Как построить логичную систему внутреннего контроля

Менеджер – человек принимающий решения.

Manager is a decision maker.

Набрав слово «контроль» в поисковой системе, становишься обладателем 152 млн ответов на тему контроля. При некотором упорстве вы узнаете не просто, что такое контроль, контрольная среда или система внутренних контролей, но и получите информацию о том, из чего состоят контроли, какие они бывают, какие основные принципы.

В частности, вам наверняка расскажут, что:

  • Основой контрольной среды являются внутренние документы: политики процедуры, инструкции.
  • Для построения системы внутренних контролей требуется секретная контрольная матрица.
  • Для функционирования системы контролей необходимо наличие комитета по аудиту и отдела внутреннего аудита, этому комитету подчиняющегося.
  • Вам точно не обойтись без устава полномочий, который разъясняет что, кто и как одобряет в компании.
  • Судя по опубликованным вакансиям, ваша команда внутренних аудиторов должна состоять исключительно из бывших сотрудников Big4, аттестованных ACCA, CIA и MBA, как преимущество.

Ну, что сказать? Все это правда. Или почти правда. Но это все вторичные факторы, относящиеся к средствам достижения цели. А что первично?

Пункт первый, он же единственный

Для организации в компании хорошей системы внутреннего контроля, руководство должно захотеть построить эту систему. Причем захотеть настолько, чтобы смочь.

Для внедрения системы внутренних контролей не работают следующие варианты:

  • Мы наймем суперменеджера за много денег, имеющего опыт построения системы внутренних контролей. И он нам все наладит.
  • Мы наймем крупнейшую международную консалтинговую компанию за безумное количество денег. И они нам все построят, обучат и наладят.
  • Мы наймем суперменеджера и международную компанию. И уж вместе они нам точно все построят, наладят и обучат.

Если цель упражнения – отчитаться за потраченный бюджет и, впоследствии, объясняя причины провала на совете директоров и акционеров, сказать, что сделали все, что могли, и то, что получилось, и есть оно самое: «Система Внутренних Контролей», то все перечисленные варианты подходят.

К тому же, с вопросами о росте расходов на 20%, персонала на 30% и снижения убытков на рекордный 1% всегда можно отправить к консультантам и рассказать, что это очень хорошие показатели по мировым и, особенно, по национальным меркам.

Позвольте! Но почему аудиторы отказываются снижать стоимость договора и полагаться на нашу, мирового класса, систему внутренних контролей? Этим аудиторам лишь бы денег побольше срубить! Все они придираются! Вот, сами смотрите:

  • У нас же каждую операцию пять человек одобряет, включая генерального менеджера!
  • Каждое утро аналитики комментируют 150 отчетов с отклонениями, и результаты высылают всем функциональным руководителям и генеральному директору!
  • Да мы же каждую копейку контролируем!
  • Даже тендеры проводим на закупку авторучек!

Вот какие у нас контроли! – скажете вы.

Продолжать можно бесконечно. Как же правильно?

Построение СВК должно стать одной из приоритетных задач всего руководства. Менеджер или внешний консультант по внутренним контролям нужен, чтобы найти основные риски, координировать, отсеивать лишнее (формальные и избыточные контроли), собирать и анализировать описания процессов и формировать общую матрицу контролей, которая надежно свяжет все бизнес-процессы компании, не оставляя места для возникновения материальных рисков.

Для простоты принятия решений, лично для себя, я сформулировал общие критерии для разработки дизайна системы внутренних контролей:

1. Правило ценности. Это правило одно из самых важных! Контроль не должен стоить больше чем риск, который он покрывает.

2. Правило достаточности. Избыточность контроля – это бесполезно потраченные ресурсы организации. Следовательно, дизайн контроля должен подчиняться критерию «необходимо и достаточно».

3. Практическая польза. Система внутренних контролей формируется, чтобы приносить пользу бизнесу, снижая потери и компенсируя риски. Контроль, созданный только потому, что так хотят аудиторы, это ничем неоправданная трата ресурсов компании. Другими словами, контроль должен существовать, если без него обойтись нельзя совсем.

4. Простота. Лучший контроль – автоматический. То есть, когда сама система не позволяет сделать ошибку или сделать действие, не предусмотренное внутренними процедурами. Чем контроль сложнее и трудозатратнее, тем хуже он работает.

5. Уровень контроля. Задача руководителя любого уровня не тотальный контроль всего происходящего, а правильная организация процесса. Типичный пример – это процесс закупок в средних или крупных организациях. Генеральный менеджер не должен одобрять каждую закупку. Он утверждает бюджет, а затем спрашивает с руководителей отдела за его исполнение. Допустимо одобрение высшим руководством только очень крупных сумм.

