(1,2,3,) Руководителю предприятия Комаров Вадим – Генеральный директор ООО «Технологии Безопасности Бизнеса» Взаимодействие СВК и СБ Тема: Организация системы экономической безопасности предприятия. Система внутреннего контроля (СВК), как корпоративная «спецслужба» призвана отслеживать и своевременно предотвращать внутренние и внешние риски, угрожающие нормальному функционированию компании и интересам ее собственников. Организационно в СВК участвуют несколько служб. Для одних эта деятельность основная, для других - дополнительная. К первым, как правило, относятся служба безопасности, контрольно-ревизионное подразделение и подразделение внутреннего аудита. Ко вторым (назовем их функциональными) финансово-экономическая, юридическая службы и служба персонала, служба корпоративного управления - подразделение, отвечающее за регламентацию основных процедур управления, производственные подразделения и подразделения МТО. В статье будут даны рек4омендации по взаимодействию СВК и СБ. Взаимодействие в рамках системы экономической безопасности функциональных служб компании При организации СВК важно правильно выстроить взаимодействие СЭБ и функциональных служб. Ошибочное распределение функций между ними или неверное построение регламентов взаимодействия может обратить потенциального союзника в скрытого противника. В этой связи рассмотрим основные зоны пересечения профессиональных интересов различных подразделений. СЭБ. В состав СЭБ могут входить несколько служб (здесь все зависит от масштаба и профиля деятельности компании): экономической безопасности; собственной безопасности; информационной безопасности; охраны и режима. КРУ. Главная задача контрольно-ревизионного управления - периодическая проверка установленных правил выполнения управленческих процедур менеджерами компании. В первую очередь это относится к сбыту и снабжению. В сбыте упор делается на проверке обоснованности предоставления дилерских скидок и бонусов, отгрузки товаров без предоплаты и в рассрочку. В снабжении это контроль условий крупных закупок (цена, партионность, условия поставки и платежа) и проверка порядка проведения тендеров (конкурсов на закупку). Ревизии КРУ проводятся по графику, который хранится в тайне от других подразделений. По инициативе собственников или топ-менеджера компании КРУ может организовать и внеплановую проверку. ФЭС. Финансово-экономическая служба - главный инструмент регулирования и контроля финансового результата бизнеса. Ее правильная организация позволяет добиться существенного роста прибыли без серьезных дополнительных вложений и технологических инноваций. Поскольку ФЭС - это своего рода финансовый «мозг» организации, то она формирует систему планирования и сбора отчетной информации, определяет методологию, аналитику и состав форм планирования и отчетности. Безусловно, в ее работе должны учитываться потребности СЭБ. СП. Обычно служба персонала занимается проверкой достоверности анкетных и профессиональных данных соискателей на отдельные кадровые позиции. На практике работа данной службы вызывает наименьшее количество вопросов, поскольку кадровые технологии в нашей стране в недалеком прошлом были отлажены до совершенства. ЮС. Взаимодействие с юридической службой в вопросах обеспечения СВК чаще всего касается двух аспектов - разработки и контроля исполнения Положения о договорной работе. Положение о договорной работе - основной внутренний регламентирующий документ компании, определяющий порядок и условия совершения сделок, полномочия менеджеров по заключению договоров, типовые формы договоров, порядок согласования условий и некоторые другие моменты. Во многих компаниях к составлению данного документа подходят достаточно формально, устанавливая в нем главным образом порядок внутрифирменного визирования проекта договора. Сделки с акциями самой компании с точки зрения защиты от недружественного поглощения, - повышенная зона риска. Поэтому СЭБ должна получать оперативную информацию о составе и динамике сделок с акциями компании. Зачастую именно с этой целью на крупных фирмах разрабатывается Положение о мониторинге сделок с акциями. В рассматриваемой структуре СВК за предоставление данных о ведении реестра акционеров или за взаимодействие со специализированным регистратором отвечает юридическая служба. Получатель этих сведений - информационно-аналитическое подразделение СЭБ. Большое значение в формировании эффективного взаимодействия СВК имеет регламентация основных процедур внутрифирменного управления, т.