Риск на крючке

860
Риск-менджмент с точки зрения автоматизации – новое направление работы для российских ФД

В 2004 году перед сотовым оператором «Мобильные телесистемы» встал вопрос внедрения системы управления рисками. Дело в том, что с 2007 года МТС, акции которой торгуются на Нью-Йоркской фондовой бирже, должна соответствовать требованиям статьи 404 закона Сарбейнса-Оксли. В ней говорится о том, что система внутреннего контроля над финансовой отчетностью по US GAAP должна быть эффективной. И менеджмент компании обязан подтверждать эту эффективность с помощью специального отчета, который отсылается в SEC (Комиссию по ценным бумагам и биржам) США. «Из всех положений закона Сарбейнса-Оксли статья 404 — самая затратная и сложная с точки зрения соответствия», — говорит Наталья Вишнякова, начальник департамента систем внутреннего контроля МТС.

Чтобы подготовить такой отчет, надо определить, какие бизнес-процессы и хозяйственные операции формируют наиболее значимые транз-акции, то есть являются ключевыми для создания финансовой отчетности. А затем пошагово описать бизнес-процессы в виде диаграмм, идентифицировать точки риска и разработать систему внутреннего контроля.

Все эти этапы весьма трудоемки, сопровождаются огромными объемами документации, и без автоматизации пройти их малореально.

Когда встал вопрос об автоматизации работы департамента систем внутреннего контроля (подразделения, которое занимается соответствием бизнес-процессов компании требованиям биржи), на российском IT-рынке подобных решений не было. А зарубежные системы в основном были ориентированы на местные компании.

Среди крупных поставщиков, которые предусматривают русификацию всех своих продуктов, такой модуль предлагали SAP и Oracle. Решение от SAP на тот момент еще находилось в тестовой эксплуатации. Модуль Oracle ICM выглядел более готовым «к употреблению» — с ним работали уже около 100 компаний. Кроме того, утвержденная IT-стратегия МТС подразумевает внедрение ERP-системы Oracle.

По мнению IT‑департамента компании, одноименный модуль лучше всего вписывался в эту программу. Исполнителем проекта выступил интегратор «Квазар-микро», как и МТС, входящий в АФК «Система». «В 2004 году я руководил проектом внедрения Oracle e‑Business Suite в МТС, — вспоминает Сергей Тарасенко, директор по консалтингу «Квазар-микро». — На проекте ICM я также выполнял роль руководителя». Конечно, модуль может использоваться и непубличными компаниями, например для целей внутреннего аудита.

Проблемы внедрения

Во время построения системы внутреннего контроля сразу обозначились четыре задачи. Во-первых, понадобилось хранилище данных для документации: диаграмм бизнес-процессов, описания шагов, формулировок рисков, описания контрольных процедур. «Оно должно было быть умным и гибким, иметь удобные нам поля, — рассказывает Наталья Вишнякова. — Например, нам нужны разные типы рисков».

Во-вторых, с документацией должны были работать сотни сотрудников в различных регионах. Это представители высшего и среднего менеджмента компании, то есть владельцы бизнес-процессов. Причем все документы требуют согласования. «Пользоваться электронной почтой, пересылая на согласование файлы огромных объемов, неэффективно, — объясняет Наталья Вишнякова. — Поэтому владельцы процессов и исполнители контролей должны были получить доступ к хранилищу, чтобы видеть все актуальные изменения».

Третьей задачей стала организация хранения, систематизации и доступа к информации о результатах тестирования контролей. Этот процесс также сопровождается появлением документации — формами по тестированию, бухгалтерскими отчетами, подтверждающими исполнение контролей. По требованиям статьи 404 помимо периодического тестирования контролей по различным бизнес-процессам в конце года обязательно проводится комплекс-ное тестирование всех контролей.

Наконец, четвертая задача, которую руководство МТС рассчитывает решить в том числе с помощью системы, — сертификация на соответствие закону Сарбейнса-Оксли. Ее проводит менеджмент компании, а результаты подтверждаются независимым аудитором. Для МТС это Deloitte.

Когда департамент систем внутреннего контроля МТС только планировал внедрение ICM, подразумевалось, что система будет интегрирована с тремя модулями. С HR — чтобы закрепить владельцев бизнес-процессов и исполнителей контролей. Это особенно актуально для МТС, в которой работает более 20 тыс. человек. Второй модуль — главная книга, так как важно иметь данные финансовой отчетности. Третий — проектный. С его помощью планируются проекты по тестированию эффективности контролей.

Однако западные компании, которые уже начали работать с Oracle ICM 9, нашли множество недочетов. И когда количество исправлений достигло определенного рубежа, разработчик стал вносить изменения сразу в 10-ю версию, тем самым стимулируя клиентов переходить на Oracle ICM 10. В результате необходимый департаменту МТС функционал был реализован в 10-й версии, а остальные направления деятельности компании «остались» в 9-й.

Потому пока ICM сотового оператора работает как отдельно стоящий модуль. В 2007 году планируется переход на 10-ю версию, и тогда будет открыт отдельный проект интеграции для ICM. «У проекта была еще одна проблема — это первое внедрение ICM в Восточной Европе, — делится Сергей Тарасенко. — Никто не знал, как это делается, куда обращаться. И настройка модуля в МТС шла параллельно с совершенствованием этого продукта разработчиком».

