Практический мастер-класс: Как использовать матрицы рисков и контролей для реинжиниринга операционных бизнес-процессов для внедрения риск-ориентированного принятия решений

1. Практический мастер-класс:
Как использовать матрицы рисков и контролей для реинжиниринга
операционных бизнес-процессов для внедрения риск-
ориентированного принятия решений

2. 1. О Компании
2. Организационная структура
3. История развития и становления Системы управления рисками
(СУР) и Системы внутреннего контроля (СВК) в Компании
4. Жизненный цикл СВК
5. Примеры
6. Заключение
2
Содержание

3. 3
О Компании
Европейский банк
реконструкции и
развития
АО «Центрально-
Азиатская топливно-
энергетическая
компания»
Kaz Holdings
Cooperatief U.A.
АО «СЕВКАЗЭНЕРГО» АО «ПАВЛОДАРЭНЕРГО»
АО «АРЭК»
ТОО «Астана-
энергосбыт»
АО «Северо-Казахстанская
распределительная
электросетевая компания»
ТОО «Петропавловские
тепловые сети»
ТОО «Севказэнергосбыт»
АО «Павлодарская
распределительная
электросетевая компания»
ТОО «Павлодарские
тепловые сети»
ТОО
«Павлодарэнергосбыт»
ТОО «АРЭК-
Энергосбыт»
24,16 % 64,62 % 11,22 %
100 % 100 %
100 %
100 %

4. 4
Организационная структура
Комитет по аудиту Совет директоров
Корпоративный
секретарь
Департамент
внутреннего аудита
Департамент риск-
менеджмента (ДРМ)
Президент

5. 5
История развития и становления Системы управления рисками (СУР) и
Системы внутреннего контроля (СВК) в Компании
Создан Департамент риск-менеджмента
Тестирование бизнес-процессов
финансового учета
Тестирование бизнес-процессов
операционной деятельности
2011
год
2012
год
2013 -
2016 гг.

6. 6
Закон Sarbanes - Oxley (SOX)
Принят в связи с корпоративными скандалами, произошедшими в начале 2000-х
годов;
Предусматривает наиболее значительные изменения процедур составления и
предоставления финансовой отчетности для американских компаний, акции
которых торгуются на открытом рынке со времен принятия Закона о биржах
1933-1934 гг.;
Цели:
• Вернуть доверие общественности;
• Защитить интересы общественности;
• Повысить достоверность финансовой отчетности – фундамент построения на
преуспевающей американской рыночной системе и процветание рынка
капитала в США.
 Закон как отправная точка для совершенствования бизнес-процессов стратегический
долгосрочный подход;
 От краткосрочного соблюдения требований к осмысленному постоянному
совершенствованию;
 Понимание рисков, влияющих на отчетность, операции и соблюдение законодательства, а
также соответствующих контрольных процедур с точки зрения деятельности всей
компании;
 Надежный бизнес более Надежный бизнес ясное понимание инвесторами бизнеса
Компании.

7. 7
История развития и становления Системы управления рисками (СУР) и
Системы внутреннего контроля (СВК) в Компании
2012
год
БП
финансового
учета
1. Учет товарно-материальных запасов (ТМЗ)
2. Учет доходов и дебиторской задолженности
3. Учет закупок и расчеты с кредиторами
4. Учет основных средств и нематериальных
активов
5. Подготовка и консолидация финансовой
отчетности
6. Учет налогов
7. Учет расчетов с персоналом
8. Учет казначейских операций

8. 8
История развития и становления Системы управления рисками (СУР) и
Системы внутреннего контроля (СВК) в Компании
2013
-2016
гг.
БП
операцион-
ной
деятельнос-
ти
1. Планирование и бюджетирование
2. Инвестиционная деятельность
3. Охрана труда и окружающей среды
4. Информационные технологии и
информационная безопасность
5. Формирование и внедрение основных принципов
корпоративного управления
6. Управление персоналом
7.Управление непрерывностью производства
8. Управление техническим обслуживанием и
ремонтами
9. Управление процессом выдачи ТУ на
подключения к тепловым и электрическим сетям

