Статьи

Версия для печати

Все статьи | Статьи за 2009 год | Статьи из номера N1 / 2009

О построении эффективной системы внутреннего контроля

Сертаков А.С.,
зам. начальника
отдела формирования
среднесрочных планов
ОАО «СУЭК»

Система внутреннего контроля — это один из самых бурно развивающихся инструментов управления компанией. Ее грамотное внедрение позволяет экономить компаниям затраты.

В 2002 г. в США произошло 6 из 10 самых крупных банкротств за всю историю. Вышедший в том же году закон Сарбейнса—Оксли фактически уже только констатировал факт важности грамотно функционирующей системы внутреннего контроля, предотвращающей мошенничество, будь то искажение финансовой отчетности или воровство активов.

Несмотря на то что внедрение систем внутреннего контроля — обязательное требование для публичных компаний в США, до сих пор, по данным исследования Association of Certified Fraud Examiners, совокупные потери от мошенничества составляют около 3—5% ВВП. Средний размер потерь от мошенничества за последние годы только вырос (+200%) и составил 155 тыс. долл. По данным организации Institute of Management Accountants, общее число компаний в год, которые столкнулись с мошенничеством, постоянно увеличивается — с 26% в 2002 г. до 39% в 2006 г. И это еще только вершина айсберга, аналитики оценивают, что в более чем 60% компаний мошенничества происходят на периодической основе. В первую очередь воспрепятствовать подобной практике сможет грамотно реализованная система внутреннего контроля.

Актуальность адекватно функционирующей системы внутреннего контроля в России в ближайшее время будет только возрастать. Многие исследования (Crutchley (2007); Fuller, Jensen (2002);
Uzun, Szewczyk, Varma (2004) и др.) показывают, что рост мошенничества непосредственно связан со следующим набором факторов:
-  быстрый рост;
-  низкая доля сторонних представителей в совете директоров;
-  участие сторонних директоров в других компаниях;
-  низкая доля независимых участников в комитете по аудиту.

В России в большинстве отраслей все еще продолжается достаточно бурный рост, который, как показывает практика, позволяет скрывать многие случаи мошенничества. Поэтому вопрос развития адекватной системы внутреннего контроля необходимо решать уже сейчас — потом это будет сделать намного проблематичнее в связи с увеличением как затрат, так и объема работ. Это если не говорить о том объеме потерь, которые будут понесены компанией в свете мошенничества.

Затраты и последствия проекта
Прежде чем говорить о том, как необходимо развивать систему внутреннего контроля и на что нужно обратить особое внимание, стоит предупредить, с какими затратами и последствиями придется столкнуться компании.

Во-первых, система внутреннего контроля не просто проект, который требует каких-то разовых вложений. Система внутреннего контроля — это процесс, который необходимо будет постоянно поддерживать. По данным исследования Institute of Management Accountants (2007 г.), 33% компаний тратят на поддержание своей системы внутреннего контроля более 1% выручки. Правда, если учесть, что отсутствие адекватной системы внутреннего контроля в среднем обходится в 3—5% выручки, то адекватно реализованный проект следует признать пусть и долгосрочным, но выгодным вложением средств.

В зависимости от размера и сложности процессов суммы на развитие системы внутреннего контроля будут различаться. Для небольших компаний процент затрат на внутренний контроль в выручке будет выше. Зато, с другой стороны, в крупных компаниях намного больше рисков и «узких мест», потому работ по проекту будет существенно больше, а часть рисков можно просто упустить из виду.

Во-вторых, в процессе перестройки процессов компании (она требуется для 84% компаний, по данным исследования Institute of Management Accountants) добавляются дополнительные процедуры, препятствующие мошенничеству.

В итоге это способно привести к бюрократии в ее худшем проявлении, а также к усилению власти контролирующих инстанций, что в итоге выльется в снижение эффективности как непосредственно системы внутреннего контроля, так и собственно контролируемого процесса. Это особенно актуально для России, так как сотрудники финансово-экономического блока, обычно выступающие в роли проверяющих, зачастую не обладают необходимыми знаниями и пониманием. Для руководителя финансово-экономического блока может быть предпочтительнее подбирать на позиции контролирующих специалистов людей, которые обладают определенным опытом работы в соответствующих областях, пусть даже и без финансового образования.

