Инвесторы, банки, партнеры — все требуют доказательств, что компания управляется добросовестно, а отчетность реальная. Наличие СВК повышает кредитный рейтинг (что снижает стоимость капитала), упрощает (и удешевляет) прохождение аудитов и проверок со стороны клиентов. В противном случае повышается премия за риск, а аудиторы выставляют дополнительные часы
Система внутреннего контроля (далее - СВК) — это не «служба слежки» и не «бумажная волокита», а совокупность процессов, правил и процедур, обеспечивающая:
* уверенность собственника в * соответствии "бумажной" прибыли реальности;
* сохранность активов;
предотвращение и выявление ошибок и злоупотреблений.
Без контроля даже честный сотрудник может случайно ошибиться, а нечестный — систематически воровать. СВК создает барьеры: разделение обязанностей, лимиты доступа, двойные подписи, сверки, инвентаризации...
Бизнес всегда сопряжен с рисками, но многие риски (операционные, финансовые, репутационные) можно минимизировать. СВК позволяет их идентифицировать, оценить и управлять ими.
СВК потверждает, что цифры в отчетах соответствуют реальности. Без этого решения могут быть приняты вслепую и компания становится заложницей тех, кто формирует красивую / «удобную» отчетность.
Контроль не только "ловит ошибки", но и помогает выстраивать рациональные процессы. Регламенты, доработанные для целей СВК, исключают двойные операции, автоматизация сверок ускоряет работу, автоматические проверки исключают узкие места, где "все занимаются всем, но никто не отвечает". СВК при грамотном подходе может быть не "тормозом" (хотя на первом этапе это именно так), а опорой для масштабирования.
Классический «треугольник мошенничества» (Дональд Кресси, 1953) включает три элемента:
* Давление/мотив (нужда в деньгах, план по продажам).
* Возможность (слабый или отсутствующий контроль).
* Рационализация (оправдание: «мне недоплачивают», «это временно», «все так делают»).
Когда СВК отсутствует, возможность становится огромной. А при наличии мотива (а он есть почти у каждого) и легкой рационализации (которую подсказывает среда) — запускается механизм независимо от предыдущего опыта сотрудников
Мошенничество в компании редко начинается с прямого хищения, сначала ослабляется учет - появляются нерегулярные инвентаризации, ряд обязанностей начинает уходить под 1 человека (он и заказывает, и получает, и списывает), стираются границы между должностями и "все занимаются всем". Это средовая подготовка. Затем мошенник использует эти дыры для создания фиктивных документов, подлогов, сокрытия недостачи, и без СВК эти дыры постепенно расширяются.
Эффект "заражения". Если на парковке не будет охраны и камер - рано или поздно начнутся кражи. В компании без контроля первое мошенничество — случайное или мелкое. Но когда его не замечают и не наказывают, это служит сигналом: «здесь можно». Другие сотрудники видят безнаказанность и тоже пробуют...
В компании без контроля постепенно формируется неформальная иерархия: авторитетами становятся те, кто умеет обходить систему. На следующем этапе возникают устойчивые мошеннические группы, например: кладовщик + бухгалтер + водитель и субкультура начинает самовоспроизводиться, вовлекая новых людей.
Зачастую первые лица не хотят знать о проблемах ("продаж нет, и мне еще складом / бумажками заниматься?"). Им удобны «гладкие отчеты» - а сотрудники это чувствуют и перестают сообщать о нарушениях, иногда прекрываясь ценностями позитивной психологии. Формируется заговор молчания.
«Контроль убивает инициативу». Больной контроль убивает. Разумный контроль, наоборот, дает людям уверенность, что их не обворуют и условия честные.
«У нас маленькая компания, мы все на доверии». Именно в малых компаниях одно мошенничество может быть критичным. Доверие не заменяет контроль.
«У нас все свои, не украдут». Статистика: большинство хищений совершают свои, а не посторонние, именно близость и доступ порождают соблазн.
Плохая СВК критична для компании потому, что создаёт три системных дефекта: паралич операционной деятельности, формирование культуры обхода и легитимизацию подлогов.
«Это дорого». Стоимость контроля может быть (при разумном подходе) в разы меньше потенциальных потерь от мошенничества - и это без учета репутационных потерь
Сотрудники перестают думать о клиенте и качестве, смещая задачу с достигания целей на выполнение процедур. Если процедура абсурдна, но её требуют — её выполняют формально. Возникает феномен «ритуального контроля»: люди имитируют контроль, начальство имитирует управление.
