Цель данной статьи – предложить предприятиям малого и среднего бизнеса методологию организации системы внутреннего контроля (СВК), позволяющей поддерживать стабильность компании и оптимизировать ее работу. Внутренний контроль в соответствии с методологией COSO – это постоянный процесс, который осуществляется менеджментом для достижения определенных целей:
- Эффективность операций и достижение целей.
- Соответствие законодательству.
- Достоверность финансовой отчетности.
Некоторые эксперты замечают, что внедрение COSO на предприятии – дорогостоящее удовольствие. Это удовольствие, конечно, требует определенных затрат, но суть в том, что их размер зависит от размера компании: чем больше компания, тем больше затраты на внедрение СВК, просто потому, что процессов для контроля больше. Но это никак не связано с самой моделью. Ее плюс в высокой адаптивности под особенности любой компании, маленькой или большой. Это единственная комплексная и всеохватывающая модель. Как заявляют авторы концепции COSO: нет, и не может быть двух одинаковых моделей у разных компаний.
Стоимость внедрения СВК по модели COSO зависит и от того, кто занимается этим проектом. Одно дело, когда это международная консалтинговая компания, и другое – когда местный эксперт-консультант или даже сам владелец предприятия. Понятно, что в первом случае проект обойдется гораздо дороже.
Кому нужна система контроля
Обычно на предприятиях малого и среднего бизнеса сам собственник напрямую управляет компанией, он лично видит все недостатки и слабости в бизнес-процессах и пытается их устранить. В крупных же компаниях, как правило, собственник не принимает прямого участия в управлении (если речь идет об АО, то там много собственников) и управление осуществляется через назначенные лица и органы. В силу этого собственник не имеет возможности на ежедневной основе контролировать бизнес.
Для второй группы компаний необходимость СВК довольно очевидна. А вот по поводу первой вы можете спросить, зачем вообще нужен внутренний контроль на предприятиях малого и среднего бизнеса, если собственник сам все контролирует, держит все в своих руках, и мимо его взгляда ничего не ускользнет? Ответ содержится в самом вопросе.
Собственник уже является активным участником системы внутреннего контроля и осуществляет контроль вполне осознанно. В этом случае организация СВК на какой-либо методологической основе может значительно повысить его эффективность в общем процессе управления компанией, сэкономить ресурсы и время.
К сожалению, не за всем собственник может уследить. Даже в организации, где больше трех человек, возможно манипулирование информацией и фактами со стороны сотрудников, и не в пользу собственника. В этом случае собственник с помощью организации СВК может опять-таки повысить эффективность управления, контроля над процессами и деятельностью сотрудников.
Пять компонентов контроля
Для разумной уверенности, что цели контроля будут достигнуты, необходимо, чтобы в компании присутствовало пять элементов СВК, определяющие отдельные характеристики системы.
1. Компонент «Контрольная среда». Это атмосфера, в которой живет компания, ее, так сказать, душа. Это ценности компании, принципы работы, миссия и долгосрочные цели. Это владелец компании и его отношение к бизнесу, к сотрудникам. Это топ-менеджмент (если таковой есть) и его отношение к бизнесу. Также сюда входят разные нормативные и регулирующие документы компании верхнего уровня. Это основные политики, которые должны использоваться в компании и наличие которых желательно даже для малого бизнеса, например, учетная политика.
2. Компонент «Оценка рисков». Это деятельность менеджмента по оценке текущих и новых рисков, с которыми сталкивается компания сейчас и может столкнуться в будущем. Оценкой рисков, как правило, занимается сам владелец бизнеса или высшее руководство. Оценка риска – это постоянный процесс, который может осуществляться один раз в начале года, и потом в течение года оценка может корректироваться в зависимости от изменения условий. В маленьких компаниях риски можно просто перечислить в файле Excel, и этого будет достаточно. В компаниях побольше составляется более масштабный документ.
3. Компонент «Контрольные процедуры». Подразумевает наличие на предприятии пяти типов контроля:
- Разделение обязанностей.
- Подтверждение полномочий.
- Система независимых проверок.
- Документирование.
- Физическая безопасность.
В рамках этих типов контроля менеджмент может создавать любое количество конкретных контрольных процедур, которые посчитает необходимым и достаточным. И не все эти пять типов могут присутствовать в каждом бизнес-процессе компании. Необходимо вести речь о системе внутреннего контроля как о комплексе, где каждая составная часть дополняет друг друга, и все они составляют целую эффективную систему.
