Сегодня управление рисками находится на повестке дня практически у каждой компании. И это понятно, ведь в современных условиях немало экономических и социальных процессов настолько усложнились, что генерирование решений по управлению рисками по силам только специализированным подразделениям. В свою очередь, эксперты отмечают постоянно растущую стоимость рисков, с которыми приходится сталкиваться как крупным, так и мелким компаниям. Они призывают к повышению качества корпоративного управления и усовершенствованию системы управления рисками.
К счастью, большинство компаний начинают понимать, насколько важна фундаментальная роль корпоративной безопасности, а также то, что она может стать успехом для их бизнеса. Самое важное, что произошло, – заметные сдвиги в области безопасности: от простой защиты компаний и до того, чтобы стать источником их конкурентного преимущества.
Порядок организации внутреннего контроля, включая обязанности и полномочия подразделений и персонала компании, определяется в зависимости от характера и масштабов деятельности компании, особенностей ее системы управления. Основной принцип должен быть следующим: всем необходимо придерживаться разумности и сравнивать трудозатраты при осуществлении контроля с полученным результатом. Также стоит заметить, что организация и оценка системы внутреннего контроля может осуществляться компанией самостоятельно и/или с привлечением внешнего консультанта.
Чтобы разобраться, что представляет собой система внутреннего контроля и как ее строить, давайте рассмотрим такие основные определения понятий, как “внутренний контроль”, “система внутреннего контроля” и “система управления рисками”.
Внутренний контроль – это процесс, направленный на обеспечение достаточной уверенности в достижении стратегических и операционных целей компании, эффективного и результативного использования ее ресурсов, сохранение активов, соблюдение компанией требований законодательства Украины, отраслевых стандартов, внутренних нормативных документов компании и представление достоверной отчетности.
Система внутреннего контроля – это весь диапазон процедур, методов и механизмов контроля, которые создаются исполнительными органами и Советом директоров компании для обеспечения эффективного осуществления внутреннего контроля финансово-хозяйственной деятельности компании.
Система управления рисками – это совокупность процедур, методик, информационных систем, направленных на достижение целей и задач управления рисками.
Контрольные процедуры являются неотъемлемой частью бизнес-процессов компании и направлены на исключение (снижение) вероятности реализации рисков, попавших в зону контрольных точек, связывая факторы рисков бизнес-процесса со стратегическими целями компании.
После создания матрицы рисков целесообразно определить участников системы внутреннего контроля. Ответственными за выполнение контрольных процедур в различных компаниях стандартно являются Совет директоров, ревизионная комиссия, комитет по аудиту Совета директоров, генеральный директор, подразделение внутреннего аудита и управления рисками, служба безопасности, а также должностные лица и работники. Контрольные функции рабочего персонала должны быть закреплены в должностных инструкциях в разрезе категорий персонала с указаниями и рекомендациями, а также плановыми мероприятиями.
Когда в компании выстроена система внутреннего контроля (создана матрица рисков и контрольных процедур, определены участники процесса внутреннего контроля, и все это закреплено во внутренних документах, доведенных до сведения всех заинтересованных сторон), важно реализовать ее на практике.
Процесс оценки рисков – это выявление и по возможности устранение рисков в ведении хозяйственной деятельности, а также их возможных последствий. Вместе с тем следует учитывать, что риски могут быть связаны как с внешними, так и с внутренними событиями и обстоятельствами.
В случае выявления возможных рисков руководство рассматривает степень их важности, вероятность их возникновения и способы управления ими. Руководство может составлять планы, программы, совершать соответствующие действия для устранения данных рисков или принять решение игнорировать риски из-за дороговизны возможных средств контроля в отношении этих рисков или по другим причинам.
Эффективность системы внутреннего контроля проявляется в: постоянном мониторинге контрольных точек (контрольная среда), выявлении и оценке риска (события), реагировании на риск (контрольные действия). По результатам расследования риска, если существует в этом необходимость, вносятся усовершенствования в систему внутреннего контроля и/или изменяется бизнес-процесс. Также концепция внутреннего контроля включает мониторинг самой системы внутреннего контроля, необходимый для определения ее эффективности.
Функционирование системы внутреннего контроля будет результативным, если в процессе ее работы соблюдены следующие принципы:
- ответственности – каждый субъект внутреннего контроля за ненадлежащее выполнение контрольных функций, предусмотренных должностными обязанностями, должен нести финансовую и/или дисциплинарную ответственность;
- своевременного уведомления о выявленных существенных отклонениях – информация о них должна быть оперативно доведена до лиц, непосредственно принимающих решения по данным аномалиям;
- соответствия контролирующей и контролируемой систем – степень сложности системы внутреннего контроля компании должна всегда отвечать степени сложности бизнеса;
- устойчивости – система внутреннего контроля должна действовать на постоянной основе;
- комплексности – весь комплекс объектов внутреннего контроля в компании должен быть охвачен его различными формами в зависимости от уровня риска;
- распределения обязанностей – функции работников аппарата управления распределяются между ними таким образом, чтобы выполнялись требования по формированию контрольной среды.
