Практика построения интегрированной системы внутреннего контроля и управления рисками
Risk Control System | MTV
#Риски и контроль: интеграция в управление
Почему ваш контроль не работает: четыре правила построения системы, которая приносит результат
Пирамида системы внутреннего контроля и управления рисками
Ловушка «бумажного» контроля
Многие компании вкладывают ресурсы в систему внутреннего контроля и управления рисками (СВКиУР). Но аудиторские проверки выявляют одни и те же недочеты из года в год, а неожиданные операционные сбои продолжают съедать прибыль. На практике сложные регламенты часто существуют только на бумаге, не защищая бизнес от реальных угроз. Почему так происходит и как избежать этой ловушки? Предлагаю альтернативный, более эффективный подход. Он основан на четырех ключевых принципах, которые позволяют создать не формальную, а по-настоящему работающую систему, приносящую измеримый результат. Рассмотрим их по порядку.
Многие компании вкладывают ресурсы в систему внутреннего контроля и управления рисками (СВКиУР). Но аудиторские проверки выявляют одни и те же недочеты из года в год, а неожиданные операционные сбои продолжают съедать прибыль. На практике сложные регламенты часто существуют только на бумаге, не защищая бизнес от реальных угроз. Почему так происходит и как избежать этой ловушки? Предлагаю альтернативный, более эффективный подход. Он основан на четырех ключевых принципах, которые позволяют создать не формальную, а по-настоящему работающую систему, приносящую измеримый результат. Рассмотрим их по порядку.
1. Начните с фундамента, а не с крыши
Эффективную систему внутреннего контроля и управления рисками можно представить в виде пирамиды. В ее основании лежит «Внутренняя среда» компании, а вершину венчает «Структура СВКиУР» — те самые регламенты и политики. Самая распространенная и дорогостоящая ошибка — начинать строительство с крыши, то есть с формализации документов, игнорируя создание прочного основания.
Начинать следует с построения фундамента пирамиды, а заканчивать — формализацией структуры СВКиУР, а не наоборот.
Запомните главное правило: любая попытка начать с регламентов, игнорируя культуру, обречена на провал. Посмотрите на свою СВКиУР. Она описывает, как ваша компания должна работать, или как она работает на самом деле?
Формализованная структура без надежной основы — без четких целей, понятных правил и здоровой культуры — всегда будет работать только «на бумаге».
2. Контрольная среда — «операционная система» вашего бизнеса
Фундамент пирамиды, «Внутренняя контрольная среда», — это «операционная система» вашего бизнеса. И это не абстракция, а конкретные управленческие инструменты: декомпозиция стратегических целей до KPI каждого отдела и каждого процесса, чёткий приказ о распределении полномочий, понятная всем система ценностей, стиль принятия решений и разработка политик корпоративного уровня.
Как и операционная система, контрольная среда задает незыблемые правила для всех «приложений» — бизнес-процессов. «Слабая» среда подобна нестабильной ОС: она неизбежно приводит к сбоям (операционным провалам), уязвимостям (мошенничеству) и низкой производительности (неэффективности), какими бы совершенными ни были отдельные контрольные процедуры.
Действенная система контрольных процедур не может существовать при «слабой» контрольной среде. Эта среда — невидимая сила, которая определяет, будут ли все остальные элементы контроля работать на практике. Если в компании не поощряется ответственность, а цели размыты, никакие регламенты не помогут.
3. Правильная культура контроля экономит деньги
Построение сильной контрольной среды — это не только залог эффективности, но и прямой путь к экономии. Сильная культура заменяет дорогие, реактивные «полицейские» контроли (бесконечные проверки, тотальный надзор) на более дешевые, проактивные и встроенные в процессы механизмы — такие как четкое распределение полномочий и общие ценности.
Когда каждый сотрудник понимает цели компании и свою роль в их достижении, вероятность многих рисков снижается органически. Потребность в избыточном надзоре отпадает.
Создание развитой внутренней среды снижает вероятность реализации рисков бизнес-процессов, позволяет уменьшить количество контрольных процедур и затраты на их осуществление.
Такой подход превращает внутренний контроль из центра затрат в инструмент повышения эффективности и конкурентное преимущество. Вы тратите меньше на «полицейские» функции, потому что система начинает регулировать себя сама.
4. Сначала процессы и люди, потом — регламенты
На фундаменте «Внутренней среды» возводятся несущие стены нашей пирамиды. Это «Процессы и структура компании» (Блок 2) и «Компетентный персонал» (Блок 3). Эти стены передают нагрузку с крыши (формальных регламентов) на фундамент (культуру). Если стены кривые (процессы хаотичны) или сделаны из плохого материала (персонал некомпетентен), крыша рухнет под собственным весом.
Без ясных целей и распределения полномочий (фундамент), любые попытки описать процессы (стены) превращаются в хаос, где функции дублируются, а ответственность размывается.
Поэтому логика железная:
Заключение: На каком этаже ваша пирамида?
Чтобы построить действенную систему внутреннего контроля, проактивно управлять рисками, двигайтесь в логичной последовательности: снизу вверх. Сначала — здоровая среда и культура. Затем — отлаженные процессы и вытекающая из них оргструктура. После этого — компетентный персонал. И лишь в самом конце — формальные регламенты по СВКиУР.
