Управление корпоративными рисками: наука и искусство
По прогнозам экспертов, в будущем компании будут делать ставку на команду «звезд» – профессионалов своего дела
Распространено мнение, что система риск-менеджмента – вспомогательная, сервисная система, направленная на содействие руководству компании в принятии наиболее взвешенных с точки зрения риска управленческих решений. При этом управленческие решения могут приниматься на разных уровнях, затрагивая различные виды деятельности компании. На каждом уровне принятия решений руководству будет полезно осознавать, с какими рисками оно может столкнуться и могут ли данные риски оказать существенное влияние на результат их работы. В связи с этим главными «риск-менеджерами» организации становятся ее непосредственные руководители, принимающие решения в условиях неопределенности и риска. Однако в той или иной степени в процессы управления рисками вовлечены все без исключения сотрудники компании, а косвенно – и внешние заинтересованные стороны. Чем сильнее сотрудники погружены в процессы управления компанией (постановку целей и контроль их достижения), тем больше участвуют в управлении рисками. Об этом говорили на Восьмой Международной конференции «Корпоративные системы риск-менеджмента», состоявшейся 24–25 марта в Москве. Мероприятие организовали портал CFO-Russia.ru и Клуб финансовых директоров.
Золотые правила риск-менеджера
О том, какие риски существуют для самого риск-менеджера и какие компоненты необходимы для построения системы эффективного управления рисками в компании, рассказал руководитель внутреннего аудита, внутреннего контроля и риск-менеджмента компании Nordgold Игорь Миронов. На примере ряда организаций он проиллюстрировал различие в понимании риск-менеджмента участниками процесса.
Так, для совета директоров цель риск-менеджмента – контроль ключевых рисков; следовательно, основное внимание этого подразделения должно быть сконцентрировано на управлении рисками в целях корпоративного контроля. Однако, несмотря на красивые отчеты риск-менеджера, есть сомнения в их достоверности и эффективности.
Топ-менеджмент воспринимает риск-менеджмент как радар оповещения о рисках и ждет от него практической пользы для бизнеса – обеспечения устойчивого развития компании, минимизации нештатных ситуаций. Разочарование от риск-менеджмента связано с тем, что он отнимает время и не приносит пользы – все, что риск-менеджер говорит про риски, топ-менеджменту давно известно. Вероятность потенциального конфликта между ними высока, поскольку риск-менеджер работает на бюрократические отчеты, загружает менеджмент «ненужными» вопросами.
Схожий взгляд у владельцев рисков – для них это дополнительная сложная и бюрократическая работа, которую не делали ранее. Проинформировав вышестоящее руководство о рисках, они убеждены, что выполнили свою задачу; им все равно, как риски будут устраняться. Владельцы рисков считают, что реальной помощи от риск-менеджмента немного, раскрытие рисков создает угрозу увольнения и влечет дополнительные обязательства по контролю за ними.
Сами риск-менеджеры понимают: цель их работы – создание методологии и поддержка риск-менеджмента, они работают с регистром рисков, проводят оценку, составляют отчеты, стандарты. Не имея поддержки топ-менеджмента и владельцев процессов, риск-менеджер нередко оказывается «слабым звеном», подлежащим сокращению, ведь он, по мнению руководства, не справился с поставленной задачей.
– Основная цель риск-менеджмента на первом этапе – внедрение политик, процедур, регистров, формальной оценки рисков, тренинги, стандартизация, сертификация – в большинстве компаний выполняется на «четверку», – комментирует Игорь Миронов. – Хуже ситуация с созданием культуры риск-менеджмента и использованием всеми участниками процесса преимуществ, которые дает эффективный риск-менеджмент, – это делается, скорее, для галочки. Данный подход ведет к бюрократии и разочарованию в риск-менеджменте с соответствующими оргвыводами.