Контроль над процессами

В результате был создан механизм, позволяю-щий контролировать все важные бизнес-процессы компании. Владелец процесса — инициирующий его менеджер. Вместе с ним департамент систем внутреннего контроля описывает бизнес-процесс, определяет его критические точки и контроли. Именно владелец процесса отвечает за операционную эффективность выбранных контролей. Далее департамент вместе с владельцем находит исполнителей контролей.

Зачастую основная проблема для владельца — исполнители контролей не подчинены ему напрямую. «Бывает даже, что исполнители работают в ином функциональном подразделении», — говорит Наталья Вишнякова. Во что это выливается — можно увидеть из примера. Региональная техническая служба приняла решение о строительстве базовой станции подрядным способом. Руководитель этой службы — владелец процесса. С точки зрения контроля главная задача технического подразделения, которое ведет контракты с участвующими в строительстве подрядчиками, — оперативно передавать первичную документацию в бухгалтерию. Но тогда все операции по взаиморасчетам отражаются своевременно. Но сделать этот процесс оперативным в реальной жизни непросто.

Документация зачастую опаздывает. В результате на счетах бухгалтерского учета по US GAAP неправильно формируется субсчет Working Capital. Чтобы гарантировать эффективность системы внутреннего контроля над данным субсчетом, необходимо как минимум периодически сверять данные бухгалтерии с данными учета первичной документации, который ведут все технические подразделения МТС. Эти сверки и есть ключевой контроль процесса строительства базовой станции. Исполнителем контроля назначается сотрудник бухгалтерии, а не технического подразделения. Он сверяет данные с той частотой и таким образом, как ему рекомендовал департамент систем внутреннего контроля. Этот департамент помогает владельцу процесса подтверждать, что система функционирует за счет периодического тестирования.

Всего система внутреннего контроля МТС насчитывает 1–2 тыс. контролей, и их количество изменяется. Со временем появляются новые контроли или исчезают старые. Например, компания начинает оказывать новую услугу. Или с какого-то момента хозяйственные операции по процессу достигают определенного объема, то есть становятся существенными. Тогда формирование системы контроля по бизнес-процессу начинается заново. К тому же количество контролей варьируется в зависимости от используемых методик. Владельцами контролей наравне с менеджерами, инициирующими хозяйственные операции, являются отдел внутреннего аудита, комитет по аудиту при совете директоров МТС, топ-менеджмент компании. Все они — пользователи решения.

Принятие закона Сарбейнса-Оксли не сопровождалось публикацией конкретных методик. Лишь спустя год компаниям было рекомендовано строить систему внутреннего контроля в соответствии с методикой COSO. Но поначалу публичные компании были вынуждены создавать системы риск-менеджмента по аудиторским методикам — единственным существовавшим на тот момент конкретным рекомендациям. Что не всегда было оптимально для компаний с точки зрения расходов.

Это связано с особенностями работы аудиторов: чем детальнее проверка, тем выгоднее работа и однозначнее заключение. Поэтому зачастую количество контролей по одному риску было достаточным с точки зрения аудитора, но избыточным с точки зрения менеджмента. Например, на одно региональное представительство крупной компании могло приходиться до 300–400 контролей. В результате, например, у General Electric было 15–20 тыс. контролей.

Методические рекомендации по управлению финансами компании



Подписка на статьи

Чтобы не пропустить ни одной важной или интересной статьи, подпишитесь на рассылку. Это бесплатно.

Школа

Школа

Проверь свои знания и приобрети новые

Записаться

Самое выгодное предложение

Самое выгодное предложение

Воспользуйтесь самым выгодным предложением на подписку и станьте читателем уже сейчас

Живое общение с редакцией

А еще...


Опрос

Вы планируете менять работу в новом году?

  • Да, планирую 36%
  • Подумываю об этом 26.4%
  • Нет, пока никаких перемен 28%
  • Это секрет! 9.6%
Другие опросы

Рассылка



© 2007–2016 ООО «Актион управление и финансы»

«Финансовый директор» — практический журнал по управлению финансами компании

Зарегистрировано Федеральной службой по надзору в сфере связи,
информационных технологий и массовых коммуникаций (Роскомнадзор)
Свидетельство о регистрации Эл №ФС77-43625 от 18.01.2011
Все права защищены. email: fd@fd.ru


  • Мы в соцсетях
×
Чтобы скачать файл, пожалуйста, зарегистрируйтесь

Сайт журнала «Финансовый директор» - это профессиональный ресурс для сотрудников финансовых служб и профессиональных управленцев.

Вы получите доступ не только к этому файлу, но и к другим статьям, рекомендациям, образцам регламентов и положений для управления финансами компании.

У меня есть пароль
напомнить
Пароль отправлен на почту
Ввести
Я тут впервые
И получить доступ на сайт
Займет минуту!
Введите эл. почту или логин
Неверный логин или пароль
Неверный пароль
Введите пароль
Зарегистрируйтесь на сайте,
чтобы продолжить чтение статьи

Еще Вы сможете бесплатно:
Скачать надстройку для Excel. Узнайте риск налоговой проверки в вашей компании
Прочитать книгу «Я – финансовый директор. Секреты профессии» (раздел «Книги»)

У меня есть пароль
напомнить
Пароль отправлен на почту
Ввести
Я тут впервые
И получить доступ на сайт
Займет минуту!
Введите эл. почту или логин
Неверный логин или пароль
Неверный пароль
Введите пароль