Всем добра!
Если вы думаете, что все люди, которые когда-либо сталкивались с данным термином, понимают его одинаково, то вы заблуждаетесь. Ему, конечно, далеко до рекорда термина «риск», но, выражаясь астрономическим языком, их роднит туманность смысла. С определенного момента я начал испытывать заметный дискомфорт при использовании данного слова. Его смысл для меня начал просто рассеиваться. Это во многом совпало с погружением в тему практического использования контроля в управлении бизнес-процессами и компаниями. Сейчас для меня термин «внутренний контроль» — это больше словарный маркер людей, принадлежащих к определенным профессиям. Ему особо нет места в словаре практика в области управления. Давайте же вместе попробуем разобраться как все-таки стоит относится к данному термину.
В этом месте, в связи со «внутренним контролем», в различных статьях часто принято вспоминать про что-то сильно древнее, вроде Месопотамской цивилизации или Древнего Египта или хотя бы Персии времен Дария или Святую Римскую Империю времен Карла Великого, но давайте я вас избавлю от этой псевдонаучности. Есть более полезные для понимания темы исторические факты (в максимально сжатом виде, ибо цель данного текста не развернутый исторический экскурс, а практически применимые выводы). И еще один момент – я буду давать точные ссылки выборочно, чтобы не загружать и так объемный текст, все остальное гуглится по желанию по отдельным фразам или названиям.
Краткий исторический экскурс
В целом термин «внутренний контроль» зародился именно в среде американского бухгалтерского учета и аудита. Есть устойчивое мнение, что первое определение данного термина было дано в публикации Американского института бухгалтеров «Проверка финансовой отчетности независимыми аудиторами» в 1936 году:
«Those measures and methods adopted within the organization itself to safeguard the cash and other assets of the company as well as to check the clerical aspects of the book-keeping».
или
«Те меры и методы, используемые в самой организации для защиты денежных средств и других активов компании, а также для проверки учетных аспектов бухгалтерии»
Кстати, в то время термин «внутренний контроль» еще не стал мейнстримом и параллельно ему активно использовались термины «internal check» (внутренняя проверка) и «accounting control» (бухгалтерский контроль).
5 декабря 1938 года в США случилось резонансное событие – было вскрыто крупное мошенничество со стороны менеджмента компании McKesson & Robbins. Тогдашняя Комиссия по ценным бумагам и биржам (жива и процветает и сейчас, именно она пустила в этот мир SOX 404, но об этом чуть позже) в своем отчете написала, что Price Waterhouse & Co. (да, первыми оказывается были совсем не Артур Андерсен), на тот момент аудиторы McKesson & Robbins:
«…failed to employ that degree of vigilance, inquisitiveness, and analysis of the evidence available that is necessary in a professional undertaking, and is recommended in all well-known and authoritative works on auditing».
или
«…не смогли применить ту степень бдительности, въедливости и анализа имеющихся доказательств, которая необходима в профессиональной деятельности и рекомендуется во всех известных и авторитетных работах по аудиту».
Также в итоговом заключении Комиссии по ценным бумагам и биржам прозвучала знаковая фраза:
«We are convinced by the record that the review of the system of internal checks and controls at the Bridgeport offices of Mc Kesson and Robbins was carried out in an unsatisfactory manner. The testimony of the experts leads us to the further conclusion that this vital and basic problem of all audits for the purpose of certificating financial statements has been treated in entirely too casual a manner by many accountants. Since in examination of financial statements of corporations whose securities are publicly owned, the procedures of testing and sampling are employed in most cases, it appears to us that the necessity for a comprehensive knowledge of the client's system of internal check and control cannot be overemphasized».
или
«Нас убеждают материалы протокола, что оценка системы внутренних проверок и контролей в бриджпортских офисах «Мак Кессон и Роббинс» была проведена неудовлетворительно. Свидетельства экспертов приводят нас к дальнейшему выводу, что эта жизненно важная и основная проблема всех аудитов финансовой отчетности рассматривалась многими бухгалтерами слишком небрежно. Поскольку при проверке финансовой отчетности корпораций, ценные бумаги которых находятся в общественной собственности, в большинстве случаев применяются процедуры тестирования и выборки, нам представляется, что невозможно переоценить необходимость всестороннего знания системы внутренних проверок и контроля клиента».
Данное событие дало толчок акцентуации (да простят меня психиатры) темы контроля финансовой отчетности как со стороны менеджмента, так и бухгалтеров и аудиторов всех мастей. В 1939 году Комитет по аудиторским процедурам (создан Американским институтом бухгалтеров) в составе Руководства по аудиторским процедурам постановил, что:
«it is the duty of the independent auditor to review the system of internal check and accounting control so as to determine the extent to which he considers that he is entitled to rely upon it».
