среда, 4 сентября 2019 г.

Не работает внутренний контроль? Часть вторая. Наблюдательный совет.

Итак, в прошлый раз мы прошлись по первому принципу функционирования системы внутреннего контроля, который формирует требования к этическому поведению и обеспечивает контроль за их соблюдением. Тема местами для кого-то нудноватая, но очень важная, как основа системы внутреннего контроля.
Рискну предположить, что следующая тема вызовет гамму эмоций, большая часть из которых, будет совсем не связана с радостными воспоминаниями. Поэтому, прежде, чем к ней переходить, хочу сказать пару слов о целях данного цикла статей. Основная идея - изложить базовые принципы модели, заменив теоретические выкладки публикации COSO практическими примерами из жизни реальных компаний. Я не один год провел в аудите и консалтинге, работая в четырех странах с компаниями почти всех отраслей. И не питаю никаких иллюзий о том, какой процент компаний добился, скажем так, не очень выдающихся показателей в построении системы внутреннего контроля. Мне также повезло поработать в компаниях, где система внутреннего контроля работала на высоком уровне зрелости и вживую «пощупать» то, о чем пишет COSO. Лично для меня интересен опыт компаний, которые добились результатов. И почти не интересен тех, которые пытались. И не важно по причине каких экономических, социальных, физических или ментальных ограничений у них не получилось. Их опыт полезен только для примеров, почему так делать не нужно.
Двигаемся дальше. Я считаю, что каждый из пяти принципов жизненно важный для построения основы эффективной системы внутреннего контроля. Но второй принцип – особенный. В большинстве случаев, его неэффективная реализация делает внедрение системы внутреннего контроля бесконечным и безрезультативным процессом. А еще, на его реализацию тяжелее всего повлиять. Потому, что речь пойдет о совете директоров (наблюдательном совете или аналогичном надзорном органе).
Принцип 2: Совет директоров демонстрирует независимость от руководства и осуществляет надзор за развитием и осуществлением внутреннего контроля.
Как и у предыдущего, у второго принципа четыре точки фокуса:
  • Установление обязанностей по надзору.
  • Применение соответствующей экспертизы.
  • Независимая работа.
  • Обеспечение надзора за системой внутреннего контроля.
Рассмотрим их более детально.
Установление обязанностей по надзору. Совет директоров определяет и принимает свои обязанности по надзору в отношении установленных требований и ожиданий.
Структура надзора выстраивается в зависимости от наличия внешних требований. Такими могут быть стандарты листинга на фондовой бирже, требования законодательства, отраслевые стандарты и т.д. Если таковых требований нет – структура зависит от воли, знаний и навыков владельцев. Как правило, надзор осуществляется посредством профильных комитетов. С точки зрения системы внутреннего контроля интерес представляют следующие комитеты:
  • Комитет по назначениям – руководит отбором директоров и контролирует оценку высшего руководства. В частности, найм и увольнение главного исполнительного директора, оценку достижения целей и эффективности системы управления. 
  • Компенсационный комитет – осуществляет надзор за политикой и практикой вознаграждения высшего руководства, мотивирования ожидаемого поведения, балансирования стимулов для краткосрочных и долгосрочных результатов, увязки эффективности со стратегическими целями и соотношения компенсации с риском. 
  • Комитет по аудиту – осуществляет надзор за работой системы внутреннего контроля. Из чего состоит надзорная деятельность, рассмотрим чуть позже - в четвертой «точке фокуса». 
Упомянутые комитеты напрямую влияют на мотивацию высшего руководства задавать тон и руководить внедрением и функционированием системы внутреннего контроля. Без подобного стимулирования, вероятность того, что высшее руководство по доброй воле озадачится вопросами внутреннего контроля, достаточно низкая. Деятельность внутреннего контроля будет восприниматься, либо как дополнительная нагрузка, либо хуже того – досадная помеха. К мотивации мы еще вернемся в части, посвященной пятому принципу.
Для полноты картины можно еще упомянуть комитет по рискам, который характерен для финансовых компаний, и комплаенс-комитет, характерный для отраслей с жестким внешним регулированием. Оба этих случая – выполнение внешних требований. И, как мы знаем, что-то созданное не по своей воле, а по воле регулятора, к реальной эффективности системы внутреннего контроля имеет очень отдаленное отношение. Поэтому про них все. 
А пока поговорим о навыках и опыте, которые нужны надзорному органу для выполнения функций по надзору за системой внутреннего контроля.
Применение соответствующей экспертизы. Совет директоров определяет, поддерживает и периодически оценивает навыки и знания, необходимые своим членам, чтобы они могли задавать оценивающие вопросы высшему руководству и предпринимать соответствующие действия.
Навыки и опыт можно разделить на общие, которые ожидаются от всех членов наблюдательного совета (или аналога), и специфические, необходимые для функционирования системы внутреннего контроля.
К общим традиционно относятся честность и этические стандарты, лидерство, критическое мышление и решение проблем. К специализированным навыкам и опыту относятся:
  • Менталитет внутреннего контроля (например, профессиональный скептицизм, перспективы подходов к выявлению рисков и реагированию на них, а также оценка эффективности системы внутреннего контроля)
  • Знание рынка и компании (например, знание продуктов / услуг, цепочки создания стоимости, клиентской базы, конкурентов)
  • Финансовая экспертиза, включая финансовую отчетность (например, стандарты бухгалтерского учета, требования к финансовой отчетности)
  • Правовая и нормативная экспертиза (например, понимание действующих законов, правил и стандартов)
  • Социальная и экологическая экспертиза (например, понимание ожиданий социальных и экологических ожиданий и действий)
