четверг, 21 ноября 2019 г.

Не работает внутренний контроль? Часть четвертая. Приверженность компетенции.

Сначала «кто» … затем «что». Выяснилось, что лидеры великих компаний сначала подбирают нужных им в путешествии людей, избавляются от людей ненужных, добиваются того, чтобы нужные люди занимали нужные места, и только затем, иногда уже совместно, решают, а куда же, собственно, они едут.
Джим Коллинз
Разобравшись как лучше структурировать компанию и организовать линии отчетности для поддержания текущих целей, а также определив уровни и границы ответственности, следующим шагом логично будет убедится в том, что эти полномочия предоставлены сотрудникам с адекватной квалификацией. Простая до банальности мысль, так нелегко реализуемая на практике, в условиях затянувшегося финансового кризиса и активно развивающегося кадрового голода. Но все равно без компетентного персонала далеко не уедешь. Следующий принцип модели направлен на поставку процесса обеспечения адекватного уровня компетенции персонала.
Принцип 4. Организация демонстрирует приверженность привлечению, развитию и удержанию компетентных лиц в соответствии с целями.
Следующие точки фокуса могут помочь руководству определить, присутствует ли этот принцип и работает ли он:
  • Установление политики и практики.
  • Оценка компетентности и устранение недостатков. 
  • Привлечение, развитие и удержание отдельных лиц. 
  • Планирование и подготовка к преемственности.  
Для начала, нужно определится что такое «адекватный уровень», да и вообще, какие компетенции нужны для обеспечения достижения целей. И первая точка фокуса предлагает все это определить и зафиксировать для единообразного понимания в виде политик и практик:
Установление политики и практики. Политика и практика отражают ожидания компетентности, необходимой для достижения целей.
Начну с того, как это видят авторы модели COSO, а потом уже перейду к собственному опыту. Итак, по мнению авторов, политика и практика - это руководство и поведение на уровне предприятия, которые отражают ожидания и требования инвесторов, регулирующих органов и других заинтересованных сторон. Они обеспечивают основу для определения компетенции, необходимой в организации, а также являются базой для более подробных процедур для обеспечения и оценки эффективности, а также, по мере необходимости, определения корректирующих действий. Такая политика и практика содержат:
  • Требования и обоснование (например, последствия законов, правил, норм и стандартов по безопасности продукции для предприятия).
  • Навыки и поведение, необходимые для поддержки внутреннего контроля в достижении целей организации (например, знание работы технологических платформ, лежащих в основе бизнес-процессов).
  • Определенная ответственность за выполнение ключевых бизнес-функций.
  • Основа для оценки недостатков и определения корректирующих действий, по мере необходимости (например, исправление процесса или укрепление навыков руководства и другого персонала).
  • Средства для динамического реагирования на изменения (например, пересмотр операционных процедур для отражения новых нормативных требований, выявленных новых рисков или внутреннего решения об изменении бизнес-процессов). 
 Политики и практики позволяют сосредоточиться на компетенции, пронизывающей организацию, начиная с совета директоров относительно главного исполнительного директора, главного исполнительного директора относительно высшего руководства и каскадного перехода к различным уровням управления. В результате приверженность компетентности облегчает измерение достижение целей на всех уровнях организации и сторонних поставщиков услуг путем определения того, как следует осуществлять процессы и какие навыки и поведение следует применять.
Кадровая функция организации помогает определить уровни компетенции и укомплектования персоналом в зависимости от должности, облегчая обучение и ведение записей об окончании, а также оценивая актуальность и адекватность индивидуального профессионального развития в соответствии с потребностями организации.
Организация определяет требования к компетентности, необходимые для поддержки достижения целей, например, с учетом:
  • Необходимых знаний, навыков и опыта.
  • Характера и степени суждения и ограничения полномочий, которые должны применяться к конкретной должности.
  • Анализа затрат / выгод для различных уровней навыков и опыта. 
На своей практике я сталкивался с данным подходом у моих троих работодателей. Во всех трех случаях компании были с «западным» капиталом и высоким уровнем зрелости.
В первый раз знакомство с подобным процессом оставило смесь легкого недоумения и разочарования. В компании существовал некий перечень компетенций (универсальный, без разбивки по каким-либо признакам). С какой-то периодичностью руководители оценивали сотрудников по этому списку по какой-то непонятной шкале. Каждый руководитель сам принимал решение какие компетенции для какого сотрудника применимы и на каком уровне. Результаты оценки ни на что особо не влияли, и, по моим ощущениям, интересовали только ответственное лицо в штаб-квартире. Как бы парадоксально это не звучало, но это был чуть ли не единственный странный процесс в компании, который я могу вспомнить. Во всем остальном компетентность и эффективность были основной философией. Почему же этот процесс выпадал из общей практики? Скорее всего потому, что он был избыточный. Цели, преследуемые процессом, закрывались на другом уровне, а отказаться от него было нельзя – требования штаб-квартиры. В результате люди стремились минимизировать временные затраты на не приносящий пользу процесс. 
Второй случай интересен тем, что компания имела специфику в плане развития персонала. А именно, большое количество ступеней карьерной лестницы. От каждого сотрудника ожидался профессиональный рост и развитие, позволяющие достигнуть следующего уровня в течение года. Каждый следующий ранг не только влиял на уровень зарплаты, но и существенно расширял требования по компетенции. От выполнения более простой работы – к более сложной, потом к управлению работой нескольких человек, управлению проектом, портфелем проектов и т.д. Каждый год планка поднималась все выше. Прыгнул – молодец. Не прыгнул – ты перестал развиваться. Нужно или собраться с силами и попробовать еще раз через год (одна повторная попытка) или подумать о продолжении карьеры в другом месте с менее агрессивными целями. Не буду ручаться за всю компанию, но в сервисной линии (структурное подразделение верхнего уровня), где я работал, процесс определения нужных компетенций был очень полезным. Во-первых, мне, как сотруднику, было важно понимать какой уровень каких навыков мне нужно достичь к концу года, чтобы перейти на следующий уровень. Во-вторых, мне, как наставнику (у каждого сотрудника, вплоть до директоров были наставники), нужно было помочь своим подопечным понять ожидания по компетенциям на следующий год, оценить текущий уровень компетенций, помочь составить план развития и периодически оценивать его выполнение. В-третьих, мне, как руководителю направления, понимая, какие навыки необходимы для качественного предоставления услуг по конкретным направлениям, важно было понимать, какие из этих навыков есть у моих подчиненных и на каком уровне. И, в случае выявления недостатков, принимать корректирующие действия (тренинги, найм и т.д.).  В общем, процесс был не просто полезным, а крайне необходимым.
Третья история - в каком-то смысле - комбинация первых двух ситуаций. В компании существовал перечень ключевых компетенций для всех уровней сотрудников, разбитый на операционные, управленческие и т.д. Каждая компетенция разбита по уровням зрелости. Каждый уровень подробно раскрыт на примерах в виде комиксов в большом талмуде формата А4.  Все новобращенные и пришедшие извне менеджеры проходят обязательный тренинг по требованиям к компетенциям и процессу их оценки. Задумка масштабная и, на первый взгляд, очень полезная. Но на практике, это оказалась не так. Будучи членом оценочной комиссии и слушая представления результатов оценки сотрудников функциональными руководителями, могу смело сказать, что к оценке компетенции руководители, в основном, относились, как ритуалу, от которого мало проку, но отказаться нельзя. Почему так произошло? Ведь эти практики и процесс разрабатывались непосредственно для компании. На мой взгляд, причин было две. Первая - потенциальные выгоды от процесса сильно нивелировала существующая система мотивации. Переменная часть заработной платы была достаточно большой и зависела от KPI. Разумеется, все внимание персонала было направлено на достижение KPI. Оценка же компетенций упоминалась, потому, что так принято, и ни на что не влияла. Вторая, проблема, с которой я сталкивался как функциональный руководитель - это перечень компетенций. Не могу сказать, что применяемые к моим подчиненным требования к компетенциям были бесполезны или неправильны. Но, поскольку перечень компетенций был универсальный и фиксированный, он был абсолютно бесполезен для управления компетенциями, связанными с техническими навыками или знаниями функциональных областей. Соответственно, помимо ритуального процесса для кадров, мне нужно было поддерживать собственный процесс для планирования работы и развития команды. В какой-то момент формальный процесс оценки компетенций сильно сократился. Ушла «оценка 360» и ее отсутствие никак не отразилось на оценочном процессе. Зато ее отмена была принята позитивно, поскольку высвободило какое-то время сотрудников под более полезные задачи.
Какие выводы можно сделать из этих историй? Полезен ли предлагаемый процесс? Нужен ли он вообще? Прежде, чем делать какие-то выводы ответьте для себя на следующие вопросы:
  • Какие функциональные области в вашей компании вы готовы предоставить недостаточно компетентному персоналу/менеджменту?
  • Действительно ли по всем функциональным областям любой(!) управленец/сотрудник легко заменяем, и утрата его знаний/квалификаций существенно не отразится на бизнесе?
