Всем добра!
Пару слов в качестве пролога.
Данная статья стала, пожалуй, самой знаковой моей статьей в 2024 году. В ней я в каком-то смысле подытожил размышления по соответствующей тематике. Я очень надеюсь, что она поможет сэкономить годы жизни тем, кто хочет потратить свое время на что-то более достойное, чем изучение бессмысленного словоблудия людей, скажем, с не совсем чистыми помыслами.
Она была опубликована на трех сайтах:
- Журнала «Акционерное общество» – 2 132 просмотра (на момент данной публикации).
- Сообщества менеджеров – 12 198 просмотров.
- Сайта audit-it.ru – 5 974 просмотра.
Там, где была возможность обратной связи, статья получила высокую оценку. На сайте Сообщества менеджеров статья не вошла в список лучших статей месяца исключительно по техническим причинам (формальная методика подсчета просмотров – если статья выходит в конце месяца, засчитываются просмотры только за остаток периода). На сайте audit-it.ru она вообще стала одной из популярнейших статьей по просмотрам за 2024 год. Результаты на сайте журнала «Акционерное общество» поскромнее, но там и аудитория несколько другая.
К слову, только на сайте audit-it.ru размещен оригинал. На двух других площадках статья редактировалась. Насколько это имело смысл, каждый может оценить сам. В моем случае, редактура скорее делает хуже. «Пересушка» текста местами бывает избыточной. После издания второй книги, у меня на этот счет появился «пунктик» (во второй книге, редактура сильно повлияла на стиль изложения, по сути, сделав книгу более пресной).
Итак, сама статья далее (вы всегда можете поделится своим мнением в чате https://t.me/ok_kontrol_clan_chat. Больше материалов по теме на канале https://t.me/ok_kontrol).
Три «всадника управленческого апокалипсиса» – риск-менеджмент, внутренний контроль и внутренний аудит
В данной статье хотелось бы слегка вывернуть «мехом внутрь» три известных управленческих инструмента, а именно риск-менеджмент, внутренний контроль и внутренний аудит, и показать их с той стороны, которая обычно не бросается в глаза. Всех их в разное время прибило к нашим берегам «ветром перемен» с условного Запада. При этом сюжет их появления в российской управленческой практике, по сути, очень напоминает истории обмена между «белым человеком» и «туземцем» к несоизмеримо большей выгоде первого по сравнению с последним. Вот только что касается управленческих технологий, то в нашем случае произошел обмен ролями и в «туземцев» превратились уже мы. При этом местами, наши управленцы проявили себя как «туземцы» в кубе, присовокупив к этим трем «всадникам управленческого апокалипсиса» еще и прямо-таки остервенелое рвение в духе леммингов и «старый добрый» карго-культ.
Что же не так с риск-менеджментом, внутренним контролем и внутренним аудитом? Давайте разбираться.
Общее для всех этих трех управленческих инструментов это… «кривой» перевод первоисточников, порой даже с искажением исходного смысла и созданием собственных терминов, отсутствующих в оригинале. Например, в одной из распространенных версий перевода стандарта ИСО 31000 «Риск-менеджмент», один из ключевых терминов «controls» переведен как «средства контроля», что противоречит смыслу исходного определения (правильный перевод «меры по управлению рисками»). А, например, так широко используемое в российском внутреннем аудите слово «проверка» вообще отсутствует в западной методологии (на Западе внутренний аудит не «проверяет», а «оценивает» и «анализирует»).
Далее, дабы не загружать статью деталями, остановимся на наиболее претенциозных и парадоксальных нюансах.
В данной статье хотелось бы слегка вывернуть «мехом внутрь» три известных управленческих инструмента, а именно риск-менеджмент, внутренний контроль и внутренний аудит, и показать их с той стороны, которая обычно не бросается в глаза. Всех их в разное время прибило к нашим берегам «ветром перемен» с условного Запада. При этом сюжет их появления в российской управленческой практике, по сути, очень напоминает истории обмена между «белым человеком» и «туземцем» к несоизмеримо большей выгоде первого по сравнению с последним. Вот только что касается управленческих технологий, то в нашем случае произошел обмен ролями и в «туземцев» превратились уже мы. При этом местами, наши управленцы проявили себя как «туземцы» в кубе, присовокупив к этим трем «всадникам управленческого апокалипсиса» еще и прямо-таки остервенелое рвение в духе леммингов и «старый добрый» карго-культ.