Важно, чтобы сотрудники, осуществляющие контроль, обладали достаточными опытом и компетенцией, а также чтобы контролирующие структурные подразделения были обособлены от тех, кого они проверяют. На наш взгляд, вообще целесообразнее выделить контрольные функции из финансово-экономического блока, как это бывает в 90—95% компаний, в отдельную структурную единицу, подчиняющуюся подразделению, занимающемуся внутренним аудитом.

В-третьих, проект по развитию системы внутреннего контроля приводит к существенному снижению производительности труда, так как связан с постоянным отвлечением сотрудников на проект. В среднем участники рабочей группы тратят на проект 1 рабочий день в неделю, то есть 20% своего рабочего времени. По оценкам компании AMR Research, такие «скрытые» затраты составляют в среднем 20—30% стоимости проекта.

В-четвертых, развитие системы внутреннего контроля накладывает ряд ограничений и требований на высшие уровни управления, в том числе на руководящие структуры и стратегию. Так, по результатам проекта могут существенно измениться организационная структура, состав совета директоров, может быть скорректирована стратегия развития и т. д. Особенно это касается случаев со сделками с заинтересованностью. Даже успешный генеральный директор, обладающий небольшим пакетом акций компании, может быть вынужден уйти по итогам проекта, чтобы снизить вероятность мошенничества. Подобное произошло с руководителем компании Shutterfly Джимом Кларком, который покинул свой пост после 5 лет триумфального руководства из-за обладания 30-процентным пакетом акций компании.

Развитие системы внутреннего контроля
Прежде чем говорить непосредственно о проекте, стоит заметить, что внутренний контроль в том или ином варианте уже присутствует в компаниях, просто может не выделяться в отдельную систему. С другой стороны, тотальность внутреннего контроля невозможна, да в ней и нет необходимости — не стоит на отдельные элементы внутреннего контроля тратить больше средств и усилий, чем они способны принести прибыль компании.

Таким образом, при развитии системы внутреннего контроля компания должна определиться с тем, в каком объеме ей необходимо это делать. Западный опыт показывает, что в погоне за лидером компании-последователи часто ему подражают, тщательно копируя даже его внутренние системы информации. История неоднократно доказывала ущербность такой практики.

Наибольший эффект, в том числе и в отношении системы внутреннего контроля, достигается именно при развитии систем управления на основе собственной стратегии компании.

Соответственно систему внутреннего контроля необходимо развивать, отталкиваясь от рисков, которые сопутствуют принятой корпоративной стратегии, затем опускаясь на нижние уровни процессов.

Исследования показывают, что сочетание системы внутреннего контроля и системы управления эффективностью способно повысить эффективность обеих систем, поэтому предпочтительно уже на концептуальном уровне определить их взаимосвязи. Например, дерево целей, стратегическая карта или сбалансированная система показателей способны упростить выявление ключевых рисков по разным уровням, а принципы развития системы управления эффективностью для какого-то  подпроцесса — привести к определению наиболее существенных контрольных процедур.

Иногда в практике может встретиться такой подход, в соответствии с которым берутся по отдельности задачи, которые ставятся перед системой внутреннего контроля, и они уже раскладываются на подзадачи. В этом случае компания существенно рискует упустить из виду множество важных рисков, а потому системный подход к развитию внутреннего контроля следует считать предпочтительным. В этом как раз может помочь грамотно построенная система управления эффективностью, которая позволит не просто увязать задачи системы внутреннего контроля со стратегией, но и обнаружить новые сферы, которые также необходимо данной системой охватить.

Развитие системы внутреннего качества, опирающееся на систему управления эффективностью, также упростит участникам проекта понимание, что ключевые риски для большинства компаний — операционные. В этом смысле компаниям предпочтительнее опираться не на Закон Сарбейнса—Оксли, а на соответствующие стандарты COSO.