е. их упорядочивание и документальное оформление. В современных структурах крупных и средних компаний этим занимается служба корпоративного управления. Ее главная задача: создание рациональной организационной структуры компании и основных процедур управленческого взаимодействия, т.е. формирование и сопровождение системы управления фирмой. Вопросы построения логичных и прозрачных для топ-менеджемента и основных акционеров регламентов управления по направлениям «Продажи и сервис», «Закупки», «Производство и обеспечение качества», «Финансы и экономика», «Инвестиции» - сегодня одни из самых актуальных для большинства российских динамично развивающихся компаний. Функции вышеперечисленных подразделений, через которые организуется взаимодействие, на основе которых организуется взаимодействие СВК и СБ в рамках СЭБ.: Служба безопасности (СБ) ведет постоянный мониторинг функционирования важнейших подсистем управления предприятия, выявляет случаи существенных отклонений от установленных нормативов, анализирует их причины, ведет оперативную работу по профилактике и предотвращению нарушений. Контрольно-ревизионное подразделение (КРУ) и подразделение внутреннего аудита проводят периодические проверки финансово-хозяйственной деятельности подразделений и, что очень важно, контролирует соблюдение регламентов управления. Финансово-экономическая служба (ФЭС) отвечает за планирование и сбор фактической информации с периодичностью и в аналитике, которые необходимы для эффективного управления. Служба персонала (СП) организует кадровую работу, устанавливает правила проверки новых сотрудников, а зачастую и перечень сведений, составляющих коммерческую тайну, и правила работы с ними. Юридическая служба (ЮС) несет ответственность за правоустанавливающие документы, разрабатывает Положение о порядке заключения договоров и, если компания является акционерным обществом, может отвечать за ведение реестра акционеров или взаимодействие с регистратором. При распределении задач СВК между подразделениями, при установлении их состава и подчиненности большое значение имеют масштаб компании, профиль ее деятельности, организационно-правовая форма, состав и структура участников. В основе организации взаимодействия СВК и СБ лежит реализованная на предприятии модель управления. На рис.1 показано, как соотносятся между собой система управления, система внутреннего контроля и система безопасности. Гендиректор директор Система внутреннего контроля (РК, СВА, КРС, УК, Мониторинг) Система безопасности (СБ) - Директива ГД о правах, обязанностях и полномочиях. Закрепляется в приказе и во внутренних регламентирующих документах (Положениях, инструкциях, регламентах). ГД – организатор и руководитель с полномочиями, определенными в системе корпоративного управления. - Доклады ГД от руководителей СВК и СБ о результатах деятельности и предложениях по корректировке системы корпоративного управления. - Согласованные и закрепленные во внутренних регламентирующих документах правила, процедуры и алгоритмах взаимодействия по направлениям контроля. Рис. 1. Графическое представление организации взаимодействия СВК и СБ по направлениям контроля. Из рисунка видно, что необходимым условием взаимодействия является закрепление его организацией во внутренних регламентирующих документах. И сделать это может только Генеральный директор, наделенный необходимыми распорядительными функциями и полномочиями. Все другие подходы и решения по взаимодействию, не только СВК и СБ, проблемы не решают. В результате при инициативных руководителях СВК и СБ они договариваются сами и действуют на уровне этих договоренностей, т.