаться везде).

Таким образом, для каждого процесса будет 1-2-3, иногда – 4 или 5 рисков. Вполне укладывается в общую концепцию про количество рисков. И работать с этим количеством уже можно, и планы мероприятий формировать – одно удовольствие.

Можно пойти от целей (в соответствии с канонами COSO ERM), но мне это не нравится.

Отмечу, что рисунок из книжки все-таки пригодится. Чтобы понять, в каком именно квадратике имеются сложности, то есть для максимальной детализации рисков при описании.

Общие комментарии к разделу для риск-менеджера.

Небольшие комментарии к разделу в целом.

При определении последствий я старался указать именно ключевые. Да, можно легко отделаться при описании последствий констатацией одного, а именно «Снижение капитализации бизнеса». Я его применяю только в инвестиционном регламенте, объяснение приведено на соответствующей странице.

Что касается признаков неэффективной СВК. Для сокращения раздела я старался минимизировать эти признаки и показать только направления, где искать риск-менеджеру. Значительно больше признаков эффективного и неэффективного дизайна есть в разделе для внутреннего аудитора. Если будет не хватать какого- то понимания – см. туда.

Для постановщика СВК

Введение.

Представленные на сайте регламенты я попытался сделать универсальными. Почему остановился на одном, а не, например, на трех. Безусловно, Вы укажете на тот фактор, что мне лень. Да, согласен. Но это не ключевой фактор. Дело всё в том, что если выбрать 3 (5,7,77) условных предприятий, то наверняка окажется четвертое (шестое, восьмое, семьдесят восьмое), которое отличается от предыдущих. Конечно, можно написать процедуры для крупного, среднего, малого бизнеса с разным набором контрольных процедур. А для, скажем, движения ТМЦ можно написать условный регламент для налива, насыпа, штук, комплектов и т.п. Но даже в крупном бизнесе могут применяться упрощенные процедуры, а в малом – сложные. Поэтому не угадаешь. А ТМЦ – штука относительно простая, для продаж вариативности будет значительно больше, описывать всё – можно посвятить этому всю жизнь.

Обратите внимание, что я часто употребляю словосочетание «тонкая настройка». Такими терминами помечены случаи, когда контрольные процедуры зависят от предприятия. При этом даже у нас с коллегой, который взял на себя труд эксперта, могут быть разные мнения об одном и том же. Пример: один из комментариев звучал как «Финик, составляющий, по сути, платежный календарь, это грустно». Комментарий учтен, но мне почему-то вспомнилась одна из почивших авиакомпаний, где очередность платежей была утверждена генеральным директором, а решение «платить или не платить» принималось каждый день коллегиально…

Так что основная задача этого раздела – показать, как выглядит разумный регламент, определить большую часть развилок, по возможности отметить достоинства и недостатки возможных вариантов. Повторю слова, сказанные в описании сайта о том, что задачка – дать не рыбу, а удочку. Хотя сами заготовки регламентов и есть «рыба» для нового регламента.

Зачем нужны регламенты. 

Про необходимость регламентов много написано в книжке, со стр. 275, в том числе и описание борьбы с возражениями. Здесь приведу дополнения от эксперта сайта. 

Казалось бы, должно быть удивительным принципиальное наличие такого вопроса: в 21-м веке, веке высоких технологий, когда все, что можно, уже, вроде бы, изобретено и предложено на рынке, конкуренция высока, а качественный менеджмент – единственное конкурентное преимущество для выживания сражающейся за свое место под солнцем компании. Но в действительности, как показывает практика, каждая вторая компания на рынке сталкивается с этой дилеммой: нужна ли регламентация или нет.

В интернете представлено множество моделей зрелости организации, кому не лениво – с удовольствием сможет найти пару-тройку таких в яндексе. Можно пробовать примерять эту модель на свою организацию, а можно этого и не делать. Не вдаваясь в дебри, главное, что следует учесть, думая над этими моделями, что существует некий масштаб компании, свыше которого отсутствие регламентов неизбежно ведет к потере управляемости бизнеса. Безусловно, ручное управление бизнесом – это инструмент понятный, и, увы, часто рассматриваемый как догма. Однако он не единственный, другое дело, что уход в более высокие материи затруднен многими ограничениями: бюджетом, уровнем подготовки кадров, рыночной диспозицией, особенностями экономико-политической ситуации в стране присутствия компании, да хоть фазой луны и эффектом бабочки. Но конкретно СВК в организации без регламентов представить сложно. Да, часто бизнесу они только мешают. Почему? Вот самые очевидные контраргументы от менеджмента:

Регламенты не нужны вообще, потому что:

  1. Они мешают работать, так как создают лишнюю бумажную волокиту.
  2. Как их не пиши, все время будет неописанная ситуация, тогда зачем регламент, если все равно действовать приходится по наитию?
  3. Даже если их писать, то кому-то надо этим заниматься. Кто этот кто-то, ведь решить проблему на уровне ее порядившем, нельзя? Это же нужен человек, это же надо платить… аудитор? Да что он может знать, этот аудитор? Он нас учить работать будет? Щас: дрын ему в выхлопную трубу.
  4. А читать регламенты кто будет? А исполнять?