Чтобы построить эффективную систему, спикер советует создавать риск-культуру на основе четкой, понимаемой и принимаемой всеми процедуры риск-менеджмента; поддерживать обратную связь со всеми участниками процесса, мотивировать их управлять рисками; совершенствовать информационные потоки и обмен информацией между теми, кто принимает решения, и теми, кто непосредственно сталкивается с риском.
Также Игорь Миронов озвучил десять золотых правил для риск-менеджеров:
• держать главную цепь риск-менеджмента: «цель – контроль – риск»;
• научиться слушать, понимать и взаимодействовать со всеми участниками риск-менеджмента, проактивно помогать всем;
• создать личную заинтересованность всех участников в контроле за рисками;
• идентифицировать и оценивать риски при принятии любых значительных управленческих решений;
• не усложнять без необходимости процесс оценки рисков;
• придерживаться обязательного круга: «риск-менеджмент – внутренний контроль – внутренний аудит»;
• приоритезация рисков и контролей;
• использовать примеры реальных случаев по материалам СМИ;
• использовать лучшие и понятные менеджменту инструменты для контроля рисков;
• стоимость контроля должна быть меньше, чем возможные убытки, а главные усилия должны быть направлены на предотвращение риска (превентивный контроль), а не на ликвидацию его последствий.
Пять шагов к эффективной СУР
Необходимость эффективной системы управления рисками неоспорима, согласилась руководитель отдела внутреннего контроля и аудита по России, странам СНГ и Турции компании Becton Dickinson (BD) Ольга Никитина.
– При построении эффективной системы нужно принимать во внимание внешние и внутренние факторы. Внешние подразумевают регуляторную среду, законодательство, примеры практик крупных компаний в схожей отрасли, внутренние – «риск-аппетит» компании, сферу ее деятельности и разнообразие операций. Не последнюю роль играет размер бизнеса, количество и величина суммы сделок, – говорит Ольга.
К актуальным внутренним проблемам в управлении рисками она отнесла увеличение числа расходов, связанных с более частыми проверками госорганов и штрафами, неэффективными операционными процессами в компании и плохим качеством используемых баз данных. Внешние проблемы знакомы многим компаниям: новые продукты и технологии, появляющиеся на рынке, провоцируют возникновение новых способов совершенствования финансовых преступлений, что влечет новые риски. Эффективное управление рисками в данной сфере невозможно без тесного взаимодействия между риск-менеджером и менеджерами бизнес-подразделений.
Еще одна проблема, известная многим, – медленный процесс внедрения среди бизнес-менеджеров Compliance-культуры, подразумевающей осуществление деятельности сотрудниками компании при исполнении должностных функций в соответствии с существующими в данной отрасли нормами этики и нормами действующего законодательства, а также культуры управления рисками в целом. В данном случае один из эффективных способов преодоления проблемы – избрание представителей из бизнес-подразделений компании («Compliance Ambassadors»), которые благодаря авторитету среди коллег будут активно продвигать идеи комплаенс и стратегии по управлению рисками.
Ольга Никитина выделила пять этапов построения эффективной системы управления рисками (СУР): выявление и оценка рисков, внедрение политик и процедур, вовлечение руководства и работников в формирование Compliance-культуры и корпоративной культуры в целом, мониторинг соблюдения норм, контроль эффективности и непрерывное совершенствование. Однако важны не только пять озвученных шагов, но и этап, предшествующий им, – организация группы управления рисками. Единой модели подобной группы нет, она должна соответствовать рискам компании.
– Чтобы построить эффективную систему Compliance, необходимо не только внимательно относиться к сотрудникам, имеющим связи с конкурентами и иные конфликты интересов, но и проводить комплексную проверку при приеме на работу новых сотрудников на предмет их вовлеченности в прошлом в комплаенс скандалы. Не стоит забывать: в условиях кризиса лояльность работников снижается, они меньше сообщают о нарушениях. Еще одна возможная мера – внедрение в компании внутренней политики по привлечению работников к дисциплинарной ответственности за нарушение комплаенс-политики и активное использование ее возможностей на практике, – резюмировала Никитина.