или
«обязанностью независимого аудитора является оценка системы внутренних проверок и бухгалтерского контроля, чтобы определить, в какой степени, по его мнению, он имеет право полагаться на нее».
В общем, именно с того момента, «горшочек» стал варить и, скорее, к сожалению, до сих пор, не перестал. К чему я вас мучаю этими детальными отсылками? Все просто – необходимо понимать, что вся история со внутренним контролем начиналась со вполне прагматических соображений, пусть и бухгалтерских. Чего не скажешь настолько однозначно про дальнейшее развитие событий.
Кстати, параллельно бурным событиям в корпоративной и законодательной сферах (упомянутых выше и не только), тема «внутреннего контроля» потихоньку прорастала и в сфере методологии аудита. Например, в 6-м издании «Аудит по Монтгомери» (1940 год) впервые прозвучало слово «контроль» как продолжение термина «внутренняя проверка» и 6 страниц были посвящены обсуждению темы системы внутренних проверок и контроля и внутреннего аудита (Монтгомери и Бринк считаются двумя ключевыми методологами в США как внешнего аудита (больше первый), так и внутреннего аудита (больше второй) и авторами соответствующей литературы). При этом термину «внутренняя проверка» было дано такое определение:
«arrangement of bookkeeping methods and procedures so that no part is under the absolute control of one person; and the work of each person is complementary to that of another».
или
«организация методов и процедур бухгалтерского учета таким образом, чтобы ни одна часть не находилась под абсолютным контролем одного человека; и работа каждого человека дополняла работу другого».
В 7-м издании «Аудита по Монтгомери» тема внутреннего контроля стала полноценным разделом. Термин «внутренний контроль» полностью заменил собой термин «внутренняя проверка». Однако, этому предшествовал выпуск Комитетом по аудиторским процедурам (Американский институт бухгалтеров) Положения по стандартам аудита, которое установило оценку системы внутреннего контроля клиента как один из стандартов работы:
«There is to be a proper study and evaluation of the existing internal control as a basis for reliance thereon and for the determination of the resultant extent of the tests to which auditing procedures are to be restricted».
или
«Необходимо провести надлежащее изучение и оценку существующего внутреннего контроля в качестве основы для его использования и для определения результирующего объема тестов, которыми должны быть ограничены аудиторские процедуры».
А несколько позже, в 1949 году, тем же Институтом было дано и свое определение понятия «внутренний контроль»:
«Internal control comprises the plan of organization and all of the coordinate methods and measures adopted within a business to safeguard its assets, check the accuracy and reliability of its accounting data, promote operational efficiency, and encourage adherence to prescribed managerial policies ... a "system" of internal control extends beyond those matters which relate directly to the functions of the accounting and financial departments».
или
«Внутренний контроль включает в себя план организации и все координационные методы и меры, принятые внутри предприятия для защиты его активов, проверки точности и достоверности данных бухгалтерского учета, повышения операционной эффективности и поощрения соблюдения предписанной управленческой политики... «система» внутреннего контроля выходит за рамки тех вопросов, которые относятся непосредственно к функциям бухгалтерского и финансового отделов».
В том же году, Комитет по аудиторским процедурам (Американский институт бухгалтеров) развил тему внутреннего контроля в исследовании «Internal Control: Elements of a Coordinated System and Its Importance to Management and the Independent Public Accountant» (Внутренний контроль: элементы скоординированной системы и ее важность для менеджмента и независимого публичного бухгалтера), а именно:
«…while the primary responsibility for the establishment and enforcement of internal control measures rests with management, the degree to which such measures exist and are carried out is of great concern to the public accountant…
… management has the responsibility for devising, installing, and ...supervising a system of internal control adequate to: (1) safeguard the assets of an organization; (2) check the accuracy and reliability of accounting data; (3) promote operational efficiency; and (4) encourage adherence to prescribed managerial policies».
или
«…хотя основная ответственность за введение и обеспечение соблюдения мер внутреннего контроля лежит на менеджменте, степень, в которой такие меры существуют и выполняются, являются объектом пристального внимания публичного бухгалтера…
…менеджмент несет ответственность за разработку, установку и... надзор за системой внутреннего контроля, обладающей возможностью: (1) обеспечить защиту активов организации; (2) проверить точность и достоверность учетных данных; (3) способствовать повышению операционной эффективности; и (4) поощрять соблюдение предписанных управленческих политик».
Как отмечают западные авторы, все это привело к тому, что к концу 1970-х «the independent auditor’s review of internal control for the purposes of determining the nature, timing, and extent of substantive testing and special-purpose reporting on an entity’s internal control system had almost become a settled part of an auditor’s responsibilities» (оценка системы внутреннего контроля, проводимая независимым аудитором в целях определения характера, сроков и объема детального тестирования и составления специального отчета о системе внутреннего контроля организации, практически стала неотъемлемой частью обязанностей аудитора). Речь, конечно, именно о внешнем аудиторе.
