Рецепты новых реалий

Пандемия стала триггером для оценки устойчивости организаций: она показала, насколько неподготовленными оказались многие организации к событию такого масштаба. Одновременный сбой в цепочках поставок, комплектации рабочей силой и в глобальной экономике угрожал их способности продолжать бизнес. Устойчивость уже стала добавленной стоимостью этого десятилетия. Устойчивость – способность организации адаптироваться и даже процветать в период потрясений – сейчас является приоритетом.

Эпидемия служит конкретным напоминанием о том, насколько уязвимыми могут быть организации – даже если при обычных обстоятельствах они работают хорошо. Это показывает, как быстро условия могут измениться под тяжестью серьезного события и насколько важно учитывать это при оценке риска.

Понимание того, как повысить устойчивость, имеет важное значение, поскольку организации сталкиваются с крупномасштабными сбоями, частота которых будет только возрастать.

Современные задачи внутреннего аудита

Аудиты традиционно проводились в ретроспективе. Но сейчас внутренние аудиторы и организации все больше смотрят вперед, исследуя горизонт на предмет потенциальных угроз и помогая разрабатывать планы на случай непредвиденных обстоятельств. 

Александр Московкин, директор по внутреннему аудиту АО «Элемент», уверен, что внутренние аудиторы в России давно это поняли, поэтому несколько опережают мировую аудиторию аудиторов и больше готовы к различным внешним изменениям. Николай Шумилов, начальник управления внутреннего аудита ГК «Мангазея», продолжает: «Собственно, в этом и состоит риск-ориентированный подход, который в идеале должен быть ориентирован на предупреждение, а не на пресечение или устранение негативных последствий. Знание, понимание того, что стоит ожидать от текущей ситуации, и предвидение (иногда и моделирование) того, во что она развернется и к каким последствиям потенциально приведет, особенно в критических условиях, связанных с высокой степенью неопределенности и ситуативной дезорганизованности, – это навык профессионального внутреннего аудитора, подразумевающий, что уже не надо вникать в завязку и следить за развитием, а нужно сразу переходить к кульминации событий (пусть даже еще не произошедших)».

Устойчивая деловая культура играет решающую роль в обеспечении хороших результатов во время кризиса. Беседы со специалистами по аудиту показывают, что особое внимание уделяется планированию, даже для условий, которые считаются маловероятными, и нескольким другим областям, которые, по их мнению, имеют решающее значение для устойчивости.

Людмила Диордиева, директор по внутреннему аудиту ООО «Интер РАО – Управление электрогенерацией», поделилась опытом компании: «Автоматизация ряда бизнес-процессов компании, турбулентность внешних и внутренних изменений явились триггерами перехода от жесткого к гибкому планированию, от выборочной – к сплошной проверке объектов аудита, от проверки компаний – к проверке бизнес-процессов. Это позволило службе внутреннего аудита нашей компании своевременно (в онлайн-режиме) формировать для заинтересованных лиц оценки эффективности функционирования процессов, достижимости стратегических целей, эффективности, рациональности и целевого расходования денежных средств, сохранности активов, достоверности отчетности, а также выявлять риски мошенничества и коррупции и предоставлять рекомендации по улучшению процессов».

Деньги – это главное

Хассан Хайал, менеджер по внутреннему аудиту компании из ОАЭ, говорит, что пандемия заставила его организацию уделять гораздо больше внимания денежным потокам: «Раньше денежный поток был само собой разумеющимся. Теперь это первостепенный вопрос, который изменил культуру». Николай Шумилов, высказывается более прямолинейно: «Извините за цинизм, но коллега из ОАЭ очень аккуратно сказал то, что само собой разумеется, но о чем стало привычным умалчивать (и забывать) в последнее время: бизнес существует ради денег. Прибыль собственников является его главной и основной целью, а ESG, социальные проекты, зеленые инициативы, ограничение карбонового следа и прочее – это дополнения, которые совпадают с интересами бизнеса ровно до тех пор, пока их реализация соответствует интересам собственников, ограждает их от штрафов и другой ответственности и гарантирует им приток инвесторов и клиентов, воодушевленных социальными и экологическими инициативами».