  • Стимулы и компенсация (например, знание рыночных ставок и методов компенсации)
  • Соответствующие системы и технологии (например, понимание проблем и возможностей критически важных систем и технологий) 
 Разумеется, поскольку компания не стоит на месте, опыт должен регулярно оцениваться с учетом меняющихся потребностей организации.
Если нужной экспертизы нет – конструктивного диалога построить не получится. Будет непонятый диалог на непонятном языке.
Кстати о непонятном. Какой бы большой экспертизой не обладали члены наблюдательного совета, никогда не лишним будет в начале договориться о терминах. Иначе эта экспертиза может сыграть злую шутку. Небольшая история для иллюстрации. Случилось это на встрече с наблюдательным советом, посвященной построению системы внутреннего контроля. Пока мы говорили в целом, все было хорошо. Когда же мы перешли к необходимости формирования контрольной среды с описанием кодекса этики и других прелестей, неожиданно послышались категорические возражения. В духе «это все на западе, а у нас такое не может быть никогда». Первой моей реакцией был шок. Основная задача была «выстраивание системы внутреннего контроля в соответствие с требованиями COSO». И без контрольной среды внедрение компонент превращалось в сизифов труд. Потом до меня дошло, что про термины мы не договорились и в дискуссии явно просматриваются признаки их разночтения.  Пришлось, отбросив пафос публикаций COSO и, вооружившись методом KISS, рассказывать суть каждого из терминов, как я их понимаю. После этого снова рассказать уже с единым трактованием терминов, что мы собираемся делать и зачем. Не могу сказать, что это далось мне легко, но на следующем заседании комитета мы уже говорили не о том, нужно ли это внедрять, а о том, как ускорить внедрение этого.
Переходим к следующей «точке фокуса», которую без преувеличения можно назвать Ахиллесовой пятой системы внутреннего контроля.
Работа независимо. Совет директоров состоит из достаточного числа членов, которые не зависят от руководства и объективны в оценках и принятии решений.
В теории все звучит здорово:
Совет директоров независим от руководства и демонстрирует соответствующие навыки и опыт в выполнении своих обязанностей по надзору. Независимость проявляется в объективности мнения, действиях, внешности и фактах членов совета директоров. Публичным компаниям, как правило, требуется, чтобы большинство их директоров были независимыми и не имели текущих или недавних личных или профессиональных отношений с предприятием.
Поскольку совет должен всегда активно участвовать и быть готовым подвергать сомнению и тщательно изучать деятельность руководства, представлять альтернативные взгляды и иметь смелость действовать перед лицом очевидных или предполагаемых проступков, необходимо, чтобы в состав совета входили независимые директора. Конечно, должностные лица и служащие привносят глубокие знания об организации, но независимые директора, обладающие соответствующим опытом, ценят свою беспристрастность, здоровый скептицизм и объективную оценку.
На практике все немного сложнее. Для каких-то компаний достаточно непросто найти кандидата, который, обладая знаниями отрасли и компании, не имел текущих или недавних личных или профессиональных отношений с предприятием.
Но найти мало – нужно еще и дать определённую свободу в решениях. Для некоторых компаний (а точнее их владельцев) сама мысль о делегировании полномочий никак не дается. Акционеры вроде ушли из операционного управления в наблюдательный совет, но продолжают через головы нанятых по случаю генеральных раздавать прямые указания в операционке. А что, если их несколько, и эти указания противоречат друг другу? В таких компаниях корпоративное управление – всего лишь дорогая игрушка на похвастаться перед другими.
В других компаниях акционеры ушли в наблюдательный совет, но он преимущественно состоит из родственников и близких. Стремление доверять только своим понятно и очевидно. Но обладают ли они необходимыми навыками и опытом? Даже если они тоже вышли из операционного управления вместе с владельцами и хорошо понимают нюансы компании. Во-первых, под определение «независимый» они никак не попадают. Они просто делают так, как сказал владелец. Во-вторых, условия «тогда» и «сейчас» могут радикально отличаться. Одно дело управлять по серым схемам, имея хорошее подспорье в виде неуплаченных налогов. Тут можно обходиться лишь управленческой отчетностью и интуицией. Но, если владельцы решили переходить прозрачные и «белые» схемы для того, чтобы переводить бизнес на новый уровень, этих навыков может быть недостаточно, а где-то будут даже мешать. В наблюдательном совете могут быть люди с приставкой «независимый» в титуле. Но чаще всего, слово «независимый» символизирует не независимое и объективное мнение, а то, что от этого мнения ничего не зависит. Такой себе набор дорогих консультантов, настаивающих на том, что их дело – рекомендовать, но если кто-то не согласен с рекомендацией – то и ладно. Если что – «они же говорили».
По сюжету, дальше должно быть про зрелые компании, где ситуация радикально лучше. Но это - не тот случай. В большинстве остальных организаций на уровне аудиторских комитетов преобладает вялое и пассивное поведение, которое ну никак не помогает достигать тех заветных целей. И это не какая-то там «местная специфика». Аналогичная картина наблюдается и «цивилизованных» странах. Причины приблизительно у всех одинаковые: нежелание владельцев контрольных пакетов делится полномочиями, местами усугубленное недостатком экспертизы и внутриполитическими играми.
Двое канадских ученых - Ричард Лебланк и Джеймс Гиллис длительный период изучали деятельность советов директоров различных компаний Канады.  Книга по результатам этого исследования уже старенькая, но набор цитат из нее ни капли не утратил актуальности и здорово иллюстрирует общую картину:
«Либо ты поступаешь, [как хочет владелец контрольного пакет], либо — пошел вон» — член совета директоров
«Если [компания ABC] принадлежит мне, нужны ли мне ограничители? Черта с два! Не бывать такому, что я буду владельцем компании, а кто-то сможет ограничить мои возможности по управлению ею. Что мне нужно, так это группа консультантов, которые делятся со мной своими мыслями — люди, которых я уважаю, которые увеличивают стоимость, обладают познаниями в отрасли и подвергают сомнению мой авторитет и указания. Однако если я не удовлетворен их советами, я поступлю так, как мне будет угодно» — владелец контрольного пакета акций
«Советы директоров учитывают мнение заинтересованных сторон только, если это отвечает их собственным интересам» — член совета директоров
«Это чушь! Это не настоящие советы директоров» — член совета директоров
«Проблема в том, что мы в комитете по аудиту доверяем менеджменту и не обладаем достаточными познаниями в области финансов» — председатель правления компании, оказывающей финансовые услуги
«Думаю, можно сказать, что у нас не очень большой опыт работы в качестве членов совета» — председатель комитета по аудиту
«Совет директоров плывет по течению... Заседания проводятся преимущественно по телефону. Комитеты не работают... и не проводят регулярных заседаний. Не сформулированы требования к отчетности» — член совета директоров
«Члены совета ни черта не понимают в том, что происходит» — председатель совета
Но представим, что звезды сошлись и в надзорном органе есть проактивные люди с определенной свободой действий, а также нужными навыками и опытом, чтобы держать менеджмент в нужном тонусе.  Такое, хоть и редко, но встречается. В чем же состоит эта самая надзорная деятельность? На этот вопрос отвечает последняя «точка фокуса».
Обеспечение надзора за системой внутреннего контроля. Совет директоров несет ответственность за надзор над разработкой, внедрением и проведением внутреннего контроля руководством:
  • Контрольная среда - Установление честности и этических ценностей, структур надзора, полномочий и ответственности, ожиданий компетентности и подотчетности совету директоров.
  • Оценка риска - Надзор за оценкой руководством рисков для достижения целей, включая потенциальное влияние значительных изменений, мошенничества и злоупотребления служебным положением.
  • Контрольные процедуры - Обеспечение контроля высшего руководства за разработкой и выполнением контрольных процедур.
  • Информация и коммуникация - Анализ и обсуждение информации, касающейся достижения предприятием целей.
  • Процедуры мониторинга - Оценка и надзор за характером и масштабами процедур по мониторингу, оценка руководством и устранение недостатков.
Каких-то особых сложностей (по сравнению с предыдущими) в данной точке фокуса нет. Необходимая надзорная деятельность, которая ожидается от надзорного органа по каждому компоненту, вполне сносно перечислена в самой модели:
Контрольная среда
  • Надзор за определением и применением стандартов поведения организации
  • Определение ожидания и оценка работы главного исполнительного директора (или эквивалентной роли)
  • Создание структур и процессов надзора, соответствующих целям организации (например, при необходимости, совет и комитеты с необходимыми навыками и опытом)
  • Комиссионная оценка эффективность надзора и рассмотрение возможностей для улучшения
  • Выполнение фидуциарных обязанностей перед акционерами или другими владельцами (в зависимости от обстоятельств) с должным вниманием и тщательностью (например, готовиться к собраниям и посещать их, просматривать финансовую отчетность предприятия и другие раскрытия информации)
  • Оценка действий высшего руководства, задавая зондирующие вопросы о планах и результатах деятельности организации, и требуя последующих и корректирующих действий, по мере необходимости
Оценка риска
  • Рассмотрение внутренних и внешних факторов, которые представляют значительный риск для достижения целей; выявление проблем и тенденций (например, последствия для устойчивости бизнес-операций предприятия)
  • Обсуждение оценки руководством рисков для достижения целей, включая потенциальное воздействие значительных изменений (например, рисков, связанных с выходом на новый рынок), а также мошенничества или коррупции
  • Оценка, насколько активно организация управляет инновациями и изменениями, такими как изменения, вызванные новыми технологиями или экономическими и геополитическими изменениями.
Контрольные процедуры
  • Запросы руководству относительно выбора, разработки и развертывания контрольных мероприятий в областях значительного риска и, при необходимости, исправления (например, в ответ на значительные риски, возникающие из-за внутренних или внешних факторов)
  • Надзор за высшим руководством в выполнении контрольных мероприятий
Информация и коммуникация
  • Коммуникация директив и тона сверху
  • Получение, анализ и обсуждение информации, касающейся достижения организацией целей
  • Изучение предоставленной информации и представление альтернативного взгляда
  • Оценка раскрытия информации для внешних заинтересованных сторон на предмет полноты, актуальности и точности
  • Принятие и обработка восходящих коммуникаций о проблемах
Процедуры мониторинга
  • Оценка и надзор за характером и масштабами деятельности по мониторингу, любых превышений полномочий со стороны руководства, а также процесса оценки и принятия корректирующих мер руководством
  • Оценка честности и этических норм высшего руководства
  • По мере необходимости взаимодействие с руководством, внутренними и внешними аудиторами и другими лицами для оценки уровня осведомленности о стратегиях организации, определенных целях, рисках и последствиях для контроля, связанных с развитием бизнеса, инфраструктуры, нормативных актов и других факторов.
На этом о втором принципе все. В следующий раз пройдемся структурам, линиям подотчётности распределению полномочий и обязанностей по обеспечению функционирования системы в целом по организации.
 