В 8-м издании «Аудита по Монтгомери» (1957 год) тема внутреннего контроля продолжила развиваться – 12 страниц было отведено под нее. Были выделены три направления в его составе – внутренний административный контроль, внутренний бухгалтерский контроль и внутренняя проверка.
В 9-м издании «Аудита по Монтгомери» (1975 год) тема внутреннего контроля освещалась уже в полный рост – целых 25 страниц. Впервые была представлена его структура в такой форме:
Формат валидации – Авторизация, Согласование, Проверка валидации.
Формат проверки на полноту – Числовая последовательность, Контроль по итоговым значениям, Накопительные папки/файлы, Напоминающие папки/файлы.
Формат реперформанса (повторения действий) – Двойная сверка, Пре-аудит.
Появился термин «дисциплинирующий контроль», представленный разделением обязанностей (да, это пресловутый segregation of duties), ограничением доступа, контролем супервайзера и внутренним аудитом (как дополнительная опция). В качестве синонима термину «внутренний административный контроль» был представлен термин «внутренний операционный контроль». Роль внутреннего аудита как части внутреннего контроля в этом издании была денонсирована, она осталась лишь как опция, часть «дисциплинарного контроля». За продвижение значимости внутреннего аудита для внутреннего контроля к этому времени уже во всю «топил» Бринк вместе со своей книгой.
Как все завертелось, да? И как содержательно, столько прям жизненно полезных терминов и ценных уточнений!
Тем временем, определение термину «внутренней контроль», данное в 1949 году Американским институтом бухгалтеров, и 4 цели/функции (см. перечень выше) подверглись критике. В 1958 году АИБ разделил внутренний контроль на две ветви – бухгалтерские контроли и административные контроли. К последним были отнесены цели/функции 3 и 4 (см. выше, «способствовать повышению операционной эффективности» и «поощрять соблюдение предписанных управленческих политик»). В первую очередь, это было сделано для того, чтобы вывести эти темы из сферы ответственности внешнего аудита.
В 1973 году определение внутреннего контроля опять было пересмотрено – уточнили различия между бухгалтерским и административным контролем (здесь они стали уже в единственном числе, а не как раньше во множественном). Цель по обеспечению «защиты активов» стала звучать как «the procedures and records that are concerned with safeguarding assets» (процедуры и записи, которые касаются обеспечения сохранности активов). Однако это был последний раз, когда определение внутреннего контроля было как-то «усушено».
Начиная с 1977 года, уже Американский институт сертифицированных бухгалтеров (с 1957 года так стал называться Американский институт бухгалтеров), начал активно продвигать тему внутреннего контроля. Этому во многом поспособствовал и Уотергейт, в ходе расследования которого выяснилось, что порядка 400 компаний совершили сомнительные или нелегальные переводы денежных средств на сумму более 300 млн. долларов (более 1,5 млрд. на текущий момент). Появляется FCPA (The Foreign Corrupt Practices Act) (принят Конгрессом США единогласно, что само по себе не слишком частое явление; есть мнение, что данный документ проложил дорогу к появлению и принятию SOX). При этом исследователи отмечают, что «although the FCPA made it clear that it is illegal for a public company to have an inadequate system of internal control, the Act did not at that time require public reporting on the effectiveness of internal control either by management or the external auditor» (хотя FCPA ясно дал понять, что для публичной компании незаконно иметь неадекватную систему внутреннего контроля, в то же время он не требовал публичной отчетности о результативности внутреннего контроля ни со стороны менеджмента, ни со стороны внешнего аудитора). В 1979 году, созданный под эгидой АИСБ Специальный Консультационный Комитет по внутреннему бухгалтерскому контролю (Special Advisory Committee on Internal Accounting Control) создает концептуальное руководство (framework) для «evaluating and assessing the effectiveness of such internal accounting controls and also monitoring compliance to obtain reasonable assurance for the purpose of providing management reports on internal controls» (оценки результативности такого внутреннего бухгалтерского контроля, а также мониторинга соблюдения требований для получения разумной уверенности в предоставлении менеджментом отчетов о состоянии внутреннего контроля). По мнению ряда исследователей, данное руководство послужило основой для последующего создания в 1992 году уже под эгидой COSO (The Committee of Sponsoring Organizations) той самой интегрированной модели внутреннего контроля («Internal Control—Integrated Framework»).