е. «по понятиям». При безынициативных руководителях СВК и СБ – взаимодействие отсутствует со всеми вытекающими отсюда последствиями: низкая эффективность, бездеятельность, высокий уровень риска безопасности и рисков мошенничества и хищений. Взаимодействие СВК и СБ должно быть организовано на всех этапах контроля, за исключением тех рисков безопасности (нарушение внутреннего распорядка, режима коммерческой тайны, регламентов бизнес-процессов, технологий производства и продаж, мошенничество и хищения), которые принято решение игнорировать либо в силу малой вероятности их воздействия, либо в силу незначительного ущерба (затраты на противодействие: обнаружение, расследование, возмещение ущерба,- превышают сам ущерб). На рис.2 показано место контроля и взаимодействия в цикле управления бизнеспроцессом. Мониторинг текущей деятельности Этап предварительного контроля Формирование целей и стратегий бизнес- процессов Планирование бизнеспроцессов Разработка матрицы рисков безопасности Текущий контроль Выполнение бизнеспроцессов Итоговый контроль Контроль результатов Мониторинг рисков безопасности Мониторинг рисков безопасности Обнаружение угроз безопасности и противодействие Обнаружение угроз безопасности и противодействие Обнаружение и возмещение ущерба Рис.2. Контроль и взаимодействие в управлении бизнес-процессами Задачи контроля на предварительном этапе (входной контроль или контроль в начале бизнес-процесса): 1. Контроль процесса формирования целей (правильность выбора целей, проверка их на обоснованность и согласованность между заинтересованными лицами и группами, адекватность соответствия количественных показателей степени достижения поставленных целей и т.д.). 2. Контроль ограничений, используемых при постановке целей и прогнозов, необходимых для постановки целей. 3. Контроль планов (обоснованность плановых заданий, проверка планов на полноту и согласованность, превращение плановых величин в контролируемые, установление допустимых границ отклонений контролируемых величин, реалистичность, адаптивность и т. д.). 4. Прогнозирование, описание и оценка рисков безопасности. Разработка матрицы рисков безопасности. Задачи контроля на этапе реализации бизнес-процессов (контроль в процессе): 1. Контроль плановых и фактических величин, в том числе затрат (в целом по предприятию и по группам контролируемых величин). Выявление отклонений. 2. Контроль состояния внутренней и внешней среды для выявления «слабых» сигналов о возможных отклонениях, способных повлиять на выполнение бизнеспроцессов, а также угроз безопасности. 3. Выявления фактических отклонений от плановых (прогнозируемых). 4. Выявление возможных причин отклонений. 5. Выработка предложений по корректировке и корректировка бизнес-процесса. 6. Противодействие угрозам безопасности. Итоговый контроль. Оцениваются результаты реализации бизнес-процессов и эффективность системы управления. Проверяется сохранность активов и качество учета работы с активами. Оцениваются эффективность СВК и СБ. 1. Оценка состояния контролируемого объекта в соответствии с принятыми стандартами, нормативами или другими эталонными показателями. 2. Определение возможных отклонений и выяснение причин этих отклонений. 3. Осуществление корректировки управляющих воздействий, если она необходима и возможна. На всех этапах контроля СБ ждет от СВК информацию обо всех выявленных случаях расхождений контрольных величин или нарушений установленных регламентов, методик и т.п. В зависимости от «тяжести» и вида нарушения принимается решение о проведении служебного расследования или передачи вопроса разбирательства в структурное подразделение. Рассматриваемую системы взаимодействия СВК и СБ целесообразно наложить на модель контроля результатов деятельности предприятия, чтобы более наглядно отразить потребности взаимодействия (рис.3) 1 этап Система корпоративного управления: мониторинг текущего состояния, принятие и исполнение управленческих решений СВА Аудит бизнеспроцессов, описание и оценка рисков, матрица рисков УК и М Разработка процедур контроля СБ Разработка процедур обеспечения безопасности УК и М Мониторинг Реализация корректирующих воздействий СБ Выполнение процедур обеспечения безопасности КРУ Ревизии финансовоХозяйственной деятельности Инвентаризационные комиссии: Плановая и неплановая инвентаризация активов СБ Расследование недостач и организация возмещения ущерба Рис.3. Модель организации контроля и взаимодействия. Основными элементами модели системы контроля являются: объекты контроля — планы и бюджеты предприятия и его структурных подразделений; предметы контроля — показатели поступлений и расходов, изменения статей баланса, системы показателей, характеризующих деятельность предприятия в целом или по отдельным направлениям, и т. д.; субъекты контроля — руководство предприятия и его структурных подразделений, менеджмент предприятия, осуществляющий контроль за соблюдением