суббота, 24 августа 2019 г.

Как распознать поддельную учетную запись в LinkedIn (Обновлено)

Социальные сети изобилуют поддельными учетными записями. Кто-то использует их для мошенничества, на подобие Нигерийских писем.
Кто-то рассылает спам. Кто-то пытается влиять на общественное мнение при помощи армии ботов. В любом случае, иметь такое счастье среди своих контактов – радости мало.
Хорошая новость в том, что выявить подобные контакты не так сложно. Как и в большинстве подобных схем, расчет идет на массовость. Разослали очень большому количеству человек – какая-то часть поведется на обман. Но поддельные учетные записи долго не живут.  Кто-то на них подаст жалобу. Какую-то часть выявят сами социальные сети - по нетипичному поведению. И поэтому таких записей нужно создавать много. Массовость является уязвимым местом этого процесса. Ведь создается не просто учетная запись. Создается профиль личности, которая ведет какую-то активность. Мошенники не могут позволить себе тратить много времени на создание каждого профиля. Эта неаккуратность вытекает в признаки, которые достаточно несложно обнаружить.
Про более простые случаи, когда профиль новый, без каких-либо подробностей, я уже писал. Старые случаи можно почитать, кликнув по ярлыку "кунсткамера" или на ссылку (читать лучше в хронологичеком порядке).
Сегодня рассмотрим  случай с профилем, который похож на настоящий.
Итак, получаю приглашение.
Некто старший аудитор интересуется моим профилем и хочет связаться.
Пока размышляю о том, какой интерес может быть у старшего аудитора ISLAMIC BANK LTD ко мне, обращаю внимание на следующие моменты:
  • Приглашение уйти из сети общаться посредством личной электронной почты, мотивированное невнятным интересом к моему профилю.
  • Стандартный текст приглашения изменен, но обращения по имени нет – такой текст удобно рассылать большому количеству адресатов. 
  • Имя и фамилия отправителя – с маленькой буквы.
Смотрим на профиль (фрагмент).
Более 500 контактов. Подробно заполненный опыт, образование, интересы. Очень похоже на "живой" профиль.
Нажимаем contact info. Ого, куча информации!
Довольно странно, что у человека с именем Iewis Oliwia, адрес электронной почты и страницы профиля - Renata Cursino. Как в том анекдоте: «…Вообще-то, Николай, но друзья зовут меня Зиной…».
С физическими адресами тоже не все гладко.
Расположение в профиле указано как United Kingdom. Смотрим на адрес, указанный в Contact info:
Да это же Бразилия, где в лесах много-много диких обезьян! Но зато соответствует бразильскому домену электронной почты.
Кто-то скажет, что все это – косвенно. Переходим к вишенке на торте. Кто у нас на фото в профиле?  Iewis Oliwia?
Знакомьтесь - министр жилищного строительства и бывшая глава отдела экологии Европы «Зеленые» Эммануэль Коссе.
Имея в своем распоряжении только Гугл поиск, Гугл карты и Гугл переводчик (испанский и французский я, увы, не знаю), получаем точный диагноз.
Дальше можно принять контакт и развлечься (если есть время и вдохновение) или сразу оформить жалобу:
Таким образом, потратив на несложные манипуляции не более минуты времени, можно существенно сократить «зверинец» в своих контактах.