Что же не так с риск-менеджментом, внутренним контролем и внутренним аудитом? Давайте разбираться.
Общее для всех этих трех управленческих инструментов это… «кривой» перевод первоисточников, порой даже с искажением исходного смысла и созданием собственных терминов, отсутствующих в оригинале. Например, в одной из распространенных версий перевода стандарта ИСО 31000 «Риск-менеджмент», один из ключевых терминов «controls» переведен как «средства контроля», что противоречит смыслу исходного определения (правильный перевод «меры по управлению рисками»). А, например, так широко используемое в российском внутреннем аудите слово «проверка» вообще отсутствует в западной методологии (на Западе внутренний аудит не «проверяет», а «оценивает» и «анализирует»).
Далее, дабы не загружать статью деталями, остановимся на наиболее претенциозных и парадоксальных нюансах.
Риск-менеджмент
Артефакты vs универсальная операционная методология
В российской практике риск-менеджмента чаще всего вы столкнетесь с многословными рассуждениями на тему политики по риск-менеджменту, реестра рисков, вселенной рисков, идентификации и оценки рисков, паспорта рисков. Все это и представляет собой то, что и называется «артефактами». В независимости от масштабности и степени креативности (а скорее, кривотивности) собранной коллекции, все эти «артефакты» будут иметь практическую значимость, стремящуюся к нулю. В подавляющем большинстве случаев за «артефактами» следует пустота и отсутствие конкретного ответа на вопросы «что делать?» и «как делать?».
Нюанс в том, что, например, даже в той же кулинарии намного больше универсальной методологии, чем в риск-менеджменте. Последний, в его общераспространенном содержании, это больше философия, в лучшем случае его можно конвертировать в набор принципов. Но вы никогда не увидите нечто похожее на вразумительное пошаговое описание действий для достижения физически измеримого и практически ценного результата. Другим словами, всего того, что можно назвать методологией операционной деятельности по управлению рисками. Да, есть, например, такие методики, как например, «инструмент для оценки финансового риска VaR (ValueAtRisk)», но это всегда точечные и дискретные истории, обычно имеющие солидный перечень «противопоказаний» и «побочных эффектов». Вообще, наиболее продвинутым подходом в профессиональной среде сейчас считается интеграция управления рисками в процесс принятия решений. Но, опять же, в русскоязычных источниках вы мало где встретите даже упоминание об этом. И еще меньше (а скорее всего, вообще ничего) про то, как именно это лучше делать.
Артефакты vs универсальная операционная методология
В российской практике риск-менеджмента чаще всего вы столкнетесь с многословными рассуждениями на тему политики по риск-менеджменту, реестра рисков, вселенной рисков, идентификации и оценки рисков, паспорта рисков. Все это и представляет собой то, что и называется «артефактами». В независимости от масштабности и степени креативности (а скорее, кривотивности) собранной коллекции, все эти «артефакты» будут иметь практическую значимость, стремящуюся к нулю. В подавляющем большинстве случаев за «артефактами» следует пустота и отсутствие конкретного ответа на вопросы «что делать?» и «как делать?».
Нюанс в том, что, например, даже в той же кулинарии намного больше универсальной методологии, чем в риск-менеджменте. Последний, в его общераспространенном содержании, это больше философия, в лучшем случае его можно конвертировать в набор принципов. Но вы никогда не увидите нечто похожее на вразумительное пошаговое описание действий для достижения физически измеримого и практически ценного результата. Другим словами, всего того, что можно назвать методологией операционной деятельности по управлению рисками. Да, есть, например, такие методики, как например, «инструмент для оценки финансового риска VaR (ValueAtRisk)», но это всегда точечные и дискретные истории, обычно имеющие солидный перечень «противопоказаний» и «побочных эффектов». Вообще, наиболее продвинутым подходом в профессиональной среде сейчас считается интеграция управления рисками в процесс принятия решений. Но, опять же, в русскоязычных источниках вы мало где встретите даже упоминание об этом. И еще меньше (а скорее всего, вообще ничего) про то, как именно это лучше делать.
