В одной из своих недавних статей я обещал подробно разобрать тему контролей корпоративного уровня (entity level controls). Выполняю обещанное.
Давайте начнем немного издалека, с определения термина «внутренний контроль». Один из наиболее распространенных вариантов звучит как «внутренний контроль – это процесс, осуществляемый советом директоров, менеджментом и другим персоналом организации, направленный на обеспечение разумной уверенности в достижении целей, связанных с операционной деятельностью, подготовкой отчетности и комплаенс». Именно этот вариант используется в известной концепции внутреннего контроля (Internal control framework) COSO. Его ключевая особенность в том, что он никак не дифференцирует смысл термина «внутренний контроль» по отношению к другим элементам системы управления организацией. Что имеется в виду? Попробуйте подставить вместо фразы «внутренний контроль» любое другое словосочетание, имеющее отношение к таким системам. Например, «планирование – это процесс, осуществляемый советом директоров, менеджментом и другим персоналом организации, направленный на обеспечение разумной уверенности в достижении целей, связанных с операционной деятельностью, подготовкой отчетности и комплаенс». Планирование — это элемент системы управления, первый из четырех шагов цикла PDCA, который, по мнению, например, Брайана Джойнера (коллега Эдвардса Деминга), «… is the essence of managerial work: making sure the job gets done today and developing better ways to do it tomorrow» (… это суть управленческой работы: убедиться, что работа выполнена сегодня, и разработать более эффективные способы ее выполнения завтра). Разве наличие эффективного процесса планирования не обеспечивает «разумной уверенности в достижении целей» организации? Попробуйте проделать такую подстановку со словами «управление», «координация», «принятие эффективных управленческих решений» и т.д. Все подобные варианты будут вполне себе логично звучать. А давайте попробуем действовать креативнее! Например, замените «внутренний контроль» на… «регулярный прием пищи» – «регулярный прием пищи это процесс, осуществляемый советом директоров, менеджментом и другим персоналом организации, направленный на обеспечение разумной уверенности в достижении целей…». Разве с этим можно поспорить? Если все эти люди будут регулярно питаться, они обеспечат свою функциональность, а значит и пресловутую «разумную уверенность в…» путем выполнения своих обязанностей. И вообще много какие бытовые (осмотрительное использование опасных бытовых приборов и т.д.) и физиологические процессы (здоровый сон, полноценный отдых и т.д.) могут осуществлять все эти люди и все эти процессы позволят им поддерживать здоровье тела и духа, а значит и обеспечивать «разумную уверенность в достижении целей…». Думаете я глумлюсь? Отнюдь. Просто не надо давать обтекаемые определения важным терминам. А причина этой обтекаемости в первую очередь в отсутствии понимания сути. В нашем конкретном случае, сути внутреннего контроля.
История с так называемыми «контролями корпоративного уровня» это ровно тот же сценарий. Вот вам для примера три варианта определения данного термина из разных источников:
Контроли корпоративного уровня (далее ККУ) это:
- Управленческие механизмы, которые устанавливаются на уровне организации или подразделений и способствуют достижению целей организации, прямо или косвенно воздействуя на риски, присущие ее деятельности, позволяют более эффективно структурировать систему внутреннего контроля за счет влияния на контрольную среду в целом и на эффективность и количество контрольных процедур процессного уровня.
- Компоненты системы внутреннего контроля, оказывающие влияние на всю организацию в целом, на каждый из ее бизнес-процессов.
- Контроли, которые помогают обеспечить выполнение директив руководства, относящихся ко всей организации.
Давайте немного порассуждаем логически. Организация это система, состоящая из различных подсистем. В любой системе, даже малое воздействие на нее может иметь несопоставимо больший эффект. Принцип «Аннушка уже разлила масло» здесь очень даже работает. Например, на многих предприятиях окурок, брошенный в неположенном месте, может легко привести к пожару, а значит и к ущербу производственным активам, последующему снижению показателей предприятия. Допустим, в компании строго следят за тем, чтобы рабочие курили в положенных местах. Является ли этот контроль контролем корпоративного уровня? А ведь его успешность еще как может повлиять на судьбу организации в целом. И он плюс-минус соответствует всем вышеупомянутым вариантам определения термина «контроли корпоративного уровня».
Чтобы не погружаться в дебри анализа этих вариантов, перейдем сразу к выводу. Как и в случае с термином «внутренний контроль», их авторы также не вполне себе понимают, о чем идет речь. А причина довольно банальна – термин «контроли корпоративного уровня» не имеет ни малейшего практического смысла, это чистой воды исчадие софистики, которой поражена большая часть общераспространенной методологии внутреннего контроля. Каждый бизнес-процесс имеет значение и результат каждого из них оказывает влияние на организацию в целом. Также как и любая царапинка на коже человека в определенных обстоятельствах (например, при попадании грязи) может привести к далеко идущим последствиям.