6. Мотивация. Контроли будут работать, только если ответственные за их работу сотрудники мотивированы на поддержание контрольной среды. Даже сверхответственный сотрудник в условиях мультизадачности будет отодвигать контрольные процедуры на второй план. Поэтому нужны постоянные напоминания со стороны высшего менеджмента о крайней важности для компании сохранения и совершенствования контрольной среды. Также необходимо вспомнить про метод «кнута и пряника».

7. Компенсирующие контроли. Хорошая СВК – это многослойная СВК. Надежность системы достигается за счет структуры контрольной среды, при которой контроли высокого уровня компенсируют брак в срабатывании контролей более низкого уровня. Такая структура позволяет покрыть значительные риски, даже в том случае, если не сработали базовые контроли (одобрение условий договоров, тендеры, одобрение изменений в заработной плате и т.п.)

8. Разумная уверенность. Целью построения СВК не является полное искоренение рисков и ошибок, поскольку при приближении системы СВК к стопроцентной надежности гибкость, скорость и эффективность ведения бизнеса будут стремиться к нулю. Хорошая система внутренних контролей защищает бизнес только от материальных рисков и потерь. А задача грамотного менеджмента правильно установить порог материальности.

Список можно продолжать. Но суть, я думаю, понятна.

Как видите, все довольно просто и логично. Нужно понимать, что даже закон Сарбейнса Оксли не страдает лишним формализмом, задавая лишь общее требование к существованию и эффективности системы контролей. Ни в каком законе нельзя прописать универсальный свод правил, который позволит покрыть абсолютно все риски в любой компании. Каждый раз подход строго индивидуальный.

Жизнь после СВК

После того как система внутренних контролей сформирована, и даже получено аудиторское заключение об эффективности, самая серьезная ошибка – это возвести контрольную матрицу в ранг нового завета или конституции (кому что нравится).

Система контролей должна жить и развиваться вместе с бизнесом, становясь более эффективной, менее трудозатратной и покрывая новые возникающие в компании риски. Кроме того, нужно не забывать избавляться от контролей, которые стали не нужны. Как это ни смешно, но наиболее частый ответ на вопрос «Зачем?!..» – это: «А мы всегда так делали!».

Впервые статья была опубликована на Executive.ru 25 июля 2012 года в рубрике «Творчество без купюр»

Расскажите коллегам:
Комментарии
Руководитель проекта, Москва

Николай, я, возможно, не совсем вас понял. Основной посыл и идея статьи в том, что никто кроме менеджмента компании не сможет разработать и внедрить эффективную систему контролей.

Лимская Декларация, все же, писалась для контроля за расходованием денежных средств, причем общественных. И загиб декларации уходит именно в эту сторону.

Там есть отличная формулировка:

''Контроль - не самоцель, а неотъемлемая часть системы регулирования, целью которой является вскрытие отклонений от принятых стандартов и нарушений принципов, законности, эффективности и экономии расходования материальных ресурсов на возможно более ранней стадии с тем, чтобы иметь возможность принять корректирующие меры, в отдельных случаях, привлечь виновных к ответственности, получить компенсацию за причиненный ущерб или осуществить мероприятия по предотвращению или сокращению таких нарушений в будущем.''

Подпишусь под каждым словом.

В то же время, закон Сарбейнса Оксли, рассматривает контроли в основном через призму финансовой отчетности.

Мое мнение, что правильная СВК должна покрывать все существенные для компании риски.

И еще вопрос. Профессиональный контролер это кто? КРУ? Внутренний аудит?

Руководитель проекта, Екатеринбург

А молоток и гвозди здесь при том, что эту фразу я сегодня читаю уже во второй раз. Господин свои комменты начинает с этой фразы, ну нравится она ему.Я когда ее увидела вновь - громко засмеялась.
Мне кажется есть смысл обсуждать систему внутреннего контроля, как элемента управленческого цикла. Т.е. любой процесс необходимо выполнять в режиме управленческого цикла, а контроль - один из его элементов. И главная задача внутреннего контровля в такой трактовке ( необязательно материального) не поймать злодея и стукнуть по голове, а выявить отклонения от плана, норматива, правила, проанализировать и на следующем цикле не наступать на эти грабли. Т.е. принять грамотное управленческое решение. Стукнуть по голове - может быть одним из вариантов управленческого решения.
А играть в шпионов, возможно, в каких-то организациях есть в этом необходимость. Я работала в одной организации, где отдел экономической безопасности возглавлял бывший сотрудник ФСБ. Над моим столом ( я была начальником департамента маркетинга - 4 отдела в подчинении) висела камера. Меня видели, слышали (справедливости ради - над каждым столом висела камера). Проработала я там недолго - каждое утро здороваясь с камерой строила ей рожи и время от времени показывала язык. Ну здесь по принципу: жизнь - это выбор.Не нравиться - свободен. 8)

Руководитель проекта, Москва

Конкурентная разведка штука полезная, но ее так же можно рассматривать как элемент системы и применять к ней те же принципы. То есть тратить ресурсы на этот механизм нужно только если ну очень уж нужно.