Независимый эксперт Артем Бабов отметил: система управления рисками может строиться как при акценте «сверху», так и «снизу». В первом случае открываются возможности административной поддержки со стороны органов управления, интеграции риск-менеджмента со стратегическими целями и задачами, минимизации субъективного фактора при оценке внутренних и внешних угроз организации. Трудностей немного, ключевая – нехватка подготовленного персонала для внедрения и развития СУР.
Во втором случае сложностей больше. Внедрение осуществляется в каждом подразделении, по мере необходимости проводятся локальные обучающие семинары по основам теории риск-менеджмента, налаживаются коммуникации между подразделениями, но отсутствует единый всесторонний подход к управлению рисками, не хватает вовлеченности высшего руководства, управление рисками не включено в процессы повседневного руководства организацией, принятия решений.
– Подход построения СУР от риск-менеджера зависит в меньшей степени. Мне приходилось работать в условиях как первого подхода, так и второго. Намного эффективнее и быстрее СУР развивается при акценте «сверху», – отметил спикер. – Недостаточно построить СУР, нужно обеспечить ее эффективное функционирование, в том числе интеграцию во все бизнес-процессы организации. Следовательно, велика роль высшего руководства – на него возлагается ответственность за определение, разработку и внедрение действий в области управления рисками. Кроме того, бизнес-подразделения и владельцы процессов должны ежедневно управлять процессами таким образом, чтобы быть способными идентифицировать, контролировать риски и информировать о них. Отдельные функциональные подразделения, как, например, финансовый отдел, должны иметь достаточное административное влияние и оказывать поддержку бизнес-направлениям в части контроля и раскрытия эффективности процессов управления рисками.
Главный менеджер службы риск-менеджмента ПАО ГМК «Норильский никель» Евгений Теленков добавил, что несистемное управление рисками в том или ином виде присутствует в работе каждого предприятия. Формирование бизнес-плана, маркетинговый анализ, контроль качества готовой продукции – все это примеры элементов и процедур управления рисками.
– Квалифицированные руководители, хорошо знающие свою работу, но не владеющие специальными навыками и знаниями в области системного управления рисками, на практике могут успешно выявлять риски и возможные проблемы, оценивать степень угрозы и предпринимать действия, необходимые для стабилизации ситуации, по сути, управлять рисками. Примеры такого эффективного управления часто можно наблюдать в малом бизнесе, например в семейных компаниях, – комментирует эксперт. – При этом для средних и крупных компаний данная схема может не сработать. Основная причина в том, что выборочное использование подходов и методов управления рисками в разных бизнес-процессах или бизнес-функциях может привести к образованию «слепых зон», в рамках которых могут появляться и реализовываться риски. Данные риски могут привести к существенным сбоям, влияющим на отдельные участки бизнеса и на компанию в целом. Например, риски в сфере промышленной безопасности и охраны труда, риски, связанные с нарушением валютного и/или антимонопольного законодательства, риски мошенничества и коррупции.
Спикер подчеркнул: являясь составной частью системы управления организацией, система риск-менеджмента находится в зависимости от компонентов и механизмов материнской системы. Во многом эффективность системы риск-менеджмента будет зависеть от эффективности системы управления организацией, и наоборот. При этом обе системы должны находиться в гармоничном взаимодействии друг с другом. Система риск-менеджмента не должна быть слишком обременительной для организации, обладающей недостаточно развитой системой управления, и наоборот, для зрелых организаций, осуществляющих стабильную финансово-хозяйственную деятельность и имеющих развитую систему управления, недопустимо иметь фрагментарную систему риск-менеджмента, не обеспечивающую должного уровня защиты и работы с рисками.