4. Компонент «Информация и коммуникация». Характеризует, как в компании осуществляются рабочие коммуникации между сотрудниками, и как происходит движение информации. От эффективности коммуникаций зависит общая эффективность принятия решений.
5. Компонент «Мониторинг». Характеризует, как в компании контролируется эффективность СВК, как своевременно изменяются и адаптируются контрольные процедуры под новые условия.
Этапы внедрения
Организация внутреннего контроля – то же самое, что инжиниринг бизнес-процессов, только проводится эта работа с другой целью. И в инжиниринге, и в организации СВК можно выделить следующие этапы:
- Описание ситуации (бизнес-процесса) «как есть».
- Описание «как должно быть».
- Оценка текущих контрольных процедур, их эффективности и достаточности.
- Оценка необходимых изменений.
- Предложение рекомендаций по переходу к целевому состоянию, составление программы перехода.
- Контроль внедрения рекомендаций.
- Тестирование и оценка внедренных рекомендаций.
- Осуществление необходимых корректировок.
Описание «как есть»
Все начинается с этого этапа. Это очень трудоемкий процесс. Если стоит задача организовать СВК во всей компании (а она так обычно и ставится), то ее выполнение в зависимости от масштаба может занимать от двух недель до полугода (с учетом того, что описанием занимается один человек).
Для предприятий малого и среднего бизнеса подойдет текстовое описание каждого бизнес-процесса. Начинать рекомендуется с глобальной оценки контрольной среды компании. А именно, ответа на следующие вопросы.
- Какова миссия компании?
- Какова стратегия компании и ее долгосрочные цели? Соотносятся ли они с миссией?
- Каковы среднесрочные и краткосрочные цели компании? Соотносятся ли они с долгосрочными целями?
- Есть ли основные политики компании (учетная, по закупкам, кадровая)?
- Есть ли реестр приказов?
- Есть ли реестр договоров?
- В каком окружении ведет свою деятельность компания? Есть ли описание PEST, SWOT-анализ, проводится ли анализ конкурентов, рыночных трендов?
- Есть ли кодекс корпоративной этики и политика противодействия мошенничеству?
- Понимают ли сотрудники ценности компании и принципы ее работы? Является ли собственник и руководство примером этих принципов? Какое поведение они демонстрируют?
- Какова политика найма и работы с сотрудниками?
Контрольная среда, включающая миссию, ценности, цели компании, – пожалуй, самый важный элемент СВК. От того, насколько эффективно и разумно будет организован этот компонент, зависит эффективность деятельности всего остального. По-другому контрольную среду можно обозначить как порядок документирования основных правил и обеспечение понимания принципов работы компании среди сотрудников.
Некоторые элементы, как-то: наличие реестра договоров, кодекс корпоративной этики, – для малого бизнеса могут быть необязательными. Однако надо понимать, что основное предназначение этих элементов – упорядочивание той среды, в которой работает организация. Чем больше порядка, особенно в документировании и в понимании особенностей бизнеса у сотрудников, тем лучше.
Описание «как должно быть»
После описания контрольной среды и выявления недостатков (то есть отсутствия некоторых элементов СВК) необходимо принять решение об их исправлении. Начинается второй этап организации системы внутреннего контроля: описание конкретных бизнес-процессов в порядке убывания их значимости. Эта работа заключается в следующем. Каждый бизнес-процесс раскладывается по этапам, определяются входы, выходы, продолжительность, владельцы (ответственные) и участники, система документирования и отчетности, которая используется в процессе. И, наконец, описываются все пять компонентов СВК.
1. Контрольная среда:
- Как долгосрочные цели связаны со среднесрочными и краткосрочными целями компании.
- Наличие политик, регламентов, которые регламентируют бизнес-процесс.
- Наличие положений о подразделениях, должностных инструкций и их проверка.
2. Оценка рисков. Как в бизнес-процессе осуществляется оценка рисков, как проводится ежегодное планирование.
3. Контрольные процедуры. Оценивается наличие/отсутствие, достаточность и необходимость в изменении следующих пяти процедур:
- Разделение полномочий (должно быть закреплено в положениях о подразделениях и должностных инструкциях).
- Подтверждение доступа (система паролей, доверенности, авторизация операций).
- Документирование (как происходит документальное оформление всех операций в бизнес-процессах, контроль результатов, учет и отчетность).
- Независимые проверки (проводится ли проверка операций, осуществляемых в бизнес-процессах с помощью специальных контролирующих органов, топ-менеджментом).