Хассан Хайал говорит, что менеджеры компании, прежде чем потратить деньги, теперь гораздо больше внимания уделяют политике закупок, что подтверждают документация и контроли, которые проверяет внутренний аудит. В более широком смысле он рассматривает денежный поток как ключевой компонент устойчивости: «Организации с большим количеством денег пережили пандемию, в то время как те, которые, например, вели успешные операции, но имели немного денежных средств, пострадали. У других, возможно, была ликвидность, необходимая для выживания, и они могли бы процветать, если бы внимательнее следили за денежным потоком».

Однако Артем Горлов, исполнительный директор службы внутреннего аудита ПАО АФК «Система», предостерегает: «Наличие свободных денег, очевидно, поможет компании в кризис, но есть и обратная сторона. Замораживая средства, создавая резервы, компания теряет ликвидность, и такая политика в компании напрямую связана с риск-аппетитом совета директоров и менеджмента. Развивающиеся и растущие компании не могут себе позволить так себя вести. Для внутренних аудиторов ситуация с ликвидностью – это всего лишь следствие стратегии компании и конкретных операционных решений».

Николай Шумилов (ГК «Мангазея») говорит: «Поговорку «пока толстый сохнет, худой – сдохнет» можно отнести не только к богатым и запасливым, но и к ситуациям, когда контроли были отлажены и работали качественно еще до кризиса, существовали не для галочки, а для эффективного управления, элементом которого они и призваны быть, а также для формирования управленческой отчетности, которая, будучи качественно организованной, одним своим существованием экономит внутренним аудиторам 50% времени на анализ, что особенно важно в экстремальной ситуации, когда его [времени] очень мало.

В качестве примера могу привести одну организацию, которая в прошлый кризис не только обошлась без потерь, а еще и протягивала «руку помощи» друзьям своего собственника и параллельно скупала перспективные бизнесы у резко обедневших владельцев, которые были готовы их продать за любые деньги. На вопрос, как им это удалось, один из управляющих менеджеров мне ответил: «Да я сам в шоке, что это сработало! Мы просто не опускались ниже определенного уровня обеспеченности собственными оборотными средствами и не разрешали доводить дело до перекредитации». А по сути, они определили свои риск-аппетиты и своевременно их пересматривали после анализа изменений внутренней и внешней среды (риск-ориентированный подход)».

Обеспечение безопасности цепочек поставок

Здесь ключом к устойчивости являются:

1. наличие более чем одного поставщика; 

2. понимание того, как способность этого поставщика выполнять свою работу может быть поставлена под угрозу критическим событием; 

3. наличие плана по снижению этого риска.

Анатолий Дороничев, эксперт в области внутреннего аудита и управления рисками, поддерживает ранее высказанный тезис, что «деньги – это главное», и советует при обеспечении поставок более чем одним поставщиком учесть дополнительные расходы, связанные со следующими обстоятельствами:

1. работа с альтернативным поставщиком обойдется дороже (иначе почему мы изначально закупаем не у него?);

2. при снижении объемов закупки у основного поставщика можно лишиться скидки за объем;

3. есть риски, что качество продукции альтернативного поставщика будет  неподходящим , и это потребует постоянных дополнительных перенастроек оборудования, что в итоге снизит общую производительность и объем продаж.

Анатолий дополняет: «Есть альтернативный путь – наращивание объема запасов, но он также требует дополнительных ресурсов. Тут необходимо учесть как минимум следующие факторы: дополнительные затраты на хранение, страховку, стоимость отвлечения денег, риски порчи или перевода в неликвиды. Таким образом, любой вариант обеспечения устойчивости нужно просчитывать для прозрачности понимания стоимости подобных мероприятий».