Так что, как ни банально, каждому генеральному директору и/или владельцу – самому решать, что же делать с регламентацией. А лицу, которому доверят постановку СВК в компании, остается пожелать удачи и административной поддержки гендира или владельца.

Как сделать из заготовки регламента свой регламент.

Нужно понимать, что поработать все равно придется. Это как с презентацией: если когда-нибудь читали чужую, то знаете, что это непросто. Попробую описать видимую мне последовательность действий, если кто-то решит писать регламенты на основании заготовок на этом сайте. Кстати, буду рад обратной связи.

Итак, за основу текст взять все-таки можно. Первым делом, в обязательном порядке, прочитайте разделы «для постановщика СВК» и соответствующие разделы в книге. Выявите ключевые для конкретной ситуации проблемы, проанализируйте (в т.ч. и обсудите) про то, нужно ли детализировать процедуры в регламенте.

Далее, скорее всего, нужно выбрать процедуры из предлагаемых заготовок. Регламенты написаны для средне-большого предприятия на основании агрегированного опыта, то есть количество прописанного достаточно велико. Особенно большими получились регламент закупок и инвестиционный регламент, но упрощать не хочется. Если что-то не встречалось – не вводите дополнительного контроля. Принцип – «Если снег не выпал – то его убирать не нужно» (как-то в столице по телевизору чиновника показывали, который на Гидрометцентр жаловался: машины вышли, а снег не пошел). При подозрении на воровство лучше менять руководителя, чем писать 90-страничные фолианты. Потому что всех дыр не заделать, в нормальной контрольной среде всё может быть хорошо и без многостраничных документов.

Проанализируйте, кто должен исполнять контрольные процедуры. Пример из регламента по ТМЦ: каждый случай возникновения брака анализирует директор по качеству. Понятное дело, что если завод 2х2 км, а некоторым цехам можно смело присваивать звание «почетный бракодел», то директор по качеству задолбается анализировать. Если же брак – случай единичный (один раз в месяц), то почему бы и нет. Таких примеров много, чем больше компания и больше событий – тем менее значимую должность должен занимать исполнитель контрольной процедуры.

После переименования подразделений возникнет текст регламента. Необходимо обсудить с заинтересованными лицами, смогут ли они его исполнить. Банально, но нужно. Особо не противьтесь предложениям и помните, что обсуждение на 4 часа может закончиться изменением трех фраз в регламенте. Главное, чтобы в процессе обсуждения контрольные процедуры не были «замылены», то есть на основании одного события из 10 тысяч контрольные процедуры отменяются для всех случаев. 

Дальше – понятно. Запускайте, через месяц получИте первую обратную связь, внесите изменения. В общем, всё как обычно.

Особенности формата регламентов.

Приведу несколько тезисов, которые, с одной стороны, помогут улучшить регламенты (ну, или осознанно принять выбор о том, какие регламенты должны быть), если будете писать их сами, с другой стороны – позволят понять мою логику.

Простота.

А не простата, как нонче принято в энторнетах. Уровень образования падает. Не мое мнение (см. рубрику А.Н. Привалова в журнале «Эксперт», там целая коллекция мыслей о реформах образования). Людям банально тяжело читать что-то сложнее твиттера. У меня при проблеме каждый первый (!, не шучу) операционист не смог прочитать два абзаца текста, чтобы понять суть. Претензия написана в стиле этого сайта. Поэтому старайтесь делать все регламенты максимально простыми.

Вспоминается история про то, что «учащийся средней группы должен уметь дифференцировать простые линейные формы» (у кого был матан и прочие диффуры – поймет). Средняя группа – это детский сад в буквальном смысле, если что. Мысль в исполнении, скорее всего, к.п.н. означает умение отличать круг от квадрата. Понятное дело, что для регламента лучше выбрать «уметь отличать круг от квадрата», то есть написать попроще. Идеальная ситуация, судя по статьям в интернете, на заводах Ford. Принципиально выбирают парочку туповатых людей (я бы, правда, сказал бы не туповатых, а «линейных», то есть действующих строго по инструкции). Любой регламент проходит через них. Если понимают одинаково – значит, документ правильный и понятный.