Лично я считаю его достаточно полезным, если он правильно построен.  Под правильностью я подразумеваю соответствие процесса текущий потребностям компании. К понимаю потребностей и подгонке нужно отнестись очень серьезно, не пытаясь сбросить всю работу на консультантов, которые заинтересованы в наискорейшем завершении проекта и получении денег. А потому есть риск внедрить «академический» процесс «из коробки» или разработанный для нужд другой компании. Такой процесс не только не принесет каких-либо выгод (а значит все риски сохраняются в прежнем виде), но и будет съедать время сотрудников и негативно влиять на их мотивацию. Второй момент – требования компании динамичны. Следовательно, требования к компетенциям тоже динамичны. Фиксированный навсегда список среднепотолчных компетенций – это зло.
После установления «правил игры» традиционно ставим процесс оценки и корректировки:
Оценка компетентности и устранение недостатков. Совет директоров и руководство оценивают компетентность в рамках организации и поставщиков услуг на основе аутсорсинга в отношении установленных политик и практик, а также действуют по мере необходимости для устранения недостатков.
С точки зрения модели, процесс должен быть организован следующим образом. Совет директоров оценивает компетентность главного исполнительного директора, и, в свою очередь, руководство оценивает компетентность всей организации и сторонних поставщиков услуг в отношении установленных политик и практик, а затем действует по мере необходимости для устранения любых недостатков или перегибов. Могут возникнуть недостатки, связанные с укомплектованием штатов, опытом или сочетанием факторов. Руководство несет ответственность за своевременное устранение таких недостатков. 
На всякий случай уточню, что главный фокус – не оценка текущего уровня компетенций у отдельно взятых сотрудников, а оценка наличия достаточного количества сотрудников с нужными компетенциями на соответствующих направлениях для обеспечения достижения целей.  В том числе, для планируемых изменений. Например, под выпуск нового продукта, или обеспечения новых регуляторных требований могут понадобится дополнительные ресурсы и новые требования по компетенциям. Кроме того, необходимо не забывать о компетенциях, которые находятся на аутсорсинге.  Оценка отдельных сотрудников тоже нужна, и о ней (и не только) в следующей точке фокуса.
Привлечение, развитие и удержание отдельных лиц. Организация обеспечивает наставничество и обучение, необходимые для привлечения, развития и удержания достаточного и компетентного персонала и внешних поставщиков услуг для поддержки достижения целей.
Модель COSO говорит, что приверженность компетентности должна поддерживаться и быть встроена в процессы управления человеческими ресурсами для привлечения, развития, оценки и удержания адекватных руководителей, персонала и сторонних поставщиков услуг. Адекватное количество ресурсов должно определяться и периодически корректироваться с учетом относительной важности рисков, которые необходимо снизить для поддержки достижения целей организации. Менеджмент на разных уровнях устанавливает процессы для:
  • Привлечения. Проведение официальных всесторонних собеседований при приеме на работу, чтобы описать историю, культуру и стиль работы организации, провести проверки (анкетных данных и рекомендаций) и процедуры, чтобы определить, соответствует ли конкретный кандидат организационным потребностям и обладает ли он компетенцией для предлагаемой роли.
  • Обучения. Позволяют отдельным лицам развивать компетенции, соответствующие назначенным им ролям и обязанностям, укреплять стандарты поведения и ожидаемые уровни компетентности для конкретных заданий, адаптировать обучение с учетом ролей и потребностей, а также учитывать сочетание методов обучения.
  • Наставничества. Предоставляет рекомендации о том, как человек работает в соответствии с ожидаемыми стандартами поведения и компетентности, сопоставляет навыки и знания человека с целями организации и помогает персоналу адаптироваться к развивающейся среде.
  • Оценки. Оценка эффективности работы отдельных лиц в отношении достижения целей и демонстрации ожидаемого поведения, а также в отношении соглашений об уровне обслуживания или других согласованных стандартов для найма сторонних поставщиков услуг.
  • Удержания. Обеспечить стимулы для мотивации и усиления ожидаемого уровня производительности и желаемого поведения, включая обучение и аттестацию. 
Как бы хорошо все перечисленное не работало (а в реалиях, как мы знаем, это происходит далеко не везде), вероятность потерять сотрудника с нужной компетенцией всегда есть. Последствия очень зависят от уровня сотрудника и специфики знаний и компетенций, которыми он обладает. Для тех случаев, когда последствия достаточно существенны, нужно готовить план Б. Об этом – последняя точка фокуса:
Планы и подготовка к преемственности. Высшее руководство и совет директоров разрабатывают планы на случай непредвиденных обстоятельств для распределения обязанностей, важных для внутреннего контроля.
Модель COSO видит процесс следующим образом. Руководство постоянно определяет и оценивает те выполняющие функции, которые считаются необходимыми для достижения целей предприятия. Важность каждой роли определяется путем оценки последствий, если эта роль будет временно или постоянно не заполнена. Например, главный исполнительный директор и другие члены высшего руководства, стратегические поставщики и ключевые партнеры - это функции, которые, как правило, требуют составления планов, обеспечивающих достижение целей, даже при отсутствии конкретного исполнителя роли.
Можно привести просто уйму примеров, когда компания теряла очень важного топа или даже сразу кучу руководителей. Или, когда отток персонала незаметно вымывает компетенцию целого направления и, в какой-то момент выясняется, что в компании нет ни одного человека, который внятно может объяснить, как устроен процесс или работу системы. Но непредвиденные обстоятельства порой проявляются и более причудливой форме.  Вот пара таких историй.
Новогодние праздники. Вся страна, за исключением отдельных профессий, погрузилась в многодневное празднование факта очередного оборота Земли вокруг Солнца. Компания, предоставляющая социально значимый сервис населению, издает приказ «обеспечить бесперебойное предоставление сервисов … выходом на работу минимально необходимого количества нужных специалистов». Достаточно спокойное по нагрузке время. Большая часть сотрудников и почти все руководство отдыхает. Из высшего руководства всего два человека. И тут приходит сообщение о минировании здания. Приезжают полиция и саперы и требуют эвакуации людей. И выясняется, что четкого понимания, как действовать в таких ситуациях нет. Оба руководителя начинают долго решать кто из них должен взять на себя ответственность и принять решение что делать. С одной стороны, скорее всего, что это чья-то очень неудачная шутка, а остановка работы на несколько часов – это достаточно серьезно. С другой стороны, пускай вероятность и крошечная, но, если это не шутка – остановка на несколько часов уже не кажется такой большой проблемой. Саперы начинают злится и угрожают уехать, если компания не начнет эвакуировать людей. В конечном итоге, принимается решение об эвакуации. Система оповещения, к счастью, работает. Немного похрипев, она оживает, и перепуганный женский голос сбивчиво просит сотрудников покинуть здания (их несколько) компании, мотивируя тем, что это не шутка. Недоумевающие сотрудники неторопливо начинают выходить на улицу и становятся глазеть на происходящее прямо под окнами компании. Кто-то замерзнув возвращается на рабочее место за курткой. Ошалевшая охрана пытается не пустить, но услышав аргумент, что на улице холодно, почему-то пропускает в здание. В общем, если бы сообщение оказалось не шуткой, последствия для компании были бы очень печальными. К счастью, это оказалось не так. Зато пришло четкое понимание, что планы по обеспечению работы бизнеса – это не только резервные копии данных в ИТ системах. Помимо прочего, должны быть четкие правила кто в случае отсутствия основного ответственного из доступных сотрудников принимает решение, сценарии коммуникаций (например, «дерево звонков»).  И, разумеется, эти планы должны быть не в сейфах, а в головах у персонала. Ибо чтение плана, когда риск уже реализовался, хорошо работает только в фэнтези.
Когда из компании уходит топ-менеджер, негативное влияние на компанию очевидно (по крайней мере, в большинстве случаев). Но может ли на компанию оказать серьезное воздействие уход одного рядового сотрудника?  В одном из банков между руководителем-экспатом и сотрудником ИТ как-то не сложились отношения. Все общение происходило в эмоциональной плоскости, существенно снижая конструктив. В какой-то момент, сотрудник ИТ поддался изрядно накопившемся эмоциям и довольно неэтично отреагировал на очередную придирку к своей работе. Для поддержания авторитета руководитель-экспат устроил зрелищное увольнение сотрудника в лучших традициях западных практик – в сопровождении охраны прямиком на улицу. Когда действие норадреналина прекратилось и с глаз сошла красная пелена, выяснилось, что выставленный на улицу сотрудник является ключевым носителем знаний об основной банковской системе. И таких специалистов в стране всего три, включая только что уволенного. И он, на тот момент, существенно превосходил своими знаниями двух других. И риск обрушить бизнес сулит ущерб гораздо больший, чем ущерб самолюбию. Пришлось, проглотив обиду, идти к уволенному сотруднику и договариваться на обслуживание на контрактной основе. Благо, сотрудник пошел навстречу и все обошлось.
В общем, ситуации бывают разные и готовится к ним нужно по-разному. Помимо планов на случай непредвиденных обстоятельств, должны быть планы преемственности для ключевых руководителей, и кандидаты в преемники обучены для принятия целевой роли. Для всех ключевых сотрудников должны быть дублеры.
Не следует также забывать и о функционале, находящемся на аутсорсинге. Если эти услуги имеют прямое воздействие на достижение целей, для таких случаев также нужен некий план. Например, меры по обеспечению постоянного обмена знаниями и документирования, облегчающие, при необходимости, переход к новому поставщику.
На этом с четвертым принципом все. Впереди финальная часть об ответственности и мотивации.
Продолжение следует...

