На современном этапе развития человечества, нам кажется, мы знаем все, тем более в таких прикладных вопросах как управление компанией, внутренний контроль, управление рисками и т.д. Но если говорить откровенно, необходимо признать, что существующие в настоящее время подходы к решению проблемы снижения непроизводительных потерь бизнеса не всегда соответствует реальным вызовам времени и пожеланиям акционеров и собственников компаний.
Несмотря на постоянное развитие систем внутреннего контроля и аудита, риск менеджмента, комплаенс, служб безопасности и т.д., потери бизнеса от «неправомерных действий третьих лиц», а проще говоря, мошенничества, коррупции, хищений и других способов неправомерного обогащения растут каждый год.
По данным Ассоциации сертифицированных специалистов по расследованию хищений (ACFE), ущерб от различных форм мошенничества, коррупции и воровства в относительно благополучной Америке составляет около 900 млрд. долларов в год. Что происходит в России рассказывать не надо, мы все и так все прекрасно видим и понимаем.
Эта статья - попытка описать подход к созданию системы безопасности бизнеса, как единой концепции подходов и методик, разработанных на основе имеющегося
мирового опыта. Теоретические основы создания комплексной системы безопасности бизнеса впервые были предложены Президентом Российского отделения ACFE Сергеем Мартыновым около двух лет назад.
Попробуем разобраться, что такое система безопасности бизнеса, из чего она состоит и каким образом сделать так, чтобы она соответствовала пожеланиям
собственников и лучшим мировым практикам, а так же непрерывно развивалась, вне зависимости от регулярно меняющихся рыночных и политических условий.
Думаю, не стоит объяснять, что такое безопасность в целом и безопасность бизнеса в частности. Каждый читатель способен дать определение данного феномена, и, в
большинстве случаев, оно будет совпадать с мнением большинства. Чтобы не вдаваться в философские рассуждения, предлагаю считать безопасностью
разумную и объективную уверенность собственников компании в том, что с их бизнесом ничего страшного (необратимого) или существенно плохого не произойдет. Проблемы в
ходе хозяйственной деятельности никто не исключает, но уверенность в том, что с компанией не случится серьезная беда, и должна обеспечивать система безопасности
бизнеса (СББ).
Попробуем разобраться, какие подразделения в компании могут создаваться для решения поставленной задачи. В качестве примера возьмем крупную компанию, в которой целесообразно создание подразделений, отвечающих за организацию СББ. В структуру, обеспечивающие безопасность бизнеса могут входить следующие подразделения:
1. Внутренний аудит
2. Риск–менеджмент
3. Служба безопасности
4. Служба внутреннего контроля
5. Контрольно-ревизионный отдел
6. Комплаенс
7. Информационная безопасность
8. Отдел корпоративного взаимодействия
9. Юридический департамент
Список могут дополнить структуры, контролирующие исполнение поручений высшего органа управления компании (секретариат), комиссию по деловой этике и т.д. Но мне кажется, очевидно, что в настоящее время, в обеспечение безопасности бизнеса могут быть вовлечены максимальное количество структурных подразделений и специалистов.
Совершенно естественно, что люди работающие в данных подразделениях, относятся к группе хорошо, или очень хорошо оплачиваемых сотрудников, и понятно, что затраты компаний на данную функцию, существенные. А если добавить косвенные расходы (на организацию рабочего места, обучение, командировки, техническое оснащение, сертификация и т.д.), то они становятся очень существенными.
Учитывая вышеизложенное, у некоторых руководителей или собственников компаний может возникнуть соблазн сократить персонал различных контролирующих подразделений, а полученную «прибыль» записать в свой актив. Часто они даже не задумываются над тем, чем может в дальнейшем обернутся такая «выгода».
К сожалению, иногда такое происходит, и сокращаются целые департаменты и службы, их функции в лучшем случае передаются не подготовленным или и без того занятым сотрудникам других подразделений, а в худшем просто «зависают в воздухе».
Потом наступает временная эйфория, т.к. руководству не поступает негативная информация, собственникам идут бравые отчеты о достижениях «эффективных» руководителей, никто не задает неудобных вопросов, не поднимает скользких тем.