9. 9
Жизненный цикл СВК
Определение
объема работ
Документиро
вание
операций
Тестирование
и отчетность
Устранение
недостатков
Мониторинг
Определение существенных
(материальных) бизнес-процессов, по
которым необходимо провести работы по
разработке, формализации и актуализации
документации СВК
Разработка Матрицы рисков и
контролей и Блок-схемы:
• Определение потенциальных
рисков, присущих бизнес-
процессам, и контрольных
точек (предполагаемых
контрольных процедур),
направленных на управление
/ минимизацию рисков.
• Определение действующих
контрольных процедур на
основании интервью с
участниками бизнес-
процесса.
Тестирование эффективности организации
контрольных процедур и формирование
Отчета по недостаткам организации
контрольных процедур с рекомендациями
по устранению выявленных недостатков.
Формирование Владельцем
бизнес-процесса Плана
мероприятий по
устранению недостатков
организации контрольных
процедур с указанием
сроков исполнения.
Мониторинг исполнения Планов
мероприятий и совершенствования СВК и
предоставление данной информации
Совету директоров (один раз в полугодие)

10. 10
Этапы формирования матрицы рисков и контролей
Определение целей контрольных процедур
Выявление рисков, присущих действующему БП и оказывающих
негативное влияние на достижение целей контрольных процедур
Для каждого идентифицированного риска в БП выявляется
предполагаемая контрольная процедура ‘AS TO BE’
Выявление действующих контрольных процедур по БП ‘AS IS’
Выявление недостатков по БП (области для улучшения)
Разработка рекомендаций
Заполнение атрибутов матрицы
Процедура 1
Процедура 2
Процедура 3
Процедура 4
Процедура 5
Процедура 6
Процедура 7

11. 11
БП Финансового учета в соответствии с SOX 404: Учет ТМЗ
Описание риска
Цель процедуры
контроля
Предполагаемые процедуры
(меры) контроля
«As to be»
Описание действующей
контрольной процедуры
(контрольной меры)
«As is»
Оценка
эффективности
«дизайна»
контрольной
процедуры
Основание для
оценки
эффективности
«дизайна»
контрольной
процедуры
Движение/приобр
етение запасов не
отражено
должным образом
Обеспечить
полноту, наличие
и точность учета
полученных
запасов
Счет-фактура утверждена
уполномоченными
сотрудниками до оплаты
Поставщику за полученные ТМЗ
По мере поступления ТМЗ от
Поставщика, бухгалтер по учету
ТМЗ получает Счет-фактуру от Зав.
Складом, визирует у бухгалтера по
налогам и утверждает у Зам. Пред.
Правления по финансам и
экономике. После согласования,
данные по Счет-фактуре заносится в
учетную систему (1С).
Недостаточно
эффективный.
Учетная система
(1С) позволяет
заносить одну и ту
же Счет-фактуру
дважды. Факт
двойного внесения
в систему 1(С) счет-
фактуры
выявляется в конце
месяца
Заместителем
главного
бухгалтера по
налоговому учёту в
результате сверки
данных из учетной
системы 1(С) и
отчетов для
налоговых органов
по НДС.
Этапы формирования матрицы рисков и контролей
1. МСФО
2. SOX
3. ISO и другие отраслевые
стандарты
4. НПА

12. 12
Жизненный цикл (продолжение)
Рекомендации
Подготовка Плана
мероприятий
(ПМ)
Приказ об
исполнении ПМ
Исполнение ПМ
Предоставление
Отчета об
исполнении ПМ
на Комитет по
аудиту
На
основании
выявленных
недостатков
Ответственные
– Владельцы
БП
Один раз в
полугодие
Актуализация
документации
СВК

