В прошлый раз мы рассказали, что мы хотим оптимальным образом потратить ресурсы, отпущенные на создание внутреннего контроля, но только не знаем, как это сделать. А вообще, рекомендуется читать сначала, в порядке исторической последовательности (Часть 1, Часть 2, Часть 3, Часть 4, Часть 5).
Напомню задачу внутреннего контроля:
– У нас есть ограниченные ресурсы (люди, деньги, время), которые мы хотим потратить на внутренний контроль, понаделать на эти деньги контрольных процедур (КП), и повставлять их в бизнес-процессы, куда надо, а не куда попало.
Примечание: «Куда надо» – значит туда, где их присутствие даст максимальный эффект или, говоря по-другому, сделает минимальными потери в целом по бизнесу. То есть в те точки процесса, в которых риски отсутствия КП максимальны.
В принципе есть занимательная идея о том, что мы сначала оценим риски всех процессов и операций, а потом в те точки, где риски максимальны, будем вставлять КП. Но она оказалась сферическим конём в вакууме по двум причинам:
- по трудоёмкости оная стремится к бесконечности, ведь процессов в бизнесе немеряно, а уж отдельных операций в них и вовсе не счесть. Поди посчитай, риск отсутствия контроля в каждой из них. И жизни не хватит. А уж денег и терпения – точно.
- и самое главное – потому что оценивать риски мы не умеем (равно как и предсказывать будущее) (http://bit.ly/2yNS8as). Если, конечно, это не простейший случай, который подчиняется законам статистики, а таких во внутреннем контроле пренебражимо мало.
Поэтому предложение оценить все риски и потом отбросить из них незначащие звучит как ответ моего любимого скульптора Огюста Родена (Auguste Rodin) на вопрос одного из своих учеников, “в чем, собственно, состоит искусство скульптора”: «возьмите глыбу мрамора и отсеките от неё всё лишнее». То есть форменное издевательство и свинство, доложу я вам.
И что же тогда делать?
К счастью, природа за нас сама решила эту задачу, надо только внимательно посмотреть на систему внутреннего контроля любой компании как на живой организм, который имеет все необходимые для жизнеобеспечения системы.
Но сначала одна притча, после которой станет ясно, что я имею ввиду.
* * *
Мясник Дин разделывал бычьи туши для царя Вэнь-хоя. Взмахнет рукой, навалится плечом, подопрет коленом, притопнет ногой, и вот: вжик! бах! Блестящий нож словно пляшет в воздухе.
– Прекрасно! – воскликнул царь Вэнь-хой. – Я поражен, сколь высоко твое искусство, повар!
Отложив нож, повар Дин сказал в ответ:
– Поначалу, когда я занялся разделкой туш, я видел перед собой только туши быков, но минуло три года – и я уже не видел их перед собою! Хороший мясник меняет свой нож каждый год – потому что он режет. Обыкновенный мясник меняет свой нож каждый месяц – потому что он рубит. А я пользуюсь своим ножом уже девятнадцать лет, разделал им несколько тысяч туш, а нож все еще выглядит таким, словно только что сошел с точильного камня. Ведь в сочленениях туши всегда есть зазор, шире, чем лезвие моего ножа. Вот почему даже спустя девятнадцать лет мой нож выглядит так, словно он только что сошел с точильного камня.
Однако же всякий раз, когда я подхожу к трудному месту, я вижу, где мне придется нелегко, и собираю воедино мое внимание. Я пристально вглядываюсь в это место, двигаюсь медленно и плавно, веду нож старательно, и вдруг туша распадается, словно ком земли рушится на землю.
– Превосходно! – воскликнул царь Вэнь-хой. – Послушав своего повара, я понял, как нужно управлять государством!»
* * *
В этом месте читатель-аудитор должен вскликнуть: – Превосходно! Теперь я понял, в каких точках бизнес-процесса надо ставить контрольные процедуры!
Но если всё-таки пока непонятно, то вот ещё одна цитата – на этот раз из Булгакова (http://bit.ly/2DpEaho):
«Затем рыжий разбойник ухватил за ногу курицу и всей этой курицей плашмя, крепко и страшно так ударил по шее Поплавского, что туловище курицы отскочило, а нога осталась в руке Азазелло. Все смешалось в доме Облонских, как справедливо выразился знаменитый писатель Лев Толстой. Именно так и сказал бы он в данном случае. Да! Все смешалось в глазах у Поплавского. Длинная искра пронеслась у него перед глазами, затем сменилась какой-то траурной змеей, погасившей на мгновенье майский день, — и Поплавский полетел вниз по лестнице, держа в руке паспорт. Долетев до поворота, он выбил на лестничной площадке ногою стекло в окне и сел на ступеньке. Мимо него пропрыгала безногая курица и свалилась в пролет. Оставшийся наверху Азазелло вмиг обглодал куриную ногу и кость засунул в боковой карманчик трико, вернулся в квартиру и с грохотом закрылся.»
В каких местах легче всего разрезать тушу? В каком месте разрушилась злополучная курица? Правильно, в местах сочленений. Там находится риск разрушения единого целого, будь то туша, курица, или бизнес. В точках взаимодействия между подразделениями.