Все вроде хорошо, вот только через непродолжительное время у руководства компании или ее собственников происходит «прозрение». Обычно это бывает после того, когда выясняется, что за месяц до окончания инвестиционного проекта, по которому целый год не было проблем, почему-то работы не выполнены и на половину, а подрядчики разбежались вместе с авансами. Закупленное у «проверенных поставщиков» оборудование, начинает массово выходить из строя, квалифицированный персонал уходит из компании, а результаты ее финансовой деятельности становятся очень далеки от ожидаемых.
Можно бесконечно перечислять сюрпризы, которые могут ожидать «предприимчивого» руководителя или собственника, решившего сэкономить на безопасности собственного дела, но, очевидно, одно, в любой солидной компании должны существовать структуры, ответственные за обеспечение безопасности всего бизнеса, а вот какие вопросы надо решить, чтобы обеспечить ее эффективность и постоянное развитие, мы и попробуем разобраться.
К сожалению, нельзя единожды создать великолепную систему безопасности бизнеса, и на протяжении значительного периода времени «почивать на лаврах». Для эффективной работы СББ необходимо регулярное обновление контролей, перераспределение функций и полномочий между подразделениями и сотрудниками, актуализация процессов, налаживание коммуникаций и многое другое.
Также нельзя создать единую структуру СББ, подходящую для всех организаций, и внедрять ее по мере необходимости. В каждом конкретном случае она создается индивидуально, и подстраивается под цели и особенности деятельности компании.
Несмотря на это существуют общие проблемы, от решения которых всегда зависит успех построения высоко эффективной СББ в любой копании, вне зависимости от вида ее деятельности и формы собственности. Попробуем их обозначить и кратко осветить.
1. Четкое разделение функций между подразделениями;
Очень важная задача. Часто несколько подразделений выполняю одни и те же функции (например, проведение служебных проверок и расследований), а другие, не менее важные задачи находится все зоны ответственности всех существующих подразделений.
2. Системный анализ событий и отнесение его к сфере ответственности одного из
подразделений;
На первый взгляд все просто, однако на практике часто происходит так, что при выявлении нарушений, злоупотреблений или даже хищения, невозможно мотивированно идентифицировать лицо, ответственное за это. В таком случае обычно просто назначается «козел отпущения» из числа низшего менеджмента или рабочих.
3. Организация функции комплаенс в Компании;
Обычно в компаниях эта функция разделена между различными подразделениями, а, как известно, у семи нянек, дитя, без глаза. Лично я нигде в компаниях не встречал единого документа, в котором обобщалась бы информация о соответствии различных процессов и решений в компании требованиям внутренних регламентов, различных регуляторов и т.д.
4. Взаимоотношения структур, обеспечивающих безопасность бизнеса, с
заинтересованными сторонами;
Такими сторонами, как правило, являются собственники, акционеры, совет директоров и высший менеджмент компании. Из личного опыта могу сообщить,что презентация результатов своей работы не менее важна, чем ее качество, поскольку судят о работе подразделения по тому что «сделано», а не что «делалось»;
5. Оценка эффективности СББ;
Любая работа нуждается в объективной и регулярной оценке, и важно, чтобы она проводилась по понятным и корректным критериям оценки. Каким образом можно объективно оценить деятельность контрольных и прочих подразделений, отвечающих за безопасность бизнеса? В настоящее время существует несколько методик со своими сильными и слабыми сторонами.
6. Организация корпоративной культуры;
Крайне важное, и в то же время, крайне недооцененное в Российском бизнесе направление развития. Можно с уверенностью сказать, что крепкая корпоративная культура может творить чудеса, и стать той самой «палочкой- выручалочкой» которая, возможно, позволит сохранить и развивать бизнес. И одновременно ее отсутствие, может свести на «нет» многочисленные и дорогостоящие мероприятия и контрольные процедуры. Каким образом оценить корпоративную культуру? С чего начать, если руководство приняло решение развивать данный актив?
7. Управление персоналом;
Кадры решают все. Неважно, кто это сказал, но, надеюсь, все согласятся, что в подразделениях, обеспечивающих безопасность, это утверждение верно на 100%. Каким образом подобрать персонал, что важней: опыт или внутренняя мотивация? Как оценить работу данных сотрудников? Какими морально деловыми качествами они должны обладать? И множество других вопросов, целая огромная и интереснейшая тема.