Однако, широкомасштабное внедрение всех этих новых требований не состоялось по банальной причине – противодействия со стороны бизнес-сообщества. Отчасти это связывают и с политическими изменениями с приходом Рейгана в 1980 году. Лишь в 1988 году Комиссия по ценным бумагам и биржам решилась на второй раунд с изданием документа под названием Отчет об ответственности менеджмента («Report of Management Responsibilities»). Во многом этому поспособствовала очередная порция корпоративных скандалов, связанных с корпоративным мошенничеством – кейсы компаний Drysdale Government Securities, Washington Public Power Supply System, Baldwin-United Corporation, ESM Securities и ZZZZ Best Corporation в середине 80-х. В 1985 году, под эгидой появившейся в этом же году, та-дам, COSO создается The National Commission on Fraudulent Financial Reporting (Treadway Commission) (Национальная комиссия по мошенничеству в финансовой отчетности (Комиссия Тредуэя)), которая в 1987 году глубокомысленно заявит, что некоторые случаи мошенничества с финансовой отчетностью, включали транзакции «under management's direct control and not part of the system of internal accounting controls» (под прямым контролем руководства, вне системы внутренних бухгалтерских контролей). На волне энтузиазма, к процессу продвижения «внутреннего контроля» активно подключаются все компании тогдашней Большой семерки. Стартует целая серия законодательных инициатив (25 слушаний в Конгрессе). При этом любопытно то, что термин «внутренний контроль» в то время легко и непринужденно заменялся на термины «internal accounting controls» (внутренние бухгалтерские контроли) и «internal administrative controls» (внутренние административные контроли). И еще более любопытно, что все эти законодательные инициативы… встретили активное сопротивление со стороны как бизнес-сообщества, так и Комиссии по ценным бумагам и биржам. С этого момента началась практически безрезультативная борьба на поле «внутреннего контроля» между законодателями, бизнес-сообществом, Комиссией по ценным бумагам и биржам к которой периодически подключались различные структуры, например, Американская банковская ассоциация (American Bankers Association).
В 1992 году появляется интегрированная модель внутреннего контроля COSO, чистой воды частная инициатива, на фоне практически безуспешного продвижения темы внутреннего контроля в законодательном поле. Которая тут же подвергается мощной критике со стороны государственных органов, например, U.S. General Accounting Office (Главное бухгалтерское управление США). Корпоративная Америка также без особого восторга восприняла появление этого эпичного документа. Согласно исследованию, проведенному в 1996 году компанией Coopers & Lybrand (сейчас это Pricewaterhouse-Coopers) лишь 7% генеральных директоров, 19% финансовых директоров и 4% среднего менеджмента признавали, что они в курсе, что есть такая модель. Про попытки ее внедрения лучше просто умолчать. Как отмечают западные исследователи: «This sorry state of affairs for the COSO Framework continued to exist until SEC rules implementing Section 404 of SOX tacitly legitimized the Framework as an acceptable control framework to assess the effectiveness of internal control over financial reporting under SOX 404» (Такое плачевное положение дел в отношении модели COSO продолжало существовать до тех пор, пока правила Комиссии по ценным бумагам и биржам, устанавливающие требования о необходимости соответствовать требованиям раздела 404 SOX, негласно узаконили модель в качестве приемлемой модели контроля для оценки результативности внутреннего контроля над финансовой отчетностью в соответствии с SOX 404).
Возможно, бодание вокруг темы закрепления общественных инициатив в отношении «внутреннего контроля» в законодательном поле продолжалось бы до сих пор. Но тут удачно подвернулся сюжет с компанией Enron, которая в начале ноября 2001 года таки призналась, что слегка «подкручивала» отчетность. События завертелись с завидной скоростью, подогреваемые по ходу еще и аналогичной историей с компанией WorldCom. В итоге, 30 июля 2002 года, президент Буш (младший) подписал публичный закон 107-204, который сейчас известен как Закон Сарбейнса-Оксли 2002 года или SOX (при этом раздел 404 начал действовать лишь в ноябре 2004 года). Ирония заключается в том, что во многом данный закон аналогичен похожему документу, который в 1978 году пыталась безуспешно конвертировать в законодательный акт АИСБ вместе с Комиссией по ценным бумагам и биржам. Почти четверть века назад, Карл!
Однако с появлением SOX появилось и движение, направленное на ослабление его влияния, что уже привело к ряду исключений из правил (например, так называемый закон JOBS). В западных исследованиях отмечают, что «since the enactment of SOX, an ongoing debate continues related to the implementation challenges and the costs and benefits of Section 404» (с момента принятия SOX продолжаются дебаты, связанные с проблемами реализации, а также затратами и выгодами раздела 404). Выдвигается предположение, что «…the debate on whether Section 404’s benefits exceed the cost will subside only with the passage of time, or when the opponents would achieve their goal of striking SOX 404 from the securities laws» (…споры о том, превышают ли выгоды раздела 404 затраты, утихнут только с течением времени или когда оппоненты достигнут своей цели — исключить SOX 404 из законов, касающихся оборота ценных бумаг).