P.S.
Разумеется, если мошенничество направлено против конкретной личности, используются более изящные подходы (например, кража личности), которые выявить гораздо сложнее.  Иногда может помочь только беспредельная паранойя. Но это – уже совсем другая история.

P.P.S.
Забавный сегодня день. Не успел выложить пост, как получил приглашение в Facebook.
  • Тут более простой случай:
  • Первое событие (фото профиля) – меньше месяца назад
  • Никакой активности
28 друзей, из которых я никого не знаю
Но самое главное – это фото. В отличие от случая, когда фото взято из первого попавшегося сайта, тут фото человека, которого в природе не существует. Вы, наверное, уже слышали о сайте thispersondoesnotexist.com ?
При каждом обращении к нему, нейронная сеть генерирует фото человека, которого никогда не существовало. Должен отметить, что, в большинстве случаев, нейронная сеть справляется очень неплохо. Фото и правда выглядят как живые. 


Но, насмотревшись их большое количество, начинаешь угадывать стиль и замечать огрехи. Так сети пока не очень хорошо даются зубы:
Этот артефакт и выдал источник фото. Но попытка засчитана.


вторник, 20 августа 2019 г.

Не работает внутренний контроль? Часть первая. При чем тут комплаенс?

Лирика и предисловие

Получил просьбу написать «что-нибудь на тему внутреннего контроля». Мол, нет ничего на эту тему, а хочется (и с английским беда). 
Удивился, порылся в интернете – действительно ли ничего нет? По запросу "внутренний контроль" поисковик возвращает порядка 16 млн ссылок, но большинство статей фрагментарно, по верхам, одним глазом. С литературой ситуация еще хуже. Большая часть того малого, что есть, безнадежно устарела и является очень вольным трактованием COSO модели. 
Долго думал, что выбрать. Тема не маленькая – можно написать целую книгу и не одну. В конечном счете, решил написать о самой обделенной вниманием части - Контрольной среде.
Если у Вас в компании попытки наладить контроли заканчиваются тем, что они или работают неправильно, или не работают вовсе – верный признак того, что у вас проблема с Контрольной средой.
Контрольная среда – это фундамент для системы внутреннего контроля.  В зависимости от того, насколько прочен фундамент – настолько надежно будет работать система.
А еще, это – самый сложный для внедрения компонент. В первую очередь – ментально.

Место Контрольной среды в COSO модели и первый принцип.

Кубик COSO уже, наверно, набил оскомину, но для целостности изложения очень быстро напомню.