бюджетов; технология контроля бюджетов — процедуры контроля и порядок их реализации, необходимые для выявления отклонений контролируемых показателей и величин от плановых. Данная модель контроля должна опираться на информационное обеспечение контрольной деятельности, включающее оперативную, плановую, нормативно- справочную информацию, классификаторы технико-экономической информации, системы документации (унифицированные и специальные). Трудоемкость сбора реальной информации о финансово-хозяйственной деятельности зависит от наличия автоматизированной бухгалтерии, развитости информационных технологий в целом. Таким образом, для успешного функционирования данной модели необходимо решить следующие задачи: 1. Определить круг лиц, контролирующих исполнение статей финансовых планов и бюджетов. 2. Точно знать совокупность (структуру) контролируемых показателей и величин. 3. Иметь на каждый контролируемый показатель допустимый предел изменения. 4. Иметь четкую методику замера или вычисления каждого контролируемого показателя в заранее установленные моменты или интервалы времени. 5. Установить алгоритм действий по ликвидации выявленных отклонений с указанием каналов передачи информации о них соответствующим структурным подразделениям. 6. Определить порядок решений о корректировке планов и бюджетов или усилении контроля за их исполнением. Состав этих задач в зависимости от возникающих ситуаций на предприятии может видоизменяться в зависимости от цели (целей) контроля, его форм, содержания, методики и возможностей информационных источников о контролируемых показателях. Выработка корректирующих и регулирующих мероприятий при реализации контроля достигнет наибольшего эффекта, если все виды стратегий разрабатываются и координируются из единого центра, например планово-экономического отдела. При этом решения, принимаемые в рамках каждой из стратегий, будут увязаны как по ресурсам, так и по времени и не будут противоречить друг другу. Предложения по направлениям взаимодействия могут быть представлены следующим образом: 1. Ревизионная комиссия – СБ: Ревизия активов. Обеспечение соблюдения порядка при проведении ревизий силами СБ. Проведение служебных расследование по решению Совета директоров. Оценка эффективности и объективности учета финансово-хозяйственной деятельности. Передача информации об отклонениях в СБ. Оценка защищенности активов. Передача данных в СБ и ЮС для принятия мер. Наполнение банка данных СВК данными о результатах ревизий и оценках. В рамках СБ рекомендуется иметь аналитическую службу, которая накапливает информацию по всем направлениям контроля. 2. Служба внутреннего аудита – СБ: Описание ключевых бизнес-процессов, подлежащих контролю. Сведения и документацию СБ для разработки контрольных мероприятий. Описание рисков безопасности и определение их принадлежности и веса. Матрица рисков. Для выбора стратегии в противодействии рискам безопасности. Информирование об атаках угроз, последствиях и принятых мерах. Формирование банка данных рисков и угроз безопасности, его корректировка. Проведение совместных аналитических исследований 3. Контрольно-ревизионное управление – СБ: Планирование и ревизия активов. Обеспечение соблюдения порядка при проведении ревизий силами СБ. Контроль работы инвентаризационных комиссий. Информирование об атаках угроз, последствиях и принятых мерах. Формирование банка данных рисков и угроз безопасности, его корректировка. Проведение совместных аналитических исследований. Проведение служебных расследований. Экспертные заключения по материалам расследований. Ревизия выполнения договоров. 4. Управленческий контроль и мониторинг бизнес-процессов – СБ: Данные об отклонениях. Описание рисков безопасности бизнес-процессов и технологий. Информирование об атаках угроз, последствиях и принятых мерах. Формирование банка данных рисков и угроз безопасности, его корректировка. Проведение совместных аналитических исследований Мы познакомились лишь с небольшой частью вопросов взаимодействия СВК и СБ в рамках СЭБ. Главное, что следует почерпнуть из статьи, по мнению экспертов, – «не бывает системы контроля и системы безопасности без четкой регламентации всех бизнес-процессов, без четкого распределения полномочий и ответственности руководителей и исполнителей». Комаров Вадим – Генеральный директор ООО «Технологи Безопасности Бизнеса»