Кто? Что? Когда?

А иногда и «где?». Выше перечислены три вопроса, ответ на которые должна давать каждая законченная фраза регламента. Иногда пропускаю «когда?». Причина – либо тяжело указать, либо и так понятно. Но если не указать срок исполнения операций, то, вообще говоря, человека наказать-то и не за что (см. советы для внутреннего аудитора на следующей вкладке). Он «в процессе» 🙂 .

Нумерация.

Обратите внимание, что я стараюсь не включать под одним занумерованным пунктом большое количество действий (максимум – три штуки). В принципе, не очень принципиально. Маленький гешефт – расследования случаев и депремирование упрощается: можно писать «за нарушение п. 1.2.3.4», а не «за нарушение п. 1.2 в части «…».

Аббревиатуры.

Аббревиатуры позволяют сократить объем регламента. Вопрос – нужно ли их использовать? Например, для регламента закупок можно ввести аббревиатуру ЭАО – экономист аналитического отдела.

К использованию аббревиатур нужно подходить аккуратно: безусловно, в каждой организации есть свой «птичий язык», но для новичка (а регламенты в т.ч. для них) будет сложно. Есть организации, где принято общаться сокращениями (например, железная дорога, см. заголовок телеграммы). Но не факт, что все вновь прибывшие смогут даже после испытательного срока идентифицировать всех, кто указан в качестве адресатов (я так до сих пор путаюсь, возможно, потому, что в РЖД не работал). 

В своих регламентах я использую только часто мне встречавшиеся аббревиатуры. Типовой пример отказа от использования аббревиатур: КП – контрольная процедура, «Комсомольская правда», командный пункт. Поэтому использование КП для коммерческого предложения – не катит. Про ТП (техническая политика, если что. Хотя брат говорит, что в ДТП первая буква расшифровывается как «две») говорить вообще неприлично. Из определенно нестандартных встречалось в жизни ООО «НИИ ПМС» (сайт почему-то прекратил существование, раньше была ссылка), хотя мне так известно про путевую машинную станцию, а не то, что 80% читателей могли бы подумать.

Жаргонизмы.

Иногда помогают, но всё-таки с ними нужно быть аккуратнее. То же слово «приход» для некоторых категорий людей значит не поступление ТМЦ, а что-то другое… Хотя от всего не уберечься, один знакомый юрист искренне хохотал над «горизонтами бюджетирования». 

В общем, я иногда использую. Но не в каждом возможном случае.

Заглавные буквы.

Не пишите «Главный Инженер». Пишите «главный инженер». Понимаю, что пустячок, но при выборе первого варианта получится, что 95% случаев употребления будет с большой буквы, а примерно 5% — с маленькой. Потому что итоговая версия готовится в цейтноте. Возможные исключения – Генеральный директор и Председатель совета директоров.

Коммуникации.

Конечно, можно прописать каждое письмо, которое отправляется (например, назначение ответственных), можно предусмотреть приказы и т.п. В огромной компании это нужно. В не совсем огромной – вряд ли. Смотрите сами, детализация может быть разного уровня. Не зря я пишу про электронную почту, которой можно пользоваться при передаче информации.

Из той же серии. Если написано, что «финансовый директор передает расчёт директору по стратегическому развитию» — это совершенно не означает, что финансовый директор – «передаст», либо же то, что он должен бегать по территории за директором по стратегическому развитию. Есть секретариат. То же самое можно сказать про «топ-менеджмент заполняет». Не сам (хотя иногда и очень полезно), есть структуры в подчинении. Главное, что он является ответственным за «координацию коммуникаций».

Приложения.

Регламенты часто оказываются раздутыми из-за того, что избыточно детализируются действия каждого конкретного сотрудника, то есть описывается, что он должен сделать «внутри пункта». Это не совсем верно. Регламент чего-либо – определенный «верхний уровень» описания, который связывает разные действия по разным документам. Соответственно, как правило, не нужно переписывать ГОСТ по проектированию, ТУ на продукцию с методиками измерений качества, требования по безопасности при эксплуатации подъемных устройств, пакеты документов для прохождения согласований в государственных органах и пр. Бывает, что по каким-то причинам нужно. В этом случае отсылайте к приложениям, основной текст должен занимать не больше 10-15 страниц.

Форма регламентов.

В книге на стр. 137 описаны различные варианты формы регламентов. Здесь приведена только текстовая, надеюсь, что кто-то возьмется за графическую. Вообще – нужно определить нотацию. Стоит отметить, что разные люди из СМК частенько придумывают какие-то очень сильно неудобные формы, поэтому если её увидите – поинтересуйтесь, зачем. Если «просто так» (ни одного внятного объяснения в жизни не слышал) – переходите на текст, аналогичный приведенному на сайте.

