Как построить логичную систему внутреннего контроля

Менеджер – человек принимающий решения.

Manager is a decision maker.

Набрав слово «контроль» в поисковой системе, становишься обладателем 152 млн ответов на тему контроля. При некотором упорстве вы узнаете не просто, что такое контроль, контрольная среда или система внутренних контролей, но и получите информацию о том, из чего состоят контроли, какие они бывают, какие основные принципы.

В частности, вам наверняка расскажут, что:

  • Основой контрольной среды являются внутренние документы: политики процедуры, инструкции.
  • Для построения системы внутренних контролей требуется секретная контрольная матрица.
  • Для функционирования системы контролей необходимо наличие комитета по аудиту и отдела внутреннего аудита, этому комитету подчиняющегося.
  • Вам точно не обойтись без устава полномочий, который разъясняет что, кто и как одобряет в компании.
  • Судя по опубликованным вакансиям, ваша команда внутренних аудиторов должна состоять исключительно из бывших сотрудников Big4, аттестованных ACCA, CIA и MBA, как преимущество.

Ну, что сказать? Все это правда. Или почти правда. Но это все вторичные факторы, относящиеся к средствам достижения цели. А что первично?

Пункт первый, он же единственный

Для организации в компании хорошей системы внутреннего контроля, руководство должно захотеть построить эту систему. Причем захотеть настолько, чтобы смочь.

Для внедрения системы внутренних контролей не работают следующие варианты:

  • Мы наймем суперменеджера за много денег, имеющего опыт построения системы внутренних контролей. И он нам все наладит.
  • Мы наймем крупнейшую международную консалтинговую компанию за безумное количество денег. И они нам все построят, обучат и наладят.
  • Мы наймем суперменеджера и международную компанию. И уж вместе они нам точно все построят, наладят и обучат.

Если цель упражнения – отчитаться за потраченный бюджет и, впоследствии, объясняя причины провала на совете директоров и акционеров, сказать, что сделали все, что могли, и то, что получилось, и есть оно самое: «Система Внутренних Контролей», то все перечисленные варианты подходят.

К тому же, с вопросами о росте расходов на 20%, персонала на 30% и снижения убытков на рекордный 1% всегда можно отправить к консультантам и рассказать, что это очень хорошие показатели по мировым и, особенно, по национальным меркам.

Позвольте! Но почему аудиторы отказываются снижать стоимость договора и полагаться на нашу, мирового класса, систему внутренних контролей? Этим аудиторам лишь бы денег побольше срубить! Все они придираются! Вот, сами смотрите:

  • У нас же каждую операцию пять человек одобряет, включая генерального менеджера!
  • Каждое утро аналитики комментируют 150 отчетов с отклонениями, и результаты высылают всем функциональным руководителям и генеральному директору!
  • Да мы же каждую копейку контролируем!
  • Даже тендеры проводим на закупку авторучек!

Вот какие у нас контроли! – скажете вы.

Продолжать можно бесконечно. Как же правильно?

Построение СВК должно стать одной из приоритетных задач всего руководства. Менеджер или внешний консультант по внутренним контролям нужен, чтобы найти основные риски, координировать, отсеивать лишнее (формальные и избыточные контроли), собирать и анализировать описания процессов и формировать общую матрицу контролей, которая надежно свяжет все бизнес-процессы компании, не оставляя места для возникновения материальных рисков.

Для простоты принятия решений, лично для себя, я сформулировал общие критерии для разработки дизайна системы внутренних контролей:

1. Правило ценности. Это правило одно из самых важных! Контроль не должен стоить больше чем риск, который он покрывает.

2. Правило достаточности. Избыточность контроля – это бесполезно потраченные ресурсы организации. Следовательно, дизайн контроля должен подчиняться критерию «необходимо и достаточно».

3. Практическая польза. Система внутренних контролей формируется, чтобы приносить пользу бизнесу, снижая потери и компенсируя риски. Контроль, созданный только потому, что так хотят аудиторы, это ничем неоправданная трата ресурсов компании. Другими словами, контроль должен существовать, если без него обойтись нельзя совсем.

4. Простота. Лучший контроль – автоматический. То есть, когда сама система не позволяет сделать ошибку или сделать действие, не предусмотренное внутренними процедурами. Чем контроль сложнее и трудозатратнее, тем хуже он работает.

5. Уровень контроля. Задача руководителя любого уровня не тотальный контроль всего происходящего, а правильная организация процесса. Типичный пример – это процесс закупок в средних или крупных организациях. Генеральный менеджер не должен одобрять каждую закупку. Он утверждает бюджет, а затем спрашивает с руководителей отдела за его исполнение. Допустимо одобрение высшим руководством только очень крупных сумм.

6. Мотивация. Контроли будут работать, только если ответственные за их работу сотрудники мотивированы на поддержание контрольной среды. Даже сверхответственный сотрудник в условиях мультизадачности будет отодвигать контрольные процедуры на второй план. Поэтому нужны постоянные напоминания со стороны высшего менеджмента о крайней важности для компании сохранения и совершенствования контрольной среды. Также необходимо вспомнить про метод «кнута и пряника».