Модель состоит из 5 компонент (лицевая грань), которые в совокупности составляют систему внутреннего контроля, работающих на всех уровнях предприятия (правая грань) и направленных на достижение трех целей (верхняя грань):
  • Эффективность и результативность операций
  • Полнота и достоверность отчетности (управленческой и финансовой)
  • Соблюдение законов и нормативных актов
Сам внутренний контроль COSO определяет, как:
Процесс, осуществляемый советом директоров, руководством и другим персоналом, призванный обеспечить разумную уверенность в достижении целей (указанных выше).
Два очень важных момента, вытекающих из этой формулировки:
  • Это процесс, в котором участвую все, и, в первую очередь, менеджмент, а не сам внутренний контроль (функция).
  • Процесс в первую очередь направлен на обеспечение достижения целей, т.е. процессы, а не поиск и карание виноватых. Хотя, в отдельных случаях, без этого не обойтись.
Вся работа системы внутреннего контроля базируется на 17 принципах.  Для того, чтобы помочь менеджменту понять, что принципы реализованы и функционируют, COSO предлагает «точки фокуса» для каждого принципа.
Первым компонентом является Контрольная среда. COSO определяет ее следующим образом:
Контрольная среда - это совокупность стандартов, процессов и структур, которые являются основой для осуществления внутреннего контроля во всей организации. Совет директоров и высшее исполнительное руководство задают «тон сверху» касательно важности внутреннего контроля, включая ожидаемые стандарты поведения. Менеджмент реализует эти ожидания на различных уровнях организации. Понятие контрольной среды включает в себя принцип честности и этические ценности организации; параметры, позволяющие совету директоров выполнять свои обязанности по осуществлению корпоративного надзора; организационную структуру и распределение полномочий и ответственности; процесс привлечения, развития и удержания компетентных сотрудников; строгий контроль показателей деятельности, стимулов и вознаграждении в целях усиления подотчетности за результаты. Сформированная в итоге контрольная среда оказывает всеобъемлющее воздействие на систему внутреннего контроля.
Другими словами, Контрольная среда это:
  • Как делать правильно? Правила игры, понятные для всех. Контроль соблюдения, выявление и устранение несоответствий.
  • Кто что может, и кто за что отвечает?
  • Правильные исполнители. Наличие людей с правильными знаниями и навыками на местах.
  • Что стимулирует это делать? Оценка и мотивация.
Контрольная среда базируется на пяти принципах. Первый принцип звучит так:
Организация демонстрирует приверженность честности и этическим ценностям.
Точки фокуса для первого принципа следующие:
  • Определение «тона сверху»
  • Определение стандартов поведения
  • Оценка соблюдения стандартов поведения
  • Своевременное устранение отклонений 
Обычно дойдя до слов «тон сверху», аудитория говорит: «ну, это понятно, давайте дальше…». А потом оказывается, что «тон сверху» воспринимается как, когда топы надувают щеки и важно говорят: «да, уж…» тем самым давая понять, что задачу действительно нужно делать не для галочки. COSO же ожидает гораздо большего:
Определение тона сверху. Совет директоров и руководство на всех уровнях организации демонстрируют своими директивами, действиями и поведением важность честности и этических ценностей для поддержки функционирования системы внутреннего контроля.
Зачем вообще это нужно? Обычно собственники компании очень хорошо представляют себе, что из себя должна представлять компания, какова ее миссия, какое отношение должно быть к поставщикам и клиентам, какие ожидания от менеджмента и сотрудников компании, как они это все должны обеспечивать. Беда в том, что видение сотрудников (да порой и менеджмента) может очень сильно отличаться от ожиданий собственников. А значит и делать они будут не совсем так. Что приведет к не совсем тем результатам. И эти результаты могут оказаться не тем, что можно назвать «приятным сюрпризом». Чтобы этого избежать, нужно эти ожидания сформулировать, донести и контролировать понимание и соблюдение.
Как это происходит? Высшее руководство и совет директоров (или эквивалентный надзорный орган) формируют ценности, философию и стиль работы организации. При этом должны быть учтены ожидания различных заинтересованных сторон организации, таких как сотрудники, поставщики, клиенты, инвесторы и сообщество. Кроме того, должны быть учтены социальные и этические нормы на рынках, на которых действует организация.
Сформированные ожидания с различной степенью формальности должны отражаться в:
  • Миссии и ценностях организации
  • Стандартах или Кодексе корпоративной этики (или Кодексе поведения)
  • Политиках и практиках
  • Принципах операционной деятельности
  • Директивах, руководствах и другие вспомогательных сообщениях
  • Действиях и решениях менеджмента на разных уровнях и совета директоров
  • Отношении и реакции на отклонения от ожидаемых стандартов поведения
  • Неформальных и ежедневных действиях и коммуникациях лидеров на всех уровнях организации
Очень важный момент. Ожидается, что руководство и совет директоров не просто участвуют в разработке ценностей, философии и стиля работы организации, но и своими поступками демонстрируют приверженность и соблюдение этих ценностей. Не секрет, в отечественных компаниях высшее руководство исповедует философию Quod licet Iovi, non licet bovi. И изменение такого подхода на уровне высшего руководства требует просто фантастических усилий. Но без этого дальше ничего не будет. Можно потратить хоть все время на рассказы сотрудникам о честности и этических ценностях, но, если поступки «наверху» им не соответствуют – сотрудники вам никогда не поверят и желающих придерживаться ценностей будет не много. И наоборот, этическое и ответственное поведения со стороны руководства и совета директоров и демонстрация неприемлемости неправомерных действий посылают сильные сигналы сотрудникам. Сотрудники, скорее всего, выработают такое же отношение к правильному и неправильному, а также к рискам и мерам контроля, как те, которые демонстрирует руководство.
Без сильного тона сверху, поддерживающего сильную культуру внутреннего контроля, последствия будут очень серьезными для всей системы внутреннего контроля:
  • Оценка рисков может быть некорректной
  • Ответные меры на риски могут быть неадекватными
  • Контрольные действия могут быть нечеткими или не соблюдаться
  • Коммуникации могут давать сбои
  • Обратная связь по мониторингу может быть не услышана или не приняты меры
Поэтому тон сверху может быть либо драйвером, либо барьером для внутреннего контроля.
Идем к следующей точке фокуса:
Определение стандартов поведения. Ожидания совета директоров и высшего руководства в отношении честности и этических ценностей определены в стандартах поведения организации и понятны на всех уровнях организации, а также сторонними поставщиками услуг и деловыми партнерами.
Стандарты поведения разъясняют сотрудникам:
  • Что хорошо, а что плохо (бережливое отношение, честность, порядочность, нетерпимость к мошенничеству, недопустимость искажения информации и учетных данных и т.д.)
  • Какие риски для компании влечет нарушение стандартов
  • Законодательные и регуляторные требования, правила и другие ожидания акционеров, (например, корпоративная социальная ответственность)
Как правило, стандарты поведения публикуются в виде Кодекса корпоративной этики или аналогичного документа. Стоп, это же функция комплаенс! При чем тут внутренний контроль? Сюрприз! Работа функции комплаенс – это часть Контрольной среды.
Типичный кодекс корпоративной этики плюс/минус содержит в себе (не ограничиваясь) следующие группы тем:
  • Общие моменты (на кого распространяется, ожидания от сотрудников, ожидания от менеджмента, кому задавать вопросы, кому сообщать о нарушении, гарантии безопасности сообщившему о нарушении, дополнительные информационные ресурсы)
