Пример применения ПМ:
Задача: проверка гигиены данных до того, как они испортят аналитику.
Проблематика: в поле «Телефон» пришло «+7999ывапр». CRM пропустит мусор, и вы тратите 500 руб. на звонок роботу.
Решение: правильно работающая истема ПМ на входе отвечает: «Формат нарушен. необходимо перезаполнение».
Пример применения ПМ:
Задача: разграничить обязанности так, чтобы предотвратить конфликт интересов и мошенничество.
Проблематика: сотрудники, заказывающие и принимающие товар, связаны между собой (были приведены 1 человеком, имеют близкие отношения / совместные интересы за пределами компании)
Решение: правильно работающая истема ПМ на входе отвечает: «Формат нарушен. необходимо перезаполнение».
Пример применения ПОМ:
Задача: контролеры и владельцы процессов не должны быть одними и теми же людьми (иметь общего руководителя и взаимозависимые отношения)
Проблематика: склад о недогрузе / пересорте сообщает в отдел закупок, информация до юридического отдела и бухгалтерии своевременно не доходит - претензионная работа своевременно не начинается, задолженность в учете фиктивна
Решение: у сотрудника независимого подразделения (ВК, бухгалтерия) имеется дашборд по мониторингу несоответствия ТМЦ документам с указанием сроков и ответственных
Пример применения ПОМ:
Задача: контроль не допускает выполнения операции "для галочки"
Проблематика: при работе с рекламациями поле "Причина" в СРМ обязательно к исполнению,однако часто вместо осмысленного текста ставится символ или 1 неинформативное слово
Решение: у сотрудника должен быть открытый перечень причин для выбора, в случае выбора "прочего" - должна быть предоставлена расшифровка не менее определенного количества символов, без заполнения которых задача не может быть закрыта
Пример применения РОМ:
Задача: в попытке отконтролировать все и сразу отдел ВК/ СБ раздувает штат
Проблематика: исполнители боятся "попасть на карандаш" и информация о рисках, в т.ч. ключевых, умалчивается
Решение: отранжировать риски по критичности для компании и направлять контроль только на верхние строчки реестра
Пример применения РОМ:
Задача: путаются вероятность и потенциальный ущерб
Проблематика: вероятность хищения денежных средств со стороны топ-менеджмента ниже, чем товаров со склада, поэтому внимание контролеров сосредотачивается на пропускном режиме
Решение: после перемножения вероятности наступления на сумму потенциального ущерба политика ВК выстраивается исходя из величины получившегося произведения, а не из личных предпочтений (количества потенциальных "палок") руководителя ВК / СБ
Расходы на контроль или контролируемые расходы?
«За безопасность необходимо платить, а за ее отсутствие – расплачиваться» (Уинстон Черчилль)
Только те средства по обеспечению безопасности хороши, надежны и долговечны, которые зависят от вас самих и от вашей собственной энергии» (Николо Макиавелли)
На сегодня выявляют 3 стадии развития систем внутреннего контроля (далее – СВК):
Подтверждающая модель (ПМ)
Система ориентирована на оценку соответствия работы проверяемых объектов контроля требованиям законодательства и внутренних документов компании.
Большинство компаний работают в этой модели, где понятны как плановые расходы, так и их эффективность, рассчитываемая в сравнении с историческими данными. В данном случае достаточно легко доказать эффективность работы подразделения.
Основные расходы вкладываются в контроль товарно-материальных ценностей, в том числе денежных средств (видеокамеры, RFID-метки и т.п.).
Пример: В прошлом году на складе / в торговом зале было выявлено 120 попыток проноса товарно-материальных ценностей на сумму Х, в этом – 90, на сумму У. Х больше У, служба безопасности / внутреннего контроля сработала эффективно.
Пример (используется реже): В прошлом году на складе / в торговом зале было выявлено 120 попыток проноса товарно-материальных ценностей на сумму Х, в этом – 90, на сумму У. Сумма вложений в дополнительные устройства видео-наблюдения составила А. С учетом вышесказанного сумма вложений окупится за срок ___ лет.