четверг, 7 ноября 2019 г.

Не работает внутренний контроль? Часть Третья. Структура, права и обязанности.

Продолжаем. После того, как определили этические нормы и разобрались с надзорной деятельностью, необходимо организовать взаимодействие на уровне организации и определить кто за что отвечает. На это направлен третий принцип модели COSO.
Принцип 3: Руководство устанавливает с помощью совета директоров структуры, линии отчетности, а также соответствующие полномочия и обязанности в достижении целей.
Точки фокуса для реализации данного принципа следующие:
  • Рассмотрение всех структур организации.
  • Установление линий отчетности.
  • Определение, назначение и ограничение полномочий и обязанностей. 
Пройдемся детальнее.
Рассмотрение всех структур организации. Руководство и совет директоров рассматривают многочисленные структуры (в том числе операционные подразделения, юридические лица, географическое распределение и сторонних поставщиков услуг), используемые для поддержки достижения целей.
К моменту начала построения системы внутреннего контроля компания уже структурирована, часто в нескольких измерениях (административно, функционально, географически и т.д.). Поэтому данный пункт часто вызывает недоумение и непонимание что же нужно делать. Мол, нормальная у нас структура, какой там следующий пункт?
Основная идея состоит в том, что по мере развития характера бизнеса, организационные структуры необходимо тоже развивать. Поэтому руководство должно периодически рассматривать и оценивать структуры на предмет актуальности, эффективности и действенности в поддержку системы внутреннего контроля (т.е. с точки зрения достижения целей организации).
На практике, чаще всего пересмотр структуры – процесс реактивный, вызванный пониманием, что как ни старайся – не получается, нужно что-то радикально менять.
Яркий пример из жизни. В крупной компании уже несколько лет от сотрудников «в полях» пробивались жалобы, что коммуникации «сверху» до «полей» доходят поздно, искаженно или не доходят вообще. Это, в свою очередь, негативно сказывалось на постановке целей, и, соответственно, на их выполнении. Особо на это никто внимания не обращал. В конечном итоге, это вылилось в провал достижения годовых целей несколько раз подряд. После раздачи слонов от набсовета, отмотивированный менеджмент бросился показывать быстрые победы. Поскольку идеи как быстро и много продавать приходят очень тяжело, остается второй легкий путь для быстрых побед – рубить косты сокращать затраты. При погружении в затраты открылись глаза на тот факт, что существующая структура была создана много лет назад под другие цели. И сейчас что-то сильно дублируется (почти все функции), а что-то вообще не нужно. По многим направлениям, если считать от директора по направлению до людей «в полях» 7-9, а кое-где и более, промежуточных руководителей. Что для компании в несколько тысяч сотрудников, мягко говоря, не очень эффективно. Устранение «лишних» структур позволило оптимизировать персонал более чем на 20%, при этом существенно улучшив коммуникации.
Но пересмотр не обязательно нужен ради оптимизации. Возможно наоборот, появилось что-то новое, и необходимо выделить в структуре подразделение (направление и т.д.), которое будет обеспечивать достижение этих новых целей.
Поэтому, в идеале, пересмотр должен быть неотъемлемой частью процесса управления изменениями в компании. Который, кстати, тоже должен быть.
Итак, структура пересмотрена, нужно определить в ней подотчётность и обеспечить эффективные потоки информации. Об этом вторая точка фокуса.
Установление линий отчетности. Руководство разрабатывает и оценивает линии отчетности для каждой структуры организации, чтобы обеспечить выполнение полномочий и обязанностей, а также поток информации для управления деятельностью организации.
Также, как и в случае со структурой, какие-то линии отчетности в компании есть. И также нужно периодически оценивать, что линии и сроки отчетности обеспечивают надлежащее выполнение обязанностей и эффективные информационные потоки. 
Независимо от организационной структуры, определений и назначений полномочий и ответственности, линии отчетности и каналы коммуникаций должны быть четкими, чтобы обеспечить подотчетность по операционным подразделениям и функциональным областям. Например, совет директоров определяет, какие роли старшего руководства имеют по крайней мере «пунктирную линию» для совета директоров, чтобы обеспечить открытое общение с советом по всем важным вопросам. Это особенно актуально для международных компаний. Например, когда я был руководителем функции внутреннего аудита на уровне бизнес-единицы (несколько компаний в одной стане) моя «прямая линия» отчетности вела к групповому директору по внутреннему аудиту в управляющей компании. Который уже отчитывался перед аудиторским комитетом. Тем не менее, у меня была и «пунктирная линия», по которой я периодически отчитывался наблюдательному совету и имел возможность прямых коммуникаций. Таким образом нивелировался риск «испорченного телефона» и обеспечивалась более полная картина происходящего.
Разумеется, «прямые» отчеты и информационные линии отчетности точно также должны быть определены на всех уровнях организации.
Теперь пора определиться кто за что отвечает, что может и до какой степени. На это направлена последняя точка фокуса данного принципа.
Определение, назначение и ограничение полномочий и обязанностей. Руководство и совет директоров делегируют полномочия, определяют обязанности и используют соответствующие процессы и технологии для распределения ответственности и разделения обязанностей по мере необходимости на различных уровнях организации:
  • Совет директоров. Сохраняет за собой полномочия по принятию важных решений и пересматривает назначение руководства, ограничения полномочий и обязанности.
  • Высшее руководство. Устанавливает директивы, руководства и контроли, позволяющие менеджменту и другому персоналу понимать и выполнять свои обязанности по внутреннему контролю.
  • Менеджмент. Направляет и облегчает выполнение директив высшего руководства на предприятии и его подразделениях.