«Я думаю, что самым большим открытием для меня стало то, что многие компании сильно зависели от поставщиков, и когда разразился COVID, они не понимали, что не могут рассчитывать на этих поставщиков», – говорит Саджай Рай, президент и исполнительный директор поставщика услуг по кибербезопасности и соблюдению нормативных требований Securely Yours LLC (США). Он отмечает, что из-за того, что сами поставщики также сильно пострадали от COVID-19, многие не смогли обеспечить тот уровень обслуживания, от которого зависели их клиенты. Организациям, которые привыкли полагаться на продукты или услуги этих поставщиков, теперь не хватало ресурсов. «Это создало огромный разрыв в доступности ресурсов внутри организаций, – говорит Рай. – Извлеченные уроки заключались в том, чтобы либо лучше вести переговоры, либо иметь план действий на случай непредвиденных обстоятельств». 

Артем Горлов, говорит: «Коллега рассказывает об очень важной проблеме – рисках в цепочке поставок. В том числе этот вопрос очень актуален сейчас в Российской Федерации. Выскажусь не как внутренний аудитор, а как менеджер. Мне кажется, что в ближайшем будущем крупные российские компании, занимающиеся обеспечением безопасности цепочек поставок, должны внедрять технологии блокчейн. Например, компания может способствовать тому, чтобы ключевые поставщики и производители сквозным образом внедряли единый блокчейн-реестр транзакций с изменениями в нем на основе первичных документов. Такой подход позволит полностью контролировать цикл поставки. После этого компании должны определить параметры поставок и зафиксировать их в смарт-контрактах, сопровождающих записи в блокчейн-реестр. 

Это решит вопрос прозрачности цепочки поставок и позволит управлять изменениями сквозным образом, предвосхищая любые риски до их реализации.

Здесь важна и роль внутреннего аудитора, который может способствовать тому, чтобы в компании происходили такие изменения, выявляя риски и показывая недостатки в существующих контролях».

Александр Московкин, добавляет, что выстраивание новых цепочек поставок, изменение подходов к закупкам, ускорение и реинжиниринг закупочных процессов заставляют внутренний аудит погружаться в них глубоко и находиться на острие этих процессов.

Николай Шумилов, отмечает, что не только монополия, но и  монопсония  одинаково опасны для бизнеса: «Первыми ушли с рынка не те, у кого падали поставки, потому что, как правило, на складе был некий запас (к вопросу о контроле неснижаемого остатка), а те, у кого в портфеле был один проект или чья выручка зависела от одного покупателя».

Общение и сотрудничество

Устойчивый бизнес – это компания с четко определенными миссией и приоритетами, которые понятны всей организации. Решение проблем, подобных тем, которые возникли из-за COVID-19, требует общесистемного подхода, охватывающего все уровни и департаменты.

Хассан Хайал, например, говорит, что во время пандемии коммуникация в его организации усилилась, а стратегические инициативы стали более прозрачными: «Наше общение стало намного более эффективным по всем направлениям. Это включало в себя коммуникацию сверху вниз от высшего руководства к руководству среднего звена и низшему руководству, позволяя всем узнать, что происходит и куда движется компания». До COVID-19 бизнес-стратегия организации считалась конфиденциальной и только высшее руководство было посвящено в план. Теперь, по словам Хайала, сотрудники фронт-офиса имеют четкое представление о стратегии, что повышает их способность реагировать на кризис.

«Особенно когда существует множество источников сбоев и когда люди могут быть дезориентированы, и это позволяет нам ориентироваться на четкие цели», – добавляет он. Анатолий Дороничев, дополняет эту идею: «Ознакомление с основными векторами стратегических планов должно происходить не только для сотрудников фронт-офиса, но и для всех сотрудников. Иначе будет как в басне про лебедя, рака и щуку: у топ-менеджмента стратегия, расставленные акценты, а «на земле» люди работают по старым приоритетам, потому что так привыкли и никто ничего нового им не сообщал». Анатолий советует следующий подход:

1. периодически приглашать менеджмент среднего и нижнего уровня на стратегические сессии;

2. периодически проводить общие встречи рядовых сотрудников и топ-менеджмента с возможностью диалога. Данные встречи будут мотивировать сотрудников помогать компании, поскольку они не будут чувствовать себя брошенными олимпийцами (топ-менеджментом);

3. размещать информационные видеоролики, статьи в корпоративной прессе или на корпоративном сайте о стратегических и оперативных целях и о том, как они должны между собой связываться. 