В бизнесе «сочленения туши» – это взаимодействия между группами персонала, объединёнными одной функцией и одним руководством. Обычно такие группы называются «дирекции», «отделы» и всякие прочие подразделения. Каждое подразделение имеет свои собственные цели, интересы, строит свои козни – как списать на соседа свои просчёты и ошибки, как отхватить его функции и ресурсы себе, а ответственность оставить врагу – в общем, нормальная корпоративная жизнь. Как везде и всегда в истории человечества.
Вот в этих точках и живут самые большие риски для бизнеса организации в целом. Вся история цивилизации – это история войн разных племён и народов за то, чтобы отобрать у другого народа кусок хлеба и землю. С самых первобытных времён.
Точно также, вся история корпоративной жизни в бизнесе – это история войн разных подразделений за премии, благосклонность начальства, за то, чтобы поменьше работать и побольше получить. Нет, конечно, перед лицом опасности в лице собственника они все объединяются и демонстрируют – чего там надо демонстрировать, то и демонстрируют. Мир, дружбу, балалайку, страдания за общее дело. Чтобы, не дай бог, не разволновать хозяина на свою беду. А то бывали и такие случаи, на моей памяти, когда выгоняли пачками. Если под горячую руку попадали. И, кстати, бизнес от этого только расцветал. Я в какой-то мере понимаю Сталина, который перед войной сменил всю зажравшуюся верхушку армии. Хотя не одобряю методы. Мягче нужно было, деликатнее. Но чего можно было ожидать от бывшего каторжника и террориста?
Так вот, вернувшись в реалии современного бизнеса, к теме внутреннего контроля: ставьте контрольные процедуры прежде всего «в суставах» бизнеса, на стыках – подразделений, функций, передачи информации, мат. ценностей и рисков между людьми. Помогает.
Это только один из способов, как определить наиболее рискованные точки бизнес процессов, чтобы внутренний контроль был эффективен. Есть еще четыре.
Чтобы найти остальные способы, нужно помнить две вещи: 1) что внутренний контроль – это контроль действий людей (См. определение ВК), и 2) – смотрите не на кирпичики (контрольные процедуры), а на архитектуру здания ВК в целом. А здесь живая природа может дать много подсказок. Только, ради бога, не возлагайте надежды на ещё одного сферического коня в вакууме – на KPI (они же ключевые показатели эффективности). Про них – тут (http://bit.ly/2pM6LMe) .
И наступило утро, и Шахерезада прекратила дозволенные речи..
Дополнение 1. Знаете, как работает хороший риск-менеджер? Он не собирает менеджмент на пресловутые “сессии оценки рисков”. Всё равно они ничего не расскажут про собственные риски. Во-первых, они в них живут, и по этому не замечают. Примелькались им все риски. И не видят они их. Особенно те, которые давно не реализовывались. Во-вторых, им рассказывать о своих рисках – не по душе как-то. Ну, как публично раздеваться. В ответ скажут – ну, вот, сам же всё знаешь! А почему не минимизируешь? Вот за это мы тебя премии и лишим. Поэтому и заканчиваются все эти сессии оценки рисков ничем.
Хороший риск-менеджер начинает свой день с визита к линейному менеджеру, чтобы поздороваться, попить кофе, покалякать о делах наших скорбных. И, между делом, поспрашивать у него последние сплетни. Кто кому что сказал, кто с кем поругался, кто кого подставил. Как обогнал, как подрезал. Из этого потока субстанции он (риск-менеджер) фильтрует информацию о возможных точках конфликта между подразделениями. Важно, где есть непонимание и противостояние, которое приведёт в конечном счёте к потерям бизнеса. Если технический директор жалуется на директора по закупкам, есть риск того, что стройка затянется, и начнутся разборки – кто кому вовремя не дал заявку, кто что не так в этой заявке не написал. Вот она – точка риска, куда надо ставить контрольные процедуры, чтобы потом бизнесу не было мучительно больно за бесцельно прожитые годы.
Дополнение 2. Хороший пример риска “на стыке” интересов – “Запущенные с Восточного 19 спутников уже упали в океан” ( http://bit.ly/2E6PaBs ). Оправдания Роскосмоса по этому случаю живо описаны фразой “к рукавам и пуговицам претензий нет” А.Райкина ( http://bit.ly/2levS5i ). По доступной информацией, “первый импульс был выдан не в той ориентации, которая необходима, поэтому разгонный блок вместе со спутником вошел в атмосферу и упал в Атлантический океан” “из-за того, что система управления блока рассчитала вращение не в ту сторону“. “Сам разгонный блок и его составные части (двигатели, система управления) отработали в соответствии с заданным алгоритмом, который был заложен еще в 1998 году при создании этого блока программы ракетоносителя“.
А к полётному заданию претензий нет.
“Авария, произошедшая после запуска с космодрома “Восточный” 28 ноября, стала следствием ошибки в алгоритме разгонного блока “Фрегат”, которую невозможно выявить существующими методиками” – заявил начальник Роскосмоса. Про тестирование программ, он конечно, не слышал. Простим ему.
“Забыли в формуле поменять знак при смене азимута на 180 градусов, ДЛБ”
Но дело даже не в тестировании. Риск оказался ровно там, где он и должен быть – на стыке времён, подразделений, ответственности, ведомственных интересов. В “сочленениях туши” бизнеса. Полётные задания, наверное, в Роскосмосе хорошо пишут. А вот с внутренним контролем у них явно на букву “х”.