Разделение прав и полномочий: как легко и непринуждённо получить перелом головного мозга

Вот такой опрос я провел неделю назад на моем телеграм-канале. А сейчас — разбор полётов, вопросов, ответов и проблемы SoD по существу — вплоть до разрыва шаблона.

Сначала посмотрите это короткое видео — кусок художественного фильма.

Да, это правда — я смотрю художественные фильмы глазами аудитора. И как аудитор, вижу не погоню, а хороший образец классического разделения прав и полномочий.

Сначала о том, что такое «разделение прав и полномочий» — так с ихнего на нижегородский переводится термин SoD – «Segregation of Duties». Проблема внутреннего контроля – это проблема контроля поведения людей. То есть как заставить их выполнять определённые правила.

И решение её путём SoD было найдено ещё во времена фараонов. Тогда, раз в два года отправлялись по владениям фараона сборщики налогов. И переписывали то, что есть у работяг. И назначали налог к уплате. А через некоторое время, вслед за ними, шли другие люди, по-нашему – контролёры. И проверяли, правильно ли посчитали предыдущие. Не подкупили ли кого, не обманули ли нашего обожаемого фараона.

Вот тогда впервые на практике появилось правило разделения прав и полномочий. Оно гласит: одни должны принимать решения (например – о закупке), другие должны принимать, перетаскивать и хранить материальные ценности, а третьи – отражать это всё в учёте.

И тогда не будет хищений, потому что для совершения этого нехорошего дела всем учитывающим-перетаскивающим надо будет сговориться между собой. А это сложно.

Во времена фараонов это, безусловно, было гениальное решение. Во-первых, других средств контроля не было – только что изобрели, слава богу, папирус, и появилась возможность хотя бы записывать разные интересные факты. Кто кому сколько должен, например.

А во-вторых, во времена фараонов, и далее во все времена, почти до наших дней, в случае подозрений в сговоре и воровстве подозреваемых можно было пытать. И тот, кто послабее, сознается. А при правильном подходе – любой сознается.

Но шли времена. Менялись нравы. Пытки запретили, религии отменили, геенны огненной за грех «не укради» в наше время никто не боится. И люди воспряли духом. Я лично и неоднократно в процессе расследования находил группы из пары десятков людей, которые весьма успешно сговорились и воровали миллионами. Не рублей. А что – шкуру сдирать, в случае чего, не будут. Ну, заведут дело, и что? Еще неизвестно, кто судье больше заплатит.

И принцип разделения прав и полномочий, как гарантия отсутствия хищений, канул в лету. Но наши аудиторы и контролёры этого не заметили. И продолжают находить и указывать менеджменту на недостатки отсутствия разделения прав и полномочий.

На этом месте у благоразумного и воспитанного на COSO внутреннего аудитора должен наступить разрыв шаблона, он же когнитивный диссонанс. Его же всю жизнь учили молиться на SoD, как на панацею от недостатков внутреннего контроля. И тут выходит покушение, можно сказать, на смысл его жизни. Такое трудно пережить.

Но тем не менее, попробую закрепить достигнутый эффект.

Со времен египетских фараонов прошло совсем немного времени, но технологии изменили жизнь человечества. Помните время, когда в метро надо было для прохода кидать в автомат увесистую монетку в 5 коп.? (Вес 5 граммов, сегодня: — стоит как лом примерно 2 рубля, как предмет коллекционирования – 100 руб., эквивалент покупательной способности – 50 рублей).

Так вот, немногие знают, что разделение прав и полномочий в самом идеальном виде существовало в метро ещё в 1960 году: один человек принимал оплату и выдавал билет, а другой проверял билеты при входе на платформу. Изначально вход в метро был только по бумажным билетам. В кассовых залах были пункты пропуска на которых стоял контролёр и гасил билет отрывая нижнюю часть билета, а верхнюю отдавал пассажиру.

Куда же эта система делась? Как оказалось, она была слишком затратной и медленной. Пришлось поставить автоматические турникеты. А сегодня даже автоматические турникеты на пригородных направлениях в Москве не выдерживают поток людей в часы пик.

Так вот, в тех бизнесах, где думают об эффективности, давно уже отказались от SoD в пользу применения ИТ технологий контроля. Например, грузчик отвозит на склад готовую продукцию из цеха и сам сканирует штрих-код на её упаковке. С точки зрения разделения прав и полномочий — есть где порезвиться внутреннему аудитору.

Конечно, грузчик может взять, и заныкать пару ящиков продукции, и не отсканировать её (оприходовать на склад). Но тут же возникнет разрыв в учёте выпуска продукции и её оприходованием, и если существует автоматический анализ производства и оприходования, то расхождение будет тут же выявлено. Проанализировав интервал времени между производством и оприходованием каждой единицы продукции, можно будет выявить момент времени, когда это произошло. А посмотрев камеры видеонаблюдения за эти даты, увидеть, как это происходило.

То есть разделения прав и полномочий в описанной ситуации нет, а хищение гарантировано исключено. Если всё контрольное оборудование работает нормально. А это приводит нас к двум неприятным для современного аудитора выводам.

Вывод 1. Хватит уже заниматься выявлением отсутствия разделения прав и полномочий, потому что вся эта проблема всё больше и успешнее решается с помощью ИТ-технологий.

Вывод 2. Чтобы обнаружить недостатки внутреннего контроля, аудитору теперь придётся залазить внутрь этих самых технологий. А для этого надо в них разбираться…

Впрочем, об этом я уже писал…

Читать можно здесь: http://bit.ly/2pFjrmi и http://bit.ly/2oXX0br , http://bit.ly/2oXZyGT

А подробнее про оптимизацию внутреннего контроля расскажу на тренинге 13-14 мая, который российское отделение ACFE проводит в содружестве со Сбербанком в г. Москве. Про это — здесь

Собственно разбор ответов на опрос:

Ответ 1. 58% Да, позволяет, и его надо использовать всегда.

Правильный ответ: Разделение прав и полномочий позволяет противодействовать хищениям далеко не всегда. В первобытном обществе это – единственный вариант решения проблемы. В современном обществе разделение прав и полномочий работает далеко не всегда. В наше время моральные принципы честного поведения во многом утрачены в обществе, и люди прекрасно умеют договариваться, чтобы украсть.

Ответ 2. 11% На практике это не даёт эффекта.

Практически правильный ответ. Во всех случаях самых крупных хищений они происходили в условиях, когда существовало правильное разделение прав и полномочий. Были и аудиторы, которые почему-то ничего не замечали, и финансисты, которые должны были формировать достоверную отчётность, и советы директоров, все из себя объективные и независимые. Помогло это как мертвому припарки.

Ответ 3. 31% Позволяет, но затраты на внутренний контроль становятся выше получаемого эффекта.

В этом ответе акцентируется внимание на экономической эффективности припарок. Действительно, для правильного разделения прав и полномочий нужно в 3 раза больше людей. Кто-то продаёт билетики, кто-то проверяет, кто-то принимает кассу, кто-то составляет отчётность. При последовательном и правильном применении разделения прав и полномочий экономика компании загнётся моментально.

Ответ 4. 0% А что это такое?

Отрадно, что все принявшие участие в опросе знают, что такое SoD. Или по крайней мере думают, что знают.