На этом наш краткий экскурс в историю темы «внутреннего контроля» закончен и получается, что это в основном американская история. Есть еще похожие, но не такие насыщенные истории из других стран, той же Великобритании, например. Но они во многом вторичны, так как почти всегда присутствовала оглядка на американский опыт, но одновременно в какой-то степени и самобытны. Например, в 1980 году британский Консультативный комитет регуляторов бухгалтерской практики (Consultative Committee of Accountancy Bodies) выпустил такое определение:
«An internal control system is defined as being the whole system of controls, financial and otherwise, established by the management in order to carry on the business of the enterprise in an orderly and efficient manner, ensure adherence to management policies, safeguard the assets and secure as far as possible the completeness and accuracy of the records».
или
«Система внутреннего контроля определяется как вся система контролей, финансовых и иных, созданная менеджментом для того, чтобы вести деятельность предприятия упорядоченным и эффективным образом, обеспечивать соблюдение управленческих политик, обеспечивать защиту активов и насколько это возможно, полноту и точность записей»
При этом западные исследователи отмечают, что «the general trend … has been towards a "broader" view of internal control, a trend consistent with other control literature» (общая тенденция… была направлена на «более широкий» взгляд на внутренний контроль, и эта тенденция согласуется с другой литературой по вопросам контроля).
Наследие
Итак, спустя все это время в итоге мы получили по-своему уникальный термин и понятие, в отношении которого напрашиваются следующие наблюдения:
Игра в «волшебную таблетку»
В американском опыте четко прослеживается взаимосвязь качественных изменений в развитии темы «внутреннего контроля» с периодическими корпоративными мошенническими историями. Забавно, что каждый раз очередному качественному скачку предшествовала очередная такая история. С нетерпением ждем следующую уже с участием компании, активно соответствующей требованиям SOX. Уверен, что при таком подходе к понятию «контроль» это лишь вопрос времени.
Бухгалтерия в роли гуру менеджмента
Не знаю, обратили ли вы внимание на тот любопытный факт, что вся эта распиаренная тема «внутреннего контроля» в обертке COSO (и не только) это продукт… бухгалтеров. И всегда ею была на протяжении всей обозримой исторической перспективы. Конечно, бухгалтер со степенью CPA и бухгалтер после суровых российских курсов это, так скажем, несколько разные специалисты, но тем не менее. Может именно по этой причине COSO с таким скрипом встраивается в системы управления, создаваемые управленцами-практиками? Отторжение на генетическом уровне.
И еще один штрих. Попробуйте сами для себя ответить на вопрос – насколько вы готовы доверить принятие управленческих решений, касающихся как компании в целом, так и конкретных бизнес-процессов, тому бухгалтеру, которого вы лично знаете? А ведь именно к этому вас подталкивает то же COSO. Возможно, здесь я немного утрирую, но все же.
Взаимопревращение и «сверхтекучесть»
Предлагаю рассмотреть этот аспект на следующих примерах:
INTOSAI (The International Organization of Supreme Audit Institutions) (Международная организация высших органов аудита), GOV 9160 (стр.20):
«Managers are responsible for establishing an effective control environment in their organizations. This is part of their stewardship responsibility over the use of government resources. Indeed, the tone managers set through their actions, policies, and communications can result in a culture of either positive or lax control. Planning, implementing, supervising, and monitoring are fundamental components of internal control…
Internal control, or management control, helps to provide reasonable assurance that…»
или
«Менеджеры несут ответственность за создание действенной контрольной среды в своих организациях. Это часть их ответственности за управление использованием государственных ресурсов. Действительно, тот тон, который менеджеры задают посредством действий, политик и коммуникаций, может привести к формированию либо позитивной, либо расслабленной культуры контроля. Планирование, внедрение, надзор и мониторинг являются фундаментальными компонентами внутреннего контроля….
…Внутренний контроль, или управленческий контроль, помогает обеспечить разумную уверенность в том, что…»
Немного экзотики для разнообразия, Национальное руководство по системам внутреннего контроля, Филиппины (National Guidelines on Internal Control Systems (NGICS)).
«Management utilizes internal controls to regulate and guide its operations. In this sense, internal controls are management controls. The USGAO Standards for Internal Control in the Federal Government similarly states that “internal control which is synonymous with management control, helps government program managers achieve desired results through effective stewardship of public resources"».
или
«Менеджмент использует внутренние контроли для регулирования и управления своей деятельностью. В этом смысле внутренний контроль является управленческим контролем. В Стандартах внутреннего контроля USGAO в федеральном правительстве аналогичным образом говорится, что «внутренний контроль, который является синонимом управленческого контроля, помогает менеджерам государственных программ достигать желаемых результатов посредством эффективного управления государственными ресурсами».
Журнал по управленческому контролю (Journal of Management Control), май 2020 года.