Непрофессионалная СВК создает паралич принятия решений и рост издержек: каждое действие начинает требовать согласования и решения, которые должны приниматься за минуты, занимают дни. Сотрудники тратят время не на результат, а на «прохождение процедур», в результате компания становится неконкурентоспособной.
Эффективные сотрудники ненавидят бюрократию и бессмысленные преграды и либо уходят, либо (чаще) начинают искать обходные пути. "В системе" остаются те, кто привык «сидеть тихо» или извлекать выгоду из хаоса, а компания теряет свой основной ресурс — инициативных профессионалов.
Плохая СВК — это не «много контроля», а неадекватный контроль: избыточный, дублирующий, бессмысленный, формальный, не учитывающий реальные риски, замедляющий процессы, создающий множество «бутылочных горлышек» без реального повышения безопасности.
Избыточный контроль провоцирует мошенничество - если для того чтобы выдать клиенту заказ, нужно 5 подписей, то, чтобы не потерять клиента, сотрудники начинают эти подписи подделывать или заполнять документы задним числом. Сначала — ради спасения сделки. Затем привычка подделывать переходит и на другие документы...
Признаки плохой СВК:
* Тотальное согласование любых действий (вплоть до заказа скрепок) с тремя уровнями начальства.
* Бесконечные отчёты, которые никто не читает.
* Разделение обязанностей до абсурда: чтобы переместить товар со склада, нужно 10 подписей, но каждая подпись — лишь формальность.
* Контрольные процедуры, не адаптированные под специфику бизнеса (например, требование к инвентаризации каждого карандаша, но игнорирование отдельных этапов закупочных процедур).
* Отсутствие обратной связи: контроль ради контроля, без анализа эффективности.
Когда сотрудники ежедневно сталкиваются с сотнями бессмысленных проверок, они перестают воспринимать контроль всерьёз и возникает ситуация, когда система есть, но она не работает: все делают вид, что контролируют, и все знают, что это фикция. И именно в этой зоне «формального контроля» процветает мошенничество, т.к. преступник знает: если он оформит всё по бумагам (даже если бумаги ложные), проверка не заметит подвоха, потому что проверяющие не вникают. Т.е. чем больше процедур, тем легче спрятать истину за грудой документов.
Избыточная СВК порождает множество контролёров и эти люди получают власть: без их подписи процесс не идёт. Возникает коррупционная уязвимость:
* Контролёр может требовать взятку за ускорение.
* Контролёр может «закрывать глаза» за откат.
* Контролёр может сам участвовать в схемах, используя своё право подписи.
* Чем больше согласующих, тем больше точек, где можно «договориться».
В погоне за тотальным контролем компании часто забывают контролировать самих контролёров.
Внедрение системы внутреннего контроля
| Рассматриваемый объект | Расшифровка | Типичные проблемы / нарушения | Часы (ориентировочно) |
| Составление карты рисков | 1. Сбор реестра бизнес-процессов 2.Определение ключевых рисков по направлениям: * Материальные активы (товар, ТМЦ, деньги). * Нематериальные активы (базы клиентов, ноу-хау). * Репутационные (нарушение 152-ФЗ, утечка персональных данных). * Операционные (сбой поставок, отгрузок из-за действий сотрудников) 3. Оценка вероятности и ущерба (балльная система) 4. Определение "красной зоны" | 1. Замалчивание проблемы (риск такой известный, что о нем все знают - и ничего не делают) 2. "Это может быть, но не у нас" 3. Непонимание связи между действиями сотрудников и минимизацией потенциального ущерба 4. Перевод общения в эмоциональную плоскость | 2 недели |
| Анализ существующих средств контроля | 1. Инвентаризация всех средств контроля 2. Физическая проверка предотвращающих средств контроля (шлагбаум, замок, антипассаж в СКУД) на обход 3. Проверка обнаруживающих средств контроля (камера, DLP, журнал событий) на соответствие цели 4. Анализ настройки порогов и правил срабатывания 5. Тесты на уязвимости к инсайдерам с привилегиями 6. Анализ реакции на инциденты * Сколько времени проходит от срабатывания маркера до реакции? * Есть ли отчет ответственного лица по каждому срабатыванию? * Применяются ли меры к нарушителям? 7. Анализ наличия и актуальности регламента по контролю средств контроля (сверка учета с реальностью, имитация нарушений) | 1. Мнение, что если средство контроля есть - значит контроль есть 2. Приписки в реестре работающих средств контроля (например - начальник охраны получает зарплату за обслуживание 100 камер, реально работают 60, а остальные давно выключены или заклеены, но числятся) 3. Камера в складе висит так, что основной стеллаж от нее залонен 4. Если у отдела продаж правила инцидента по DLP в 2 раза слабее, чем у бухгалтерии — вероятен сговор | 2 недели |