Практика показывает, что ориентация на финансовые риски и риски искажения финансовой отчетности не обеспечивает устойчивости компаниям. В качестве примера стоит привести банк Northern Rock, входивший в пятерку крупнейших английских залоговых банков, который неоднократно получал высшие баллы по соответствию системы внутреннего контроля закону Сарбейнса—Оксли, но при этом не смог долгое время что-либо противопоставить обвалу на рынке.

Также при формировании карты рисков особое внимание необходимо уделить сделкам с заинтересованностью. Это может быть сотрудничество с контрагентами, аффилированными с сотрудниками компании. Или же, наоборот, владеющий определенным бизнесом в той же или смежной отрасли сотрудник может переманивать к себе клиентов. И так далее.

Очень важно, чтобы в карте рисков нашло свое отражение и то, что является критичным для ведения бизнеса, — работа с ключевыми клиентами или поставщиками, изменения в законодательной базе и т. д.

После того как нарисована карта рисков, следует рассмотреть различные схемы мошенничества и возможности для искажения информации. На этом этапе участникам проекта лучше всего привлекать к работе сотрудников, занимающихся соответственным сектором работ. Поощряйте их за участие, и они откроют множество скрытых ранее знаний относительно изучаемых подпроцессов. В соответствии с исследованиями Association of Certified Fraud Examiners, от 34 до 50% схем и случаев мошенничества раскрывается именно внутренними сотрудниками компании, в 25% случаев это происходит случайно, и только в 10—25% этому способствуют внешние аудиторы. Таким образом, отказываясь от привлечения к проекту сотрудников, занятых в соответствующих подпроцессах, компания оставляет значительную часть рисков неподконтрольными.

Составив по каждому подпроцессу набор рисков и возможных схем мошенничества, участники проекта должны расставить приоритеты, отражающие размер и вероятность наступления событий. Одновременно происходит изучение существующих контрольных процедур и оценка их эффективности.

Следует отметить, что для различных процессов эффективность сопоставимых контрольных процедур будет существенно отличаться. Контрольные процедуры эффективны в тех условиях, когда процесс четко определен, результат легко может быть запланирован, а факторы риска поддаются управлению. Например, порядок действий рабочего может быть легко упорядочен, встраивание действующих контрольных процедур легко организуемо. С другой стороны, для менее  организованной деятельности, например для рекламной или инновационной, эффективность контрольных процедур будет существенно ниже.

Сопоставление рисков и существующих контрольных процедур позволит определить план необходимых действий для повышения эффективности осуществляемого контроля. При этом необходимо осознать три основополагающие причины мошенничества и в дальнейшем руководствоваться ими как при планировании программы мероприятий для повышения эффективности системы внутреннего контроля, так и при ее реализации.

Первая основополагающая причина мошенничества — возможности. При изменении процессов необходимо таким образом встраивать в них контрольные процедуры, чтобы минимизировать возможности осуществления рисков.

При этом не обязательно совсем уничтожать риски, будет целесообразнее снизить риск до какого-то приемлемого уровня.

Криминологи утверждают, что большинство экономических преступлений совершается именно в силу способствующих обстоятельств; до 80% сотрудников способны совершить мошенничество именно в силу возможности реализовать задуманное и остаться при этом без наказания. Внутренний контроль, как ставящий препятствия к мошенничеству, так и предусматривающий наказания за него, должен стать важной составляющей процесса, которую нельзя просто так проигнорировать.

Еще одной из подзадач системы внутреннего контроля является создание препятствий для принятия решений, способных негативно повлиять на реализацию стратегии. Существование даже детально прописанного плана не всегда способно помешать принятию решений, которые способны навредить компании. Именно поэтому может быть целесообразно формализовать принципы принятия решений, определить, как и на основании чего следует принимать решения, их реализовывать и т. д.

Вторая причина — давление или мотивация. В ходе реализации проекта может возникнуть необходимость в перестройке процессов, чтобы организация работы не оказывала давление на сотрудников компании, провоцируя или вынуждая их к искажению информации или мошенничеству. Работа по проекту в этом направлении может потребовать перестройки системы установления целей, чтобы их достижение было реалистичным. Также необходимо провести тщательную работу с руководителями структурных подразделений, чтобы те своевременно отслеживали случаи, когда их подчиненных к мошенничеству могут подтолкнуть те или иные финансовые затруднения. Следует отметить, что в отдельных случаях для совершения мошенничества даже не нужно реально существующее давление, оно может только казаться реальным для человека.