  • Сотрудники (равные условия, отношение к детскому и принудительному труду, отношение к харастменту, здоровье и безопасность рабочего места, отношение к алкоголю и наркотикам)
  • Клиенты, партнеры, конкуренты (персональные данные, добропорядочное отношение, защита интеллектуальной собственности, антимонопольное законодательство, легализация незаконно нажитых средств, торговые ограничения и контроль экспорта, конфликт интересов, подарки и проявления гостеприимства)
  • Взаимоотношения с органами государственной власти (взяточничество и коррупция, политическая деятельность, запросы органов государственной власти, внешние коммуникации, окружающая среда)
  • Отношение к активам организации и финансовая отчётность (точность и полнота данных в учете и отчетности, уровни полномочий, требования к сохранности документов, инсайдерские сделки, интеллектуальная собственность и конфиденциальная информация)
  • Администрирование Кодекса (ответственность, обучение, получение согласия соблюдать, расследование возможных нарушений, принятие решений, дисциплинарные меры, отчетность о расследованиях и принятых мерах)
Не следует ожидать, что, единожды разослав сотрудникам уведомление о наличии Кодекса корпоративной этики, сотрудники тут же все поймут и бросятся соответствовать и настанет всеобщее счастье.
При внедрении Кодекса корпоративной этики следует провести целый букет мероприятий. Об этом тоже можно написать целую книгу, но поскольку это – не книга, пройдусь широкими мазками по точкам боли.
Коммуникации о положениях кодекса.
  • Должны быть регулярными и по всем доступным каналам.
  • Отдельная коммуникация с менеджментом о его роли в обеспечении соблюдения требований. Сюда входит демонстрация соблюдения на собственном примере, разъяснения сотрудникам, контроль и ответственность за соблюдения требований сотрудниками в своем подразделении. 
  • Обязательное ознакомление с кодексом всех новых сотрудников. Прочтение и письменное согласие соблюдать (зачем – об этом чуть позже) плюс тренинг с разъяснением положений, примерами и серией вопросов/ответов.
  • Периодические информационные бюллетени с напоминанием к кому обращаться, разбором выявленных нарушений и принятых корректирующих действий.
  • Каналы связи с комплаенс-офицером для уточнений и разъяснений. 
Письменное согласие соблюдать требования.
Сбор письменных согласий с каждого сотрудника, на первый взгляд, может показаться проявлением ненужной бюрократии и переводом времени и ресурсов. Но эти затраты вполне оправданы. Форма письменного согласия сообщает сотруднику о том, что:
  • Кодекс корпоративной этики есть неотъемлемой частью внутреннего распорядка организации.
  • Нарушение требований Кодекса считается серьезным дисциплинарным проступком.
  • К сотруднику, не соблюдающему требования Кодекса могут быть применены дисциплинарные меры, вплоть до увольнения.
  • Отказ от подписания согласия может привести к прекращению трудовых отношений. 
Теперь у организации есть юридическое основание уволить сотрудника за неэтичное поведение, а сотрудник, ознакомившийся с данными условиями, серьезнее отнесется к требованиям Кодекса. 
Простота изложения и принцип «сомневаешься - спрашивай».
От того, насколько понятно написан Кодекс, напрямую зависит насколько правильно его требования будут соблюдаться. Обтекаемые формулировки всегда увеличивают вероятность того, что требование будет трактовано некорректно (умышленно или случайно). Текст должен быть однозначно понятен всем - от высшего руководства до разнорабочих и уборщиц. Но как просто не пиши и не приводи примеры, всех нюансов отразить в Кодексе просто невозможно. Поэтому очень важно поощрять сотрудников задавать вопросы. И очень важно, чтобы было кому правильно отвечать на эти вопросы. Это ожидается не только от функции комплаенс, но и от непосредственных руководителей сотрудника, у которого возникли вопросы.
Пока на этом ограничимся и перейдем к следующей точке фокуса.
Оценка соблюдения стандартов поведения.  В организации существуют процессы для оценки деятельности отдельных лиц и групп на соответствие ожидаемым стандартам поведения организации.
От каждого сотрудника в организации ожидается, что, если он стал свидетелем потенциального нарушения требований Кодекса, он должен незамедлительно об этом сообщить через «горячую линию» (в том числе анонимно) функции комплаенс. В зависимости от ситуации и вида нарушения, сообщение может быть и непосредственному руководителю, HR, внутреннему аудиту финансовой службе и т.д. Статистика о таких обращениях и реакция менеджмента в какой-то степени дает представление о том, насколько хорошо все работает, но такая оценка очень субъективна.
Гораздо лучше, когда на регулярной основе проводится независимая оценка работы процессов, связанных с Кодексом. Ее можно проводить как своими силами (например, внутренним аудитом) или привлекать внешнего консультанта. Независимый взгляд позволит выявит те моменты, которые могут быть и не видны участникам процесса. Пример из собственной практики. В одной крупной международной компании произошло серьезное обновление функции комплаенс.  Обновился кодекс, появились новые процессы, началось много коммуникаций и тренингов.  Все выглядело очень даже прилично. Руководство поручило провести независимую оценку, которая неожиданно выявила много сюрпризов. Например, при попытке позвонить на номера телефонов горячей линии, указанных в Кодексе, выяснилось, что один номер не обслуживается, а второй – ведет в кол-центр компании. Т.е. канал, который по статистике является самым эффективным для выявления нарушений, не работает. Также выяснилось, что различные виды нарушения регистрируются и расследуются разными функциями и коммуникаций между ними нет. И функции комплаенс видна только какая-то часть.  Т.е. у нас элементарно нет общей картины о том, что происходит и какой масштаб. В общем, независимая оценка пришлась весьма кстати и помогла своевременно поправить косяки.
Последняя по списку (но не по важности) точка фокуса:
Своевременное устранение отклонений. Отклонения от ожидаемых стандартов поведения организации выявляются и исправляются своевременно и последовательно.
Тоже очень большой процесс с кучей нюансов. Но, если на пальцах, то обычно это работает так. Все обращения и выявления потенциальных нарушений должны быть зарегистрированы. Реестр обращений ведет комплаенс. Учитывая специфику информации, доступ к реестру очень ограничен. Особенно к информации о сообщившем о потенциальном нарушении. Реестр, помимо статистики обращений, нужен для контроля того, что ни одно обращение не осталось без внимания и не застряло на любом из этапов обработки. Комплаенс проводит предварительную оценку обращения и, если есть признаки потенциального нарушения, инициирует расследование. При этом, сообщившему о потенциальном нарушении идет обратная связь, о том, что по его информации начата работа.  Вариантов, кто проводит расследование может быть несколько. Один из удачных, на мой взгляд, вариантов, когда в процессе виды нарушений классифицированы и по каждому виду определено, какая функция вовлекается в рабочую группу для расследования. Комплаенс координирует работу расследований и отслеживает сроки. По завершению расследования формируются рекомендации по дисциплинарным мерам и мерам, направленным на предотвращение повтора инцидента. Комплаенс на регулярной основе готовит для совета директоров отчетность со статистикой инцидентов, результатами расследований, принятыми мерами. Информация о «преступлениях и наказаниях» может доводиться до сотрудников, демонстрируя для них неприятие со стороны менеджмента нарушений этических норм. Механизм коммуникации может быть разный - периодические информационные бюллетени, общие встречи сотрудников, публикация приказов о дисциплинарных мерах на корпоративном портале и т.д. 