8. Организация мониторинга процессов компании, наиболее критичных для
безопасности бизнеса;
У «них» (Америка, Европа) это называется – красные флажки, у «нас» - индикаторы. Каким образом организуется мониторинг информационных баз компании? На что и как необходимо обращать внимание в первую очередь? Возможна ли автоматизация данного процесса? В дальнейшем планируется бсудить конкретные методики и программное обеспечение для решения данных вопросов.
9. Планирование и бюджетирование работы подразделений;
Мало заметный, но очень важный этап работы любого подразделения, ведь от правильно посчитанного бюджета зависит, насколько качественно и в каком объеме будут организованы и проведены проверки, внутренние аудиты и т.д. Как правильно посчитать трудоемкость различных процессов? Как обосновать бюджет подразделения перед комитетом по аудиту или собственниками компаний? Как эффективно организовать учет рабочего времени и анализ эффективности затрат на организацию СББ в компании. Это очень интересный и деликатный вопрос, который ежегодно встает перед всеми руководителями структурных подразделений компании.
10. Методики: формализация тестирования контрольных процедур и деятельности
сотрудников подразделений;
Один из самых емких и разнообразных вопросов. Сюда входят методики тестирования бизнес процессов, оценки и управления рисками, порядки проведения ревизий и служебных проверок. Так же все регламенты, связанные с правами и обязанностями сотрудников контрольных подразделений, порядок проведения внутренних аудитов, оформление отчетов, сбор доказательной базы и многое другое. Очень важно понять, насколько необходимо регулировать деятельность данных подразделений, возможно ли написание регламентов на все случаи жизни? нужно ли это? Кто будет контролировать их выполнение? Не превысят ли затраты на организацию контроля экономические выгоды от его реализации? Вопросов много, точек зрения тоже. Существует множество готовых решений и практик по данному вопросу, которые можно обсудить и попробовать внедрить в ваших компаниях.
11. Создание в компании «горячей линии»;
Важнейший и эффективный инструмент сбора и обобщения информации о противоправных действиях сотрудников, контрагентов компании и т.д. Однако, необходимо констатировать, что в ряде компаний эта функция не работает или работает не эффективно.Каким образом организовать ее работу? Как проводить проверки сообщений по «Горячей линии» и учитывать результаты? Каким образом необходимо развивать и повышать эффективность «Горячей линии», чтобы она не превратилась в пустую формальность? Эти и другие вопросы так же будут рассмотрены в дальнейших статьях.
12. Пути решения проблем взаимодействия с менеджментом при проведении
проверок и внутренних расследований;
По объективным причинам люди не любят когда их контролируют, жуликоватые и некомпетентные сотрудники очень не любят, когда их проверяют. К сожалению, и тех, и других достаточно на различных, в том числе и руководящих, должностях во всех компаниях. В результате, в ход идут различные приемы противодействия проверкам: саботаж, дискредитация группы проверки, демагогия в ответах и комментариях и многое другое.
Каким образом эффективно противодействовать таким проявлениям? Как строить свою работу в ходе проведения проверок и обсуждения их результатов?
Существует много интересных и эффективных наработок по данному вопросу. Это только часть вопросов, которые необходимо решать людям, ответственным за организацию системы безопасности в Компаниях.
Резюмируя данную статью необходимо отметить, что создание эффективной системы безопасности бизнеса, это сложная, многогранная и непрерывная работа, требующая от сотрудников компании знаний в различных областях деятельности, настойчивости, четкого понимания механизмов работы компании и ключевых процессов, происходящих в ней, и твердой уверенности в необходимости данной работы.
В Российском отделении Ассоциации сертифицированных специалистов по расследованию хищений (ACFE) собрана и обобщена обширная информация лучших Российских и зарубежных практик решения данных вопросов. В Москве регулярно проводятся встречи и конференции, на которых обсуждаются различные проблемы организации эффективной системы безопасности бизнеса и находятся практические решения.
В своих статьях я и другие члены Российского отделения ACFE, будем более подробно останавливаться на освещении практических вариантов решения этих и других проблем. Мы предлагаем лицам, заинтересованным в данной работе, сотрудничество с целью развития данной компетенции в ваших компаниях, для повышения их эффективности и конкурентоспособности.
Об авторе Максим Федулов - Директор по продвижению услуг в регионах Ассоциации сертифицированных специалистов по расследованию хищений (ACFE).