Неэффективный бизнес несет в себе риски, зачастую с коррупционной составляющей. Кроме финансовой неэффективности они влекут за собой снижение лояльности персонала и наносят компании имиджевый ущерб. Потеря репутации может оказаться невосполнимой для публичных компаний. О возможных санкциях контролирующих госорганов и уголовном преследовании и говорить не приходится. Анализ и выявление таких областей — первоочередная задача работы внутреннего аудита и экономической безопасности. Способны ли эти подразделения эффективно взаимодействовать? Какими инструментами они пользуются при выявлении рисков и как устраняют их? Об этом рассказывает Светлана Зуева, руководитель департамента экономической безопасности ОАО «ВымпелКом».
В ряде предприятий ответственность за работу с рисками возложена на различные подразделения — внутреннего аудита, экономической и информационной безопасности, подразделения по управлению рисками внутри бизнес-функций и службы по гарантированию доходов. Действуют они обычно разрозненно, а значит, нерезультативно. Но их можно объединить на принципах риск-менеджмента. Тогда и внутренний аудит объективно оценит эффективность различных процессов в компании.
Аудит бизнес-процессов (процессный аудит) включает оценку последовательных шагов и взаимосвязей с другими процессами в рамках системы.
Он, как правило, исходит из аксиомы эталонности процедуры и проверяет процесс (процедуру) на соответствие ей. Однако в компаниях процессы развиваются и совершенствуются динамично. И на момент проверки процедуры она может не соответствовать регламенту. Тогда рекомендация аудита о четком соблюдении регламента не даст желаемого эффекта. Но и настаивать на актуализации внутреннего регламента с учетом реалий жизни, не разобравшись в причинах отклонений, тоже не стоит. Это может привести к увеличению, а не снижению риска. Важно детально изучить бизнес-процессы, принципы разделения полномочий и перехода ответственности в подпроцессах, наличие и достаточность контроля, понимать цели каждого шага. Только после этого рекомендации аудита будут взвешенными и эффективными.
Одна из основных причин отличия процесса от процедуры, регламентирующей его, — конфликт KPI (целевых показателей) различных подразделений. В зависимости от приоритетов компании, утвержденных с учетом рыночной ситуации и внутреннего финансового состояния, KPI могут существенно изменяться каждые полгода. И то, что у одного подразделения на первом месте, у другого может оказаться на втором, иногда из-за нехватки человеческих ресурсов. Тотальный контроль процедур (если он не автоматизирован) ослабевает, становится периодическим. Как следствие, рост рисков.
Аудит целесообразно проводить с учетом текущих и ранее выявленных рисков в смежных бизнес-процессах. Для этого имеет смысл прибегнуть к экспертной оценке эффективности бизнес-процесса. В качестве экспертов могут выступить внутренние клиенты или партнеры, часто взаимодействующие с аудируемым подразделением, либо налоговый департамент, экономическая безопасность, служба кредитного контроля, проводившие оценку каких-либо рисков бизнес-процессов в ходе своей основной деятельности.
При проведении аудита бизнес-процессов необходимо обращать внимание на риски, возникающие в результате конфликта целевых показателей. Устранить его можно через согласование KPI на уровне руководителей подразделений в периоды постановки целей и оценки результатов. Например, KPI технического подразделения — построить и запустить объект как можно быстрее (независимо от трудозатрат и стоимости), а KPI подразделения закупок — максимально сэкономить финансы, в том числе за счет объединения одинаковых потребностей в один пул и получения скидки у поставщиков за счет объема. Подготовка таких предложений требует времени.
Совместное определение и согласование двумя подразделениями приоритетов, сроков и объемов задач, составление планов с определением контрольных точек и назначением ответственных лиц можно рассматривать как способ снижения конфликта KPI.
Если подразделения работают обособленно, как обычно бывает, могут возникать риски, в том числе с коррупционной составляющей. Приведем примеры.
пример 1
Рассмотрим процесс формирования технического задания для тендера или конкурса.
ТЗ составляют эксперты функционального подразделения-заказчика. Ссылаясь на срочность, они просто копируют технические характеристики из спецификации существующего либо желательного поставщика. Такая заточенность конкурсного задания под возможности конкретной компании делает закупку абсолютно неэффективной в силу отсутствия конкуренции и приводит к заключению контракта по начальной (максимальной) цене. Предотвращение подобных рисков — совместная задача нескольких подразделений. Внутренний аудит анализирует тендеры и конкурсы на выявление рисков, лоббирование интересов определенных поставщиков, в том числе при наличии излишних требований в ТЗ. Экономическая безопасность проверяет выявленные риски на предмет наличия в них коррупционной составляющей и (или) нарушения внутренних процедур компании, технические эксперты (из внешних или смежных подразделений) оценивают соответствие требований ТЗ реальным потребностям.
