Начнём с самого начала – дадим определение внутреннего контроля. Существует много разных, более-менее похожих определений. Наиболее распространенным и общепризнанным из них является определение из «COSO framework» – это такая широко распиаренная консультантами теория внутреннего контроля.
Примечание. Про COSO. Появилась она (теория) весьма давно – больше 20 лет назад, и была интересным экспериментом своего времени, ответом на вал корпоративного мошенничества в разных крупных американских компаниях. Из-за вызванных мошенничеством менеджмента банкротств пострадали миллионы простых акционеров – они просто потеряли свои вложения. В американском обществе возник кризис доверия к инвестированию в бизнес, и с ним надо было что-то делать. Вот тогда и было дано такое определение внутреннего контроля:
«A process, effected by an entity’s board of directors, management and other personnel, designed to provide “reasonable assurance” regarding the achievement of objectives in the following categories:
– Effectiveness and efficiency of operations
– Reliability of financial reporting
– Compliance with applicable laws and regulations.»
Что в переводе означает:
« Это процесс, на который влияют в компании: совет директоров, менеджмент и иной персонал, и этот процесс разработан чтобы предоставить обоснованную уверенность в отношении достижения целей следующих категорий:
– эффективности и результативности операций;
– надежности финансовой отчётности;
– соответствия применимым к компании законам и другим нормативным актам»
Оно хорошее, это определение, если в него глубоко не вдумываться и не пытаться применить на практике. Иначе возникнет куча вопросов, например: Что такое обоснованная уверенность? Чем она должна быть обоснована? Что значит “влияет”? И так далее. Кому интересно, могу устроить разбор этого определения часа на полтора. Думаю, что от него мало что останется.
А давайте, лучше, дам своё определение – что такое внутренний контроль. Простое и понятное. Вот оно:
“Внутренний контроль – это набор способов, которые используются, чтобы заставить человека придерживаться определённых правил поведения в рамках своей социальной группы”
Что такое социальная группа? Это объединение людей по признаку общих интересов – например, они работают на одном предприятии, ходят в один кружок пения, входят в одну банду, являются гражданами одного государства. Да, государство – это тоже социальная группа, которая заставляет своих членов соблюдать определённые правила, например – платить налоги.
Из этого определения следует один интересный вывод.
Вывод: Внутренний контроль – это не есть нечто, существующее только в бизнесе. Он существует в любом обществе (социальной группе). Если есть люди, входящие в состав группы – то есть и внутренний контроль. Называться он в каждом конкретном случае может по-разному, но сути его это не меняет. На уровне государства такими правилами поведения являются законы, а на уровне кампании – внутренние регламенты и нормативные документы, а также неформальные правила поведения, этические нормы, которые являются частью корпоративной культуры.
Независимо от размера и названия, в любых социальных группах используется одни и те же методы и инструменты внутреннего контроля. Таким образом, изучая историю развития внутреннего контроля в масштабах всей истории человечества, мы сможем увидеть некоторые новые закономерности, и понять где мы находимся сейчас.
И нас прежде всего будут интересовать инструменты и методы внутреннего контроля. Ведь для того, чтобы заставить людей выполнять правила, нужно было научиться регистрировать (записывать) их действия.
Если мы посмотрим с этой точки зрения на историю развития человечества, то выявим любопытную закономерность.
Закономерность 1: История развития цивилизации наглядно демонстрирует, что уровень ее развития напрямую зависит от доступных технологий и инструментов внутреннего контроля.
Внутренний контроль возник в тот момент, когда первобытный человек на скале в пещере нарисовал сцену охоты и запечатлел на память, кто и сколько еды добыл. Самым древним инструментом внутреннего контроля были наскальные рисунки. На них первобытные люди фиксировали самые важные события своей жизни, например удачную охоту. И память о лучших охотниках сохранялась для будущих поколений. Этими рисунками вождь племени мог подтвердить свои заслуги и право на лучший кусок добычи в будущем.
Как носитель информации, скала была очень неудобна. Высекать на ней было трудоёмко, а транспортировать ее вообще не было никакой возможности. И поэтому, контролировать поведение большого количества людей таким способом было невозможно. И люди жили небольшими родовыми общинами.
Так бы мы и жили родовыми общинами в пещерах до сих пор, но произошла первая технологическая революция. Это случилось в эпоху Шумерской цивилизации, примерно 3000 лет до нашей эры. Появились глиняные таблички как носитель информации и клинопись как система кодирования. Это позволило легко записывать различную контрольную информацию, например, регистрировать сделки по продаже имущества и товаров, долги и отношения между людьми. Хотя таблички тоже были тяжеловаты для переноски, всё же у носителей информации появилось какое-то подобие мобильности.
А раз появилась возможность достаточно просто регистрировать действия людей, то стало возможным жить в достаточно большой социальной группе. Возникли первые города, в которых далеко не все были родственниками.
И люди стали жить в городах – впервые в истории человечества.
Следующая эволюция инструментов внутреннего контроля произошла в Древнем Египте, когда примерно 1000 лет до нашей эры был изобретён папирус. Это была вторая технологическая революция во внутреннем контроле. Папирус был очень легкий и на нём к тому же можно было рисовать цветные изображения. Фиксировать на носителе стало возможно всё, а не только самую важную информацию. И бюрократия расцвела пышным цветом.