Риск-менеджмент без… рисков
Если вы присмотритесь к существующей «практике» риск-менеджмента повнимательнее, то скорее всего заметите один любопытный нюанс. В качестве его объектов выступают два типа рисков. Первый тип – это, условно говоря, полноценные риски, что-то вроде изменений погоды, действий участников рынка, законодательных инициатив, форс-мажорных обстоятельств и тому подобного. Другими словами, это то, что происходит вне вашей компании, во внешней по отношению к ней среде. Это и представляет собой реальную неопределенность, а она и является мерой риска. Второй тип – это обстоятельства, которые изнутри вашей компании влияют на результаты как отдельных процессов, так и компании в целом. Однако, в большинстве случаев эти обстоятельства не создают значимой неопределенности. Другими словами, это часть повседневной управленческой работы по управлению отклонениями и изменениями. Например, возьмем такой «риск» как «некачественный ремонт». Если внутри компании, в какой-то момент, ремонт вдруг стал «некачественным», то все, что необходимо сделать, это установить причины данного отклонения. И выполнить ряд действий для возврата результатов процесса (например, пробег/часы наработки после ремонта, работа в заданном режиме эксплуатации, нормативная величина эксплуатационных расходов и т.д.) в диапазон значений, которые интерпретируются как «качественный» ремонт. Это повседневная управленческая задача – обеспечивать требуемое функционирование конкретного процесса. Для подавляющего большинства сценариев такого рода действий отсутствует практическая целесообразность использовать термин «риск».
Парадокс в том, что в российской версии риск-менеджмента (впрочем, и на Западе тоже) акцент часто делается именно на втором типе рисков, которые то и рисками называть нет особой необходимости. А по-хорошему, настоящая ценность риск-менеджмента заключается именно в способности и возможности хоть как-то управлять полноценными, внешними рисками. Почему «хоть как-то управлять»? Да потому что в большинстве случаев у вас больше шансов лишь своевременно и адекватно отреагировать на факт реализации риска и его последствия, чем повлиять на сам факт реализации. Отсюда, кстати, и берет свое начало концепция, которую Нассим Талеб изложил в своей книге «Антихрупкость. Как извлечь выгоду из хаоса». По большему счету, даже с учетом всех современных возможностей и технологий, все прогнозирование и оценка рисков сводится к одной фразе – «Все может быть!». Отсюда, на первое место выходит скорость и адекватность реакции, а не точность прогнозов. Вкупе, с оптимальным состоянием процессов компании и ее корпоративной культуры.
Внутренний контроль
«Тот, кого нельзя называть…»
У данного термина существует определение, но парадокс в том, что вам станет не сильно понятней, что собой представляет «внутренний контроль» даже если бы вы вдруг знали его. Звучит это определение так – «внутренний контроль – это процесс, осуществляемый советом директоров, менеджментом и другим персоналом организации, направленный на обеспечение разумной уверенности в достижении целей, связанных с операционной деятельностью, подготовкой отчетности и комплаенс». Догадываетесь теперь, в чем парадокс? Вместо словосочетания «внутренний контроль» подойдет еще множество слов, которые обозначают вещи или явления, способствующие «обеспечению разумной уверенности в…», поскольку много чего еще может этому способствовать, включая, например… вовремя прозвеневший утром будильник (вовремя пришел на работу, значит своевременно начал «обеспечивать…», а значит больше «наобеспечил…» к определенному моменту).