НДС и прочее.

Нужно определиться, с учетом НДС и других налогов указаны суммы в рублях в регламентах или без. Кому как.

Ссылки на пункты регламента.

Ссылки на пункты регламента не всегда удобны. Иногда их можно дать, но часто лучше переписать абзацы. Если давать ссылки, то может получиться как в ст. 1899 п. 1 НК РФ из ПБУ про учет слонов.

Некоторые комментарии ко всем регламентам:

  1. Нужно приучать людей к тому, что что-то меняется. Поэтому актуальные версии регламентов хранятся на сервере в общедоступных папках. При рассылке обновлений достаточно указать, что вышло обновление.
  2. В некоторых случаях я пишу «заинтересованные лица», а не полностью перечисляю список должностей. Может быть, и не очень правильно, но надеемся на то, что исполнители являются разумными людьми. При необходимости – конкретизируйте. Иногда это может быть рассылка всем топ-менеджерам.
  3. В начале каждого регламента ставится цель «защита интересов Компании». Не нравится – переформулируйте, но я в необходимость траты времени на оттачивание формулировок целей (особенно документов очевидной полезности) не очень верю.
  4. Иногда из-за неопределенности приходится останавливать описание словами типа «Исполнитель организует реализацию принятых решений». Эксперт назвал формулировку «шедевральной» и «всеобъемлющей», а также предложил заменить ее на более понятную «Исполнитель идет работать». Конечно, с точки зрения канонов формулировку нужно изменить. Я не стал, потому что решения могут быть очень разными.
  5. Обратите внимание, что в регламентах в 99% случаев указана конкретная должность. Оставшийся 1% — либо забыл, либо не очень принципиально (подразумевается, что нужно кого-то оповестить). В жизни встречались регламенты с формулировками типа «тов. Макеев Р.В. передает тов. Осееву И.О. разработанные тексты для проведения экспертизы». Комментировать не буду.
  6. Обратите внимание, что изменения в регламент проходят разные согласования, но приказ подписывает всегда генеральный директор.
  7. Конец рабочего дня – в правилах трудового распорядка.
  8. Во всех регламентах дни – рабочие. Если где-то не указал (старался писать) – напишите, поправим.
  9. Нужно определить, что делать, если условное 05 число попадает на выходные / праздники. Либо в последний рабочий день перед 05, либо в первый рабочий день после. Отдельная тема – про январь, большинство людей отдыхает первые 9-10 дней, а потом еще неделю втягиваются. Думаю, что проблем нет, отчетность можно рассмотреть и попозже.
  10. В регламентах не указаны формы первичных документов. Тем не менее, альбом форм первичных документов для каждого регламента не помешает (кстати, повторюсь, если кто возьмется – я только за). За типовые формы берите Росстатовские и упрощайте при необходимости.
  11. В регламентах не указано, какое количество экземпляров документов формируется. Для регламентов канонично (во всяком случае, в консультационной практике так делали почти всегда) указать это количество и направление движения каждого. Я – сторонник минимума бумажек. Если есть автоматизация – достаточно одной для бухгалтерии, если автоматизации нет – лучше две (у МОЛа остается о том, что он отпустил, в бухгалтерию передают бумажку того, кто принял).
  12. Для регламентов не полностью проверялись «связанность» и отсутствие «зацикленности». Основные моменты, конечно, учтены, но, возможно, что-то и пропустилось.
  13. Основные «стыки» между представленными регламентами обеспечены. Задачу обеспечить полную состыковку я не ставил. Но, вообще говоря, это очень важно: отсутствие стыков создает неопределенность, при этом является достаточно частой проблемой (выход из одного есть, входа в другой нет). Очень рекомендую после того, как «накопится жирок» в части управления регламентами (то есть их станет штук 10-15), составить матрицу стыков и, при отсутствии соответствующих входов и выходов, регламенты дополнить. Поможет и жизнь упростит.
  14. Некоторые моменты в тексте небезупречны с точки зрения формальной логики. Я могу сделать юридически и логически безупречный текст, но объем фразы иногда будет составлять чуть-ли не половину страницы, что, на мой взгляд, нецелесообразно.

Мысли про автоматизацию.

Советы по автоматизации каждого процесса приведены для постановщика СВК отдельно. Здесь приведены общие рекомендации именно при постановке системы внутреннего контроля.