Привлечение экспертов позволяет выявить такие риски неэффективности, как закупка заменителя под видом высококачественного продукта, имеющего сходные базовые параметры, но существенно проигрывающего по качеству. Процесс выявления рисковых зон такой.
1. Член тендерного комитета от безопасности или внутреннего аудита просматривает запрашиваемые технические требования, определяет зоны, где указаны конкретные или излишне детализированные характеристики (например, в блок-факторах сказано, что вес прибора не должен превышать 2,6 кг).
2. Запрашивается экспертная оценка у технических специалистов или самостоятельно изучаются характеристики аналогичного оборудования разных производителей. При этом, в частности, выясняется, что у основной массы производителей вес такого оборудования — 3 кг. В этом случае приведенное требование считается завышенным. Его должны обосновать члены экспертной группы (ЭГ), составлявшие ТЗ для данного тендера. Отметим, что ответственность ЭГ за составление ТЗ закреплена внутренней процедурой закупок.
3. После анализа ТЗ составляется список всех характеристик, вызвавших сомнение.
4. Член тендерного комитета от безопасности организует рабочую встречу ЭГ с обязательным участием сотрудника внутреннего аудита, на которой ЭГ разъясняет и обосновывает сформированные требования.
Как правило, после этого требования ТЗ пересматриваются.
пример 2
Рассмотрим риск, который можно отнести к группе коррупционных, — предоставление закрытой коммерческой информации третьей стороне (например, цены и условия коммерческих предложений, подаваемые в ходе тендера).
Если в ходе тендера предложения подаются в открытом виде, у заинтересованных лиц, имеющих доступ к этой информации, появляется возможность влиять на исход закупки. Предоставление информации о наименьшей предложенной цене своему поставщику позволяет последнему благодаря минимальному снижению по отношению к этой цене выиграть тендер и заключить контракт. Данный риск также может быть выявлен в ходе аудита по минимальному шагу в предложенных ценах. В этом случае целесообразно провести проверку чистоты закупочного мероприятия силами экономической безопасности. Что это означает?
С учетом того, что алгоритм проведения закупочного мероприятия описан во внутреннем регламенте закупочных процедур, в ходе проверки анализируется каждый шаг процесса взаимодействия с поставщиком: направление требований, получение коммерческих предложений (в закрытых торгах), запрос на улучшение предложений и т.д. Право проведения переговоров закрепляется в ходе закупочного мероприятия за определенным лицом или группой лиц. Следовательно, выявление несанкционированных контактов может свидетельствовать о возможных путях утечки информации.
При подтверждении фактов разглашения информации поставщик, использовавший методы недобросовестной конкуренции, может быть дисквалифицирован (отстранен от участия как в данном закупочном мероприятии, так и в последующих закупках), а к сотруднику применяются меры дисциплинарного характера. К счастью, подобные случаи редки. Функции оnline-контроля и экспертной оценки поставщиков, проводимые сотрудниками экономической безопасности, помогает подразделению закупок предотвратить подобные риски. Это не вызывает сопротивления и способствует командной работе.
Управление рисками внутри бизнес-процесса — тонкая настройка. Она является плодом совместных трудов контролирующих и функциональных подразделений и направлена на снижение влияния человеческого фактора, непрерывность в работе и устойчивое получение ожидаемого результата.
В идеале для полноценного контроля и профилактики возможных злоупотреблений необходимо сформировать отдельную рабочую группу из представителей указанных подразделений и регламентировать данную работу при проведении периодического мониторинга и целенаправленных проверок по выявленным нарушениям или коррупционным рискам. Кроме того, в компании должен быть выделен специальный канал обратной связи для сотрудников (например, внутрикорпоративный групповой почтовый ящик), позволяющий конфиденциально сообщать о внутренних нарушениях или неэффективности бизнес-процессов.
Полностью исключить риски с коррупционной составляющей невозможно. Вместе с тем целенаправленная совместная работа и правильное комбинирование упомянутых инструментов способны существенно снизить риски.