«This inconsistency between the provided frameworks and legal requirements for organizations inherently leads to various interpretations of the term in both the academic and the professional literature. Such inconsistency also leads to a potential problem for the user of the internal control reports, such as when trying to link the terminology that is used in auditors’ reports back to that which is used in the professional literature or published guidelines and standards. The management control literature tends to understand the term as a ‘narrower scope definition of management control’ or the process of ‘strategy implementation’ and thereby sees internal control as a basis of information that feeds into both the strategic control (external focus) and the management control (internal focus) systems of an organization. Other authors, however, believe that internal control is a much more holistic concept. Power, for instance, states that internal control is nowadays much more an extension of risk management than an instrument of control and reaches ‘into every corner of organizational life’. Spira and Page similarly argue that internal control can be viewed as a ‘risk treatment’ that is increasingly institutionalized as a form of enterprise risk management».
или
«Это несоответствие между имеющимися концепциями и законодательными требованиями к организациям по своей сути приводит к различным толкованиям этого термина как в академической, так и в профессиональной литературе. Такая несогласованность также приводит к потенциальной проблеме для пользователей отчетов внутреннего контроля, например, при попытке связать терминологию, используемую в аудиторских отчетах, с той, которая используется в профессиональной литературе или опубликованных руководствах и стандартах. В литературе по управленческому контролю этот термин понимается как «более узкое определение управленческого контроля» или процесса «реализации стратегии» и, таким образом, внутренний контроль рассматривается как основа для получения информации, которая используется как для стратегического контроля (внешний фокус), так и для управленческого контроля (внутренний фокус) организации. Другие авторы, однако, полагают, что внутренний контроль – это гораздо более целостная концепция. Пауэр, например, утверждает, что внутренний контроль в настоящее время является скорее расширением риск-менеджмента, чем инструментом контроля, и проникает «во все уголки организационной жизни». Спира и Пейдж также утверждают, что внутренний контроль можно рассматривать как «инструмент управления рисками», который все чаще институционализируется как форма управления рисками предприятия».
Все три примера — это часть огромного множества источников (чтобы вы понимали, это многие, блин, (!) тысячи страниц), в которых «внутренний контроль» склоняется самым различным образом, попутно то оставаясь «внутренним контролем», то трансформируясь, как в приведенных примерах, в управленческий или какой-либо еще «-ий» контроль. Этому во многом способствует следующее наблюдение.
«Копать отсюда и до обеда»
В одной из своих статей, я уже как-то троллил определение термина «внутренний контроль», которое продвигает COSO – «внутренний контроль – это процесс, осуществляемый советом директоров, менеджментом и другим персоналом организации, направленный на обеспечение разумной уверенности в достижении целей, связанных с операционной деятельностью, подготовкой отчетности и комплаенс». Предлагал заменить первые два слова на слово «планирование» или вообще «регулярный прием пищи». Все это указывает на один важный нюанс – отсутствие должной конкретики в определении термина в отличии от подавляющего большинства других терминов. При этом – (1) формулировка термина весьма абстрактно взаимосвязана с содержанием; (2) термин не обозначает дифференцированный объект, имеющий четкие границы, так скажем, от остального окружающего мира. Разумеется, существует такое понятие и словосочетание как «сводный термин» или «сводное определение». Однако, проблема термина «внутренний контроль» в версии COSO в том, что условие дифференциации не соблюдается – в понятие включены не только контрольные процедуры, но и бизнес-процессы или их элементы во всем их многообразии. Многие из них являются сферой ответственности конкретных управленцев, их работой, функциональными обязанностями как части общей деятельности всех сотрудников компании по достижению ее реальных целей. И более того, много чего еще способно «обеспечивать разумную уверенность» в практическом смысле, тот же риск-менеджмент, например. И что еще более странно, так это пытаться использовать сводные термины или определения в законодательных актах. Кстати, возможно именно по этой причине сфера действия SOX 404 была ограничена именно финансовой отчетностью.
Что происходит с объектом, который трудно различим на общем фоне? Он легко теряется из виду. При таких вводных можно сказать, что термина «внутренний контроль» как и самого понятия… не существует в реальности. Оно как бы материализуется лишь при определенных ментальных усилиях, «истина в ушах слушающего». Вот только такой подход к формулировкам часто неуместен в ситуации с бизнес-лексикой.
«Поливитаминность» – частный случай
Эта статья не совсем про концептуальную модель внутреннего контроля COSO (хотя порой она всплывает моментами), но пару слов стоит сказать. Для этого я прибегну к такой аллегории. Представьте, что вы хорошо разбираетесь в здоровом образе жизни и питании. И для оптимальной версии вашего рациона вам не хватает, скажем, витамина С. Вы идете в аптеку, но там только поливитамины. А вам нужен только витамин С, остальные уже есть «под завязку». Воспользуетесь поливитаминами, придется ломать всю схему питания. Иначе получите побочные эффекты от передозировки. Так вот модель COSO это полная аналогия поливитаминов (причем только одного из множества возможных вариантов), только в приложении к системам управления. Это готовый комплект некой системы управления, причем во многом верхнеуровневый, при этом он не является целостным и универсальным. Он один из многих.