7. Компенсирующие контроли. Хорошая СВК – это многослойная СВК. Надежность системы достигается за счет структуры контрольной среды, при которой контроли высокого уровня компенсируют брак в срабатывании контролей более низкого уровня. Такая структура позволяет покрыть значительные риски, даже в том случае, если не сработали базовые контроли (одобрение условий договоров, тендеры, одобрение изменений в заработной плате и т.п.)

8. Разумная уверенность. Целью построения СВК не является полное искоренение рисков и ошибок, поскольку при приближении системы СВК к стопроцентной надежности гибкость, скорость и эффективность ведения бизнеса будут стремиться к нулю. Хорошая система внутренних контролей защищает бизнес только от материальных рисков и потерь. А задача грамотного менеджмента правильно установить порог материальности.

Список можно продолжать. Но суть, я думаю, понятна.

Как видите, все довольно просто и логично. Нужно понимать, что даже закон Сарбейнса Оксли не страдает лишним формализмом, задавая лишь общее требование к существованию и эффективности системы контролей. Ни в каком законе нельзя прописать универсальный свод правил, который позволит покрыть абсолютно все риски в любой компании. Каждый раз подход строго индивидуальный.

Жизнь после СВК

После того как система внутренних контролей сформирована, и даже получено аудиторское заключение об эффективности, самая серьезная ошибка – это возвести контрольную матрицу в ранг нового завета или конституции (кому что нравится).

Система контролей должна жить и развиваться вместе с бизнесом, становясь более эффективной, менее трудозатратной и покрывая новые возникающие в компании риски. Кроме того, нужно не забывать избавляться от контролей, которые стали не нужны. Как это ни смешно, но наиболее частый ответ на вопрос «Зачем?!..» – это: «А мы всегда так делали!».

Впервые статья была опубликована на Executive.ru 25 июля 2012 года в рубрике «Творчество без купюр»

Расскажите коллегам:
Комментарии
Александр Абрамов +935 Александр Абрамов Управляющий директор, Самара

''...С врагом надо бороться. С врагом надо уметь бороться.'' (М.Тухачевский).

В аналогичном духе написана и эта статья.

Чтобы разработать систему внутреннего контроля, не нужна никакая философия. Для внутренних ''контролей'' (?) - видимо, да, нужна.

Применительно к делу, необходимо понимать следующее:

(1) какие задачи должна решать система внутреннего контроля, вот типовые варианты:
- скорейшим образом доказать нарушения и сменить команду менеджеров,
- предотвращать нарушения в операционной деятельности предприятия (акцент на внутреннюю среду),
- организовать бизнес-разведку внешней среды (соответственно, акцент на неё).
- ...
Специфика задач определит очередность формирования служб департамента безопасности.

(2) какую ''технологическую'' специфику имеет та или иная деятельность: кабинетную, или ''полевую''. Эта специфика и определит кадровый состав соответствующего отдела.

(3) как нужно организовать внутреннюю конкуренцию отделов (за счет какого распределения обязанностей?), на благо общего результата. Принцип ''разделяй и властвуй'' особенно ярко выражен в работе надзорно-силовых органов (за примерами далеко не надо ходить - МВД, ФСБ, прокуратура).

Вот основные моменты в организации именно департамента безопасности. А если ''захотеть'', можно и в космос улететь, не только ДБ организовать :)

Хотелось бы более предметного общения, чтобы сравнить наработки и подходы.
С уважением, АА.

Руководитель проекта, Москва

Александр, добрый день,

Для предметного общения, давайте, для начала определимся с понятийным аппаратом.

То о чем я писал в статье:

1. Внутренний контроль - действие, правило или ограничение, направленное на снижение материальных рисков компании связанных с потерей активов (в том числе с потерей прибыли), либо ставящей своей задачей обеспечение достоверности финансовой и управленческой отчетности.

2. Система внутреннего контроля (или внутренних контролей) - это комплекс внутренних контролей разработанный и оптимизированный таким образом, чтобы покрыть все существенные риски и обеспечить достоверность финансовой и управленческой отчетности.

Из Вашего сообщения, я понял, что вы говорите о формировании службы безопасности компании. Что тоже хорошо, но все же несколько другое. Система контролей ''живет'', как часть процессов компании. Это не какой-то конкретный отдел.