  1. Наладьте сначала процессы на бумаге. Это сложно, но можно. Только после этого автоматизируйте. В противном случае будете получать автоматизированный бардак.
  2. В обязательном порядке проанализируйте возможность автоматизации всего процесса. Идеальная связка – от возникновения заявки на оборудование до его списания в металлолом. Включая всё. Современные информационные системы позволяют.
  3. Ни в коем случае не считайте контрольные процедуры выполненными «по умолчанию», то есть если какое-то действие своевременно не сделано, то оно считается выполненным без замечаний.
  4. Не штрафуйте за то, что человек несвоевременно нажал на кнопочку. Что важнее: реальное чтение договора или своевременность кнопконажатия?
  5. Очень тщательно планируйте переход между версиями.
  6. Не забывайте о том, что бумагу все равно где-то нужно хранить. О чем идет речь – прочитайте здесь, очень интересно. 

Для внутреннего аудитора

Введение.

В принципе, представленных программ, как мне представляется, вполне достаточно для проведения аудита достойного качества (при условии, что программой будет пользоваться аудитор из категории старший специалист). Тем не менее, дам несколько дополнительных комментариев для проведения более эффективных аудитов на уровне бизнес-процессов.

Запрос информации.

Что должно быть в запросе.

Для анализа процесса нужно запросить банальные вещи:

  • общие сведения (например, для продаж – информация о рынках, для ТОиР – парк оборудования, для ТМЦ – перечень складов и их вместимость);
  • используемые стратегические установки (при наличии);
  • регламенты процессов и прочие инструкции по осуществлению деятельности;
  • нормативы вместе с их расчетами;
  • планы (желательно в разных вариантах, в т.ч. для разных уровней управления);
  • отчеты об исполнении планов;
  • различные расшифровки (в первую очередь – бухгалтерские);
  • анализ причин отклонений.

Не стал формировать типовой запрос, так как в каждой организации много различий именно в названии чего-нибудь (где-то планы, где-то бюджеты, где-то бюджетные формы и т.п.). При наличии представления о процессе (который, кстати, может дать и программа), написать запрос по любому процессу – максимум часа полтора.

Про положения о подразделениях и должностные инструкции.

Нужно ли запрашивать и анализировать положения о подразделениях и должностные инструкции? Мое мнение – не нужно. Поясню, почему.

Во-первых, я не в курсе случаев привлечения менеджеров к ответственности за некорректные решения на основании неисполнения должностных инструкций. Да, МОЛ или закупщики иногда привлекаются к ответственности в рамках УК РФ, но это совсем не то. Условно, экономист, который подтвердил что-то некорректное, вряд ли встретится с работодателем в суде. А уволить можно и просто так (я знаю три принципиально разных абсолютно честных способа).

Во-вторых, в 99,99% инструкций есть обязанность «исполнять приказы и распоряжения руководства» или что-то подобное. Поэтому если регламент доведен должным образом, то это и есть инструкция для менеджмента. Да, особо бдительный аудитор может попросить лист подписей об ознакомлении с регламентом (ситуация, что кто-то не в курсе регламентов организации, где служит – вопиюща и, скорее, интересна не для аудита бизнес-процесса, а ближе к аудитам контрольной среды и корпоративной культуры). Но не положения и должностные инструкции.

В-третьих, я по молодости, будучи консультантом, запрашивал. Когда тебе привозят на тележке «небольшую» подборку положений о подразделениях и копии должностных инструкций руководителей обычного завода – понимаешь, что ты запросил что-то не то. Да и дерево жалко…

Кроме того, рекомендую вспомнить А.Н. Привалова из журнала «Эксперт» про ход административной реформы (на сайте не искал, но смысл примерно тот же): «анализируя функции поштучно, попарно, в разрезе ведомств и на вхождении буквы «ю», не одно поколение реформаторов спокойно доживет до пенсии». В общем, ценность работы на основании анализа существующей макулатуры по ПП и ДИ невелика, а работать такую работу можно именно до пенсии.

Анализ полученной информации.

Анализ регламента.

В свое время (2004 год) Центр стратегических разработок (ЦСР) разработал очень интересный документ под названием «Памятка эксперту по первичному анализу коррупциогенности законодательного акта». Впоследствии возникло приложение под названием «Методика анализа коррупциогенности нормативных правовых актов органов исполнительной власти». К сожалению, на момент написания этой страницы ЦСР проходит сложный период в жизни, сайт практически «обнулен». Тем не менее, в сети всё осталось.

Так вот, плохие вещи в регламентах почти в каждом случае очень похожи на коррупционные положения в нормативных правовых актах (НПА).

Я не будут полностью приводить эти документы, ищите в сети. Здесь приведу несколько очень хороших примеров, которые часто встречаются и в бизнесе, на примере анализа закупок. Также буду рад предложениям по расширению перечня.