И еще один штрих. Как вы думаете, скажем, если прокачанному айтишнику нужен новый компьютер, он купит уже готовый, либо соберет его самостоятельно, подобрав оптимальную комбинацию компонентов, да еще и операционку сам установит и BIOS вручную настроит? Ответ очевиден. Так вот модель COSO это и есть этот готовый компьютер. С единственным отличием – вы поймете работает он или нет только когда включите его. При этом, надо еще будет найти правильную кнопку, да и внутри может оказаться, что вместо Ворда Блокнот, вместо Винды Нортон Коммандер, а вместо мышки управление кнопками. Если вы хотите считать себя настоящим профессионалом, нет не в области «внутреннего контроля», а в области создания систем управления компаниями и бизнес-процессами, вы должны уметь собирать такие системы из исходных компонентов – элементов контрольных процедур, бизнес-процессов и систем.
Бизнес-проект
Что является естественным для любой группы организмов? Расширение ареала обитания. С этой точки зрения, подавляющее большинство организаций и даже просто профессиональных объединений ведет себя аналогичным образом (например, см. концепцию «Голема» Андрея Лазарчука и Петра Лелика). Во всей теме «внутреннего контроля» проглядывают признаки бизнес-проекта – агрессивное продвижение, лоббирование, привлекательная упаковка, сетевой маркетинг и прочее. Самое забавное в том, что ни у кого нет четкого понимания содержания конечного продукта. Это больше напоминает конструктор, но при этом инструкций по сборке нет и любой ее вариант может считаться годным. Но это и является его фишкой. В таком формате он дает возможность приобщиться к бизнес-проекту любому желающему, вне зависимости от его ментальных и финансовых возможностей. Само определение термина «внутренний контроль» настолько расплывчато, что позволяет выдать бредовые умозаключения заурядной консалтинговой фирмочки за соответствующие мировым трендам. А что касается матерых контор, то там просто полет воображения. Правда эффект у аудитории в основном в стиле: «Ничего не понял, но очень интересно!». Особенно, когда интерес подогревается «подприлавочной» материальной мотивацией.
Абстрактность понятия «внутренний контроль» также потворствует его продвижению в качестве «волшебной таблетки», что долгосрочно лишь его дискредитирует. Но для ушлого консалтингового люда и «талантливых менеджеров» (само собой, рожденных таковыми или выпускников «школы жизни») девиз «Прибыль здесь и сейчас» всегда был решающим.
И еще один нюанс. В каком-то смысле, COSO застолбило за собой тему «внутреннего контроля». Поэтому получается, что даже если вы не разделяете ее взглядов, но продолжаете использовать данный термин, вы… все равно помогаете COSO и ее адептам. Допустим, кто-то впервые услышит от вас фразу «внутренний контроль». Захочет узнать побольше и полезет в Интернет. Что в первую очередь выдаст ему поиск? Правильно! COSO! Вот уж Ибу ибудэ дэдао вэйдадэ муди на практике (это цитата Мао Цзедуна «Шаг за шагом мы достигнем великой цели»).
Неземная мудрость
Возможно, имела место логика, обратная описанной в предыдущем пункте. Авторы концепции «внутреннего контроля» руководствовались исключительно благими пожеланиями. Все, что они хотели, это продвинуть тему контроля в корпоративный мир во благо всех причастных и в первую очередь тех, кто мало способен повлиять на решения корпоративных боссов, например, те же миноритарные акционеры. Поэтому они пошли по пути многих учений и сделали так, чтобы каждый мог увидеть в их учении что-то свое, но тем не менее так или иначе привязанное к понятию «контроль». Но при этом они намерено пошли на то, что их труд может быть использован не так как было задумано. Полагая, что в итоге плюсы перевесят минусы. Сложно судить насколько так получится в итоге, но такая версия имеет право на существование.
Груз минувших дней
Что вы будете делать, когда после десятков лет продвижения какой-то идеи вы вдруг осознаете, что лучше было бы все сделать иначе? Сможете ли вы отказаться от своей точки зрения, в которую вы вложили столько времени и усилий? Исторический экскурс, приведенный выше, показывает, что все это не так просто. Возможно, что современные авторы концепции «внутреннего контроля», действующие в рамках упомянутых организаций, являются просто заложниками ситуации. И они вынуждены гнуть свою линию просто потому, что иначе кардинальное изменение их позиции может отбросить тень на усилия и достижения всех тех вполне заслужено уважаемых людей, которые были до них. Сложный выбор для любого человека. И мало кто способен найти в себе мужество поступить наперекор. В первую очередь, потому что это дает незаслуженную фору твоим оппонентам. Которые могут руководствоваться совсем не благими намерениями.