Александр Абрамов +935 Александр Абрамов Управляющий директор, Самара
Алексей, возьму ваше определение деятельности: ''[убрал термин] - действие, правило или ограничение, направленное на снижение материальных рисков компании связанных с потерей активов (в том числе с потерей прибыли), либо ставящей своей задачей обеспечение достоверности финансовой и управленческой отчетности.'' Под него подходят, в частности, действия по снижению риска потери активов в результате действий внешней среды. Далее, угроза может проистекать от действий сотрудника, внедренного вам в штат (внутреннюю среду) в рамках плана конкурента, который извне по отношению к вам. Т.е. вопрос имеет комплексный характер. С позиций вашего определения внутреннего контроля, инцидент заканчивается после вылавливания сотрудника и взятия объяснения (''я скопировал эти данные к себе нечаянно''). Тогда как могут потребоваться дальнейшие оперативные действия уже за периметром предприятия. Поэтому мне кажется непродуктивным заведомое сужение области дискуссии до ''внутреннего контроля''. Давайте поговорим комплексно? Дополню. Опять-таки, ваше определение касается материальных рисков компании. Т.е., вопрос пресечения необдуманной болтовни сотрудника в интернете, которая несет в себе репутационный риск для собственника - выпадает из сферы внутреннего контроля (причем, репутация - не обязательно деловая).
Генеральный директор, Москва

Внутренний контроль должен быть составной частью системы итеративно - циклического управления (например, см. циклы Деминга, Бойда). Рассматривать СВК как самодостаточный процесс - непродуктивно. И наоборот, если видеть контроль как составляющую цепочки Планирование - Исполнение - Контроль - Анализ, то тут вернее создашь требуемую СВК.

Понятно, что контроль он всемогущ и пронизывает все другие процессы, и кажется, вполне возможно наладить контрольный режим так сказать, автономно, под него, так или иначе, попадут все остальные процессы. Таким путем часто идут, и получают в результате всю ту негативную реакцию, вплоть до отторжения, от действительно полезных и нужных для компании контрольных функций.

Наверное, тут уместно вспомнить про баланс между контролем и другими процессами в рамках выбранной итеративно - циклической модели управления.

Александр Абрамов +935 Александр Абрамов Управляющий директор, Самара

Ну вот и интересно, как реализовать философию, которой придерживается автор. Да какой бы ни придерживался: раз реализованная схема работает, то неважно, какой цикл применен: Бойда, Деминга или, там, любимого мною Файоля.
Дискуссию предлагаю вести на примере оргструктур, должностей, возложенных обязанностей и нюансов взаимодействия.
(поскольку я в философии не силен, а упомянутые мною атрибуты системы управления - готов предметно осбуждать).

Руководитель проекта, Москва
Александр Кудряшов пишет: Рассматривать СВК как самодостаточный процесс - непродуктивно
Полностью согласен. Планировал написать об этом в следующих статьях на эту тему. Не разумно пытаться уместить в одну заметку, все что есть про контроли, контрольную среду и так далее.
Руководитель проекта, Москва
Александр Абрамов пишет: Опять-таки, ваше определение касается материальных рисков компании. Т.е., вопрос пресечения необдуманной болтовни сотрудника в интернете, которая несет в себе репутационный риск для собственника - выпадает из сферы внутреннего контроля (причем, репутация - не обязательно деловая).
Александр, Те случаи, которые вы рассматриваете безусловно важны и имеют место. Эти риски, если для компании они являются существенными, так же рассматриваются при построении системы контролей. Я обозначу свою позицию относительно первой фразы вашего первого комментария. Я не считаю правильным рассматривать отношения внутри компании с точки зрения противостояния. Будучи руководителем отдела внутреннего аудита, я прикладывал максимум усилий, чтобы переломить отношение к отделу. Сменить противостояние на сотрудничество.
Владимир Зонзов +10253 Владимир Зонзов Директор по производству, Украина
Алексей Сизов пишет: Будучи руководителем отдела внутреннего аудита
«Для молотка, все окружающие – гвозди». И потому, автор утверждает: «Построение СВК – главная задача уважающего себя менеджмента компании».
Руководитель проекта, Москва
Владимир Зонзов пишет: И потому, автор утверждает: «Построение СВК – главная задача уважающего себя менеджмента компании».
При чем здесь молоток и гвозди, не понял. Аннотацию к заметке пишет редактор. На проверку предварительно не присылает. Если прочесть заметку, можно узнать, что автор такого не утверждает. Основная задача менеджмента любой коммерческой организации это извлечение прибыли. Остальное это средства. Утверждать иное это лицемерие.
Партнер, Москва

Посыл и идея правильные. Сначала Политика - Потом Процедуры. Но рассуждения спорные с точки зрения профессионального контролера. Наверное стоит прочитать Лимскую декларацию руководящих принципов контроля. :-) И определиться с целью и законностью контроля.

Оставлять комментарии могут только зарегистрированные пользователи
Статью прочитали
Обсуждение статей
Все комментарии
Дискуссии
Все дискуссии
HR-новости
Исследование: чего ждут российские IT-специалисты от работодателей

Половина сотрудников в IT мечтают о гибриде, но большинство опрошенных вынуждены работать в офисе.

Предлагаемые в России зарплаты выросли на 25% за год

Быстрее всего зарплаты в 2024 году росли у водителей, сварщиков и промоутеров — в 1,5–2 раза.

90% работодателей готовы нанимать неопытных специалистов

Представители бизнеса считают, что перспективные кандидаты, готовые к обучению, могут стать настоящим активом для компании.

Половина россиян оказалась в состоянии выгорания к концу 2024 года

Наиболее распространенные симптомы выгорания — постоянное чувство усталости и раздражительность.