При расследовании преступлений, связанных с мошенничеством, хищением, нарушением режима охраны объекта, утечкой конфиденциальной информации, разглашением коммерческой тайны и т. д., руководителем комиссии, как правило, назначается директор по безопасности. Он координирует работу членов комиссии, определяет методы проведения расследования и отвечает за действия сотрудников, принимающих в нем участие.
Материалы, служащие основанием для проведения внутреннего расследования, могут быть получены:
- по результатам аудиторской проверки;
- по результатам инвентаризации;
- из официальных и неофициальных (анонимных) заявлений сотрудников (whistleblowers);
- на основе оперативной информации.
Служебное расследование проводится сотрудниками службы безопасности во взаимодействии с другими структурными подразделениями (включая службу управления персоналом) и лицами, имеющими отношение к данному инциденту.
Цели проведения служебного расследования:
- найти виновных в происшествии;
- выяснить причины возникновения;
- оценить ущерб и найти способы его минимизации;
- выработать предложения по предупреждению подобных случаев в будущем.
Во время проведения внутреннего расследования важно придерживаться такого стандартного алгоритма:
- Определить предмет расследования. Осознать суть случившегося. Понять, что произошло, выяснить причины и последствия, определить, какая информация может быть полезна и где ее можно найти;
- Составить список лиц ДЛЯ включения в состав комиссии по проведению расследования. Рекомендуется включать в состав комиссии работников, занимающихся предметом расследования. Лучше включать в состав комиссии доверенных лиц, которые не разгласят информацию и не навредят проверке. Полезна помощь и сторонних консультантов для независимой оценки фактов и соблюдения режима секретности;
- Издать приказ о проведении расследования. Приказ подписывается лицом, имеющим полномочия подписывать такие приказы (например, директором компании или директором по безопасности). В приказе необходимо определить предмет расследования, сроки проведения, назначить членов комиссии и установить их полномочия. Также в документе нужно указать, что расследование и его результаты – конфиденциальная информация. Ознакомить с приказом членов комиссии;
- Собрать и проанализировать материалы. Сделать это нужно до проведения интервью. Подробно изучить внутренние документы компании, локальные нормативные акты и другие материалы, относящиеся к предмету расследования;
- Определить, с кем будет проводиться интервью. Нужно опросить всех работников, имеющих в своем распоряжении полезную информацию для целей расследования. Необходимо принять меры по защите доказательной базы до конца расследования, сделать резервные копии данных или ограничить доступ к программам. В то же время ограничение доступа не должно привести к тому, что работник не сможет исполнять свои прямые обязанности;
- Подготовить вопросы. Важно до начала интервью составить перечень вопросов. Задавать вопросы необходимо таким образом, чтобы получить на них максимально подробные ответы. Есть два типа вопросов: общие и предметные. К общим относятся вопросы касательно работника, его роли и функции в компании, порядка взаимодействия с другими отделами. Предметные раскрывают суть расследования;
- Провести интервью. Во время интервью или сразу после него необходимо составить протокол. Протокол подписывается и теми, кто берет интервью, и теми, кто его дает. Проводить опросы необходимо в присутствии как минимум двух свидетелей. С согласия того, кто дает интервью, можно вести аудио- или видеосъемку. Можно попросить работника ответить на вопросы собственноручно. Отказ от письменных или устных ответов следует оформить актом в присутствии как минимум двух свидетелей;
- Проанализировать факты и оформить результаты расследования. Комиссия анализирует факты, выявленные в процессе расследования, и устанавливает, были ли нарушения, а также кто их допустил. Важно выявить и проверить возникшие разногласия, а также выстроить логически непротиворечивую картину случившегося. На основе собранных данных определить виновных и предложить меры по предотвращению подобных случаев в дальнейшем. После анализа составляется отчет, который подписывается всеми членами группы. Чем формальнее ход следствия, тем формальнее должен быть и отчет, то есть каждый факт подтверждается документально;
- Информировать всех сотрудников компании. С целью профилактики будущих нарушений результаты расследования и предпринятые взыскания в отношении виновных в обязательном порядке должны быть доведены до всех сотрудников компании, если только разглашение не станет порождением новых рисков.
Вывод
Несмотря на то что организация системы внутреннего контроля сама по себе не гарантирует автоматического достижения целей, ее отсутствие создает больше возможностей для совершения ошибок или их невыявления. При создании системы внутреннего контроля компании должны избегать применения правил и практики, которые могут ненамеренно создавать стимулы или соблазн для совершения неправомерных действий. В частности, чрезмерный акцент на достижении показателей или других операционных результатов, особенно носящих краткосрочный характер и игнорирующих более долговременные риски; схемы вознаграждения сотрудников, чрезмерно ориентированные на краткосрочные показатели; неэффективное распределение обязанностей или контроля, что создает возможности для неправильного использования ресурсов или для сокрытия отрицательных показателей, и т. д.
Рост рисков внутри компании будет неразрывно связан с ростом организации, с внедрением новых производственных и информационных технологий. А это означает неминуемое появление стратегических рисков, которые снижают способность своевременно и качественно разрабатывать и внедрять принятую руководством стратегию управления. Именно поэтому необходимо выявлять ранние признаки появления таких рисков.