Сам по себе данный термин вступает в прямой конфликт с термином «контроль» как одной из базовых функций менеджмента. Последний в отличие от первого имеет предельно четкое и конкретное определение с управленческой точки зрения как «процесс выяснения того, является ли что-то безопасным, правильным, достоверным или находится в том состоянии, в котором должно находиться» или, другими словами, сравнение/сопоставления итогового/фактического результата с плановым/ожидаемым. Управленческого хаоса добавляет тот факт, что частенько термин «внутренний контроль» используется как синоним термина «контроль» при том, что их суть существенно различается.
«Тот, кого нельзя называть…»
У данного термина существует определение, но парадокс в том, что вам станет не сильно понятней, что собой представляет «внутренний контроль» даже если бы вы вдруг знали его. Звучит это определение так – «внутренний контроль – это процесс, осуществляемый советом директоров, менеджментом и другим персоналом организации, направленный на обеспечение разумной уверенности в достижении целей, связанных с операционной деятельностью, подготовкой отчетности и комплаенс». Догадываетесь теперь, в чем парадокс? Вместо словосочетания «внутренний контроль» подойдет еще множество слов, которые обозначают вещи или явления, способствующие «обеспечению разумной уверенности в…», поскольку много чего еще может этому способствовать, включая, например… вовремя прозвеневший утром будильник (вовремя пришел на работу, значит своевременно начал «обеспечивать…», а значит больше «наобеспечил…» к определенному моменту).
Сам по себе данный термин вступает в прямой конфликт с термином «контроль» как одной из базовых функций менеджмента. Последний в отличие от первого имеет предельно четкое и конкретное определение с управленческой точки зрения как «процесс выяснения того, является ли что-то безопасным, правильным, достоверным или находится в том состоянии, в котором должно находиться» или, другими словами, сравнение/сопоставления итогового/фактического результата с плановым/ожидаемым. Управленческого хаоса добавляет тот факт, что частенько термин «внутренний контроль» используется как синоним термина «контроль» при том, что их суть существенно различается.
«Из тьмы веков» – история создания и появления
Все началось в 30-х годах прошлого века, когда концепция внутреннего контроля была впервые официально декларирована, что дало старт череде бурных эволюционных изменений как самого понятия, так и его функционального содержания. Опуская подробности, можно отметить два ключевых факта – во-первых, «внутренний контроль» — это во многом изобретение бухгалтеров, во-вторых, его проникновение в управленческий инструментарий и сленг — это комбинация активности ряда заинтересованных частных и окологосударственных структур (в основном, американских), стечения обстоятельств, управленческого невежества, авторитета американских институтов, материальной заинтересованности сферы консалтинга и карго-культа.
Термин «внутренний контроль» исключительно искусственной природы, даже можно сказать, надуманный, так как для объектов и явлений, которые с его помощью пытаются обозначить и описать, есть свои исходные определения. А кроме того, он еще сбивает с толку и запутывает. Например, очень часто адепты «внутреннего контроля» относят разделение обязанностей (segregation of duties) к одному из классических «внутренних контролей». Но, по сути, оно означает, что функции распределены и выполняются таким образом, что исключается возникновение конфликта интересов, помимо эффекта специализации и стандартизации. Другими словами, речь про организацию выполнения процесса, что является одной из ключевых функций менеджмента. Так зачем в это управленческое понятийное поле, где все уже имеет свои названия и свою логику, вводить новый термин весьма абстрактного содержания? Ко «внутренним контролям» также принято относить, например, …обучение сотрудников, документирование транзакций, письменные политики и процедуры и еще много чего подобного. Потому и неудивительно, что этот мирок «внутреннего контроля» (а ведь существует, например, целая интегрированная модель, описанная в книжке на пару сотен страниц) вызывает стойкое отторжение среди представителей менеджмента. Тех, кому есть чем заняться, разумеется, и тех, кто знаком с многообразием управленческих учений и методологий (от Деминга, Шухарта, Кови, Джурана, Питерса и других до кибернетики и общей теории систем).