Пока не готовы
Во второй день конференции на повестке дня было управление отдельными видами рисков. Аудиторию заинтересовал доклад двукратного лучшего риск-менеджера года, эксперта ЕЭК ООН и ИСО Михаила Рогова, который остановился на текущей ситуации в части глобальных угроз, заметив: согласно исследованиям, уже много лет один из самых тяжелых по последствиям стресс-сценариев связан с «тяжелым приземлением» китайской экономики. В 2015-м ВВП КНР поднялся на 6,9%, что стало самым низким показателем за четверть века. Также в список мировых угроз вошли: международные конфликты и проблемы неконтролируемой миграции, вызванный валютной нестабильностью кризис корпоративных долгов на развивающихся рынках, коллапс цен на нефть ввиду прекращения инвестиций в нефтяную отрасль и другие.
– В последнее время звучат прогнозы относительно очередной промышленной революции, вызванной переходом на новый уровень компьютеризации технологий. Вероятно, скоро мы придем к тому, что многие необходимые нам вещи можно будет напечатать на специальном принтере. Кстати, подобные примеры уже есть: как сообщают СМИ, профессор Берок Кошевис из Университета Южной Калифорнии сделал огромный 3D-принтер для печати домов, а китайская компания WinSun Decoration Design Engineering Company разработала проект жилого дома, который можно создать на специальном 3D-принтере менее чем за сутки, – констатирует спикер.
Разумеется, в случае воплощения этого прогноза придется решать вопросы с материалами, софтом, организовать контроль качества, наладить логистику, маркетинг, коммуникации. Важно понять роль и место России в будущих технологиях, преимущества и возможности. Все это потребует смены организационной парадигмы: отказа компаний от вертикальной иерархии – отношения «начальник – подчиненный» становятся неэффективными, и компании, сохраняющие такую иерархию, рискуют попасть в разряд отстающих. Смена тенденций в управлении приведет к тому, что бизнес будет делать ставку на команду «звезд» – профессионалов своего дела. Появляются новые классы активов, например криптовалюты. Риск-менеджмент, в том числе для малого и среднего бизнеса, потребует разработки и внедрения новых технологий, прежде всего на основе краудсорсинга (сбора данных из различных источников) и фактчекинга (проверки достоверности данных), учитывая и такие угрозы, как кибертерроризм. Однако пока, по мнению Рогова, ни мировой, ни российский риск-менеджмент к этому не готов.
Налоговый парадокс
Об управлении налоговыми рисками рассказал директор по правовым и налоговым вопросам ООО «Пост Модерн Текнолоджи» Владимир Донченко.
– Каждая компания несет финансовые затраты на уплату «дани» государству, в котором работает. Государство фактически является «теневым акционером» и претендует на некую долю прибыли, независимо от ее наличия. Если акционеры компании, считающие себя хозяевами бизнеса, решают обмануть государство, то рискуют попасть под санкции, которые могут привести к закрытию бизнеса. Подобные примеры имеются и в нашей стране, и в мире, – подчеркнул он. – Налоговые риски – это не только риски оттока денежных средств, но и репутационные, и уголовные – вплоть до преследования топ-менеджмента.
Парадокс в том, что причина возникновения налоговых рисков для бизнеса заложена в законодательстве. В Конституции РФ записано: каждый обязан платить законно установленные налоги и сборы; ст. 3 Налогового кодекса декларирует принцип определенности: налоги и сборы должны иметь экономическое основание, не могут быть произвольными, при их установлении должны быть определены все элементы налогообложения.
– В законе должны четко прописываться правила расчета налогов, при эффективной реализации этого принципа профессия налогового менеджера будет не нужна. Однако в том же Налоговом кодексе установлены правила трансфертного ценообразования на основе оценочных категорий, не имеющих ничего общего с принципом определенности, – аргументирует Владимир Донченко. – Еще одна проблема – внесение в российское правоприменение концепций из англо-саксонского прецедентного права, требующих серьезного доказательного подхода в судах. В наших реалиях эти концепции, а также требования к доказательствам используются зачастую упрощенно, что создает фундаментальную неопределенность в части ведения бизнеса и возможных налоговых последствий.