  • Персонал. Понимает стандарт поведения организации, оцененные риски для целей и связанные с ними контрольные действия на соответствующих уровнях организации, ожидаемый поток информации и коммуникации, а также мониторинговые активности, связанные с достижением их целей.
  • Аутсорсинговые провайдеры услуг. Придерживаются определенных руководством границ полномочий и ответственности для всех задействованных лиц, не являющихся сотрудниками.
Пока компания маленькая и находится в начале развития, формальное закрепление полномочий и определение ответственности выглядит как излишний формализм, не дающий особых преимуществ. По мере роста эти вопросы становятся все более актуальными, а в какой-то момент просто крайне необходимыми. И вот почему:
  • Когда наступает тот неловкий момент, когда необходимо получить ответ на вопрос «кто виноват», формальное закрепление даст четкое понимание. В противном случае выясняется, что один отвечает «только за пуговицы, а в целом за пиджак ответственности не несет», второй «это делал раньше для себя, а вообще не должен», третий «готов помогать, но начинать не должен» и т.д.
  • Можно избежать и обратного эффекта, когда есть кто-то, неуполномоченный, но очень энергичный, самостоятельный и готовый принимать решения в тех областях, к которым не должен иметь отношения.
  • Четкое распределение также помогает от «коллективной ответственности», когда ответственность поверхностно указана на уровне нескольких структурных единиц, без детализации. А у семи нянек, как известно, дитя без глаза.
В более зрелых компаниях, которые могут похвастаться формальным перечнем процессов, закрепление ответственности нередко оформляют в виде RACI матриц и их разновидностей. Данный инструмент позволяет увидеть не только ответственного за процесс / операцию, но и кто непосредственно является исполнителем, с кем нужно проконсультироваться, кого проинформировать и т.д.
Для менее зрелых компаний, которые знают свои процессы не так хорошо, чтобы формализовать их список, тоже есть решение. Полномочия и ответственность закрепляют в соответствующем положении, где описывают по направлениям, кто за что отвечает, что может и чего не может (об этом чуть дальше).
Почему для этих целей недостаточно должностных инструкций? Они служат для других целей – донести до сотрудника его обязанности.  А матрица полномочий или ее аналог - это свод правил, на основании которых, должны строится процессы, прописываться процедуры и т.д. Ну и, разумеется, должностные инструкции тоже должны матрице соответствовать.
Теперь пару слов о делегировании полномочий. Безусловно, это очень полезный инструмент, который позволяет снизить уровень бюрократии и обеспечивает большую гибкость в управлении. Но также и усложняет управления рисками.
Пример из жизни.  Некая компания структурно состоит из головного офиса и нескольких филиалов. Директора филиалов организационно являются заместителями генерального директора и имеют широкие полномочия в рамках своего филиала, в том числе, правом подписания договоров. Эти полномочия документально закреплены соответствующими доверенностями. Юристы в головном офисе исправно ведут реестр выданных доверенностей и считают, что процесс полностью контролируем. Но в реальности правом подписания договоров обладает гораздо большее количество людей в компании. Никто точно не знает кто эти люди и сколько их.  Причем эти люди могут подписывать договора от имени компании по направлениям, которые не относятся к зоне их компетенции.  Как же так получилось? Этому поспособствовало несколько факторов. Во-первых, текст доверенности не содержал каких-либо ограничений. Точнее, перечень действий был, но заканчивался фразой «… и другие действия в рамках действующего законодательства.». Подобная формулировка по сути дает все полномочия генерального директора. В том числе на передоверие полномочий, поскольку никаких ограничений по данному поводу в документе не было. Во-вторых, каждый филиал представлял собой практически полноценную компанию с дублированием всех функций, в том числе юридической, без каких-либо внятных разграничений между филиалами и головным офисом. Дальше произошло следующее. Директора филиалов решили делегировать полномочия своим замам по направлениям и поручили это оформить местным юристам. Что заставило местных юристов использовать тот же самый текст доверенности – лень или недостаточная компетентность – останется тайной. Но у замов директоров филиалов тоже появились права на уровне генерального директора с правом передоверия. Очень скоро процесс полностью вышел из-под контроля. Например, после завершения закупочных процедур, подразумевавших большое количество всяческих проверок и подписания договора с поставщиком, неизвестно откуда могло появится дополнительное соглашение, вносящее существенные изменения в условия договора. Единственным выходом для остановки этого хаоса оставалось объявить все выданные в компании доверенности недействительными и перезапустить процесс уже с нормальными ограничениями. Чтобы избежать повторения подобных историй, в процессе делегирования полномочий нужно обеспечить соблюдение следующих правил:
  • Делегирование происходит только в той степени, которая требуется для достижения целей организации. 
  • Принятие решений основано на разумных методах выявления и оценки рисков. Прежде, чем принять решение, нужно понять какие риски оно несет, как ими управлять и насколько они сопоставимы с потенциальными выгодами от решения.
  • Обязанности разделены, чтобы уменьшить риск ненадлежащего поведения при достижении целей, а необходимые проверки и противовесы работают от самого высокого до самого низкого уровня организации.
  • Максимальное использование автоматизации для облегчения определения и ограничения ролей и обязанностей в рамках бизнес-процессов.
  • Сторонние поставщики услуг, которым поручено осуществлять деятельность от имени организации, понимают степень своих возможностей в принятии решений. 
Со структурами, правами и обязанностями разобрались. Теперь нужно обеспечить наличие компетентных сотрудников. В следующий раз рассмотрим принцип о привлечении, развитии и удержании компетентных сотрудников.

Четвертая часть, посвященная привлечению и удержанию компетентных сотрудников >>>.

среда, 4 сентября 2019 г.

Не работает внутренний контроль? Часть вторая. Наблюдательный совет.