13. 13
Взаимодействие с Департаментом внутреннего аудита
ДРМ ЦАЭК
Матрица рисков и
контролей ЦАЭК и
ДО
Департамент
внутреннего
аудита
Процесс тестирования
операционной
эффективности
действующих
контрольных
процедур
- на основании Матрицы выявляет
области тестирования
- ранжирует контрольные процедуры
по степени значимости
- производит выборочное тестирование
операционной эффективности
контрольных процедур
Проводится в соответствии с Правилами
проведения внутреннего аудита в АО
ЦАЭК/ ДО

14. 14
Примеры
Матрица рисков и контролей по БП Управление техническим обслуживанием и ремонтами
Описание
риска
Цель
процедуры
контроля
Предполагаемые процедуры
(меры) контроля
«As to be»
Описание действующей
контрольной процедуры
(контрольной меры)
«As is»
Оценка
эффективности
«дизайна»
контрольной
процедуры
Основание для
оценки
эффективности
«дизайна»
контрольной
процедуры
Отсутствие
системы
планирован
ия ТОиР /
Несвоеврем
енное
проведение
планово-
предупредит
ельных
ремонтов
(ППР).
Наличие
системы
прогнозирова
ния отказов и
потребности
в ТОиР.
В Компании Ответственным
структурным подразделением в АСУ
ТОиР осуществляется мониторинг
технического состояния
оборудования посредством ввода в
автоматизированную систему
параметров технического состояния
(например, толщины стенки
металлов) на основании данных из
утвержденных отчетных форм . В
случае отклонения вводимых
значений от контрольных
параметров, АСУ ТОиР
автоматически сигнализирует об
этом для принятия оперативных мер.
Кроме того АСУ ТОиР позволяет
прогнозировать срок службы
оборудования (узла) на основании
введенных в систему параметров
технического состояния.
Контрольная процедура отсутствует. Неэффективный. В Компании не
осуществляется
мониторинг
технического
состояния
оборудования в АСУ,
соответственно, в
случае отклонения
вводимых значений
от контрольных
параметров, АСУ
автоматически не
сигнализирует об
этом для принятия
оперативных мер.
До тестирования БП, в ДО
необходимость проведения
ремонтов определялась на
основании ежедневных
обходов и актов дефектации

15. 15
Примеры
«As is»
Планирование ремонтных работ
Управление техническим обслуживанием и ремонтами
Начальниксмены/
Начальникцеха
ОтветственноеСП
(Цех)
Вход
Обходы
оборудования с
целью проверки
соблюдения
технических
параметров работы
Значительное
отклонение
тех.параметров от
нормы?
Запись в Журнале
обходов оборудования
Немедленное
информирование
начальника смены
Принятие решения о
дальнейших мерах
(устранение неполадок в
работе оборудования)
Просмотр записей
Журнала, принятие
решения о включении в
График ремонтов
нет
да
Выход
Несвоевр
еменное
проведен
ие
планово-
предупре
дительны
х
ремонтов

16. Планирование ремонтных работ
Управление техническим обслуживанием и ремонтами
Начальниксмены/
Начальникцеха
ОтветственноеСП
(Цех)
Вход
Ежедневно
вносят
параметры
технического
состояния в АСУ
Значительное
отклонение
тех.параметров от
нормы?
АСУ сигнализирует об
отклонении и предлагает
возможное решение по
устранению неполадок
Принятие решения о
дальнейших мерах
(устранение неполадок в
работе оборудования)
нет
да
Выход
В АСУ осуществляют
мониторинг технического
состояния оборудования
Осуществляют мониторинг
прогноза срока службы
оборудования (узла) на
основании введенных в
систему параметров
технического состояния
Принятие решения о
включении в График
ремонтов
И
Несвоевр
еменное
проведен
ие
планово-
предупре
дительны
х
ремонтов
16
Примеры
«As to be»