Обратил внимание спикер на функционал налогового отдела компании, который заключается в налоговом планировании, управлении налоговой эффективностью, структурировании операций, что позволит компании не переплачивать налоги и избежать рисков значительных доначислений налоговых обязательств при налоговых проверках. Нередко налоговые потери в компаниях связаны с дефектами внутреннего контроля либо недоработками, недоговоренностями между юристами, финансистами и бизнесом.
Среди инструментов налогового отдела Донченко выделил превентивные (участие на ранней стадии налоговых специалистов в разработке корпоративной структуры и стратегии, согласование планируемых транзакций и бизнес-решений, согласование договоров, контроль над трансфертным ценообразованием в процессе заключения сделок) и пост-контроли (проверка и исправление документов, ответы на запросы налоговых органов, подготовка документации по трансфертному ценообразованию).
– Я знаком с опытом международной компании, где взгляд руководства на налоговые риски был упрощенным, коммерческие решения принимались, зачастую невзирая на возможные налоговые последствия в будущем. Риски и налоги здесь управлялись и минимизировались на глобальном уровне с помощью трансфертного ценообразования и других механизмов налоговой минимизации. Компания сознательно шла на риск налоговых потерь при агрессивном расширении бизнеса, отказываясь от внедрения контроллинга. Если компания несла финансовые потери, руководство считало, что это не страшно, ведь на глобальном уровне удалось сэкономить больше. Это было 15 лет назад, в современных условиях такой подход не работает, но в тех реалиях он помогал компании зарабатывать много денег, не считаясь с налоговыми потерями, – рассказывает эксперт. – С одной стороны, в компаниях существуют стандартные бизнес-процессы и их налоговые последствия, основанные на положениях Налогового кодекса, вполне поддаются стандартизации и регламентации. При этом существуют нестандартные бизнес-процессы – сделки M&A, крупные внутригрупповые сделки, которые происходят значительно реже и, помимо постоянного контроля, требуют творческого подхода, с учетом тенденций правоприменительной практики и неопределенностей, заложенных в налоговом законодательстве. Таким образом, управление налоговыми рисками – это и наука, и искусство.
Риск как возможность
По мнению менеджера по качеству международной и локальной цепи поставок FM Logistic Ирины Вальтер, управление рисками в компании должно начинаться с объективных, лежащих на поверхности рисков, которые быстро реализуемы и могут принести реальный эффект.
FM Logistic работает во многих странах мира по двум направлениям – складское хозяйство и транспорт. Во Франции, Польше, Болгарии риск-менеджмент развит на уровне корпоративной культуры; имеется комитет по риск-менеджменту, отвечающий за стратегические, финансовые, операционные риски с фокусом на складском хозяйстве. В России компания развивает транспортные услуги, процесс управления рисками – под контролем департамента качества.
– Внедрять систему оценки рисков мы начали в конце 2015-го с определения рисков, лежащих на поверхности. Владельцы процессов выявили риски, имеющие более серьезное значение для компании: стратегические, финансовые, операционные. К этой работе подключились многие подразделения, в том числе финансовый департамент во главе с финансовым директором, – рассказывает Ирина Вальтер. – В своей работе мы используем SWOT-анализ, позволяющий выделить слабые, сильные стороны и угрозы. Также, помимо оценки самих рисков, пытаемся оценить возможности, которые могут принести компании добавленную ценность.
Цепочка процесса управления рисками в FM Logistic стандартна: определение состава рисков и контекста, идентификация рисков, их анализ и оценка, мониторинг и отчетность. Идентификацией рисков занимаются раз в месяц, а еженедельный мониторинг позволяет закрыть большое количество рисков уже в течение месяца.
– Помимо риск-сессий, департамент качества проводит внутренние аудиты. Предварительно беседуем с владельцем того процесса, риск которого хотим идентифицировать, выявляем наиболее важные риски. В состав риск-сессий входят владельцы процессов, представитель финансовой функции для определения эффекта конкретного риска на компанию в целом. Иногда к нам присоединяется руководитель транспортного подразделения, с его участием решения принимаются быстро и эффективно. Долгосрочные риски также фиксируем, чтобы работать с ними на перспективу.