Итак, в прошлый раз мы прошлись по первому принципу функционирования системы внутреннего контроля, который формирует требования к этическому поведению и обеспечивает контроль за их соблюдением. Тема местами для кого-то нудноватая, но очень важная, как основа системы внутреннего контроля.
Рискну предположить, что следующая тема вызовет гамму эмоций, большая часть из которых, будет совсем не связана с радостными воспоминаниями. Поэтому, прежде, чем к ней переходить, хочу сказать пару слов о целях данного цикла статей. Основная идея - изложить базовые принципы модели, заменив теоретические выкладки публикации COSO практическими примерами из жизни реальных компаний. Я не один год провел в аудите и консалтинге, работая в четырех странах с компаниями почти всех отраслей. И не питаю никаких иллюзий о том, какой процент компаний добился, скажем так, не очень выдающихся показателей в построении системы внутреннего контроля. Мне также повезло поработать в компаниях, где система внутреннего контроля работала на высоком уровне зрелости и вживую «пощупать» то, о чем пишет COSO. Лично для меня интересен опыт компаний, которые добились результатов. И почти не интересен тех, которые пытались. И не важно по причине каких экономических, социальных, физических или ментальных ограничений у них не получилось. Их опыт полезен только для примеров, почему так делать не нужно.
Двигаемся дальше. Я считаю, что каждый из пяти принципов жизненно важный для построения основы эффективной системы внутреннего контроля. Но второй принцип – особенный. В большинстве случаев, его неэффективная реализация делает внедрение системы внутреннего контроля бесконечным и безрезультативным процессом. А еще, на его реализацию тяжелее всего повлиять. Потому, что речь пойдет о совете директоров (наблюдательном совете или аналогичном надзорном органе).
Принцип 2: Совет директоров демонстрирует независимость от руководства и осуществляет надзор за развитием и осуществлением внутреннего контроля.
Как и у предыдущего, у второго принципа четыре точки фокуса:
  • Установление обязанностей по надзору.
  • Применение соответствующей экспертизы.
  • Независимая работа.
  • Обеспечение надзора за системой внутреннего контроля.
Рассмотрим их более детально.
Установление обязанностей по надзору. Совет директоров определяет и принимает свои обязанности по надзору в отношении установленных требований и ожиданий.
Структура надзора выстраивается в зависимости от наличия внешних требований. Такими могут быть стандарты листинга на фондовой бирже, требования законодательства, отраслевые стандарты и т.д. Если таковых требований нет – структура зависит от воли, знаний и навыков владельцев. Как правило, надзор осуществляется посредством профильных комитетов. С точки зрения системы внутреннего контроля интерес представляют следующие комитеты:
  • Комитет по назначениям – руководит отбором директоров и контролирует оценку высшего руководства. В частности, найм и увольнение главного исполнительного директора, оценку достижения целей и эффективности системы управления. 
  • Компенсационный комитет – осуществляет надзор за политикой и практикой вознаграждения высшего руководства, мотивирования ожидаемого поведения, балансирования стимулов для краткосрочных и долгосрочных результатов, увязки эффективности со стратегическими целями и соотношения компенсации с риском. 
  • Комитет по аудиту – осуществляет надзор за работой системы внутреннего контроля. Из чего состоит надзорная деятельность, рассмотрим чуть позже - в четвертой «точке фокуса». 
Упомянутые комитеты напрямую влияют на мотивацию высшего руководства задавать тон и руководить внедрением и функционированием системы внутреннего контроля. Без подобного стимулирования, вероятность того, что высшее руководство по доброй воле озадачится вопросами внутреннего контроля, достаточно низкая. Деятельность внутреннего контроля будет восприниматься, либо как дополнительная нагрузка, либо хуже того – досадная помеха. К мотивации мы еще вернемся в части, посвященной пятому принципу.
Для полноты картины можно еще упомянуть комитет по рискам, который характерен для финансовых компаний, и комплаенс-комитет, характерный для отраслей с жестким внешним регулированием. Оба этих случая – выполнение внешних требований. И, как мы знаем, что-то созданное не по своей воле, а по воле регулятора, к реальной эффективности системы внутреннего контроля имеет очень отдаленное отношение. Поэтому про них все. 
А пока поговорим о навыках и опыте, которые нужны надзорному органу для выполнения функций по надзору за системой внутреннего контроля.
Применение соответствующей экспертизы. Совет директоров определяет, поддерживает и периодически оценивает навыки и знания, необходимые своим членам, чтобы они могли задавать оценивающие вопросы высшему руководству и предпринимать соответствующие действия.
Навыки и опыт можно разделить на общие, которые ожидаются от всех членов наблюдательного совета (или аналога), и специфические, необходимые для функционирования системы внутреннего контроля.
К общим традиционно относятся честность и этические стандарты, лидерство, критическое мышление и решение проблем. К специализированным навыкам и опыту относятся:
  • Менталитет внутреннего контроля (например, профессиональный скептицизм, перспективы подходов к выявлению рисков и реагированию на них, а также оценка эффективности системы внутреннего контроля)
  • Знание рынка и компании (например, знание продуктов / услуг, цепочки создания стоимости, клиентской базы, конкурентов)
  • Финансовая экспертиза, включая финансовую отчетность (например, стандарты бухгалтерского учета, требования к финансовой отчетности)
  • Правовая и нормативная экспертиза (например, понимание действующих законов, правил и стандартов)
  • Социальная и экологическая экспертиза (например, понимание ожиданий социальных и экологических ожиданий и действий)
  • Стимулы и компенсация (например, знание рыночных ставок и методов компенсации)
  • Соответствующие системы и технологии (например, понимание проблем и возможностей критически важных систем и технологий) 
 Разумеется, поскольку компания не стоит на месте, опыт должен регулярно оцениваться с учетом меняющихся потребностей организации.
Если нужной экспертизы нет – конструктивного диалога построить не получится. Будет непонятый диалог на непонятном языке.
Кстати о непонятном. Какой бы большой экспертизой не обладали члены наблюдательного совета, никогда не лишним будет в начале договориться о терминах. Иначе эта экспертиза может сыграть злую шутку. Небольшая история для иллюстрации. Случилось это на встрече с наблюдательным советом, посвященной построению системы внутреннего контроля. Пока мы говорили в целом, все было хорошо. Когда же мы перешли к необходимости формирования контрольной среды с описанием кодекса этики и других прелестей, неожиданно послышались категорические возражения. В духе «это все на западе, а у нас такое не может быть никогда». Первой моей реакцией был шок. Основная задача была «выстраивание системы внутреннего контроля в соответствие с требованиями COSO». И без контрольной среды внедрение компонент превращалось в сизифов труд. Потом до меня дошло, что про термины мы не договорились и в дискуссии явно просматриваются признаки их разночтения.  Пришлось, отбросив пафос публикаций COSO и, вооружившись методом KISS, рассказывать суть каждого из терминов, как я их понимаю. После этого снова рассказать уже с единым трактованием терминов, что мы собираемся делать и зачем. Не могу сказать, что это далось мне легко, но на следующем заседании комитета мы уже говорили не о том, нужно ли это внедрять, а о том, как ускорить внедрение этого.
Переходим к следующей «точке фокуса», которую без преувеличения можно назвать Ахиллесовой пятой системы внутреннего контроля.
Работа независимо. Совет директоров состоит из достаточного числа членов, которые не зависят от руководства и объективны в оценках и принятии решений.
В теории все звучит здорово:
Совет директоров независим от руководства и демонстрирует соответствующие навыки и опыт в выполнении своих обязанностей по надзору. Независимость проявляется в объективности мнения, действиях, внешности и фактах членов совета директоров. Публичным компаниям, как правило, требуется, чтобы большинство их директоров были независимыми и не имели текущих или недавних личных или профессиональных отношений с предприятием.
Поскольку совет должен всегда активно участвовать и быть готовым подвергать сомнению и тщательно изучать деятельность руководства, представлять альтернативные взгляды и иметь смелость действовать перед лицом очевидных или предполагаемых проступков, необходимо, чтобы в состав совета входили независимые директора. Конечно, должностные лица и служащие привносят глубокие знания об организации, но независимые директора, обладающие соответствующим опытом, ценят свою беспристрастность, здоровый скептицизм и объективную оценку.