- Физическая безопасность (как организована безопасность сотрудников, доступ в помещения и к материальным ценностям, материальная ответственность сотрудников, защита конфиденциальной информации).
4. Информация и коммуникация. Описание этого компонента пересекается по смыслу с описанием процедур документирования. Оценивается:
- Эффективность коммуникаций с внешней и внутренней средой.
- Эффективность коммуникаций между подразделениями.
- Формы отчетности и подотчетности.
- Формы для контроля деятельности.
5. Мониторинг. Оценивается эффективность остальных четырех компонентов. Может проводиться как силами менеджмента, так и через независимые проверки.
Как видим, описание текущего состояния СВК – процесс простой, но трудоемкий. Специалист должен переработать очень много информации, и эта работа может занять минимум недели две.
Оценка необходимых изменений
Этот этап осуществляется одновременно с этапом «как должно быть». Это даже не отдельные этапы. Понимание того, как все должно быть, всегда присутствует в голове специалиста, описывающего бизнес-процессы. Проводя интервью, собеседования с сотрудниками, собирая информацию о процессах, он сразу понимает недостатки в СВК и как их можно наилучшим образом исправить. И одновременно формируется комплекс корректирующих мероприятий:
1. Внедрение необходимых контрольных процедур, в том числе в форме документирования (через регламенты, инструкции), их изменение, обновление или удаление в случае дублирования или из-за отсутствия предмета контроля.
2. Изменение технологических цепочек: удаление лишних звеньев, добавление новых звеньев, изменение иерархии, перенаправление потоков информации, продуктов, услуг.
Составление рекомендаций и программы перехода
Обсуждение предлагаемых новшеств и программы их внедрения также происходит одновременно. Определяется, насколько риск-аппетит менеджмента позволяет ему принять эти изменения, есть ли ресурсы, чтобы их осуществить. Понятно, что если речь идет о рекомендациях, которые предложил сам владелец или его менеджеры, то этот этап может пройти быстро, если вообще в нем возникнет необходимость. Однако даже в этом случае некоторые мероприятия важно согласовать с ключевыми сотрудниками.
Весь комплекс корректирующих мероприятий оформляется в виде программы с указанием сроков и ответственных за внедрение.
Контроль внедрения, тестирование и корректировка системы
Контроль внедрения и само внедрение в малой фирме может осуществлять сам владелец. В средних компаниях ответственных два: владелец и менеджмент, причем все оперативное управление изменениями лежит на менеджменте, а владелец проверяет результаты произведенных изменений и, если надо, их корректирует.
После внедрения СВК следует оценить эффективность функционирования обновленных бизнес-процессов и необходимость доработать их в режиме онлайн. Как правило, чтобы собрать достаточный объем информации по новым инцидентам, оценка проводится по истечении относительно продолжительного периода времени, например, трех месяцев.
***
Описанная методика позволяет с минимальными затратами ресурсов организовать эффективную СВК, которая будет соответствовать требованиям закона «О бухгалтерском учете».
Модель COSO дает предприятию реальные инструменты для управления своей эффективностью. С ее помощью собственник компании и менеджмент получает разумную уверенность, что цели компании будут достигнуты.
На 99 с чем-то процентов согласен с Григорием. Единственно, в чём сомневаюсь, так это в подчинённости СВК Закону о бухгалтерском учёте. Система бухгалтерского учёта - составная часть Системы внутреннего контроля, её элемент. И уровень СВК - это не уровень главбуха, а Совета директоров. Именно выполнение решений СД должна обеспечить СВК. Отсюда и многокомпанентность системы внутреннего контроля. У банкиров есть Положение 242-П о Внутреннем контроле, оно не подчиняет Систему бухгалтерам :). Кстати, в нём же и положения об обеспечении непрерывности деятельности
И правильно сомневаетесь, т.к. бухгалтерский учёт предназначен в основном для внешних потребителей.
Ещё в чём стоит сомневаться - начинать с описания бизнес-процессов как есть .... С точностью описания всегда будут проблемы, и вряд ли вообще имеет смысл, если только не стоит локальная задача. Начинают с описания "как должно быть" и ищут соответствия с существующими бизнес-процессами, дополняют и меняют то, что надо изменить.
Тем более, что для предприятий с небольшим масштабом операций функциональное управление даёт большую адаптивность, что и требуется для большей конкурентоспособности. И для этих предприятий не нужны подробные должностные инструкции, которые будут мешать адаптивности - сегодня одно, а завтра уже совсем другое ...