Процесс управления рисками начинается с анализа стратегии компании, которая после трансформируется в цели, планы и задачи компании на ближайшие годы. Конкретные задачи трансформируются в показатели KPI – полугодовые, квартальные, месячные.
Для управления рисками в FM Logistic используют шкалу вероятности и значимости рисков, где предел допустимости определяется в соответствии со способностью компании взять на себя риск, а не ее способностью справиться с ним. Каждый риск оценивается с точки зрения финансовой составляющей и влияния на бизнес в целом. Если эффект серьезный, с риском начинают работать немедленно. Если же его пока можно отложить и понаблюдать за ним, предпочтут этот вариант. Ирина Вальтер привела в пример кейс «предоставление услуги клиентам посредством своевременной доставки товара»:
– В связи с введением в конце 2015 года транспортного налога (ПЛАТОН) возник новый риск, который мы предвидели заранее. Для нас, с одной стороны, это был риск, поскольку мелкие частные компании, индивидуальные предприниматели ушли с рынка, у них не было возможности закрыть/обеспечить машинами заявки наших клиентов. С другой – возможность: с внедрением транспортного налога ПЛАТОН и возникновением риска несвоевременной доставки груза клиенту или срыва доставки вообще мы задумались о собственном автопарке, – резюмировала она.
В поиске баланса и разумных подходов
В прошлом году в России значительно возросли кредитные риски, многие компании усиливают этот блок. Не исключение – Группа НЛМК, один из ведущих металлургических холдингов. Руководитель направления «Кредитные риски» Группы НЛМК Ольга Котина рассказала о ключевых аспектах управления кредитными рисками в корпоративном мире, один из важнейших этапов которого – мониторинг кредитного риска подразумевает своевременный анализ факторов, изменяющих кредитный риск, оценку чувствительности и масштаб влияния.
– Для нас оценка кредитных рисков не основной вид деятельности, как, например, для банков, которые остаются экспертными центрами в этой области. Корпорации не могут инвестировать такие ресурсы в оценку кредитного риска, мы находимся в постоянном поиске баланса и разумных подходов, применяя способы и методы управления кредитными рисками – индивидуальную оценку и статистический портфельный анализ, – сообщил докладчик.
Способы митигации (снижения) таких рисков – гарантии и поручительства, аккредитивы и факторинг, страхование, имущественные залоги, залоги прав собственности скрывают «подводные камни»: аккредитивы и факторинг малодоступны ввиду цены, имущественные залоги предполагают дорогой процесс оценки, мониторинга, правового сопровождения и реализации залогов.
– Возрастающие кредитные риски требуют более внимательного к ним отношения, выделения в отдельный процесс с определением правил, контролей и ответственности, – говорит Ольга Котина. – Ввиду огромного количества информации, важной с точки зрения анализа и управления кредитным риском, а также источников ее поступления все более актуальным становится вопрос автоматизации всех стадий кредитного менеджмента. На мой взгляд, в процесс управления кредитным риском необходимо активно вовлекать бизнес-подразделения.
Переход к «мягкому» управлению
Об управлении антимонопольными рисками говорила менеджер по управлению рисками АО «Мерседес-Бенц РУС» Екатерина Борисова. В представляемой ею компании программу по антимонопольному регулированию внедрили еще в 2012 году.
Этапы управления антимонопольными рисками соответствуют общей схеме: постановка целей, идентификация, оценка, приоритезация, работа с рисками, мониторинг. У компании могут быть разноплановые цели: победа в тендере, увеличение доли рынка, внедрение лучших практик («benchmarking»), локализация производства, лоббирование законопроекта, выход на новый рынок. Достижение каждой из них подразумевает коммуникацию с новыми поставщиками, дилерами, клиентами и конкурентами, что влечет антимонопольные риски, такие, как согласованные действия (или даже картельный сговор) с конкурентами, получение конфиденциальной информации о конкурентах, незаконная координация дилеров, злоупотребление доминирующим положением на рынке.