17. 17
Примеры
Матрица рисков и контролей по БП Управление процессом выдачи ТУ на подключение
потребителей к тепловым и электрическим сетям
Описание риска
Цель
процедуры
контроля
Предполагаемые процедуры
(меры) контроля
«As to be»
Описание действующей
контрольной процедуры
(контрольной меры)
«As is»
Оценка
эффективност
и «дизайна»
контрольной
процедуры
Основание для
оценки
эффективности
«дизайна»
контрольной
процедуры
Некорректная
идентификация
заказчика ТУ и
объектов
присоединения
Обеспечение
эффективной
организации
приема заявок и
выдачи ТУ по
принципу
"одного окна"
По мере приемки заявки на
выдачу ТУ ответственный
сотрудник ЦОП, в случае
предоставления потребителем
полного комплекта
документов, в АСУ формирует
заявку с уникальным
идентификационным/регистра
ционным номером согласно
установленным
законодательным требованиям
РК.
На постоянной основе, в
соответствии с Регламентом выдачи
потребителям технических условий
ДО, инженер ПТО (сотрудник ЦОП
по работе с потребителями)
принимает заявку на получение
технических условий на
подключение потребителя к
электроэнергии только при наличии
всех документов, регистрирует ее в
Журнале регистрации заявлений на
выдачу технических условий на
присоединение электроустановок
потребителей к сетям
энергопередающей организации и в
Реестре ТУ (excel).
Недостаточно
эффективный.
В ДО отсутствует
автоматизированна
я система (АСУ), в
которой
формировались бы
заявки с
уникальным
идентификационны
м/регистрационным
номером, согласно
установленным
законодательным
требованиям РК.
До тестирования БП, прием
заявок на выдачу ТУ
осуществлялся вручную,
все записи велись в
Журналах формата excel.

18. 18
Примеры
«As is»
Прием заявок на выдачу ТУ/ выдача ТУ
Управление процессом выдачи ТУ на подключение потребителей к электрическим и тепловым сетям
ИнженерПТО
(сотрудникЦОП)
Заказчик
(потребитель)
В назначенный срок
получает в ЦОПе
согласованные ТУ,
предъявив документ,
удостоверяющий
личность.
Сбор пакета
необходимых
документов на выдачу
ТУ для подключения к
эл/тепл.сетям
Вход
Пакет
документов
Рассмотрение пакета
документов на его
полноту и
корректность
Выход
Консолидация пакета
документов с
заявлениями,
передача в ПТО для
подготовки и
согласования выдачи
ТУ.
Регистрация заявления в
Журнале регистрации
заявлений на выдачу ТУ на
присоединение
потребителей к эл./
тепл.сетям.
Пакет
предоставлен в
полном объеме?
Выдает готовые ТУ
под подпись в
Журнале выдачи
готовых ТУ.
да
нет
Некор
ректн
ая
идент
ифика
ция
заказч
ика
ТУ и
объек
тов
присо
едине
ния

19. Прием заявок на выдачу ТУ/ выдача ТУ
Управление процессом выдачи ТУ на подключение потребителей к электрическим и тепловым сетям
ПТО(ответственное
СПзавыдачуТУ)
ИнженерПТО
(сотрудникЦОП)
Заказчик
(потребитель)
Выход
Пакет
предоставлен в
полном объеме?
По мере получения
СМС-уведомления,
получает в ЦОПе
согласованные ТУ,
предъявив свой
экземпляр расписки.
Вход
Сбор пакета
необходимых
документов на выдачу
ТУ для подключения к
эл/тепл.сетям
В АСУ заявке
присваивается статус
«Заявка принята». В
Ответственное
структурное
подразделение за
выдачу ТУ поступает
уведомление о
регистрации новой
заявки..
Рассмотрение пакета
документов на его
полноту и
корректность
Пакет
документов
в АСУ формирует
заявку с уникальным
идентификационным/
регистрационным
номером согласно
установленным
законодательным
требованиям РК
Распечатывает и
подписывает
потребителем расписку в
двух экземплярах, один
подшивает к пакету
документов на выдачу
ТУ, один -выдает
потребителю для
предъявления при
получении ТУ.
В АСУ назначает
ответственного
исполнителя и переводит
заявку в статус «Принято в
работу ФИО».«
В АСУ формирует проект
ТУ по установленной
законодательством форме.
В АСУ проекту ТУ
присваивается уникальный
идентификационный номер,
дата формирования, ФИО
исполнителя..«
Распечатывает проект ТУ
для прохождения
необходимых процедур
согласования и
утверждения.«
По мере утверждения ТУ,
заявка в АСУ переводится в
статус «Утверждено».
Автоматизированная система
по введенным во время
регистрации заявки сотовым
номерам производит рассылку
СМС-уведомлений
потребителю о готовности ТУ..
В АСУ заявка
переводится
в статус
«Выполнено
и передано».
нет
Некор
ректн
ая
идент
ифика
ция
заказч
ика
ТУ и
объек
тов
присо
едине
ния
19
Примеры
«As to be»