Каждый год фараон посылал сборщиков налогов, а вслед за ними – контролёров – ревизоров, которые переписывали имущество населения. Для чего это делалось, вы можете догадаться сами – чтобы проверить, не утаивают ли сборщики налогов сборы от фараона, и не утаивают ли подданныесмерды свое имущество от налогообложения.
В древнем Египте мы видим все принципы внутреннего контроля, известные нам сегодня. Это разделение прав и полномочий – одни собирали налоги, а другие их контролировали. Принцип сверки – собранные налоги сверялись с записями инвентаризации. И так далее. За прошедшие несколько тысяч лет ничего не изменилось, по сути. Пергамент по техническим характеристикам был близок к современной бумаге. Вы только представьте себе – древним египтянам была доступна технология внутреннего контроля на две-три тысячи лет вперёд.
С тех пор – и до сих пор, внутренний контроль заключается: в написании регламента, выполнении его сотрудниками (в ранней версии цивилизации – рабами), и проверки исполнения внутренним аудитором.
И, несмотря на появление компьютеров, принципы внутреннего контроля остались теми же. Вместо записи на бумаге мы делаем запись в базу данных, а авторизацию подписью и печатью заменяем на ввод пароля или кодом отпечатка пальца. Вроде бы, как бы, скорость выполнения контрольных операций увеличилась, даже где-то они автоматизированы, но на самом деле не всё так хорошо. Архаичные принципы внутреннего контроля вступают в противоречие с растущей сложностью и скоростью операций бизнеса. Назрела настоятельная необходимость фундаментальных изменений во внутреннем контроле.
Об этом будет идти речь дальше, а пока заметим, что организация внутреннего контроля в Древнем Египте настолько интересна, что её стоит изучать отдельно.
Затем, в первом веке нашей эры, была изобретена бумага. Это произошло в Китае, и Китай стал величайшей цивилизацией того времени.
В Европу же технология изготовления бумаги пришла только в 10-11 веках, а до этого там использовали пергамент – это специальным образом обработанные шкуры животных. Такой носитель информации был достаточно дорогим и сложным в изготовлении, поэтому до вплоть до 13 века особого технического прогресса в Европе не наблюдалось, а все технические новинки приходили туда либо от арабов, либо из Китая.
Если мы проследим историю развития инструментов и технологий внутреннего контроля дальше, до наших дней – то увидим, что изобретение книгопечатания, телеграфа, компьютеров и цифровых носителей информации, баз данных и интернета каждый раз позволяло упростить и удешевить процесс внутреннего контроля, и приводило к коренным изменениям в жизни человеческой цивилизации.
Тем не менее, что важно вот что: до определённого момента времени, методы внутреннего контроля оставались неизменными, на какой бы технологической базе он не основывался. Мы поговорим об этом подробнее дальше, а пока давайте выведем из всего сказанного выше один закон:
Закон внутреннего контроля номер 1 :
«Технологии внутреннего контроля должны соответствовать уровню технологий и размеру бизнеса».
Чтобы управлять простым ларьком или гаражным кооперативом, никакие технологии и методики внутреннего контроля не нужны. Все коммуникации между сотрудниками осуществляются путем личных встреч и передачи информации устной речью, иногда с применением ненормативных оборотов речи. Так же, как это делалось в первобытной общине. И это работает.
Другое дело – при росте размеров организации. Чем больше организация, тем сложнее коммуникационные связи внутри неё, тем больше возможности ошибок при передаче информации, умышленных и случайных. И здесь появляется необходимость в новых технологиях и методиках внутреннего контроля. И чем больше организация, тем более совершенными должны быть эти технологии.
Следствие 1. Чем больше технологии внутреннего контроля отстают от размеров и уровня технологий бизнеса, тем больше будут потери бизнеса из-за халатности, нескоординированности, хищений и т.д. – вплоть до полной неконкурентоспособности.
Кстати, верно и обратное – вспомните древнеегипетскую цивилизацию с её опережающим своё время внутренним контролем и достигнутые результаты – построенные пирамиды.
С развитием технологий, увеличением сложности и скорости коммуникаций – внутренний контроль становится главным фактором, влияющим на эффективность бизнеса. Представьте себе любую крупную компанию, в которой больше 10 тысяч сотрудников, десятки предприятий, расположенных далеко друг от друга или даже в разных странах. Я проработал в таких компаниях руководителем внутреннего аудита больше 10 лет. И убедился в том, главной проблемой главным источником неэффективности и потерь бизнеса в них является устаревшая система внутреннего контроля. И чем дальше, тем этот технологический разрыв между бизнесом и внутренним контролем всё больше.
Дальше мы с вами обсудим, из чего состоит система внутренеего контроля, что такое контрольная процедура, какими свойствами она должна обладать, как отличить хорошую КП от плохой, что меняется в принципах внутреннего контроля с появлением новых технологий. И другие вопросы.
Продолжение последует. Со временем. Кто хочет раньше – пишите сюда: info@acfe-rus.org или прямо мне (мэйл в профиле).