Подытоживая, Николай Шумилов, говорит, что в каждом абзаце мы сталкиваемся с теорией управления: своевременность и достоверность информирования являются принципами системы внутренних контролей, предполагающими, что как минимум информация о выявленных отклонениях должна незамедлительно предоставляться лицам, уполномоченным принимать управленческие решения в организации.

Способные к адаптации сотрудники

Внедрение практики найма, которая фокусируется на адаптивности в дополнение к экспертным знаниям, является важным первым шагом. Вместо того чтобы набирать негибких экспертов, организациям следует искать гибких людей, способных жить в условиях неопределенности и быстро менять направление. Дополнительно к этому Анатолий Дороничев считает хорошей практикой обсуждение на финальных стадиях найма конкретных КПЭ минимум на период испытательного срока, а в идеале – до конца года. Это позволит: 

1. понять, насколько претендент на вакансию заинтересован в эффективном выполнении задач, а не формальном подходе; 

2. исключить недопонимание в ожиданиях работодателя. Ведь если претендент поймет, что эти задачи ему не подходят, то работодатель фактически потеряет минимум три месяца и затраченные ресурсы, а также потратит дополнительные ресурсы на повторный поиск работника.

Алексей Алексеев, руководитель департамента по аудиту функций ИТ и Технического блока ПАО «Вымпелком», напоминает, что рамках процесса  BCM  необходимо проводить  анализ влияния на бизнес , где в том числе оценивать критичность компетенций  сотрудников , отсутствие которых может привести к остановке бизнеса; для таких категорий должностей нужно предусматривать кадровый резерв.  

Дмитрий Жаворонков, руководитель департамента внутреннего аудита ООО «Компания БКС», отмечает, что пандемия также позволила организациям оптимизировать свои издержки на персонал: «Так, например, при переводе части штата на дистанционный режим работы высвобождаются рабочие площади и происходит экономия на энергозатратах».

Связь с бюджетами на ИТ и ИБ

Немногие организации располагали технологиями, необходимыми для поддержки удаленной работы, до того, как разразилась пандемия. Облачные платформы, видеоконференции и кибербезопасность были на первом месте в списке необходимых возможностей.

Людмила Диордиева, делится опытом: «Наличие отлаженной работы ИТ-подразделений компании позволило в начале пандемии за несколько дней перевести работников на удаленную работу, обеспечить необходимым доступом к базам данных и программным продуктам. Это дало возможность выполнить поставленные задачи и план работы службы внутреннего аудита».  

В то время как наличие средств связи и безопасности на экстренный случай может быть в списке пожеланий каждого руководителя организации, возможность профинансировать и поддерживать в рабочем состоянии технологию такого уровня может быть доступна не каждому.

«Некоторые компании справились с ИТ лучше, потому что у них был план борьбы с пандемией, но большинство из них – нет, поскольку реагировали на ситуацию в реактивном режиме, – говорит Саджай Рай, – Они сделали это, потому что были должны. Теперь нужно оценить, есть ли у них соответствующие бюджеты и могут ли они позволить себе бюджет, необходимый для поддержки внесенных изменений».

Однако Алексей Алексеев, уверен, что в бюджетах ИТ и ИБ должны быть заложены расходы на поддержание отказоустойчивости бизнеса, в том числе покупку  DR-решений  для серверного оборудования, строительство катастрофоустойчивых ЦОД (Tier III),  георезервирование  сетевой инфраструктуры.

О том, как внутренние аудиторы могут помочь руководителям в создании устойчивости, читайте в статье «Внутренний аудит – поддержка в преобразованиях».