Задумывались ли вы, что затраты на внутренний контроль составляют не менее 20% от общих затрат любого бизнеса, а кое-где и гораздо больше. В отличие от затрат на сырье, заработную плату и другие составляющие себестоимости, расходы на внутренний контроль “размазаны” по всем операциям бизнес-процессов. Это затраты на то, чтобы результаты процесса и его основные параметры не сильно отличались от ожидаемых владельцем бизнеса. Чтобы продукция и сырьё не разворовывалось и не пропадало от бесхозяйственности, чтобы налоги платились как положено, природоохранные мероприятия выполнялись и на строителя Васю не упала бетонная плита. И много чего ещё.
Вторая особенность, о которой мало кто думает: проверить и оценить эффективность затрат на внутренний контроль довольно сложно. Если ничего плохого не случается – значит, это потому, что внутренний контроль у нас замечательный. Выступаем на конференциях, хвалим себя за величие во внутреннем контроле. Если таки что-то случилось – типа украли 200 миллионов трейдеры – это же человеческий фактор, природа и погода подвели. И продолжаем выступать на конференциях и расхваливать свой внутренний контроль и заодно себя любимых.
И скажу я вам, джентльмены, что главное для выживания бизнеса среди конкурентов при прочих равных условиях заключается в двух вещах:
1) научиться оценивать затраты на внутренний контроль
2) научиться сокращать затраты на внутренний контроль
Этот простой закон я вывел, наблюдая в течение лет 20 за организацией внутреннего контроля в десятках компаний, российских и не очень.
Предоставленный самому себе, внутренний контроль внутри организации разрастается на манер раковой опухоли, придумывая новые формы отчётности, контрольные процедуры, вынося мозг менеджерам и простым сотрудникам в особо извращённой форме, без какого-либо полезного результата. И даже наоборот.
Собирался я поговорить об этой проблемке и путях её решения на тренинге по стандартизации и унификации внутреннего контроля в конце мая. Но пришлось его отменить. Записалось всего семь человек. Выходит, тема не актуальная для широких масс трудящихся.
С другой стороны, все записавшиеся работают исключительно в топовых компаниях российского бизнеса. В этих самых компаниях, если сложить вместе, работают больше полмиллиона сотрудников. В каждой – много больше чем 100 сотрудников внутреннего контроля и аудита. О чём это как бы намекает? Что тема всё-таки очень актуальная, но для крупного бизнеса. Как говорится, кто был в трубе, тот знает дымоходы.
И чем крупнее бизнес, тем проблема неэффективности внутреннего контроля становится актуальнее. Но принцип экономии бюджета прост: сходи на концерт Карузо, послушай, потом остальным напоёшь. А зачем платить больше? Презентации же раздают. Диктофончик включил и можно даже вздремнуть после вчерашнего.
На самом деле таким компаниям надо весь персонал контрольных подразделений пропускать через такие тренинги. А лучше вести непрерывное обучение, один день в неделю – по видеосвязи, с выполнением домашней работы, сдачей зачётов и так далее.
Но это была мотивирующая присказка. А сейчас приступим к самой сказке про внутренний контроль.
Начнем с общего представления о внутреннем контроле. Только сначала забудем его определение, которое даёт COSO, как обобщенное до неприличия и потому практически бесполезное. И замахнемся на Вильяма, понимаете ли, нашего, Шекспира.
Давайте определим внутренний контроль как процесс мониторинга операций, который состоит из:
1) установления критериев отклонений процесса от желаемых параметров, отслеживания реальных значений параметров,
2) выявления отклонений процесса от заданных параметров,
3) выдачи сигнала тревоги.
-А где корректирующие мероприятия? – вскрит здесь многоопытный внутренний аудитор. А нету их тут. Всё, что происходит дальше – что делать по сигналу тревоги – принимать (или не принимать) корректирующие меры, и какие меры принимать – является уже процессом управления (его же называют “менеджмент”). И нечего туда лезть внутреннему контролю.