Выводы
Представьте, что вы – танцор и даже выступаете на соревнованиях. И вот однажды, в одном из них появляется некий персонаж, который наряду с остальными соревнуется. Вот только все танцуют, а он… марширует. И так каждый раз. При этом персонаж искренне возмущается, что его постоянно опускают на «дно» итогового списка занятых мест. Мало того, он стучится в различные инстанции и на серьезных щах всячески доказывает, что он тоже танцор, его надо уважать и по достоинству оценивать. И не важно, что это достоинство видит только он. И вот спустя какое-то время вы с удивлением обнаруживаете, что на очередных соревнованиях вводится правило, что теперь марш тоже является танцем. А еще спустя какое-то время, вас ставят перед фактом, что с такого-то момента все участники соревнований должны включить в свое выступление элементы марша. При этом вы замечаете, что вокруг вас постепенно становится все больше людей, которые рассуждают в таком ключе, что де марш — это ведь такой же танец, ну своеобразный, да, но все же; некоторые советуют, что надо просто плавно маршировать и все будет норм, а некоторые вообще начинают утверждать, что марш — это единственный правильный вид танца. А еще спустя какое-то время, со всех сторон начинает продвигаться точка зрения, что в танце главное не эстетика и хореография, а просто движение как таковое и безопасность здоровья и что де марш для этого в самый раз, ну прям идеальный танец. Вот примерно такая история и произошла с понятием «внутренний контроль» в моем понимании. Особенно по линии усилий организаций наподобие COSO.
Возможно, я и перегибаю палку, ведь мы имеем дело с историей, которая началась чуть ли не сто лет назад. Но возможно исходный замысел оказался слишком неподъемен для ее продолжателей. И ситуация вышла из-под контроля и как это часто бывает, трансформировалась в нечто примитивное по причине того, что текущее бизнес-сообщество не вытягивает полноценную реализацию исходного замысла на практике.
Также каждый кто самостоятельно пытается погрузится в тему «внутреннего контроля», но при этом ограничивается лишь русскоязычными источниками, должен осознавать очевидный факт. На Западе тема «внутреннего контроля» муссируется уже не первый десяток лет, не говоря уже о всех нюансах, связанных с функционированием рыночной экономики, таких как корпоративное управление, регулирование субъектов рыночной экономики на законодательном уровне и иже с ними, а также состоянием академических исследований в этой сфере. И при этом, такие концепции как COSO и паноптикум интерпретаций понятия «внутренний контроль» — это та степень понимания, оптимальности и унифицированности, которой удалось достичь на текущий момент. Но когда все эти знания окольными путями проникают в нашу деловую среду, они обрастают такими слоями «трудностей перевода», когнитивных искажений, особенностей деловой культуры и амплитудой графоманских интерпретаций экспертов местного разлива (уходящей за горизонт здравого смысла), что по большей части трансформируются в карго-культ. У нас банально не было всего этого времени, и мы банально не приложили того объема усилий для достижения в среднем хотя бы их уровня развития в области управления в условиях рыночной экономики. Я регулярно провожу разбор наиболее выдающихся перлов домашней сборки а-ля «системы внутреннего контроля». И что-то мне подсказывает, что этого добра припасено у нас лет на сто вперед.
Я не знаю, как лучше действовать в данной ситуации с точки зрения конкретного специалиста, так или иначе имеющего дело со «внутренним контролем». Такого объема пустословия как вокруг данной темы надо еще поискать. А если еще и ограничиваться только домашними источниками информации, то может и «крыша протечь». Давайте я расскажу, что делаю я лично. Для меня данное понятие утратило практическое значение. В первую очередь, вследствие своей абстрактности, а также наличия достойных альтернатив. Я могу целиком отказаться от его использования и при этом это никак не отразится на качестве моей бизнес-коммуникации и непосредственно работы. И весьма часто я так и поступаю. Ведь если вдруг однажды произойдет немыслимое и все материалы (каковых наберется на пару свалок размером с Люксембург), где есть упоминание термина «внутренний контроль», вдруг исчезнут, мало кто, ориентированный на практику управления, почувствует какой-либо дискомфорт.
Я оставил этот «шедевр» в своей коллекции на случай взаимодействия с персонажами с отформатированным сознанием под «из каждого утюга» стандарты, обладающих отрицательным критическим мышлением, зомби-профи. Но в отличии от них, я знаю где реальность и могу в любой момент переместится из их мира в реальный мир. Для меня есть только понятие «контроль» как одна из ключевых функций менеджмента и часть цикла PDCA. В одно слово, без украшательств в виде прилагательных и без закатывания глаз при произнесении сих конструкций вслух.
Попробуйте мой подход! Вы точно ничего не потеряете. Только станете свободней от оков чужого замысла и обретете собственное понимание. В любом случае, окончательный выбор всегда за вами. Желаю, чтобы он оказался полезен для вас!
Да пребудет с вами контроль!