Внутренний аудит
От сути к… этикетке
Мало кто обращает внимание на тот любопытный факт, что в каком-то смысле внутреннего аудита… не существует. Ведь если задуматься, что такое «внутренний аудит»? (опять же, каноническое определение оставляет безбрежный простор для воображения, и не стоит думать, что это случайность). Ведь, внутренний аудит с какого-то момента превратился из функции в… торговую марку. Исторически, начиная где-то с 50-х годов прошлого века, его функционал разрастался и в какой-то момент (где-то в начале 2000-х) окончательно «вышел из берегов». Внутренний аудит от компании к компании может различаться КАРДИНАЛЬНО, вплоть до самых мелочей, начиная от компетенций сотрудников и заканчивая тематикой работы (это, например, как если бы в одной компании отдел закупок покупал, а в другой –… воровал и грабил, но при этом, и те и другие считались бы закупщиками). А в основе лежит одна единственная причина – суть функции. Ведь внутренний аудит — это… анализ, анализ существующей информации с целью ее оценки, изменения или создания новой информации. В данных обстоятельствах вполне можно считать внутренний аудит просто функцией бизнес-аналитики (кстати, нередко вы можете столкнуться с тем, что слово «аудит», но без приставки «внутренний», используется как синоним слова «анализ»). Весь вопрос только в степени ее сложности. Самый примитивный уровень – ревизии (и не только финансовые), самый сложный – моделирование (например, для целей реинжиниринга процессов) и прогнозирование, особенно с использованием ИТ технологий (да, и этим кое-где также занимаются внутренние аудиторы; просто мечта, а не профессия, всем на зависть).
Кстати, внутренний аудит – это одна из немногих профессий, где профессиональные стандарты описывают что угодно, но только не прямой функционал. Другими словами, если, скажем, хирург будет оперировать вас, руководствуясь так называемыми протоколами (некий аналог стандартов), в которых, упрощенно, будет предписываться выполнение тех или иных манипуляций в зависимости от состояния пациента и конкретного органа, то внутренний аудитор выполняет свою работу, основываясь исключительно на собственной (!) интуитивной (чаще всего) оценке информации, которая попадает в его распоряжение и какую он способен воспринять. Да, конечно, это один из возможных подходов к проведению анализа, но во внутреннем аудите он вне конкуренции.
От сути к… этикетке
Мало кто обращает внимание на тот любопытный факт, что в каком-то смысле внутреннего аудита… не существует. Ведь если задуматься, что такое «внутренний аудит»? (опять же, каноническое определение оставляет безбрежный простор для воображения, и не стоит думать, что это случайность). Ведь, внутренний аудит с какого-то момента превратился из функции в… торговую марку. Исторически, начиная где-то с 50-х годов прошлого века, его функционал разрастался и в какой-то момент (где-то в начале 2000-х) окончательно «вышел из берегов». Внутренний аудит от компании к компании может различаться КАРДИНАЛЬНО, вплоть до самых мелочей, начиная от компетенций сотрудников и заканчивая тематикой работы (это, например, как если бы в одной компании отдел закупок покупал, а в другой –… воровал и грабил, но при этом, и те и другие считались бы закупщиками). А в основе лежит одна единственная причина – суть функции. Ведь внутренний аудит — это… анализ, анализ существующей информации с целью ее оценки, изменения или создания новой информации. В данных обстоятельствах вполне можно считать внутренний аудит просто функцией бизнес-аналитики (кстати, нередко вы можете столкнуться с тем, что слово «аудит», но без приставки «внутренний», используется как синоним слова «анализ»). Весь вопрос только в степени ее сложности. Самый примитивный уровень – ревизии (и не только финансовые), самый сложный – моделирование (например, для целей реинжиниринга процессов) и прогнозирование, особенно с использованием ИТ технологий (да, и этим кое-где также занимаются внутренние аудиторы; просто мечта, а не профессия, всем на зависть).