Ну а теперь давайте кратко проанализируем что же так любят относить к "контролям корпоративного уровня" пациенты, подключенные к Матрице общераспространенной методологии внутреннего контроля. Начнем с авторитетов, например, Википедии. Ее английская версия содержит статью «Entity-level controls» (в русском варианте не нашел). Для читателей, владеющих иными языками, сделан перевод (см. Таблицу ниже). Здесь все просто – слева направо, название компонента на английском, перевод на русский, мои комментарии.
Компонент ККУ (англ.) |
Компонент ККУ (русс.) |
Комментарии |
Controls related to the control environment |
Контроли, относящиеся к контрольной среде |
Любая классификация должна придавать дополнительную ценность информации. Какой смысл в выделении контролей, «относящихся к контрольной среде»? Что такого полезного в этом действии? Почему это автоматом превращает их в «компонент ККУ»? Пользы приблизительно столько же, сколько в размышлении на тему «когда я иду, то кручу ли ногами Землю?» |
The company's risk assessment process |
Процесс оценки рисков компании |
Почему вдруг процесс оценки рисков стал контролем? Пусть и «корпоративного уровня». С точки зрения управления контроль это всегда сопоставление фактического результата с плановым/ожидаемым/желаемым. Оценка рисков это процесс оцифровки их вероятности и силы воздействия. |
Controls to monitor results of operations |
Контроли с целью мониторинга результатов хоз. операций |
Контроли результатов хоз. операций = контроли корпоративного уровня? В принципе дальше можно не продолжать. Деятельность любой компании это сплошные хоз. операции. |
Controls over the period-end financial reporting process |
Контроль над процессом подготовки финансовой отчетности на конец периода |
Есть подозрение, что владельцам данного контроля глубоко плевать куда он там отнесен какими-то полоумными. Что это для них меняет? Да, ничего. |
Internal audit |
Внутренний аудит |
Если проводится аудит столовой в филиале или дочерней компании, то это делает внутренний аудит менее «корпоративным контролем»? В общем, бред прогрессирует. И аудит это один из инструментов контроля. Как, например, рулетка, только, как вы понимаете, несколько посложнее. |
Code of conduct |
Кодекс поведения |
Это регламент, а не контроль. |
Self-assessment |
Самооценка |
Есть вообще-то отдельный термин «control self-assessment» или самооценка контроля. Самооценка — это конечно контроль, так как любая оценка — это результат контроля (идет сравнение с некой эталонной шкалой). Вот только при чем тут «корпоративный».? |
Disclosure committee |
Комитет по раскрытию информации |
Это подразделение в крупных публичных компаниях. С таким же успехом сюда можно было включить все комитеты совета директоров (по вознаграждениям, стратегии и т.д.). Но почему-то в этом списке только комитет по аудиту. |
Policies & procedures manual |
Руководство (документ) по политикам и процедурам |
Документ, регулирующий вопросы создания внутренних ОРД. Как документ превращается в контроль? Любой документ это часть инфраструктуры управления бизнес-процессом. |
Remediation mechanism |
Механизм исправления |
Воздержусь от комментариев, так как что это за зверь точно не понятно. |
Internal communication and performance reporting |
Внутренняя коммуникация и отчеты о показателях деятельности |
Коммуникация это контроль? Ну-ну. Отчеты это контроль? Отчеты это структурированная информация, которая может использоваться в том числе для целей контроля. |
Board/audit committee reporting |
Отчетность для совета директоров/комитета по аудиту |
По аналогии с предыдущим пунктом. |
Segregation of duties |
Разделение обязанностей |
Это вообще-то метод управления вариативностью результатов бизнес-процессов. Или, другими словами, метод организации бизнес-процесса. |
System balancing and exception reporting |
Балансировка системы и отчеты об исключениях |
Воздержусь от комментариев, так как что это за зверь точно не понятно. Про отчеты было выше. |
Risk assessment methodology |
Методология оценки рисков |
С каких пор описание того, как что-то делать стало контролем? |
Governance |
Руководство (как действие) |
Воздержусь от комментариев, так как что это за зверь точно не понятно. Но в любом случае, любое руководство это не только контроль. |
Hiring and retention practices |
Практики найма и удержания персонала |
Это часть бизнес-процесса «Управление персоналом». На оптимизацию этих "практик" должны влиять результаты контроля их эффективности. Но сами "практики" контролем не являются. |
Controls over management override |
Контроль нарушений менеджментом установленных процедур |
Менеджмент форсирует контрольные процедуры сплошь и рядом, по поводу и без. Контроль соблюдения положения о командировках (типы билетов, уровень номеров в гостиницах и т.д.) тоже в ККУ будем записывать? |
