Внутренний контроль. Часть 5.

Итак, продолжаем про ядерную физику внутреннего контроля. Будем разлагать контрольные процедуры на составные части, как молекулы на атомы. Но сначала о том, зачем это надо.

Для чего нужна ядерная физика, понятно, — для того чтобы делать  атомные бомбы и электростанции. Хотя, лично для меня, при таком раскладе — лучше бы её и не было. Но вся проблема в том, что она (ядерная физика) есть, и идёт гонка вооружений – кто сделает бомбочку поэффективнее.

Так вот, во внутреннем контроле – то же самое. Он, внутренний контроль, есть — как факт – и без него невозможен не только ни один бизнес, но и ни одно общество или цивилизация. И идёт точно такая же «гонка вооружений» — у кого более совершенный внутренний контроль – тот и победит в конкурентной борьбе.

А что значит «совершенный»? Это значит, что на единицу затрат будет производиться больше эффекта, в чём бы он не измерялся – в мегатоннах или тугриках.

А вообще — сколько тратится на внутренний контроль? В среднем, по больнице?

Если внутренний контроль организован как обычно – в основном ручной, с примитивными зачатками автоматизации – то примерно 30% от затрат на персонал. Затраты на персонал включают в себя не только зарплату, но и все остальные расходы, связанные с наличием человекообразного – стол, стул, роллтон на обед, корпоративчик по праздникам, страховки, налоги.  Грубо говоря, умножьте ФОТ на 2,5 и от получившегося результата возьмите 30%. Это ж бешеные деньги!

Вот столько обычная компания тратит на внутренний контроль. В среднем. А в конкретно взятой организации, может быть и все 50%. Не верите – посчитайте сами.     Каждый сотрудник тратит своё время на выполнение внутренних контрольных процедур. Есть те, которым приходится заниматься этим 100% времени, нпример – ревизоры и внутренние аудиторы, сотрудники СБ, охранники и архивисты. Другие тратят на ВК большую или меньшую часть часть своего рабочего времени – например, кладовщики.

Кстати, вот достойная задачка для внутреннего аудита — позволит оценить глубину той ж..ивотворящей силы внутреннего контроля, которая есть в отдельно взятой компании.

Итак, предположим, мы осознали, что внутренний контроль хорошо бы был с меньшими затратами и с лучшим качеством. И страстно возжелали того. Существует несколько способов исполнения этого желания.

Первый — «Чистка авгиевых конюшен».

В типичной компании внутренний контроль зарождается стихийно. Почти как жизнь по теориям средневековых учёных. Голландский учёный Ян Баптиста ван Гельмонт открыл способ получения мышей: открытый кувшин нужно набить грязными тряпками, добавить туда немного пшеницы и пыли, и тогда приблизительно через 3 недели появится мышь, «поскольку закваска, находившаяся в белье, проникает через пшеничную шелуху и превращает пшеницу в мышь». Так и внутренний контроль — он зарождается в организации от смутного ощущения руководства, что существуют ещё какие-то инструменты контроля, кроме матюгания вручную.

Но есть одна проблемка. Контрольные процедуры в такой организации появляются только по мере возникновения всяких побудительных обстоятельств. К примеру, упала плита на рабочего — сочиняем регламент: рабочим под плитой не стоять. Сгорел от окурка офис – пишем регламент: в офисе не курить. Украли 100500 млн. денег – бъёмся в истерике, и заводим программу по противодействию хищениям. Так живут большинство компаний — по принципу реагирования на инцидент и затыкания дыр.

Однако, написанные в приступах рефлексии регламенты и правила быстро забываются, как только рефлекс ослабевает и первые истерики стихнут. А тем временем, организация живёт дальше, бизнес-процессы в ней по ходу жизни изменяются, и регламенты начинают ссылаться на несуществующие подразделения и должности, противоречить друг другу и так далее. В результате, лет через 5 в компании (если она доживает до такого возраста) образуется гора забытых и полузабытых регламентов, которые никто не помнит, а если и знал, то забыл. В такой компании система внутреннего контроля обычно напоминает результаты труда неопохмелённого водопроводчика, как на рисунке.