Эта граница между внутренним контролем и менеджментом должна быть проведена достаточно чётко. Мониторинг – функция внутреннего контроля; принятие всяких решений по управлению процессами и операциями – функция менеджмента. Конечно, граница эта условная, но принципиально важная. Например, контрольная процедура в турникете на проходной считывает пропуск, сравнивает его с заданным значением, и, если отклонения не обнаружены, выдаёт сигнал на электрический замок, который открывает калитку.
Здесь предпринимаемое действие – открывание электрического замка, строго говоря, уже не относится к контрольной процедуре. А вот если пропуск недействительный? Предположим, в этом случае звучит зелёный свисток и вахтер реагирует соответственно – выходит из сонамбулического состояния и начинает подавать признаки жизни. Что конкретно он будет делать, нашу контрольную процедуру это уже не волнует.
Кстати, в предлагаемой здесь формулировке внутренний контроль как составная часть входит во многие известные методики менеджмента – контроллинг, кайдзен, тот же НОТ. Что не удивительно.
Теперь дальше. Итак, у нас есть набор функций, который должна иметь каждая контрольная процедура:
– 1) установление контролируемых параметров операции, заданных значений и пограничных значений отклонений от них.
2) постоянный, периодический или выброчный мониторинг заданных параметров в «живом» процессе или отдельной операции.
3) выработка сигнала тревоги при превышении отклонений заданных пределов и подача этого сигнала куда надо.
На этом – всё. То есть, всё остальное (реакция на отклонение) тоже может быть, но функционально это относится не к внутреннему контролю, а к менеджменту.
А теперь давайте посмотрим на пирамиду внутреннего контроля с несколько необычной точки зрения.
На самом нижнем уровне (Уровень 1) находятся технологические контрольные процедуры, больше известные под именем систем АСУТП или, по-ихнему, SCADA. Многочисленные датчики собирают информацию о состоянии и режимах работы различного оборудования и система АСУТП сама принимает решения о том, что надо подрегулировать, отключить-выключить – словом, чтобы контролируемые параметры остались в допустимых, заданных пределах. Участие человека здесь происходит в виде наблюдения за работой системы оператором и задания вручную определённых режимов работы в тех ситуациях, которые не заложены в алгоритмы программного обеспечения. http://bit.ly/2oXX0br
Отметим особенности технологического уровня внутреннего контроля:
– доля автоматизированных контрольных процедур намного превышает количество выполняемых вручную, алгоритмы выявления отклонений и реакции на них хорошо известны,
– перестройка перечня контролируемых параметров и уровня предельных отклонений выполняется крайне редко.
То есть встроенность в систему человека как анализирующего и принимающего решения элемента контрольной процедуры на этом уровне контроля минимальна.
Переходим на следующий уровень. Уровень 2. Здесь организационные контроли, назначение которых – участвовать в координации действий людей, работающих в бизнес-процессах. Люди плохо понимают электрические сигналы (кроме сигналов электрошокера), поэтому для них пишутся регламенты, инструкции, приказы. По сути, каждый такой приказ или регламент (если он толко не тривиальное указание типа «пойди и сделай!») содержит в своем составе контрольную процедуру. Например:
«Договор согласует юридический и финансовый отдел” (это косвенно определяет перечень контролируемых параметров);
«Допустимым значением является наличие всех согласований у договора» (это перечень допустимых значений контролируемых параметров) ;
«Проверить, есть ли у договора все необходимые согласования» (это компонента мониторинга);
«Если хотя бы одно согласование отсутствует, включить в голове сигнал тревоги (красный свет) и перейти к исполнению неких заданных действий» (это выработка сигнала о недопустимом отклонении параметра)
Этот уровень внутреннего контроля хорошо известен внутренним аудиторам, контролёрам и ревизорам. Особенностями его являются:
– несмотря на некоторый уровень автоматизации контрольных процедур (который постоянно растёт и будет нашей главной темой обсуждения), подавляющее большинство контрольных процедур исполняется всё же людьми, которые играют роль датчиков и логики обработки их сигналов.
– перестройка алгоритмов контроля (перечня контролируеых параметров и их предельных значений) достаточно проста – надо только написать новый регламент или отдать приказ.
– Система очень ненадежна, потому что люди – как компоненты контроля имеют своё собственное мнение относительно исполнения контроля, лень, халатность, желание украсть и так далее. То есть они могут намеренно не выполнить контрольную процедуру или имитировать её выполнение, что и происходит отнюдь не как исключение, а скорее как правило.