Текст из «Методики анализа <…>»

Применение к бизнесу.

Пример из раздела «Определение компетенции по формуле «вправе»: «Лицензия может быть аннулирована лицензирующим органом в следующих случаях:».

Пример: «Поставщик может быть не аккредитован по решению директора по снабжению при:». Ключевое словосочетание – «может быть». 

Сроки принятия решения: «Коррупциогенность повышается с увеличением продолжительности таких сроков или установлением широкого временного диапазона, а также при отсутствии срока».

Например, отсутствуют сроки принятия решения об аккредитации поставщиков, поставщик аккредитуется на следующий день после проведения конкурса на 3 года вперед.

Условия (основания) принятия решения: «При этом наиболее коррупциогенна ситуация, когда НПА предоставляет несколько возможных вариантов без точного определения условий принятия того или иного решения».

Потенциальный участник конкурса может быть как отклонен по формальным признакам (например, из-за наличия судебных разбирательств), так и допущен к участию в тендере.

Перечень оснований для отказа «содержит «размытые», субъективно-оценочные основания отказа».

Вспомните про балльную оценку в книжке. Фактически любая качественная оценка поставщика – это и есть субъективно-оценочное суждение, при этом в случае балльной оценки еще и сопровождаемое расчетами.

Пример: «<…>проведение своевременной аттестации оборудования, технологических процессов, контрольно-измерительных средств». Использованное здесь понятие «своевременности» ничем не ограничивает административное усмотрение».

Включение в типовой договор значительных штрафов. Особенно эффективно при проведении конкурса на разработку какой-нибудь информационной системы за 5 дней. «Нужному» поставщику, понятное дело, мы штрафы применять не будем. А «ненужному» — почему бы и нет.

Коррупциогенность понижается, если существует четкий порядок принятия решения (административные процедуры).

Порядок согласования технических заданий не описан, ТЗ может возникнуть откуда угодно и быть согласовано как угодно.

Раздел «Коллизии нормативных правовых актов», название подраздела «Противоречие НПА органа исполнительной власти Конституции РФ или конституциям (уставам) субъектов РФ».

Директор по снабжению утверждает собственную инструкцию по выбору поставщика, основанную на балльных оценках. При этом в регламенте по закупкам указано, что поставщик выбирается по минимальной приведенной цене.

Раздел «Навязанная коррупциогенность»: Подзаконный акт может содержать коррупциогенные нормы в силу того, что закон (статутный акт) предоставил широкие возможности ведомственного нормотворчества и таким образом заранее санкционировал все, что будет в НПА, не обозначив критериев и условий подзаконного регулирования.

Технические политики разрабатывает и утверждает главный инженер, закупки осуществляются в соответствии с технической политикой. В этом случае снабженец, даже если он хочет купить что-то по оптимальной стоимости жизненного цикла, не сможет этого сделать, потому что в техническую политику может быть включен выбор конкретного производителя.

Раздел «Формально-техническая коррупциогенность»: «подписание НПА не руководителем или лицом, исполняющим его обязанности, а другим лицом».

Никто не мешает достать инструкции предыдущего директора по снабжению и выбирать поставщика на их основании, если распоряжением нового директора эта инструкция не отменена.

Достаточно прочитать эту методику, спроецировать на бизнес, и любой человек, в общем-то, может анализировать любые регламенты на предмет нехороших с точки зрения внутреннего контроля вещей.

Напоследок – интересная фраза из рассматриваемой методики: «Единственный совет эксперту, который можно дать в этом случае: не стоит опасаться, что в качестве коррупциогенной будет представлена норма, которая при последующей оценке не окажется таковой. В данном случае излишняя придирчивость не повредит». Для государственных документов – самое оно, а вот для бизнеса не всегда подходит. См. комментарий к постановке СВК.

Что делать, если коллегиальные органы не работают.

Может оказаться, что формальных замечаний к регламентам нет, все решения как в соответствии с регламентами, так и по жизни утверждаются коллегиальными органами (тендерным комитетом, бюджетным комитетом, техническим советом), при подготовке решений проводятся все согласования и т.п. Однако «что-то не работает», то есть фактические решения оказывались совершенно неэффективными. Причем неэффективность эта будет именно на самом высоком уровне.