Задайте себе честный вопрос: ваша «Политика по внутреннему контролю и управлению рисками» — это живой документ, который обсуждают менеджеры, или артефакт, который достают из архива раз в год перед приездом аудиторов? Ответ на этот вопрос точно укажет, на каком этаже вашей пирамиды не хватает несущих конструкций.
Эффективную систему внутреннего контроля и управления рисками можно представить в виде пирамиды. В ее основании лежит «Внутренняя среда» компании, а вершину венчает «Структура СВКиУР» — те самые регламенты и политики. Самая распространенная и дорогостоящая ошибка — начинать строительство с крыши, то есть с формализации документов, игнорируя создание прочного основания.
Начинать следует с построения фундамента пирамиды, а заканчивать — формализацией структуры СВКиУР, а не наоборот.
Запомните главное правило: любая попытка начать с регламентов, игнорируя культуру, обречена на провал. Посмотрите на свою СВКиУР. Она описывает, как ваша компания должна работать, или как она работает на самом деле?
Формализованная структура без надежной основы — без четких целей, понятных правил и здоровой культуры — всегда будет работать только «на бумаге».
2. Контрольная среда — «операционная система» вашего бизнеса
Фундамент пирамиды, «Внутренняя контрольная среда», — это «операционная система» вашего бизнеса. И это не абстракция, а конкретные управленческие инструменты: декомпозиция стратегических целей до KPI каждого отдела и каждого процесса, чёткий приказ о распределении полномочий, понятная всем система ценностей, стиль принятия решений и разработка политик корпоративного уровня.
Как и операционная система, контрольная среда задает незыблемые правила для всех «приложений» — бизнес-процессов. «Слабая» среда подобна нестабильной ОС: она неизбежно приводит к сбоям (операционным провалам), уязвимостям (мошенничеству) и низкой производительности (неэффективности), какими бы совершенными ни были отдельные контрольные процедуры.
Действенная система контрольных процедур не может существовать при «слабой» контрольной среде. Эта среда — невидимая сила, которая определяет, будут ли все остальные элементы контроля работать на практике. Если в компании не поощряется ответственность, а цели размыты, никакие регламенты не помогут.
3. Правильная культура контроля экономит деньги
Построение сильной контрольной среды — это не только залог эффективности, но и прямой путь к экономии. Сильная культура заменяет дорогие, реактивные «полицейские» контроли (бесконечные проверки, тотальный надзор) на более дешевые, проактивные и встроенные в процессы механизмы — такие как четкое распределение полномочий и общие ценности.
Когда каждый сотрудник понимает цели компании и свою роль в их достижении, вероятность многих рисков снижается органически. Потребность в избыточном надзоре отпадает.
Создание развитой внутренней среды снижает вероятность реализации рисков бизнес-процессов, позволяет уменьшить количество контрольных процедур и затраты на их осуществление.
Такой подход превращает внутренний контроль из центра затрат в инструмент повышения эффективности и конкурентное преимущество. Вы тратите меньше на «полицейские» функции, потому что система начинает регулировать себя сама.
4. Сначала процессы и люди, потом — регламенты
На фундаменте «Внутренней среды» возводятся несущие стены нашей пирамиды. Это «Процессы и структура компании» (Блок 2) и «Компетентный персонал» (Блок 3). Эти стены передают нагрузку с крыши (формальных регламентов) на фундамент (культуру). Если стены кривые (процессы хаотичны) или сделаны из плохого материала (персонал некомпетентен), крыша рухнет под собственным весом.
Без ясных целей и распределения полномочий (фундамент), любые попытки описать процессы (стены) превращаются в хаос, где функции дублируются, а ответственность размывается.
Поэтому логика железная:
- Сначала опишите, как работает компания, создав карту бизнес-процессов верхнего уровня с риск-ориентированным подходом.
- Затем определите, кто за что отвечает, выстроив логичную оргструктуру, прописав должностные инструкции и внедрив адекватную систему вознаграждений.
- И только после этого можно переходить к вершине пирамиды (Блок 4) — формализации интегрированной системы контроля и управления рисками. Именно на этом последнем этапе создается финальная «Политика компании по внутреннему контролю и управлению рисками», часто с использованием классической модели «Трех линий защиты».
Заключение: На каком этаже ваша пирамида?
Чтобы построить действенную систему внутреннего контроля, проактивно управлять рисками, двигайтесь в логичной последовательности: снизу вверх. Сначала — здоровая среда и культура. Затем — отлаженные процессы и вытекающая из них оргструктура. После этого — компетентный персонал. И лишь в самом конце — формальные регламенты по СВКиУР.
Задайте себе честный вопрос: ваша «Политика по внутреннему контролю и управлению рисками» — это живой документ, который обсуждают менеджеры, или артефакт, который достают из архива раз в год перед приездом аудиторов? Ответ на этот вопрос точно укажет, на каком этаже вашей пирамиды не хватает несущих конструкций.
Мнацаканова Татьяна Владимировна
Автор корпоративной программы по риск-менеджменту и внутреннему контролю