– В системе появляется новая составляющая – корпоративная культура. Это то, что находится в головах людей – их ценности, убеждения и привычки по отношению к выполнению своей работы и в том числе, контрольных процедур. И некоторые специалисты полагают, что не столько регламенты, а именно корпоративная культура в основном определяет надёжность системы внутреннего контроля в целом. Я с ними согласен.
Уровень 3. Переходим на следующий уровень корпоративных процессов. Здесь у нас обитает менеджмент, высший и к нему приближённый, совет директоров и акционеры. Здесь уже нет писаных в виде регламентов правил, да и неписанных немного. Перечень контролируемых параметров и предельные значения отклонений формируются в решениях СД, и чаще всего в расплывчатых формулировках (http://bit.ly/2atymtE).
Вот они, все три уровня внутреннего контроля современного бизнеса. Назову их: «технологический», «организационный», и «божественный» :). На нижнем, технологическом уровне, у подножия Олимпа, обитают специалисты по автоматизации производственных процессов, такие, как айтишник Петя в своей каморке под лестницей (http://bit.ly/1XuAKBW). На среднем шуршат регламентами внутренние аудиторы аудиторы, рассуждая о модели COSOв неэвклидовом пространстве и тепловой смерти карты рисков. На верхнем ярусе Олимпа атмосфера очень разряженная и внутренний контроль выживает среди богов только на уровне бактерий и формальных деклараций.
Экосистема бизнеса сложилась исторически, аудиторы не суют нос в технологические контроли (потому что ничего в них не понимают), ни в высокие сферы совета директоров (голову откусят и не заметят).
Но тут начались тектонические (то есть технологические) сдвиги в окружающем мире (ссылка на статью о смерти внутреннего контроля), и Олимп зашатался. Милых олимийцев в ближайшие времена ждут небывалые изменения. Тех из них, которые выживут. Потому что внутренний контроль меняется по своей сути. Что происходит:
– технологии всяких датчиков, микроконтроллеров и систем беспроводной связи перешагнули рубеж, и перестали быть элитным и дорогим упражнением. Стоимость компьютерных «железок» упала настолько, что сегодня написать регламент некоторых контрольных процедур «для людей» стоит дороже, чем реализовать его «в железе и программе» в виде маленькой коробочки размером с пачку сигарет. А ведь людей ещё надо научить исполнять его, мотивировать на исполнение, контролировать, чтобы не украл. Да и затраты времени на исполнение регламента приходится оплачивать. Поэтому умер усатый охранник на проходной ( http://bit.ly/2lNaODF http://bit.ly/2m3v9po), и эта смерть была не последней. А скорее наоборот.
– системы контроля, благодаря беспроводной связи, становятся распределёнными. И, следовательно, неубиваемыми. Вместо архаической системы, в которой сотни датчиков по проводам слали сигналы в единый центральный компьютер, который анализировал, всё ли в порядке в датском королевстве, системы стали распределёнными (http://bit.ly/2eOobhu). Тысячи микроконтроллеров и микропроцессоров работают каждый со своими датчиками и принимают решения о наличии отклонений. Да ещё одновременно передают собранную информацию куда надо, например – в аналитический центр. Пора осваивать технологии интернета вещей (IoT), товарищи аудиторы и контролёры! Настойчиво овладевайте! http://bit.ly/2fmzyQz
– конечно, если у вас тысячи точек сбора информации, то какие-то из них могут и сломаться вообще или начать врать, или будут отключены умышленно шибко грамотными сотрудниками. То есть возникают типичные Большие Данные (Big Data), как я их определяю (http://bit.ly/2izu0Ek). Которые могут содержать некоторый уровень шума по определению. Раньше черное было чёрным, а белое – белым. Теперь чёрное может быть чёрным на 83% и одновременно белым на 38%. Что не укладывается в логику ни внутренних аудиторов, ни старой теории внутреннего контроля. Что начинает беспокоить тех, кто занимается внутренним контролем по старинке и в то же время ощущает что-то неладное вокруг. Пора осваивать технологии Big Data, товарищи аудиторы и контролёры! Настойчиво овладевайте!