Естественно, что резко повысить эффективность такого внутреннего контроля можно, если провести «инвентаризацию» и повыкинуть все ненужные и неработающие контрольные процедуры. Если после этого что-то ещё останется, то можно заняться реконструкцией оставшихся КП. Или системным созданием СВК с нуля, но уже не стихийным образом.

Хозяйке на заметку: инвентаризация во внутреннем контроле – хорошее приложение силушки для внутренних аудиторов. И начальству понравится.

Второй способ — «как у людей» — берём и копируем контрольные процедуры у других организаций, чтобы было всё «как у людей». Выглядит это так: «Вась, а пришли мне регламент согласования договоров? Вот спасибочко! С меня причитается».

Берём, значит, чужой регламент, меняем в нём сроки, названия должностей и названия подразделений по вкусу, посыпаем блюдо сверху своими согласованиями – и готово.

Однако, есть одна проблема, кроме той, что (как обычно) забывают заменить название ООО «Ромашка» на ОАО «Транстрах» где-то на 8 странице. Чужие регламенты – это как чужая одежда. Кофточка тёти Моти может и подойти нам, но чаще всего – нет.

Не факт, что КП, вполне живенькая в другой компании, будет так же хороша у нас, с нашими бизнес-процессами, аппетитами к риску (или к воровству) менеджмента и так далее. Да у нас и нет в производстве никаких опасных веществ, кроме бумаги и чернил. А вот регламент хранения и утилизации опасных веществ утвердили. Как-то незаметили и до кучи ввели. Знакомо?

Третий – «танцы с бубном» — разработка СВК на основе оценки рисков.

Принцип «больше контрольных процедур, хороших и разных», который так любят внутренние аудиторы, приводит к тому же самому результату, как и употребление витаминов без меры – к аллергии.  У менеджмента возникает аллергия на внутренний контроль, которая практически неизлечима. При виде внутреннего аудитора такой  менеджер покрывается красными пятнами, начинает брызгать слюной и дергаться разными частями тела. Что не есть хорошо.

Поэтому контрольные процедуры должны разрабатываться и внедряться системно, но без фанатизма, во избежание передозировки и побочных эффектов.

И для этого ешё в незапамятные времена был предложен подход «от оценки рисков». То есть, по задумке, будем ставить контроли в тех точках процесса, где риски максимальны.

Идея отличная, но для этого надо сначала оценить, где в процессах какие риски и насколько они велики. К сожалению, в этом месте в спектакле происходит заминка. Артисты начинают произносить свои реплики невнятно и шепелявить. Прекрасная концепция — взять все процессы, оценить все риски, и затем выбрать из них самые существенные и уже туда навставлять КП – напоминает совет скульптора «взять глыбу мрамора и отсечь всё лишнее». Или совет совы (из известного анекдота) мышкам стать ёжиками.

Потому что всех рисков — слишком много. А ещё, потому что риски оценивать до сих пор никто не научился. Специализирующиеся на этом шаманы и шарлатаны разработали несколько типовых сценариев, как заговаривать зубы верующим (про оценку рисков). Об этом я уже писал здесь. И здесь. И здесь… и много где ещё.

Вкратце – ну, не можем мы просчитать риск от отсутствия огнетушителя на стене? А что случится, если этой контрольной процедуры (огнетушителя) не будет? Всё сгорит, не всё сгорит, или почти ничего не сгорит из-за отсутствия огнетушителя? А если огнетушитель будет, но персонал никогда не учили им пользоваться? Здесь влияют настолько много факторов, что учесть и оценить их все невозможно. А статистически оценивать такие риски нельзя. Все статистические построения на эту тему бессмысленны из-за уникальности каждого конкретного случая: что это за здание, из каких материалов построено, какое там количество горючих веществ и так далее. А статистика, напомню на всякий случай, изучает только однородные события.

Есть правда один способ определить точки в процессах, где надо ставить контрольные процедуры… Но об этом поговорим в следующий раз. Настало утро, и Шахерезада затыкает свой фонтан красноречия😊