В сухом остатке

Для закрепления всего вышенаписанного, суть первого принципа в одном предложении:
Менеджмент и Наблюдательный совет устанавливают стандарты и механизмы для организации, чтобы понимать и придерживаться того, что правильно, и определяет процесс и ресурсы для выявления и устранения потенциальных отклонений.

На этом о первом принципе все. Осталось разобраться еще с четырьмя.

Продолжение во второй части.

среда, 14 августа 2019 г.

Странный поздний интерес к Cobit 5


Обратил внимание на странный всплеск интереса читателей к посту о выходе Cobit 5. Прям бум какой-то последние несколько недель. Спешу сообщить, что посту уже 7 лет и давно пора читать про Cobit 2019. Не планировал про него писать, но раз такое дело - будем наверстывать.
Cobit 2019 вышел в конце прошлого года и является наследником Cobit 5. Концептуальная модель была полностью переработана. Платный Enabler Guidance теперь отсутствует. «Факторы влияния» теперь стали «компонентами системы управления». Поменялись и переименовались принципы системы управления и модели правления. «Цели, связанные с ИТ» теперь стали «целями соответствия». Процессы превратились в «цели управления», и их количество выросло до 40. Появились такие новые цели как:

  • APO14 – Managed Data
  •  BAI11 – Managed Projects
  •  MEA04 – Managed Assurance

«Цели управления» теперь описывают не только постановку процесса для достижения этих самых целей. Пересмотрена система каскадирования целей. «Новая» система оценки процессов вернулась к уровням зрелости.
По структуре Cobit 2019 представляет собой набор из четырех публикаций:

  • COBIT 2019 Framework: Introduction and Methodology - введение в ключевые понятия

  • COBIT2019 Framework: GovernanceandManagementObjectives - подробно описывает 40 основных задач управления (governance) и менеджмента, процессы, содержащиеся в них, и другие связанные компоненты.

  • COBIT 2019 DESIGN GUIDE: Designing an Information and Technology Governance Solution - рассматриваются факторы проектирования, которые могут влиять на управление, а также описывается рабочий процесс планирования адаптированной для предприятия системы управления.

  • COBIT 2019 IMPLEMENTATION GUIDE: Implementing and Optimizing an Information and Technology Governance Solution - представляет собой эволюцию COBIT 5 «Implementation guide and develops a road map for continuous governance improvement». Может использоваться в сочетании с COBIT 2019 Design Guide.

Все публикации бесплатно доступны для членов ISACA. Всего около 600 страниц.
Приятного чтения.