– получая неточную, неполную, противоречивую информацию информацию, да ещё в больших количествах, приходится использовать её для построения контрольных процедур. И самое интересное здесь – вопрос: как принимать решения о том, что отклонения процесса вышли за пределы нормы. Простым сравнением с эталоном здесь не обойдешься, ведь параметров процесса, которые мониторятся – десятки. Решение: применять методики интеллидженс, которые позволяют на основе косвенных признаков выбирать наиболее вероятную гипотезу. Алгоритмы интеллидженс, кстати, легко реализуются вычислительными мощностями современных микроконтроллеров или их гибридами с микрокомпьютерами. Если надо. Пора осваивать методики интеллидженс, товарищи внутренние аудиторы и контролёры! Настойчиво овладевайте! http://bit.ly/1PdcED3
И как-то так само собой, в процессе ежедневных практических упражнений, у меня сформировалась новая теория внутреннего контроля, которая, как любая истина, сейчас воспринимается как ересь, но лет через пять (или меньше) станет истиной, а потом умрет, как предрассудок. В этой новой теории нет, например, места традиционному разделению прав и полномочий между тремя тетками в бухгалтерии, на складе и отделе закупок. И поэтому часть этих теток неизбежно умрет (как штатные единицы). Да-да, машины опять съедят людей.
Те бизнесы, которые не позволят съесть тёток из гуманитарных побуждений, будут сами съедены конкурентами, у которых себестоимость продукции и уровень непроизводительных затрат и затрат на внутренний контроль станет намного ниже.
А ещё, на основе новой теории внутреннего контроля можно будет сделать самое главное – стандартизировать и унифицировать контрольные процедуры. Стандартизация и унификация КП – ключ к повышению эффективности контроля в целом. Даже неавтоматизированные контроли нужно унифицировать, так же, как сегодня стандартизирован и унифицирован бухучёт. Разрабатывать КП и аудиторвать их после этого будет настолько же проще, как и делать кап ремонт в доме, который построен из деталей стандартных типоразмеров.
Вот об этом всём и хотел рассказать кратенько, дня на два, на том самом тренинге, который не состоялся.
А ещё придумал одну забавную фишку с практическими упражнениями по анализу больших данных и интеллидженс, и вкладыванию этой логики в контрольную процедуру. Для практического примера всегда нужен набор данных из некоторой прикладной области, на котором будем тренироваться. Эти данные должны обладать всеми свойствами больших данных (искажения, неточности, неполнота). Вот с выбором прикладной области всегда бывали проблемы. Работникам банков неинтересно слушать про производство кирпича, в розничной торговле ничего не понимают про калорийность угля, и все вместе они ничего не понимают в производстве и дистрибуции лекарств. Нужно было найти всем понятную и интересную прикладную область. И нашел.
Будем тренироваться на данных в интересном для большинства процессе – снижении веса. Собственного тела. Посмотрим поток реальных данных о калориях, гликемической нагрузке, активности, потреблении углеводов, содержании сахара в крови и так далее (чем не Big Data?), применим к этим наборам данных методики интеллидженс и статистического анализа и построим вместе полезную в обычной жизни контрольную процедуру, которая поможет при желании снижать вес в среднем на 300 грамм в день без голоданий, изнурительной физической нагрузки и волшебных таблеток.
И ещё один интересный факт. Решил узнать, кто ещё в мире занимается той же самой темой. Для этого проще всего посмотреть, кто набирает специалистов подобного профиля. Набрал на LinkedIn Job Search ключевые слова “IoT Internal control Intelligence”. И таки нашлась одна вакансия – в американской компании, которая работает на министерство обороны США ( https://www.linkedin.com/jobs/view/298874415/ ). Подробности узнать не получится – претенденты должны иметь уровень допуска Top Secrets. Интересно, чего они там замышляют? Хотя примерно догадываюсь.
З.Ы. А до 31 мая еще можно зарегистрироваться и оплатить участие в нашей ежегодной конференции (12 по счёту) о противодействии хищениям в бизнесе – по льготной цене. Там мы обо всём этом и поговорим подробнее. Пишите на info@acfe-rus.org