Centralized processing and controls, including shared service environments |
Централизованная обработка и контроль, включая общие центры обслуживания (ОЦО) |
Наличие слов «централизованный», «общий», «центр» еще не означает, что это автоматом надо записывать в «корпоративный». Это просто способ организации бизнес-процессов. |
Controls to monitor other controls, including activities of the internal audit function, the audit committee, and self-assessment programs |
Контроль за выполнением контроля, включая деятельность службы внутреннего аудита, комитета по аудиту и программы самооценки. |
Ну ради такого случае надо поднять ставки. Пусть это будет не просто «корпоративный», а «метакорпоративный». Или лучше «надкорпоративный», ведь для оценки внутреннего аудита могут привлекаться сторонние эксперты. Чувствуете, как добавилась ценность после такого решения? Повеяло мощной пользой? |
Policies that address significant business control and risk management practices |
Политики, которые касаются существенных элементов системы контроля бизнес-процессов и управления рисками. |
Опять же, сам регламент это не контроль. Это просто документ, в котором в том числе могут описываться процедуры контроля, часть инфраструктуры СВК (систем внутреннего контроля). |
Whistle-blower hotline |
"Горячая линия" для информаторов |
Сообщения о том, что коллега спер тушенку со склада, и последующие разборки будем записывать в ККУ? |
IT environment and organizations |
ИТ-среда и организации |
Воздержусь от комментариев, так как что это за зверь точно не понятно. Что такое ИТ понятно. Каким боком оно стало ККУ, нет. |
Shared services |
Общие центры обслуживания |
Повтор. Через четыре строки выше. |
Oversight by the Board of Senior Management |
Надзор за топ-менеджментом со стороны совета директоров |
Ну, если сильно хочется, наверное, этот надзор можно назвать ККУ. Опять же, что это дает с точки зрения управления? Хоть с какой-то точки зрения? |
Variance analysis reporting |
Отчетность по анализу отклонений |
Про отчетность уже было. Выявление отклонений это как раз работа для внутреннего контроля. Просто внутреннего контроля. |
Management triggers embedded within IT systems |
Триггеры управления, встроенные в ИТ-системы |
Судя по всему, речь об ИТ-контролях. Теперь значит у нас ИТ-контроли = ККУ? |
Tone setting |
Управление «тоном сверху» |
«Тон сверху» был, есть и останется ключевым компонентом как корпоративной культуры, так и контрольной среды. А это самостоятельные понятия, зачем сюда ККУ приплетать. |
External communication |
Коммуникация со внешней средой |
Коммуникация это контроль? Ничего не понял, но очень интересно. |
Accounts reconciliations |
Сверка взаиморасчетов |
Одна из классических контрольных процедур. Видать в награду решили повысить ее статус до ККУ. |
Change management |
Управление изменениями |
Одно из популярных направлений менеджмента. Хотя в формате цикла PDCA существует уже давно. |
Risk assessment analytical techniques |
Аналитические методы оценки рисков |
Про оценку было выше. |
Assignment of authority and responsibility |
Управление полномочиями и ответственностью |
Раздача полномочий и наделение ответственностью это будничное упражнение в каждом бизнес-процессе. |
Fraud prevention/detection controls and analytical procedures |
Контроли, направленные на предотвращение/обнаружение мошенничества и аналитические процедуры |
Да, с мошенничеством нужно бороться. На любом уровне. |
Выводы
Как вы, надеюсь, смогли заметить, сложно понять критерии, по которым вышеперечисленные компоненты системы управления организацией отнесены к ККУ. Многие из них элементарно представляют собой отдельные бизнес-процессы или системы, имеющие мало общего между собой. Большая часть существует на любом структурном уровне организации, а не только на некоем мифическом «корпоративном». Все это очень напоминает подход «а давайте теперь будет так». И никто не заморачивался какой-то практической целесообразностью. А ведь есть ситуации, когда использование в словосочетании слова «корпоративный» действительно создает отдельный смысл. Например, корпоративная стратегия, которая может очень сильно отличаться, например, от стратегии отдельного бизнес-процесса. В отличии от той же стратегии, любой контроль всегда имеет предельно прикладное значение – он как бы «привязан» к параметрам результата конкретного бизнес-процесса. По этой причине у него не может быть обобщенной/укрупненной формы. Тот же контроль процесса создания корпоративной стратегии — это не «контроль корпоративного уровня», а просто контроль соответствующего бизнес-процесса. И это еще одна причина, по которой понятие «контроль корпоративного уровня» является полным абсурдом.
Извините, лонгрид получился. Мне почти в каждой строчке таблицы хотелось написать WTF, но старался давать комментарии по существу. Вдруг кому-то будет полезно.
Да пребудет с вами ИСТИНЫЙ контроль!