Кстати, внутренний аудит – это одна из немногих профессий, где профессиональные стандарты описывают что угодно, но только не прямой функционал. Другими словами, если, скажем, хирург будет оперировать вас, руководствуясь так называемыми протоколами (некий аналог стандартов), в которых, упрощенно, будет предписываться выполнение тех или иных манипуляций в зависимости от состояния пациента и конкретного органа, то внутренний аудитор выполняет свою работу, основываясь исключительно на собственной (!) интуитивной (чаще всего) оценке информации, которая попадает в его распоряжение и какую он способен воспринять. Да, конечно, это один из возможных подходов к проведению анализа, но во внутреннем аудите он вне конкуренции.
Профессия-«лемминг»
Почему «лемминг»? Потому что сложно назвать профессию, которая так активно пытается себя… самоуничтожить (есть подозрения, что если бы не требования законодательства большинства стран, то судьба этой профессии в исходном виде была бы сильно иной). В силу того, что внутренний аудит очень вовлечен в тематику первых двух «управленческих инструментов», у него есть склонность создавать результаты, ценность которых с управленческой точки зрения ничтожна. Что весьма логично, так как риск-менеджмент и «внутренний контроль» в общераспространенном виде — это во многом параллельная вселенная с исчезающе малой практической пользой.
Внутренний аудит полон парадоксов. Например, лучшие результаты работы во внутреннем аудите достигаются… при выходе за рамки стандартов и общераспространенной методологии. Причем, чисто технически, здесь все объяснимо – так как внутренний аудит это в основном аналитическая работа, то здесь мало кто умеет реализовывать результаты анализа на практике. По этой причине, те внутренние аудиторы, которые дерзают и достигают в этом успеха, вызывают невольное восхищение у коллег. И здесь кроется следующий парадокс – результаты работы внутренних аудиторов часто оторваны от реальности (в силу вышеупомянутой причины в абзаце выше), но при этом… мало кто из них стремиться исправить этот досадное обстоятельство. Внутренние аудиторы оценивают работу систем управления, но при этом часто… мало что сами понимают в их функционировании (не знают ответа на вопрос «как?», но стандарты деятельности убеждают их в том, что… это нормально и не их ума дело).
И наконец, самый фееричный парадокс. Наиболее мейнстримным трендом в этой профессии считается роль, так скажем, «помощника бизнеса» или «бизнес-партнера». Хорошая идея в целом. Но при этом подавляющая часть внутренних аудиторов в России продолжает называть свою работу… «ПРОВЕРКОЙ». Ну и как вам такой «бизнес-партнер», который вместо взаимодействия, тычет вас в ваши недостатки, при том, что многие из них порой являются таковыми исключительно в его воображении?
Эпилог
Вот такие «управленческие инструменты» во многом по инерции («хозяева», различные международные ассоциации и компании, же отдалились от своей «паствы», остались только их «фамильяры») продолжают искать свой путь в управленческое сознание (порой через бессознательное), при этом часто продвигаются в качестве «волшебной таблетки» от всех корпоративных хворей (во многом, конечно, этому способствует и текущий уровень «развития» управленческих компетенций). У пары из них, риск-менеджмента и внутреннего аудита, есть определенный смысл и потенциал, при правильном применении и переосмыслении, разумеется, а не как это обычно бывает. Внутренний контроль — это очень специфичная история, этакая вещь в себе, попытка поверхностной и дискретной монополизации части управленческого инструментария, условно, под новым флагом, причем неудобные вопросы про него активно задаются и на самом Западе. Кстати, если бы не пресловутый Закон Сарбейнса-Оксли (который вообще касался исключительно финансовой отчетности), то возможно, о жизненной необходимости «внутреннего контроля» никто не слышал бы до сих пор.
Учитывая сегодняшние реалии, возможно, российская управленческая школа получила наконец-то так необходимую ей передышку от стороннего влияния, хотя инерция идолопоклонничества и карго-культа огромна. Весь вопрос как она ею воспользуется. Возврат к состоянию «до» явно не будет правильным решением. Но насколько она будет в состоянии создать что-то свое и, главное, лучшее с функциональной и управленческой точки зрения? Что ж, увидим, а, возможно, и поучаствуем. Успехов всем нам на этом тернистом пути!