Третья причина — оправдание. Люди, которые осознанно идут на мошенничество, склонны себя оправдывать. Это может быть индивидуальный стимул вида «сделаю только один раз» или «само в руки плывет». Но для компаний намного опаснее другой — социальный («все делают, и я буду»). Особенно важно в этом смысле поведение высшего руководства, ведь именно на него будут ориентироваться рядовые сотрудники и менеджеры среднего звена, сталкиваясь с возможностью совершения мошенничества.

Например, в одном торговом магазине был достаточно высокий уровень воровства. Директор привел все регламентирующие документы в порядок и нанял специально обученного сотрудника для того, чтобы тот занимался минимизацией краж. В итоге число краж только увеличилось. Дальнейшее расследование показало, что остальные сотрудники, узнав о новом назначении, совсем перестали препятствовать воровству. Действительно, зачем выполнять чужую работу, если даже директор самостоятельно не занимается больше борьбой с кражами? По оценкам Association of Certified Fraud Examiners, всего 70% случаев мошенничества и искажения информации могли быть предотвращены с использованием контрольных процедур. В остальных случаях основным препятствием может стать социальный контроль, устанавливаемый в компании при определенном корпоративном климате, ориентированном на честность.

Как показывает практика, информационные технологии являются одной из самых ключевых сфер, в которой необходим строгий внутренний контроль. Информационную безопасность отмечают в числе важнейших направлений развития систем внутреннего контроля 72% компаний, по данным исследования компании Ernst & Young (2005 г.). Недавний пример Societe Generale показывает, что даже небольшое упущение способно вылиться компании в миллиарды долларов убытков. В направлении повышения безопасности сейчас идет развитие информационных систем, так как всего 20% зарубежных компаний (опять же по данным Ernst & Young) признают, что их информационные системы способствуют работе системы внутреннего контроля. Вряд ли стоит рассчитывать, что в России показатели лучше.

На что стоит обратить внимание
В процессе выполнения вышеуказанных действий участники проекта могут столкнуться с рядом совершенно необязательных трудностей и проблем, которых можно было бы избежать. На что же стоит обратить внимание, чтобы упростить ход реализации проекта по развитию внутреннего контроля?

Во-первых, мало привлечь внешних аудиторов и консультантов. Для успешной реализации проекта обязательным условием являются участие высших руководителей и их поддержка. В ряде случаев руководство может начать придерживаться точки зрения, в соответствии с которой внутренний контроль — работа внутренних и привлекаемых аудиторов, а к их обязанностям он не относится.

Это принципиально некорректная точка зрения, так как именно высшее руководство определяет правила игры и значительно влияет на вероятность реализации рисков мошенничества.

Участие высшего руководства позволит избежать потерь времени, улучшит понимание сотрудниками важности проекта, повысит вовлеченность сотрудников и шансы на успешное завершение.

Во-вторых, необходимо очень внимательно подойти к подбору сотрудников в рабочую группу. Наиболее частой допускаемой ошибкой является назначение на позицию руководителя рабочей группы специалиста, который разбирается или должен разбираться в вопросе развития внутреннего контроля наилучшим образом. Безусловно, необходимость участия таких сотрудников в проекте очень высока. Но от руководителя проекта требуются другие навыки — от умения выполнять большие объемы административной работы до поиска компромиссов и погашения возникших конфликтов. От участников рабочей группы требуется несколько иные навыки — любознательность, трезвость суждений, здравый скептицизм и стремление к знаниям.

В-третьих, компании, которая серьезно подходит к развитию системы внутреннего контроля, необходимо предпринять целый ряд серьезных действий, направленных на формирование климата, где поощрялись бы честность и борьба с мошенничеством. Для этого придется обучать как участников проекта, так и остальных сотрудников, разъяснять им важность стоящих задач и необходимость предстоящих перемен. В итоге сотрудники должны знать и понимать, что такое
система внутреннего контроля, что это не еще одна форма контроля вообще, а система контроля, направленная на предотвращение мошенничества. Для этого скорее всего понадобится дополнительно разработать этический кодекс, политику предотвращения мошенничества и довести их до сведения сотрудников. Как уже говорилось ранее, пример соответствующего поведения должно подавать высшее руководство.