| Разработка маркеров внутреннего контроля | 1. Декомпозиция рисков до действий, выявление ключевых индикаторов 2. Разработка и утверждение маркеров контроля 3. Определение владельцев маркеров в службе контроля или безопасности | ||
| Поиск цифровых аномалий в закупках | 1. Проверка СР, 2. Выявление аномалий в закупочных ценах, 3. Выявление аномалий в объемах | Поиск аномалий в ценах и объеме за последние 3 месяца | 3 |
| Поиск неблагонадежных поставщиков | 1. Проверка СР, 2. Анализ контрагентов через базы, 3. Анализ контрагентов методами OSINT, 4. Выявление одинаковых IP отправителей | Определение 5 поставщиков, вызывающих наибольшее количество вопросов, за последние 3 месяца | 5 |
| Контроль долгов | 1. Проверка СР, 2. Порядок построения системы контроля задолженности, 3. Типичные проблемы б.процесса, 4. Автоматизация, 5. Отличия плохого и хорошего регламента | Доработка бизнес-процесса закупок в части работы с просроченной задолженностью | 4 |
| Проведение выборочных инвентаризаций | 1. Проверка СР, 2. Отбор позиций для выборочных инвенртаризаций, 3. Порядок оформления выборочной инвентаризации | 1. Отбор 7 позиций для проверки из основного и 5 из вспомогательного складов, 2. После согласования позиций с Руководителем СБ - проведение выборочной инвентаризации | 3 |
| Проведение выборочной инвентаризации | 1. Разбор результатов выборочной инвентаризации, 2. При выявлении аномалий - выработка предложений по контрольным точкам | Оформление служебной записки на имя Руководителя СБ по внедрению контрольных процедур по выявленным точкам контроля | 2 |
| Теория оформления материальной ответственности | 1. Проверка СР, 2. Порядок оформления мат.ответственности кассира, кладовщика, прочих специалистов | Проверка заключенных договоров (закупка ТМЦ, услуг, подряда) на соответствие целям Компании | 3 |
| Теория складского хранения | 1. Проверка СР, 2. Разница FIFO между учетом и фактом, 3. Каннибализация, 4. Контроль зап.частей при ремонте, 5. Хранение и утилизация брака поставщика, 6. Оценка излишков | 1. Описание указанных б.процессов, 2. Выявление 5 позиций брака и 4 позиций вспомогательных ТМЦ для проведения выборочной инвентаризации 3. Проведение выборочной инвентаризации | 3 |
| Проведение выборочной инвентаризации брака поставщика и вспомогательных ТМЦ | 1. Разбор результатов выборочной инвентаризации, 2. При выявлении аномалий - выработка предложений по контрольным точкам | Оформление служебной записки на имя Руководителя СБ по внедрению контрольных процедур по выявленным точкам контроля | 2 |
| Описание бизнес-процесса производства | 1. Проверка СР, 2. Основные понятия и этапы производственного б.процесса, 3. Стандартные конфликты мотивации | Описание бизнес-процесса основного производства | 3 |
| Описание бизнес-процесса производства (продолжение) | 1. Проверка СР, 2. Выявление узких мест процесса для последующей проверки, 3. Разработка предложений по контрольным точкам | Оформление служебной записки на имя Руководителя СБ по внедрению контрольных процедур по выявленным точкам контроля | 3 |
| Описание бизнес-процесса производства (продолжение) | 1. Проверка СР, 2. Порядок определения позиций для проверки калькуляций, 3. Использование тех.средств для проверки калькуляций | Отбор 1 позиции для проверки калькуляции | 3 |
| Физическая проверка 1 калькуляции | 1. Разбор результатов проверки, 2. При выявлении аномалий - выработка предложений по контрольным точкам | Оформление служебной записки на имя Руководителя СБ по внедрению контрольных процедур по выявленным точкам контроля | 2 |
| Описание бизнес-процесса производства (продолжение) | 1. Проверка СР, 2. Порядок учета отходов производства и производственного брака, 3. Порядок утилизации отходов и брака | Отбор 1 позиции для проверки учета и утилизации отхода, доработка б.процесса производства с учетом обновленной информации | 3 |