Разберем возможные причины:

  • недостаток информации. Бывает объективным (например, новый поставщик не смог выдержать заявленное качество), а бывает не очень объективным (когда информация подается не полностью, в том числе при определенных махинациях заинтересованных подразделений);
  • стиль принятия решения. При возникновении первоначально разумного спора дискуссия может перейти на принцип «кто громче крикнет», авторитет председателя (акционера, генерального директора) может привести к параличу дискуссии и т.п.;
  • весь менеджмент находится «в одной лодке» и излишне дружен, запланированные конфликты интересов не возникают. Может происходить как следствие:
    • простой дружбы. Если все учились в одной школе (вспомните Лавра Федотовича и Семена Семеновича с фабрики игрушек им. Ф.Э. Дзержинского) – ну, какие нафиг конфликты, да еще наверху. Ведь сложные заседания затягиваются, а чего разговоры разговаривать, когда вечером дома ждут;
    • профессиональной слабости / опасения за свое место работы участников процесса, в первую очередь, финансового директора. Финансово-экономические подразделения в разумных структурах являются воплощением «сдержек и противовесов», с учетом состава коллегиальных органов всегда должен быть определенный конфликт, который приводит к разумному решению. Если же все выбрали «вождя», возражения только для «протокола» — ничего хорошего не получится;
    • того, что «москвичи купили завод» (ну, может быть «питерцы» или «уральцы»). Тоже понятная ситуация: менеджмент против варягов и т.п. «Всех не заменишь, нужно работать именно со мной, а я вам наработаю…»;
  • решения принимаются большинством голосов. Ситуация может сложиться фантасмагорическая: финансовый директор, руководитель СБ, генеральный директор – за поставщика №3, первый заместитель генерального директора, главный инженер, директор по производству, директор по качеству и директор по снабжению – за поставщика №5;

Наиболее тяжелая ситуация в случае, если неэффективные решения принимаются благодаря ключевому акционеру. С одной стороны, диктовать владельцу, как вести бизнес – не совсем задача внутреннего аудитора (после фразы «Иван Абрамович, Вы как-то неправильно бизнес ведете» можно «стать героем» очень в разных смыслах). С другой стороны – зарплату мы получаем от него, поэтому должны заботиться о непрерывности бизнеса. Выход – обеспечить как минимум два независимых потока информации и корректность расчетов. Если владелец полностью уверен в своей правоте – ну, значит, так тому и быть: в конце концов, мы наемные работники, он нас нанял, мы предупредили. 

Другие ситуации проще. Во-первых, могут помочь кадровые решения. Мне нравилась ситуация в бизнесах, которыми владеют два разных физических лица (иногда – две разных группы лиц, причем именно в терминологии УК РФ, которые по предварительному сговору) в пропорции 70/30 (подвариант для старого завода – 52 / 27 / остальное – на руках у населения). Мажоритарий назначает генерального директора, миноритарий – финансового директора, принцип «четырех глаз» в действии. Если финансовый директор – никакой (в т.ч. очень уважает генерального), то нужно прислать кого-нибудь из Москвы (СПб, Екб). При покупке бизнеса – то же самое: генерального иногда нельзя менять по политическим мотивам, а финансового – почему бы и не поставить. Традиционно такой человек называется «смотрящим» (на визитке, понятное дело, пишется другая должность).

Во-вторых, можно изменить регламенты работы. Например, увеличить сроки предоставления информации, изменить порядок принятия решения (наделить правом вето финансового директора и руководителя СБ), иногда встроить внутренний аудит и т.д. Для этого нужно выявить причину проблем.

В общем, вопрос нестандартный, но такие случаи – редкость.

Зачем нужно запрашивать планы, отчетность и расшифровки?

Во-первых, для того, чтобы исключить ситуацию «вы не туда посмотрели». Да, во внутренних информационных системах да и просто общих сетевых дисках может быть куча информации, к которой у внутреннего аудитора должен быть доступ. Но беда в том, что даже если вы возьмете самый последний файл по дате, с хорошей вероятностью вы возьмете либо проект, либо уже устаревший документ.

Во-вторых, очень неплохо сравнить данные информационных систем с теми данными, что присылает менеджмент. Аналитика может отличаться, соответственно, это повод что-то поанализировать и, скорее всего, выйти на возможность отражения этого в информационных системах.

Ну и, будем честными, в некоторых случаях просто лень самому ковыряться (попробуй в SAP найди какую-нибудь транзакцию, особенно если у тебя доступа нет).

Почему файлы носят название «чек-лист»?

Сами понимаете, количество программ аудита, которые я написал, достаточно велико и не ограничивается тремя и даже восемью (по числу представленных на сайте). Если бы я взял форму программы аудита, которая применялась бы на моих предыдущих местах работы, получилось бы плохо, не хочу ни с кем ссориться (с кем еще не успел).

Однако «домашних заготовок» у меня много почти для каждой ситуации, и в качестве программы для сайта пришло в голову использовать форму, которая была разработана, но не использовалась на одном из предыдущих мест работы. Возможно, сама форма и является служебным произведением, но доводил я её до разумного состояния уже при написании сайта во внерабочее время.

