1) Общие требования к процессу проверки КРО:
a) Цель проверки. Сотрудник КРО обязан выполнить проверку в полном соответствии с целями проверки, поставленным руководителем КРО
b) Независимость. Сотрудник КРО обязан не иметь конфликта интересов; иметь полный доступ к информации, активам, работникам
c) Объективность. Сотрудник КРО обязан быть беспристрастен. Запрещается писать/менять проверку под влиянием других лиц
d) Подтверждение. 100% проверки должно быть подтверждено документами, записями БД, фото или видео. Запрещается подтверждать проверку словами
e) Точность формулировок, в т.ч.: наименования документов, законов, ВНД, пунктов, отделов, должностей, ФИО, операций и пр.
f) Подпись. Сотрудник КРО подтверждает проверку подписью согласующих лиц (электронная почта)
2) Выявить причины реализовавшихся рисков (РР).
Сделать перечень РР с потерями выше порогового значения. Определить действия работников, приведших к данным РР и причины данных действий. Определить целевое состояние (какие и чьи действия снизят РР ниже порогового значения). Определить план перехода к целевому состоянию (мероприятие, отв-й, срок)
3) Выявить причины будущих рисков.
Для каждого риска получить подписанный Владельцем риска перечень мер (контролей), которыми он снижает данный риск. Провести сквозное тестирование основных операций, подверженных риску, сделать перечень мест и способов возникновения рисков, определить меры по снижению данных рисков; включить в план проверки КРО. Выборочно проверить, как выполняются данные меры (контроли), в т.ч. на соответствие ВНД (если ВНД достаточны). Задокументировать факты ненадлежащего выполнения мер работниками, выявить причины. Определить целевое состояние (какие и чьи действия снизят риски ниже порогового значения). Определить план перехода к целевому состоянию (мероприятие, ответственныйй, срок). Рассмотреть контроли и причины:
a) ВНД: полны, достаточны, обязанности по ТК (должность, действие, срок, результат), исполнители ознакомлены под роспись
b) исполнители: на все роли выбрать и/или нанять исполнителей достаточного опыта и квалификации; дообучить
c) доверенности, права по ТК РФ, права ИТ, ключи и пр.: переназначить права доступов, ВНД
d) ИТ-контроли: внедрить автоматизацию для критичных ручных операций, снизив риск ручных ошибок
e) физический доступ: сделать КПП, турникеты, заборы, склады, электронные пропуски и СКУД, двери-замки-ключи и пр.
f) юридическая защита имущества: собственность/аренда, разрешения на строительство и ввод в эксплуатацию, паспорта
g) разрешения: контроли исполнения лицензии, продления заключений ПБ, наличия сертификатов и пр.
h) нарушения обязательств контрагентами: включить в договоры - большие штрафы, банковские гарантии, предоплату, пр. Внедрить процедуры оценки поставщиков на предмет их способности выполнить договоры
i) стандартизация: внедрить типовые договоры, спецификации, накладные, акты, шаблоны документов
j) приёмка: внедрить контроли приёмки – этапов проекта/работ, скрытых работ, накладных/актов, табелей и пр.
k) надзор: наряд-допуски, входной контроль ТМЦ, надзор за опасными работами, стройконтроль, видеокамеры и пр.
l) обучение: усилить обучение работников через отдел обучения – профаттестация, тренажёры, допуски
m) инструменты (от молотка до методов прогноза цен картофель): достаточность и поверка
n) мотивация: полнота КПЭ (результат, срок, $), постановка КПЭ под роспись, отчётность, размер премии и регулярность выплаты
o) дисциплина: обеспечить полное выявление нарушений, реагирование (депремирование, выговоры, увольнения)
p) отчётность и средства (приборы, весы и пр.): достаточна (все КПЭ, прогнозы), достоверна, регулярность и уровень рассмотрения
q) корректирующие действия (КД) по отклонениям КПЭ: полный анализ причин отклонений, вовремя утверждаются достаточные КД
r) СИЗ: достаточны, сертифицированы, обеспечены и используются на всех филиалах, в рабочее время
s) снизить сроки: внедрить контроли обеспечения сроков – прогнозы, регулярный мониторинг, реагирование, эскалация
t) снизить затраты на достижение КПЭ: повысить производительность сотрудников, убрать лишние операции и пр.
u) информирование: внедрить процедуры своевременного и полного информирования о ключевых событиях
v) визуализация: цветовая маркировка, световозвращающие СИЗ, маркировка опасных зон, таблички и пр.
w) документирование: внедрить процедуры документирования ключевых операций, хранения свидетельств
x) исправить ошибки прошлых периодов (до внедрения новых процедур): возместить ущерб, ознакомить под роспись, пр.
y) КРО: включить сотрудников КРО в согласование ключевых операций до их совершения
z) включить прочие предотвращающие, выявляющие, реагирующие процедуры
Парамонов Константин
k.paramonov@prorevision.ru