На практике все немного сложнее. Для каких-то компаний достаточно непросто найти кандидата, который, обладая знаниями отрасли и компании, не имел текущих или недавних личных или профессиональных отношений с предприятием.
Но найти мало – нужно еще и дать определённую свободу в решениях. Для некоторых компаний (а точнее их владельцев) сама мысль о делегировании полномочий никак не дается. Акционеры вроде ушли из операционного управления в наблюдательный совет, но продолжают через головы нанятых по случаю генеральных раздавать прямые указания в операционке. А что, если их несколько, и эти указания противоречат друг другу? В таких компаниях корпоративное управление – всего лишь дорогая игрушка на похвастаться перед другими.
В других компаниях акционеры ушли в наблюдательный совет, но он преимущественно состоит из родственников и близких. Стремление доверять только своим понятно и очевидно. Но обладают ли они необходимыми навыками и опытом? Даже если они тоже вышли из операционного управления вместе с владельцами и хорошо понимают нюансы компании. Во-первых, под определение «независимый» они никак не попадают. Они просто делают так, как сказал владелец. Во-вторых, условия «тогда» и «сейчас» могут радикально отличаться. Одно дело управлять по серым схемам, имея хорошее подспорье в виде неуплаченных налогов. Тут можно обходиться лишь управленческой отчетностью и интуицией. Но, если владельцы решили переходить прозрачные и «белые» схемы для того, чтобы переводить бизнес на новый уровень, этих навыков может быть недостаточно, а где-то будут даже мешать. В наблюдательном совете могут быть люди с приставкой «независимый» в титуле. Но чаще всего, слово «независимый» символизирует не независимое и объективное мнение, а то, что от этого мнения ничего не зависит. Такой себе набор дорогих консультантов, настаивающих на том, что их дело – рекомендовать, но если кто-то не согласен с рекомендацией – то и ладно. Если что – «они же говорили».
По сюжету, дальше должно быть про зрелые компании, где ситуация радикально лучше. Но это - не тот случай. В большинстве остальных организаций на уровне аудиторских комитетов преобладает вялое и пассивное поведение, которое ну никак не помогает достигать тех заветных целей. И это не какая-то там «местная специфика». Аналогичная картина наблюдается и «цивилизованных» странах. Причины приблизительно у всех одинаковые: нежелание владельцев контрольных пакетов делится полномочиями, местами усугубленное недостатком экспертизы и внутриполитическими играми.
Двое канадских ученых - Ричард Лебланк и Джеймс Гиллис длительный период изучали деятельность советов директоров различных компаний Канады.  Книга по результатам этого исследования уже старенькая, но набор цитат из нее ни капли не утратил актуальности и здорово иллюстрирует общую картину:
«Либо ты поступаешь, [как хочет владелец контрольного пакет], либо — пошел вон» — член совета директоров
«Если [компания ABC] принадлежит мне, нужны ли мне ограничители? Черта с два! Не бывать такому, что я буду владельцем компании, а кто-то сможет ограничить мои возможности по управлению ею. Что мне нужно, так это группа консультантов, которые делятся со мной своими мыслями — люди, которых я уважаю, которые увеличивают стоимость, обладают познаниями в отрасли и подвергают сомнению мой авторитет и указания. Однако если я не удовлетворен их советами, я поступлю так, как мне будет угодно» — владелец контрольного пакета акций
«Советы директоров учитывают мнение заинтересованных сторон только, если это отвечает их собственным интересам» — член совета директоров
«Это чушь! Это не настоящие советы директоров» — член совета директоров
«Проблема в том, что мы в комитете по аудиту доверяем менеджменту и не обладаем достаточными познаниями в области финансов» — председатель правления компании, оказывающей финансовые услуги
«Думаю, можно сказать, что у нас не очень большой опыт работы в качестве членов совета» — председатель комитета по аудиту
«Совет директоров плывет по течению... Заседания проводятся преимущественно по телефону. Комитеты не работают... и не проводят регулярных заседаний. Не сформулированы требования к отчетности» — член совета директоров
«Члены совета ни черта не понимают в том, что происходит» — председатель совета
Но представим, что звезды сошлись и в надзорном органе есть проактивные люди с определенной свободой действий, а также нужными навыками и опытом, чтобы держать менеджмент в нужном тонусе.  Такое, хоть и редко, но встречается. В чем же состоит эта самая надзорная деятельность? На этот вопрос отвечает последняя «точка фокуса».
Обеспечение надзора за системой внутреннего контроля. Совет директоров несет ответственность за надзор над разработкой, внедрением и проведением внутреннего контроля руководством:
  • Контрольная среда - Установление честности и этических ценностей, структур надзора, полномочий и ответственности, ожиданий компетентности и подотчетности совету директоров.
  • Оценка риска - Надзор за оценкой руководством рисков для достижения целей, включая потенциальное влияние значительных изменений, мошенничества и злоупотребления служебным положением.
  • Контрольные процедуры - Обеспечение контроля высшего руководства за разработкой и выполнением контрольных процедур.
  • Информация и коммуникация - Анализ и обсуждение информации, касающейся достижения предприятием целей.
  • Процедуры мониторинга - Оценка и надзор за характером и масштабами процедур по мониторингу, оценка руководством и устранение недостатков.
Каких-то особых сложностей (по сравнению с предыдущими) в данной точке фокуса нет. Необходимая надзорная деятельность, которая ожидается от надзорного органа по каждому компоненту, вполне сносно перечислена в самой модели:
Контрольная среда
  • Надзор за определением и применением стандартов поведения организации
  • Определение ожидания и оценка работы главного исполнительного директора (или эквивалентной роли)
  • Создание структур и процессов надзора, соответствующих целям организации (например, при необходимости, совет и комитеты с необходимыми навыками и опытом)
  • Комиссионная оценка эффективность надзора и рассмотрение возможностей для улучшения
  • Выполнение фидуциарных обязанностей перед акционерами или другими владельцами (в зависимости от обстоятельств) с должным вниманием и тщательностью (например, готовиться к собраниям и посещать их, просматривать финансовую отчетность предприятия и другие раскрытия информации)
  • Оценка действий высшего руководства, задавая зондирующие вопросы о планах и результатах деятельности организации, и требуя последующих и корректирующих действий, по мере необходимости
Оценка риска
  • Рассмотрение внутренних и внешних факторов, которые представляют значительный риск для достижения целей; выявление проблем и тенденций (например, последствия для устойчивости бизнес-операций предприятия)
  • Обсуждение оценки руководством рисков для достижения целей, включая потенциальное воздействие значительных изменений (например, рисков, связанных с выходом на новый рынок), а также мошенничества или коррупции
  • Оценка, насколько активно организация управляет инновациями и изменениями, такими как изменения, вызванные новыми технологиями или экономическими и геополитическими изменениями.
Контрольные процедуры
  • Запросы руководству относительно выбора, разработки и развертывания контрольных мероприятий в областях значительного риска и, при необходимости, исправления (например, в ответ на значительные риски, возникающие из-за внутренних или внешних факторов)
  • Надзор за высшим руководством в выполнении контрольных мероприятий
Информация и коммуникация
  • Коммуникация директив и тона сверху
  • Получение, анализ и обсуждение информации, касающейся достижения организацией целей
  • Изучение предоставленной информации и представление альтернативного взгляда
  • Оценка раскрытия информации для внешних заинтересованных сторон на предмет полноты, актуальности и точности
  • Принятие и обработка восходящих коммуникаций о проблемах
Процедуры мониторинга
  • Оценка и надзор за характером и масштабами деятельности по мониторингу, любых превышений полномочий со стороны руководства, а также процесса оценки и принятия корректирующих мер руководством
  • Оценка честности и этических норм высшего руководства
  • По мере необходимости взаимодействие с руководством, внутренними и внешними аудиторами и другими лицами для оценки уровня осведомленности о стратегиях организации, определенных целях, рисках и последствиях для контроля, связанных с развитием бизнеса, инфраструктуры, нормативных актов и других факторов.
На этом о втором принципе все. В следующий части пройдемся структурам, линиям подотчётности распределению полномочий и обязанностей по обеспечению функционирования системы в целом по организации. Перейти к части три.