Камера над столом это забавно. Вообще камерами можно утыкать все вокруг, но нужен адекватный штат операторов, которые будут эти записи отсматривать и понимать, что они видят. Иначе все это железячный хлам.

Возвращаясь к контролям, можно так же сказать, что при обнаружении нарушения в компании, всегда нужно задаваться вопросом, какой контроль не сработал, что происшествие стало возможным.

Нач. отдела, зам. руководителя, Москва
Алексей Сизов пишет: Основной посыл и идея статьи в том, что никто кроме менеджмента компании не сможет разработать и внедрить эффективную систему контролей ... Мое мнение, что правильная СВК должна покрывать все существенные для компании риски. ... какой контроль не сработал, что происшествие стало возможным.
Есть давно существующее терминологическое поле, в котором под Внутренним контролем однозначно понимается Служба Безопасности. Если включаете, например!!!, в СБ ещё Экономическую Безопасность, то надо понимать, что задачи решаются иные чем в Управленческом учёте :) и многие сотрудники в компании не имеют доступа к информации о результатах деятельности этого подразделения -> у него свои задачи, которые отличаются от задач, которые решают другие подразделения, и информация о деятельности которых имеет другую степень доступности для Менеджеров компании. Многие работники компании, например, могут даже не подозревать о существовании службы Экономической безопасности. Есть другое терминологическое поле и такие понятия как Контроллинг, Внутренний Аудит, Регламенты и пр. В статье смешиваются два терминологических поля и делается вывод о нереальных задачах объединения всего под названием СВК. -> смысла не имеет :) А Философия построения системы внутреннего контроля СВК -> Есть пределы контроля для СБ
Руководитель проекта, Москва
Александр Соловьев пишет: Есть давно существующее терминологическое поле, в котором под Внутренним контролем однозначно понимается Служба Безопасности.
Александр, подскажите, где существует такое ''поле''? В каких документах описан данный термин с однозначной привязкой к службе безопасности?
Александр Соловьев пишет: В статье смешиваются два терминологических поля и делается вывод о нереальных задачах объединения всего под названием СВК.
Если приписываете мне какие-то выводы о нереальности, и смешения каких-то полей, это нужно делать аргументировано с цитатами из написанного мной текста.
Александр Соловьев пишет: Есть другое терминологическое поле и такие понятия как Контроллинг, Внутренний Аудит, Регламенты и пр.
В чем назначение данного предложения? Показать окружающим, какие умные слова Вы знаете?
Александр Соловьев пишет: А Философия построения системы внутреннего контроля СВК -> Есть пределы контроля для СБ
Что обозначает эта фраза я вообще не понял.
Аналитик, Томск

Тема актуальна и болезненна, не только для российских компаний, но и для иностранных компаний работающих в России. Работаю в иностранной компании ООО ''Трайкан Велл Сервис'' специфика оказания услуг если в двух словах, сервисные услуги на нефтяных и газовых скважинах. Так вот, прочитав эту статью я подумал, что она написана именно про ту компанию в которой я работаю. Вся компания увешана лозунгами и сертификатами, а на дели пустота. Топ-менеджмент как будто не из этого мира. Неоднократно слышал и слышу:
Мы наймем супер менеджера за много денег, имеющего опыт построения системы внутренних контролей. И он нам все наладит.
Мы наймем крупнейшую международную консалтинговую компанию за безумное количество денег. И они нам все построят, обучат и наладят.
Мы наймем супер менеджера и международную компанию. И уж вместе они нам точно все построят, наладят и обучат.

А на деле вакуум.Мне автору так и хочется сказать, бородатую шутку ''Ты знал, ты знал''.
Статья класс.

Руководитель проекта, Москва

Максим, спасибо за отзыв.

Я бы сказал, что тема наиболее актуально именно для иностранных компаний. Российские пока о таких материях задумываются крайне редко.

Кстати, логистика, это одна из самых благодатных областей для оптимизации разного рода процессов. Для некоторых шагов даже руководство привлекать не нужно.
Удивительно, как сильно можно облегчить жизнь людям совсем небольшими изменениями в процессах. Главное посмотреть вокруг и немного подумать.

2
Оставлять комментарии могут только зарегистрированные пользователи
Статью прочитали
Обсуждение статей
Все комментарии
Дискуссии
Все дискуссии
HR-новости
В российских IТ-компаниях не хватает специалистов по кибербезопасности

Также компании отмечают высокую потребность в системных аналитиках.

 

Опубликован рейтинг лучших работодателей 2022 года по версии HeadHunte

За год список HeadHunter увеличился на 28%, финалистами рейтинга стали 1082 организации.

Россияне стали чаще конфликтовать на работе

По сравнению с 2019 годом, вдвое увеличилось число респондентов, когда-либо ссорившихся с коллегами и начальством начальством.

Две трети россиян думают о смене места работы в 2023 году

Больше всего хотят сменить работу респонденты из таких сфер, как маркетинг и управление персоналом.