Согласно статистике, в 2015 году ФАС возбуждено 409 дел по ст. 11 № 135-ФЗ «О защите конкуренции», из них 2/3 – по картельному сговору, 80% из них – дела по сговорам на торгах. Даже если компания смогла доказать свою невиновность и ответственности по законодательству не несет, ее затронут другие факторы риска: негативное влияние на репутацию, отвлечение от основного вида деятельности, расходы на оплату юридических услуг.
Наиболее сложные в плане управления операционные риски, требующие постоянного контроля. В «Мерседес-Бенц РУС» выстроена схема внутреннего контроля, в которой распределены роли, определены таргет-группы, разработаны правила поведения в различных ситуациях, организована коммуникация между сотрудниками, проводятся контрольные процедуры и внутреннее тестирование. Однако эта система не будет работать без согласованности между ключевыми сотрудниками: юридическим отделом, генеральным директором, менеджером по управлению рисками и сотрудниками, ответственными за выполнение контроля.
Говоря о тенденциях антимонопольного регулирования, Екатерина отметила: вероятно, в ближайшем будущем произойдет переход от административного регулирования к «мягкому» управлению, позволяющему уменьшить ответственность для компаний, внедривших антимонопольную программу.
Главный риск – человеческий фактор
Одну из секций конференции посвятили минимизации рисков мошенничества. Модератор дискуссии, директор по безопасности «М. ВИДЕО» Александр Сайганов заметил: многие компании рассматривают безопасность в качестве одного из механизмов, контролирующих лимитированные группы рисков, но отдельно от управления рисками. Между тем, главным риском практически для любой компании является именно человеческий фактор.
Основываясь на многолетнем опыте работы в службе расследований международного банка, Сайганов рассказал о минимизации рисков мошенничества с акцентом на эффективном взаимодействии внутреннего аудита, службы безопасности и комплаенса.
– В большинстве организаций расследование инцидента происходит за закрытыми дверями, и даже если виновный находится и наказывается, не нужно ставить точку. Важно, проанализировав произошедшее, перенести этот опыт на новый виток жизни компании, – подчеркнул спикер. – Практически во всех компаниях компетенция по ведению расследования лежит на службе безопасности – той сфере внутрикорпоративных расследований, куда набираются профессионалы. Раньше в службу безопасности приглашали бывших сотрудников правоохранительных органов, владевших приемами и методами оперативно-розыскных, следственных мероприятий, но не понимавших корпоративную среду. Методика их работы, в том числе расследований, базировалась на предыдущем багаже знаний. Во время моей работы в одном из крупных банков мы нарушили эту традицию, набрав в службу расследований молодых ребят с риск-ориентированным подходом, которые работали более результативно.
Александр Сайганов заметил: расследование должно дать ответ на вопрос «что произошло?» – если пропали деньги, то куда и как они пропали? На этом во многих случаях расследование заканчивается, не ответив на вопрос – что делать для того, чтобы этого не происходило в дальнейшем?
– Некоторые руководители идут дальше, проводят внутренний аудит, призванный проверить факты. Расследование должно ответить на вопросы: каким образом произошло нарушение? какие процессы и процедуры были нарушены? какие недочеты контроля способствовали этому нарушению? кто ответственный за эти контроли? В любом инциденте нужно найти не только того, кто увел деньги, но и того, кто должен был проконтролировать, чтобы этого не произошло. Соответственно, список виновных должен состоять не из одной строки, – уточнил Сайганов. – После внутреннего аудита служба безопасности или отдел расследований пишут никому не нужный многостраничный отчет – занятым людям некогда читать объемные документы. Я требую со своих подчиненных, чтобы отчет занимал не более двух страниц и содержал ответы на вопросы: что произошло, кто виноват, а также перечень рекомендаций, которые специалист, проведший расследование, дает бизнесу для предотвращения подобного.