Процессно-ориентированная модель
Нацелена на анализ эффективности системы управления и базируется на процессном подходе. Согласно этой модели, каждое функциональное подразделение организации воспроизводит некий закрепленный за ним процесс, а компания рассматривается как цепочка или сеть таких процессов.
Вся деятельность компании разбивается на процессы, каждый из которых описывается, выявляются точки контроля и разрабатывается петля обратной связи, позволяющая оценить эффективность контрольных операций. Данная модель сложнее, т.к. предполагает подробное описание процессов фирмы «на бумаге», хорошее знание этим процессов контролерами и их умение находить и своевременно контролировать (и корректировать контрольные процедуры) по «узким местам».
В данном случае эффективность контролеров во многом зависит от качества прописания процессов и их оптимизации внутри компании (исключение дублирующих функций, двойного подчинения и т.п.). Владельцы процессов (и объектов контроля) должны быть однозначно определены.
К издержкам на защиту ТМЦ добавляются расходы на описание / оптимизацию процессов и автоматизацию. Расчет эффективности как первых, так и вторых зависит во многом от того, кто считает и определяет учетную политику компании.
Пример: Согласно утвержденному процессу службой внутреннего контроля (далее – СВК) было проверено 30% закупочных процедур, в том числе сплошным методом 100% закупочных процедур на сумму, превышающую ___ млн.руб. Была выявлена недостаточная проработка контрагентов в 28% случаев, в закупочных процедурах на общую сумму ____ млн.руб., потенциальная сумма потерь - ____ млн.руб., несвоевременное подключение юридической службы для начала претензионной работы – в 5% случаев, общая сумма потерь _____ млн.руб. По сравнению с предыдущим годом СВК своевременно было выявлено ___ млн.потенциальных убытков, что позволило вернуть в компанию ___ млн.руб.
Риск-ориентированная модель
Построена на выявлении и учете рисков, в том числе потенциальных. Предполагает погружение в документы-основания для инвестиционных решений, в т.ч. маркетинговые исследования, аналитику рынка, бизнес-планы и т.п.
Очень во многом зависит от понимания контролерами не только процессов внутри компании, но и внешней среды, в том числе – перспективы развития отрасли, технологий и конкурентного окружения.
Требования к квалификации значительно повышаются, риск оценивается не только на основании статистики, но и опыта / умения прогнозировать контролера.
Требования к оценке деятельности контрольной службы смещаются в сторону корректности оценки вероятности реализации риска и разработки превентивных мер.
К расходам предыдущих пунктов добавляются расходы на проверку предоставляемых различными департаментами исследований и расчетов (обучение собственных / привлечение сторонних специалистов), углубленный анализ политик компаний на риски, разработку и внедрение превентивных мер.
Пример: Риск оценки подтасовки финансовой отчетности оцениваем по сумме в 4 балла (высокий), вероятность – в 1 балл (низкая), в рамках утвержденной Генеральным директором политики он является допустимым, разработки и внедрения дополнительных мер не требует.
Как видно из вышеизложенного на каждом новом уровне на функционирование СВК требуется все более значительные суммы с все более «творческим» обоснованием их отдачи. Иногда это оправданно, иногда может являться, как и аналогичные «консультационные» расходы других служб, не более, чем обоснованием для увода денежных средств. И единственным критерием остается, к сожалению, здравый смысл владельца – и выстроенная им система перекрестного контроля.
Агентство финансовых расследований De Facto
Аутсортинг службы безопасности.
Обеспечение экономической и информационный безопасности юридических лиц и ИП
+7 (906)026-47-72
a5i4h@yandex.ru
Правовая информация
ИП Евдокимова Анастасия Валерьевна
ИНН: 781115880667
ОГРНИП: 321784700361238
Вернуться наверх