| Описание бизнес-процесса производства (продолжение) | 1. Проверка СР, 2. Порядок учета незавершенного производства, 3. Основные проблемы, возникающие при несинхронной инвентаризации (без одновременной проверки готовой продукции и сырья) | Отбор 5 позиций для выборочной инвентаризации незавершенного производства | 3 |
| Проведение выборочной инвентаризации незавершенного производства | 1. Разбор результатов выборочной инвентаризации, 2. При выявлении аномалий - выработка предложений по контрольным точкам | Оформление служебной записки на имя Руководителя СБ по внедрению контрольных процедур по выявленным точкам контроля | 2 |
| Теория по поиску аномалий в списании материалов на выпуск | 1. Проверка СР, 2. Порядок списаний материалов на выпуск, 3. Анализ правок задним числом и корректировок | Поиск аномалий в списаниях материалов на выпуск за последние 3 месяца | 3 |
| Теория по поиску аномалий в учете материалов при возвратах | 1. Проверка СР, 2. Порядок учета ТМЦ при возвращении готовой продукции от клиента, 3. Порядок учета ТМЦ при дистанционном признании брака без физического возврата на склад, 4. Порядок учета поступившего от поставщика брака, подходящего / не подходящего для дальнейшего использования | Поиск аномалий в учете возвратов за последние 3 месяца | 3 |
| Теория учета при отгрузке покупателям | 1. Проверка СР, 2. Проверка наличия и действительности актов сверки, 3. Анализ правок при отгрузках, 4. Анализ учета недогруза / пересорта при отгрузках | Описание бизнес-процесса отгрузок | 3 |
| Теория межскладского перемещения | 1. Проверка СР, 2. Типичные ошибки при разделении юр.лиц, 3. Типичные ошибки в KPI кладовщиков, приводящие к припискам, 4. Контроль посредством технических средств | 1. Поиск аномалий в межскладском перемещении за 3 месяца, 2. Оформление служебной записки на имя Руководителя СБ по выставлению контрольных точек для межскладского перемещения | 4 |
| Теория по учету внутреннего потребления | 1. Проверка СР, 2. Порядок проверки обоснованности внутреннего потребления, выявлние аномальных значений | Поиск аномальных документов по внутреннему потреблению | 4 |
| Теория по учету брака и потерь материалов и ГП во время хранения и отгрузки | 1. Проверка СР, 2. Порядок установления нормативов брака, 3. Порядок документальноого оформления брака и потерь, 4. Порядок проверки брака на соответствие нормативам | 1. Описание б.процесса выбраковки и оформления потерь, 2. Определение контрольных точек процессов | 4 |
| Теория по проверке системы мотивации сотрудников, влияющих на материальный баланс, на соответствие целям Компании | 1. Проверка СР, 2. Основные проблемы при разработке мотивации, 3. Противоречия между производством, складом и отделом закупок | Изучение системы мотивации сотрудников складов, разработка предложений по ее оптимизации для целей контроля | 4 |
| Теория риск-менеджмента | 1. Проверка СР, 2. Общая теория риск-менеджмента, 3. Составление карт рисков | Составление карт рисков по отделам закупок и хранения | 4 |
| Проверка полноты контроля | 1. Проверка СР, 2. Определение "серых" зон, выявленных в процессе работы | Описание выявленных процесов | 4 |
| Подготовка должностной инструцкии контролера | 1. Проверка СР, 2. Систематизация основных задач контролера, 3. Теория по написанию должностной инструкции | Подготовка должностной инструкции контролера | 3 |
| Разработка KPI контролера | 1. Проверка СР, 2. Теория по разработке KPI для контрольных служб | Подготовка предложений по KPI контролера для Руководителя СБ | 3 |
| Итоговая встреча | Подведение итогов работы | - | 2 |
Материальные активы (товар, ТМЦ, деньги).
Нематериальные активы (базы клиентов, ноу-хау).
Репутационные (нарушение 152-ФЗ, утечка персональных данных).
Операционные
Агентство финансовых расследований De Facto
Аутсортинг службы безопасности.
Обеспечение экономической и информационный безопасности юридических лиц и ИП
+7 (906)026-47-72
a5i4h@yandex.ru
Правовая информация
ИП Евдокимова Анастасия Валерьевна
ИНН: 781115880667
ОГРНИП: 321784700361238
Вернуться наверх