20. 20
Примеры
Описание
риска
Цель
процедуры
контроля
Предполагаемые процедуры
(меры) контроля
«As to be»
Описание действующей контрольной
процедуры (контрольной меры)
«As is»
Оценка
эффективности
«дизайна»
контрольной
процедуры
Основание для
оценки
эффективности
«дизайна»
контрольной
процедуры
Невыполнение
целей и задач
в области ООС
Определение
целей и
стратегии
развития в
области ООС
В Компании, согласно
внутренней документированной
процедуре:
- разработаны, утверждены
исполнительным органом и
доведены до сведения всех
сотрудников ДО Цели в области
ООС. Цели должны отвечать
требованиям SMART и
разработаны на
среднесрочный/долгосрочный
период (3-5 лет).
- с установленной
периодичностью осуществляется
мониторинг и составляются
отчёты о выполнении
установленных Целей.
Консолидированная отчётная
информация по группе компаний
доводится до сведения
руководства.
Ежегодно, в соответствии с IMS 05.01/02
Руководящие указания. Планирование
деятельности, начальники подразделений
ДО разрабатывают и предоставляют
предложения по Целям в области
экологии Представителю руководства по
экологическому менеджменту
(начальнику ОООС). Представитель
руководства по экологическому
менеджменту проводит систематизацию
предложений и передает результаты
систематизации в службу по качеству для
формирования проекта Целей ДО на
текущий год. Специалист по качеству
организует совещание Совета по ИСМ
для обсуждения проекта Целей. По
результатам совещания специалист по
качеству передает на утверждение ГД
Цели ДО на текущий год. После
утверждения Цели секретариат доводит
до подразделений. После получения
Целей, Руководитель подразделения
доводит их до сведения персонала.
Недостаточно
эффективный.
ВНД компании не
содержат
необходимость
разработки единых
Целей в области
ООС на
среднесрочный/дол
госрочный период,
и их утверждение
исполнительным
органом с
последующим
доведением до
сведения всех
сотрудников ДО, а
также мониторинга
и составления
отчета о
выполнении
установленных
Целей.
Матрица рисков и контролей по БП Управление охраной окружающей среды
До тестирования БП, ДО
самостоятельно
разрабатывали цели. Не
было единых целей для
всего Холдинга компаний.

21. 21
Примеры
«As is»
Планирование деятельности
Управление охраной окружающей среды
НачальникСП
ДО
Службапо
качествуДО
Представитель
руководствапо
СЭМДО
Генеральный
директорДО
Вход
Утверждает
Политику в области
экологического
менеджмента (ЭМ)
Утвержденная
Политика в
области ЭМ Утверждает Цели ДО
Утвержденные
Цели ДО
Систематизирует
полученные
предложения и передает
в Службу по качеству
для подготовки проекта
Целей.
Утверждает
Программу по
достижению Целей
ДО
Утвержденная
Программа по
достижению
Целей ДО
Разрабатывают
Планы работ с
учетом
утвержденной
Программы по
достижению Целей
Утвержденный
Представителем
руководства по
ИСМ План работ
СП
Выход
На основании
Политики
разрабатывают
предложения по
Целям в области ЭМ
Предложения по
Целям в области
ЭМ
Подготавливает проект
Целей, организует
совещание по ИСМ для
обсуждения проекта
Целей.
Проект Целей ДО
Ознакамливает
подчиненный
персонал с Целями.
Разрабатывают
Программу по
достижению Целей
ДО в области ЭМ.
Организует
совещание по ИСМ
для обсуждения
проекта Программы.
Невып
олнен
ие
целей
в
облас
ти
ООС