суббота, 24 августа 2019 г.

Как распознать поддельную учетную запись в LinkedIn (Обновлено)

Социальные сети изобилуют поддельными учетными записями. Кто-то использует их для мошенничества, на подобие Нигерийских писем.
Кто-то рассылает спам. Кто-то пытается влиять на общественное мнение при помощи армии ботов. В любом случае, иметь такое счастье среди своих контактов – радости мало.
Хорошая новость в том, что выявить подобные контакты не так сложно. Как и в большинстве подобных схем, расчет идет на массовость. Разослали очень большому количеству человек – какая-то часть поведется на обман. Но поддельные учетные записи долго не живут.  Кто-то на них подаст жалобу. Какую-то часть выявят сами социальные сети - по нетипичному поведению. И поэтому таких записей нужно создавать много. Массовость является уязвимым местом этого процесса. Ведь создается не просто учетная запись. Создается профиль личности, которая ведет какую-то активность. Мошенники не могут позволить себе тратить много времени на создание каждого профиля. Эта неаккуратность вытекает в признаки, которые достаточно несложно обнаружить.
Про более простые случаи, когда профиль новый, без каких-либо подробностей, я уже писал. Старые случаи можно почитать, кликнув по ярлыку "кунсткамера" или на ссылку (читать лучше в хронологичеком порядке).
Сегодня рассмотрим  случай с профилем, который похож на настоящий.
Итак, получаю приглашение.
Некто старший аудитор интересуется моим профилем и хочет связаться.
Пока размышляю о том, какой интерес может быть у старшего аудитора ISLAMIC BANK LTD ко мне, обращаю внимание на следующие моменты:
  • Приглашение уйти из сети общаться посредством личной электронной почты, мотивированное невнятным интересом к моему профилю.
  • Стандартный текст приглашения изменен, но обращения по имени нет – такой текст удобно рассылать большому количеству адресатов. 
  • Имя и фамилия отправителя – с маленькой буквы.
Смотрим на профиль (фрагмент).
Более 500 контактов. Подробно заполненный опыт, образование, интересы. Очень похоже на "живой" профиль.
Нажимаем contact info. Ого, куча информации!
Довольно странно, что у человека с именем Iewis Oliwia, адрес электронной почты и страницы профиля - Renata Cursino. Как в том анекдоте: «…Вообще-то, Николай, но друзья зовут меня Зиной…».
С физическими адресами тоже не все гладко.
Расположение в профиле указано как United Kingdom. Смотрим на адрес, указанный в Contact info:
Да это же Бразилия, где в лесах много-много диких обезьян! Но зато соответствует бразильскому домену электронной почты.
Кто-то скажет, что все это – косвенно. Переходим к вишенке на торте. Кто у нас на фото в профиле?  Iewis Oliwia?
Знакомьтесь - министр жилищного строительства и бывшая глава отдела экологии Европы «Зеленые» Эммануэль Коссе.
Имея в своем распоряжении только Гугл поиск, Гугл карты и Гугл переводчик (испанский и французский я, увы, не знаю), получаем точный диагноз.
Дальше можно принять контакт и развлечься (если есть время и вдохновение) или сразу оформить жалобу:
Таким образом, потратив на несложные манипуляции не более минуты времени, можно существенно сократить «зверинец» в своих контактах.

P.S.
Разумеется, если мошенничество направлено против конкретной личности, используются более изящные подходы (например, кража личности), которые выявить гораздо сложнее.  Иногда может помочь только беспредельная паранойя. Но это – уже совсем другая история.

P.P.S.
Забавный сегодня день. Не успел выложить пост, как получил приглашение в Facebook.
  • Тут более простой случай:
  • Первое событие (фото профиля) – меньше месяца назад
  • Никакой активности
28 друзей, из которых я никого не знаю
Но самое главное – это фото. В отличие от случая, когда фото взято из первого попавшегося сайта, тут фото человека, которого в природе не существует. Вы, наверное, уже слышали о сайте thispersondoesnotexist.com ?
При каждом обращении к нему, нейронная сеть генерирует фото человека, которого никогда не существовало. Должен отметить, что, в большинстве случаев, нейронная сеть справляется очень неплохо. Фото и правда выглядят как живые. 


Но, насмотревшись их большое количество, начинаешь угадывать стиль и замечать огрехи. Так сети пока не очень хорошо даются зубы:
Этот артефакт и выдал источник фото. Но попытка засчитана.


вторник, 20 августа 2019 г.

Не работает внутренний контроль? Часть первая. При чем тут комплаенс?

Лирика и предисловие

Получил просьбу написать «что-нибудь на тему внутреннего контроля». Мол, нет ничего на эту тему, а хочется (и с английским беда). 
Удивился, порылся в интернете – действительно ли ничего нет? По запросу "внутренний контроль" поисковик возвращает порядка 16 млн ссылок, но большинство статей фрагментарно, по верхам, одним глазом. С литературой ситуация еще хуже. Большая часть того малого, что есть, безнадежно устарела и является очень вольным трактованием COSO модели. 
Долго думал, что выбрать. Тема не маленькая – можно написать целую книгу и не одну. В конечном счете, решил написать о самой обделенной вниманием части - Контрольной среде.
Если у Вас в компании попытки наладить контроли заканчиваются тем, что они или работают неправильно, или не работают вовсе – верный признак того, что у вас проблема с Контрольной средой.
Контрольная среда – это фундамент для системы внутреннего контроля.  В зависимости от того, насколько прочен фундамент – настолько надежно будет работать система.
А еще, это – самый сложный для внедрения компонент. В первую очередь – ментально.

Место Контрольной среды в COSO модели и первый принцип.

Кубик COSO уже, наверно, набил оскомину, но для целостности изложения очень быстро напомню.