В-четвертых, не стоит бездумно реализовывать все рекомендации консультантов-аудиторов. Каждое их предложение необходимо оценить на предмет целесообразности и необходимости. У консультантов может быть иное, порой даже неправильное понимание стратегии компании; более того, консультантов полезней привлекать к проекту как носителей методологии, обладателей стороннего взгляда на процессы и арбитра в спорах. Особенно аккуратными должны быть компании, обладающие специфическими и весьма сложными технологическими и производственными системами, — уровня квалификации консультантов может просто не хватить, чтобы адекватно оценить и грамотно выстроить для них план контрольных процедур.

Возвращаясь к упомянутому выше Джиму Кларку, стоит отметить, что не обязательно было следовать рекомендациям, полученным в результате анализа состояния системы внутреннего контроля, так как следующий руководитель демонстрировал худшие результаты. Внешние аудиторы и консультанты зачастую дают более жесткие рекомендации, чем необходимо, предпочитая ничего серьезного не пропустить.

Подобный подход логичен, но жесткость контроля, особенно излишнего контроля, также способна навредить. Осуществляя тотальный контроль действий сотрудников, компания словно говорит: мы вам не верим. И сотрудники в ответ прекращают верить. Более того, исследователи отмечают, что довольно часто встречаются случаи, когда давление подталкивает сотрудников к мошенничеству. Логика в этом проста: «вы мне не верите, пытаетесь контролировать любой мой шаг, я специально обману».

В-пятых, в ряде случаев отсутствие контрольных процедур можно заменить доверием, которое должно базироваться на вере в компетентность сотрудника, а также в его добросовестность. Если первое может быть подтверждено один раз, и этого будет достаточно, то второе долго достигается и очень легко теряется.

Вспоминается карикатура, на которой изображен человек, который закинув ноги на рабочий стол, курит сигару и смотрит телевизор. Рядом изображены два человека, и один другому говорит: «А Вы уверены, что он думает о работе?» Для целого спектра подпроцессов, которые характеризуются сложностью в предсказании результата, а сам характер работ сложно поддается формализации, если сотрудник обладает высокой квалификацией и постоянно демонстрирует добропорядочность в работе, то часть контрольных процедур, может быть, целесообразно заменить доверием сотруднику.

В-шестых, система внутреннего контроля — это процесс, который нельзя пускать на самотек после завершения проекта. Необходимо постоянно проверять ее на адекватность и отслеживать  необходимость и полноту контрольных процедур.

ЗАКЛЮЧЕНИЕ
Развитие системы внутреннего контроля — это важное стратегическое решение, которое при грамотной реализации в средней перспективе способно стать важным конкурентным преимуществом.

Автомобиль имеет тормоза не для того, чтобы останавливаться, а для того, чтобы можно было быстро ехать. Настоящий вопрос заключается не в том, насколько хорошие у вас должны быть тормоза, а в том, как быстро вы собираетесь ехать.

Литература
1. Paul Zikmund. 4 steps to a successful fraud risk assessment // Internal auditor. — 2008. — Feb.
2. Nicholas Butler. Adressing & mitigating the risks of fraud // The secured lender. — 2007. — March/Apr.
3. Vijay R. Chemutri. Are you prepared to assess fraud risk factors? // Pennsylvania CPA journal. — 2008. — Winter.
4. Joseph T. Wells, John D. Gill. Assessing fraud risk // Journal of accountancy. — 2007. — Okt.
5. Michael Ross. Fraud’s red flags // Directorship. — 2008. — Apr./May.

Отдельные номера журналов Вы можете купить на сайте www.5B.ru
Оформление подписки на журнал: http://dis.ru/e-store/subscription/



Все права принадлежат Издательству «Финпресс» Полное или частичное воспроизведение или размножение каким-либо способом материалов допускается только с письменного разрешения Издательства «Финпресс».