22. Планирование деятельности
Управление охраной окружающей среды
НачальникиСП
ДО
Исполнительный
орган
Службапо
качествуДО
Представитель
руководствапо
СЭМДО
Генеральный
директорДО
Утверждает Цели ДО
На основании Политики
и Целей разрабатывают/
ежегодно актуализируют
предложения по Целям в
области ЭМ
Разрабатывают
Программу по
достижению Целей
ДО в области ЭМ
Утверждает Политику в
области экологического
менеджмента (ЭМ)
Вход
Разрабатывают
Планы работ с
учетом
утвержденной
Программы по
достижению Целей
Ознакамливает
подчиненный
персонал с Целями
ДО
Утверждает
Программу по
достижению Целей
ДО
Утвержденная
Программа по
достижению
Целей ДО
Утвержденный
Представителем
руководства по
ИСМ План работ
СП
Утвержденные
Цели ДО
Организует
Совещание по ИСМ
для обсуждения
проекта Программы.
Предложения по
Целям в области
ЭМ
Систематизирует
полученные
предложения и передает
в Службу по качеству
для подготовки проекта
Целей
Подготавливает проект
Целей организует
Совещание по ИСМ для
обсуждения проекта
Целей.
Проект Целей ДО
И
Выход
Утвержденная
Политика в
области ЭМ
Разрабатывает единую Экологическую
политику, единые долгосрочные Цели в
области ООС, Программу по достижению
Целей в области ООС, утверждает
Президентом Холдинга
Утвержденные единая
Экологическая политика,
долгосрочные Цели в
области ООС, Программа по
достижению Целей
И
Невып
олнен
ие
целей
в
облас
ти
ООС
22
Примеры
«As to be»

23. 23
Заключение
В Группе Компаний АО «ЦАЭК» система управления рисками и система внутреннего контроля
находится в стадии активной реализации лучших международных практик. Поэтапно внедряются
риск-ориентированные подходы при принятии управленческих решений.
На сегодня уже проанализированы и даны рекомендации по восемнадцати бизнес-процессам
(8 – бизнес-процессы финансового учета, 10 – бизнес-процессы операционной деятельности). Из
них 80 процентов рекомендаций реализовано.
На текущий год запланирован анализ таких БП, как:
 Управление процессом обслуживания потребителей;
 Управление процессом подключения потребителей к электрическим и тепловым сетям;
 Управление процессом контроля работы теплоэнергетического оборудования.
В дальнейшем планируется внедрить автоматизированные процедуры по риск-менеджменту,
внутреннему контролю и внутреннему аудиту. А именно:
 планируется автоматизация ведения Реестра рисков, который содержит краткую информацию
обо всех рисках, включенных в портфель Группы на текущий момент времени (стратегические,
операционные, финансовые, правовые), а также Матриц рисков и контролей по основным
бизнес-процессам.
Планируемая автоматизация процессов создания и поддержания в актуальном состоянии данной
документации по СУР и СВК, а также интеграция с автоматизированной системой управления
ресурсами предприятия (АСУ ТОиР, 1C УПП) позволит обеспечить своевременное получение
информации от Владельцев рисков, применение методов количественной оценки рисков, а,
следовательно, более оперативное реагирование на рисковые события в Группе.

24. СПАСИБО ЗА ВНИМАНИЕ!
24

25. ВОПРОСЫ И ОТВЕТЫ
25