Евгений Мелешко, АО «ГНИВЦ»: «Мы предлагаем эволюционный путь: компания пользуется программным инструментом ровно по мере внутренней готовности»

Евгений Мелешко, директор департамента корпоративных информационных систем АО «ГНИВЦ», объяснил CFO Russia главную сложность управления рисками в текущей ситуации, а также поделился решением, которое не просто удовлетворяет ФНС, но и позволяет организовать мониторинг бизнес-процессов. 

С какими основными вызовами сталкиваются компании в области управления рисками и системой внутреннего контроля в текущих обстоятельствах?

Построение систем управления рисками и внутреннего контроля помогает компаниям своевременно реагировать на изменения как во внутренней, так и во внешней средах. И основой вызов сейчас – это слишком «нестандартные» изменения во внешней среде, которые остро ставят вопрос об оценке, эффективности и полезности тех процессов, которые компании развивали (или нет) до сих пор в части управления рисками.

Идентификация всяких «неожиданных» ситуаций, систематический сбор и фиксация информации о вероятностях их возникновения и оценке последствий – это составные части процесса управления рисками. Если мы рассмотрим последние три года, то разные маловероятные причины привели к реализации следующих вполне понятных рисков: риски прерывания логистических цепочек поставок/отгрузок и потери привычных рынков сбыта и поставщиков.

Но самое неприятное для компаний – это реализация риска потери доступа к технологиям, к которым можно отнести программное обеспечение. Если говорить про ПО, обеспечивающее функционирование процессов управления рисками и организации СВК, то ситуация осложняется и тем, что маленький процент российских компаний успел воспользоваться готовыми рецептами (best practice) и перенять соответствующую культуру.

Какие новые подходы или системы вы предлагаете компаниям для минимизации санкционных рисков?

В отношении программного обеспечения санкционные риски – это возможности. Необходимости резкого прекращения использования существующих программных продуктов нет, но естественная потребность развития ПО в связи с растущими потребностями бизнеса и регуляторов, например, ФНС теперь усиливается потребностью замены ПО. И вместо того, чтобы дорабатывать иногда морально устаревшее ПО, появился повод делать новое, гораздо более удовлетворяющее нуждам бизнеса в России.

Имея в своем активе, например, систему класса ERP от немецкого вендора SAP AG, компании платят за поддержку, выпуск новых продуктов, инвестируя в развитие глобальных решений, где удовлетворению специфическим требованиям не то что самой компании, а всей страны приобретения выделяются доли процента. Для адаптации такого программного продукта требуется доработка, за которую компания платит сама.

Компания оплачивает не только реализацию дополнительного функционала, но и несет издержки, чтобы вписать специфичный функционал в глобальную архитектуру и методологию, предлагаемую вендором.

В такой ситуации логично возникает вопрос: а не проще сразу, с нуля сделать ровно то, что нужно компании для решения конкретной бизнес-задачи или для организации конкретного процесса? Исходя из этих предпосылок, наша компания еще два года назад начала инвестировать время, силы, деньги в создание программного обеспечения, которое могло бы в первую очередь удовлетворить требования бизнеса и регулятора (ФНС) в части функционала для налогового мониторинга. А также организации системы внутреннего контроля в части налоговых рисков (Приказа ФНС России от 25.05.2021 № ЕД-7-23/518@ «Об утверждении Требований к организации системы внутреннего контроля»). В разработке программного продукта по управлению рисками и организации системы внутреннего контроля, с одной стороны, мы учитывали требования всех заинтересованных лиц, а с другой – в качестве основы взяли модель данных, которая используется в иностранном ПО (SAP GRC Risk Management/Process Control).

Какой должна быть базовая подготовка в компании, чтобы начать внедрять такие инструменты?

У компаний, которые хотят внедрить сразу полноценную систему управления рисками и организации СВК, могут возникнуть сложности в выполнении необходимых организационных изменений. Эффективный риск-менеджмент и СВК возможны только при участии и заинтересованности представителей всех бизнес-процессов, что за короткое время очень трудно обеспечить. Поэтому мы предлагаем эволюционный путь, когда компания пользуется программным инструментом ровно в той мере, которую позволяет внутренняя готовность. При этом строится дорожная карта изменений для перехода к целевому процессу.

Продукты АО «ГНИВЦ» позволяют поэтапно двигаться к высокому уровню организации процессов: от формального удовлетворения требований регулятора до полной формализации в учетной системе всех процессов, связанных с риск-менеджментом и СВК. Начиная с замены хранения информации о рисках и контролях в Excel на простую систему их документирования, можно постепенно активировать новые функции программного обеспечения. В итоге это приведет к автоматизированной системе мониторинга бизнес-процессов в режиме реального времени. Ее эффективность оценивается исходя из риск-ориентированного подхода, описанного в том же программном обеспечении, и в формировании которого учувствуют как минимум все владельцы бизнес-процессов компании. 

Как вы считаете, какие тенденции в области ПО для управления рисками и системой внутреннего контроля набирают обороты сегодня?

Если говорить про общие мировые тренды – это различные инструменты мониторинга бизнес-процессов (Business Process Management), обеспечения непрерывного контроля (Continuous Control), анализа бизнес-процессов (Process Mining). И рассматривать такие направления нужно комплексно. Например, Process Mining позволяет собрать (если есть откуда) информацию о времени и статусах выполнения шагов процессов в учетных системах. Этот инструмент позволяет увидеть, как процесс происходит в реальности. Но не дает картину того, каким он должен быть или как задумывался изначально, а тем более не отвечает на вопрос: что нужно сделать (и надо ли) для достижения более эффективного результата. Чтобы определить целевую картину и трансформировать процессы с учетом целесообразности, уже нужны инструменты описания, моделирования и мониторинга процессов (BPM). Они учитывают риск-ориентированный подход, выстроенный исходя из целей компании (Risk Management) и дающий возможность оперативно отслеживать показатели эффективности и качества (Continuous Control). Обычно это разные программные продукты. И очень важно, чтобы их можно было объединить в единые решения. Это мы и пытаемся сделать –  разрабатываем не отдельные инструменты, а комплексные программные решения для задач бизнеса.

Мария Кириченко

Комментарии