Форма была придумана для того, чтобы совместить несовместимое (впихнуть невпихуемое), а именно сделать в одном документе программу, документирование и справку, причем коротко. Причем справка должна была касаться как дизайна контрольных процедур, так и программы тестирования. Эти формы для выбранных процессов Вы и можете скачать с сайта. С учетом того, что сами формы явно избыточны именно для программы аудита, Вы можете использовать для формирования собственной программы как столбец «Программа проверки», так и «Рекомендуемые действия по тестированию» с небольшими дополнениями по необходимости оценки организации процедур.

Небольшие комментарии к программам:

  1. Программы, возможно, не являются полными. Буду рад услышать предложения по расширению.
  2. Выделение «подпроцесса» — условность. Некоторых подпроцессов может не существовать. Но другого слова в голову не приходит.
  3. Использование фразы «убедиться в чем-то хорошем» в программе – просто такой придуманный жанр. Программы можно писать по разному (см. раздел для внутренних аудиторов на уровне бизнеса). Если использовать глаголы, то можно написать программу и в стиле «исключить что-то плохое». Отмечу, что в глагольных формулировках программы вполне соответствуют Международным профессиональным стандартам внутреннего аудита: цели аудиторского задания (убедиться в чем-либо) на основании предварительной оценки рисков, относящихся к объекту аудита.
  4. Столбцы с отсутствием штриховки – это компромисс с личным мнением в части документирования аудиторских процедур. Я, как, думаю, уже понятно читателю, являюсь противником детального документирования. Если документировать – то хотя бы так (видел образцы документирования какой-нибудь налоговой отчетности по известному законодательному акту из США – я бы сбежал бы с работы, КПД работы аудитора снижается до КПД паровоза).
  5. Признаки эффективного и неэффективного дизайна – ключевые признаки именно для конкретной ситуации. В разделе для риск-менеджера есть признаки неэффективности СВК. Сопоставимости ждать не стоит: для риск-менеджера картинка должна быть более общей, для внутреннего аудитора – немножко мелочёвочной. Если аудитор что-то выявил, это может не означать, что процедура в целом кривая. Это означает только возможности по непрерывному совершенствованию.
  6. Рекомендуемые действия по тестированию. На самом деле немного более детальная программа проверки именно в части тестирования, информация именно справочная. Что касается выборочной проверки – см. ниже, как именно я рекомендую выбирать.
  7. Последний столбец, а именно «вероятность найти что-то при тестировании», может оказаться полезным для начинающих внутренних аудиторов. Очень усредненная оценка по результатам самых разных проектов. Если бы мы с коллегой, который является экспертом этого сайта, были бы юристами, то поговорка «два юриста – три мнения» была бы про нас: мы с легкостью смогли бы обосновать каждую из трех возможных вероятностей. Но делать этого не стали.

Про случайные выборки.

В конце каждого комментария для внутреннего аудитора приведен раздел «Повышение эффективности проверки». Безусловно, внутренний аудитор может делать случайную выборку. Она мне не нравится, потому что нужно повышать свою эффективность, а при действительно случайной выборке 80% твоего времени будет уходить «в песок». Если добавить документирование этой фигни – то 95-96% (вдумайтесь: на работу ходите по графику 5/2, а эффективны один день в месяц). А «псевдослучайные» выборки помогают значительно лучше выявлять проблемы.

Случайные выборки я тоже использую, но редко. Нужно для того, чтобы с чего-то начать. Пример: по случайной выборке выявлена неработоспособность приборов учета. Обычно я предлагаю следующее: «смотрите, ткнул пальцем в небо, а попал в луну. Я здесь еще пару дней, можем все оборудование осмотреть, можем сократить время и мое, и Ваше: рассказывайте, где и что еще не так». Ответственный человек чешет репу и говорит правду, что упрощает задачу всем. Потому что если скажут неправду, и я продолжу изыскания, то в отчете можно и рассказать кому-нибудь про неконструктивность при сотрудничестве. Кстати, для молодого аудитора работа по случайным выборкам также очень полезна, потому что развивает бдительность. Тем не менее, это случай исключительный и я его применяю только для затратных с точки зрения времени процедур и в командировках (представьте, что нужно проверить приборы учета на каком-нибудь большом парке оборудования…).

Если же Вы в то, что выборка должна быть не случайной, не верите особо — √ и =СЛУЧМЕЖДУ(;) Вам в помощь.

Если вы нашли ошибку, пожалуйста, выделите фрагмент текста и нажмите Ctrl+Enter.