Георгий Адольф, PepsiCo: «Мы полностью интегрировали риск-менеджмент в стратегическое планирование организации»

Георгий Адольф, PepsiCo: «Мы полностью интегрировали риск-менеджмент в стратегическое планирование организации» 27.09.2019

Георгий Адольф, Control&ReportingDirectorRussia&BUCCA PepsiCo и спикер Второй конференции «Управление рисками в ритейле», рассказал CFO Russia о механизме взаимодействия трех линий защиты, а также о процессе и результатах внедрения модели пропорциональной передачи ответственности в компании.

В чем заключается механизм взаимодействия трех линий защиты на практике?

Модель трех линий защиты помогает компании на ежедневной основе уменьшать или полностью закрывать бизнес-риски как внешнего, так и внутреннего характера. На первой линии находится менеджмент, руководство и соответствующие сотрудники, которые выполняют свои обязанности, включая действия по уменьшению вероятности возникновения рисков. На второй линии находятся риск-менеджмент, комплаенс, безопасность и так далее. Они помогают методологически и экспертно выстраивать звенья процессов, чтобы уменьшить риски разных областей. На третьей линии находится внутренний или внешний аудит, который оценивает процессы на первой и второй линиях, определяет уровень их эффективного взаимодействия, а также проверяет наличие непокрытого или остаточного риска.

Модель трех линий защиты работает по-разному. В одних компаниях − комплексно и в полной мере, в других − только набирает обороты. В некоторых компаниях ее внедрение не считают целесообразным и продолжают работать в рамках консервативной концепции семейного бизнеса, где три линии перемешаны друг с другом.

Концепция трех линий защиты помогает организации работать более эффективно. Это базовая ступень при выстраивании зон ответственности за контрольные механизмы в бизнес-процессах компании.

В некоторых компаниях три линии защиты работают вместе очень гармонично. Например, при независимом оценивании процессов внутренний аудит может выявить потенциальные области для мошенничества, отсутствие контролей,  процессную неэффективность и так далее. О них сообщают отделам второй линии защиты. Они проводят более глубокое расследование или добавляют изменения в тест, создают новый контроль или пересматривают процесс согласно рекомендациям внутреннего аудита. В результате операционная эффективность бизнеса повышается.

Другой пример: на первой линии защиты находятся отделы, которые ежедневно ведут бизнес − логистика, продажи и так далее. Им необходима информация, которая связана с соблюдением законодательства, управлением рисками и прочее. Например, при заказе производства или импорта новой партии продукции возникает вопрос о соблюдении законодательных требований, и своевременный совет от Quality или Compliance необходим.

Кроме этого, вторая линия защиты − Compliance, Quality, Risk Management и так далее – отделы, которые ежедневно консультируют бизнес, как избежать или устранить риск, который изначально не обнаружили или должным образом не оценили. Например, при создании стратегии компании эти отделы консультируют руководство о потенциальном изменении законодательства и рисках конкуренции. Их нужно рассмотреть и, возможно, скорректировать стратегический план перед его финальным утверждением.


Вероятно, компании  могли бы обойтись без концепции трех линий защиты, но именно она помогает им развиваться эффективно. Чтобы понять, сколько людей должны работать в этой схеме, необходимо оценить бизнес-модель и потребности организации.  Это поможет понять,  сколько сотрудников понадобится, и какого уровня они должны быть. Один из моих любимых  принципов гласит, что нужно стараться делать «больше с меньшим» (Do More With Less). К этому должны стремиться эффективные руководители.

Как давно вы используете модель пропорциональной передачи ответственности в компании?

Глобально уже давно, но в России около года.

На какие этапы делилось ее внедрение? С какими трудностями вы сталкивались и как удалось их преодолеть?

Внедрение модели пропорциональной передачи ответственности − тяжелый процесс, в первую очередь, с психологической точки зрения, из-за сопротивления изменениям. Однако если придерживаться правильной модели управления изменениями и действовать поэтапно, ее эффективное внедрение − не утопия.

В первую очередь, необходимо проанализировать, что в отделах второй линии защиты или во внутреннем контроле (ВК) является ключевым функционалом или обязанностями, а что из них можно передать соответствующим функциям. Например, если говорить о ВК, то регулярную самопроверку контролей можно передать ответственным отделам. Они должны удостовериться в правильности работы своих процессов и контрольных механизмов.

Внутреннему контролю можно также оставить методологическую поддержку, проверку новых процессов, оценку новых контролей, а также переоценку ряда контролей в связи с изменениями бизнеса или процессов.

При управлении рисками сотрудники отделов, принимая важные решения, сами проводят идентификацию и оценку рисков, а также привлекают по мере надобности риск-менеджера. Они оповещают его об изменениях в процессных рисках или общей риск-матрице.

Риск-менеджер продолжает отвечать за  методологическую поддержку, оценку новых проектов и изменений в бизнесе, следит за общей картиной рисков организации не только в России, но и в других странах. Также он консультирует руководство в принятии решений, сообщая о потенциальных ловушках, которых можно избегать, если заранее внедрять дополнительные меры.

При передаче функционала и ответственности в отделы необходимо договориться о временной поддержке и обучении релевантных сотрудников новой терминологии. Эти сотрудники уже знакомы с процессами, однако они не воспринимали их как контроль.

Передавая функционал в отделы, необходимо показывать, какое преимущество это дает бизнесу, и чем вторая линия защиты может посодействовать на первом и последующих этапах.

Каких результатов от использования данной модели компания достигла к настоящему времени?

О финальных результатах говорить еще рано, так как внедрение модели продолжается. Однако уже есть промежуточные позитивные результаты. Бизнес понимает важность и роль контролей. Появляется ясность, кто владелец процесса и владелец контроля.  Согласно Risk Management Maturity Model, корпоративный внутренний аудит оценил систему управления рисками в российском подразделении компании на 4 из 5. Это значит, что все уровни руководства плотно вовлечены в управление рисками, есть единое понимание методологии данного управления, процесс работает слаженно по всей компании, а риск-менеджмент полностью интегрирован в стратегическое планирование организации.

Задать свои вопросы Георгию Адольфу и узнать больше об опыте PepsiCo вы сможете на Второй конференции «Управление рисками в ритейле», которая состоится 4 октября 2019 года в Москве.

Елизавета Гета


Наверх