Модель состоит из 5 компонент (лицевая грань), которые в совокупности составляют систему внутреннего контроля, работающих на всех уровнях предприятия (правая грань) и направленных на достижение трех целей (верхняя грань):
  • Эффективность и результативность операций
  • Полнота и достоверность отчетности (управленческой и финансовой)
  • Соблюдение законов и нормативных актов
Сам внутренний контроль COSO определяет, как:
Процесс, осуществляемый советом директоров, руководством и другим персоналом, призванный обеспечить разумную уверенность в достижении целей (указанных выше).
Два очень важных момента, вытекающих из этой формулировки:
  • Это процесс, в котором участвуют все, и, в первую очередь, менеджмент, а не сам внутренний контроль (функция).
  • Процесс в первую очередь направлен на обеспечение достижения целей, т.е. процессы, а не поиск и карание виноватых. Хотя, в отдельных случаях, без этого не обойтись.
Вся работа системы внутреннего контроля базируется на 17 принципах.  Для того, чтобы помочь менеджменту понять, что принципы реализованы и функционируют, COSO предлагает «точки фокуса» для каждого принципа.
Первым компонентом является Контрольная среда. COSO определяет ее следующим образом:
Контрольная среда - это совокупность стандартов, процессов и структур, которые являются основой для осуществления внутреннего контроля во всей организации. Совет директоров и высшее исполнительное руководство задают «тон сверху» касательно важности внутреннего контроля, включая ожидаемые стандарты поведения. Менеджмент реализует эти ожидания на различных уровнях организации. Понятие контрольной среды включает в себя принцип честности и этические ценности организации; параметры, позволяющие совету директоров выполнять свои обязанности по осуществлению корпоративного надзора; организационную структуру и распределение полномочий и ответственности; процесс привлечения, развития и удержания компетентных сотрудников; строгий контроль показателей деятельности, стимулов и вознаграждении в целях усиления подотчетности за результаты. Сформированная в итоге контрольная среда оказывает всеобъемлющее воздействие на систему внутреннего контроля.
Другими словами, Контрольная среда это:
  • Как делать правильно? Правила игры, понятные для всех. Контроль соблюдения, выявление и устранение несоответствий.
  • Кто что может, и кто за что отвечает?
  • Правильные исполнители. Наличие людей с правильными знаниями и навыками на местах.
  • Что стимулирует это делать? Оценка и мотивация.
Контрольная среда базируется на пяти принципах. Первый принцип звучит так:
Организация демонстрирует приверженность честности и этическим ценностям.
Точки фокуса для первого принципа следующие:
  • Определение «тона сверху»
  • Определение стандартов поведения
  • Оценка соблюдения стандартов поведения
  • Своевременное устранение отклонений 
Обычно дойдя до слов «тон сверху», аудитория говорит: «ну, это понятно, давайте дальше…». А потом оказывается, что «тон сверху» воспринимается как, когда топы надувают щеки и важно говорят: «да, уж…» тем самым давая понять, что задачу действительно нужно делать не для галочки. COSO же ожидает гораздо большего:
Определение тона сверху. Совет директоров и руководство на всех уровнях организации демонстрируют своими директивами, действиями и поведением важность честности и этических ценностей для поддержки функционирования системы внутреннего контроля.
Зачем вообще это нужно? Обычно собственники компании очень хорошо представляют себе, что из себя должна представлять компания, какова ее миссия, какое отношение должно быть к поставщикам и клиентам, какие ожидания от менеджмента и сотрудников компании, как они это все должны обеспечивать. Беда в том, что видение сотрудников (да порой и менеджмента) может очень сильно отличаться от ожиданий собственников. А значит и делать они будут не совсем так. Что приведет к не совсем тем результатам. И эти результаты могут оказаться не тем, что можно назвать «приятным сюрпризом». Чтобы этого избежать, нужно эти ожидания сформулировать, донести и контролировать понимание и соблюдение.
Как это происходит? Высшее руководство и совет директоров (или эквивалентный надзорный орган) формируют ценности, философию и стиль работы организации. При этом должны быть учтены ожидания различных заинтересованных сторон организации, таких как сотрудники, поставщики, клиенты, инвесторы и сообщество. Кроме того, должны быть учтены социальные и этические нормы на рынках, на которых действует организация.
Сформированные ожидания с различной степенью формальности должны отражаться в:
  • Миссии и ценностях организации
  • Стандартах или Кодексе корпоративной этики (или Кодексе поведения)
  • Политиках и практиках
  • Принципах операционной деятельности
  • Директивах, руководствах и другие вспомогательных сообщениях
  • Действиях и решениях менеджмента на разных уровнях и совета директоров
  • Отношении и реакции на отклонения от ожидаемых стандартов поведения
  • Неформальных и ежедневных действиях и коммуникациях лидеров на всех уровнях организации
Очень важный момент. Ожидается, что руководство и совет директоров не просто участвуют в разработке ценностей, философии и стиля работы организации, но и своими поступками демонстрируют приверженность и соблюдение этих ценностей. Не секрет, в отечественных компаниях высшее руководство исповедует философию Quod licet Iovi, non licet bovi. И изменение такого подхода на уровне высшего руководства требует просто фантастических усилий. Но без этого дальше ничего не будет. Можно потратить хоть все время на рассказы сотрудникам о честности и этических ценностях, но, если поступки «наверху» им не соответствуют – сотрудники вам никогда не поверят и желающих придерживаться ценностей будет не много. И наоборот, этическое и ответственное поведения со стороны руководства и совета директоров и демонстрация неприемлемости неправомерных действий посылают сильные сигналы сотрудникам. Сотрудники, скорее всего, выработают такое же отношение к правильному и неправильному, а также к рискам и мерам контроля, как те, которые демонстрирует руководство.
Без сильного тона сверху, поддерживающего сильную культуру внутреннего контроля, последствия будут очень серьезными для всей системы внутреннего контроля:
  • Оценка рисков может быть некорректной
  • Ответные меры на риски могут быть неадекватными
  • Контрольные действия могут быть нечеткими или не соблюдаться
  • Коммуникации могут давать сбои
  • Обратная связь по мониторингу может быть не услышана или не приняты меры
Поэтому тон сверху может быть либо драйвером, либо барьером для внутреннего контроля.
Идем к следующей точке фокуса:
Определение стандартов поведения. Ожидания совета директоров и высшего руководства в отношении честности и этических ценностей определены в стандартах поведения организации и понятны на всех уровнях организации, а также сторонними поставщиками услуг и деловыми партнерами.
Стандарты поведения разъясняют сотрудникам:
  • Что хорошо, а что плохо (бережливое отношение, честность, порядочность, нетерпимость к мошенничеству, недопустимость искажения информации и учетных данных и т.д.)
  • Какие риски для компании влечет нарушение стандартов
  • Законодательные и регуляторные требования, правила и другие ожидания акционеров, (например, корпоративная социальная ответственность)
Как правило, стандарты поведения публикуются в виде Кодекса корпоративной этики или аналогичного документа. Стоп, это же функция комплаенс! При чем тут внутренний контроль? Сюрприз! Работа функции комплаенс – это часть Контрольной среды.
Типичный кодекс корпоративной этики плюс/минус содержит в себе (не ограничиваясь) следующие группы тем:
  • Общие моменты (на кого распространяется, ожидания от сотрудников, ожидания от менеджмента, кому задавать вопросы, кому сообщать о нарушении, гарантии безопасности сообщившему о нарушении, дополнительные информационные ресурсы)
  • Сотрудники (равные условия, отношение к детскому и принудительному труду, отношение к харастменту, здоровье и безопасность рабочего места, отношение к алкоголю и наркотикам)
  • Клиенты, партнеры, конкуренты (персональные данные, добропорядочное отношение, защита интеллектуальной собственности, антимонопольное законодательство, легализация незаконно нажитых средств, торговые ограничения и контроль экспорта, конфликт интересов, подарки и проявления гостеприимства)
  • Взаимоотношения с органами государственной власти (взяточничество и коррупция, политическая деятельность, запросы органов государственной власти, внешние коммуникации, окружающая среда)
  • Отношение к активам организации и финансовая отчётность (точность и полнота данных в учете и отчетности, уровни полномочий, требования к сохранности документов, инсайдерские сделки, интеллектуальная собственность и конфиденциальная информация)
  • Администрирование Кодекса (ответственность, обучение, получение согласия соблюдать, расследование возможных нарушений, принятие решений, дисциплинарные меры, отчетность о расследованиях и принятых мерах)
Не следует ожидать, что, единожды разослав сотрудникам уведомление о наличии Кодекса корпоративной этики, сотрудники тут же все поймут и бросятся соответствовать и настанет всеобщее счастье.
При внедрении Кодекса корпоративной этики следует провести целый букет мероприятий. Об этом тоже можно написать целую книгу, но поскольку это – не книга, пройдусь широкими мазками по точкам боли.
Коммуникации о положениях кодекса.
  • Должны быть регулярными и по всем доступным каналам.
  • Отдельная коммуникация с менеджментом о его роли в обеспечении соблюдения требований. Сюда входит демонстрация соблюдения на собственном примере, разъяснения сотрудникам, контроль и ответственность за соблюдения требований сотрудниками в своем подразделении. 
  • Обязательное ознакомление с кодексом всех новых сотрудников. Прочтение и письменное согласие соблюдать (зачем – об этом чуть позже) плюс тренинг с разъяснением положений, примерами и серией вопросов/ответов.
  • Периодические информационные бюллетени с напоминанием к кому обращаться, разбором выявленных нарушений и принятых корректирующих действий.
  • Каналы связи с комплаенс-офицером для уточнений и разъяснений. 
Письменное согласие соблюдать требования.
Сбор письменных согласий с каждого сотрудника, на первый взгляд, может показаться проявлением ненужной бюрократии и переводом времени и ресурсов. Но эти затраты вполне оправданы. Форма письменного согласия сообщает сотруднику о том, что:
  • Кодекс корпоративной этики есть неотъемлемой частью внутреннего распорядка организации.
  • Нарушение требований Кодекса считается серьезным дисциплинарным проступком.
  • К сотруднику, не соблюдающему требования Кодекса могут быть применены дисциплинарные меры, вплоть до увольнения.
  • Отказ от подписания согласия может привести к прекращению трудовых отношений. 
Теперь у организации есть юридическое основание уволить сотрудника за неэтичное поведение, а сотрудник, ознакомившийся с данными условиями, серьезнее отнесется к требованиям Кодекса. 
Простота изложения и принцип «сомневаешься - спрашивай».
От того, насколько понятно написан Кодекс, напрямую зависит насколько правильно его требования будут соблюдаться. Обтекаемые формулировки всегда увеличивают вероятность того, что требование будет трактовано некорректно (умышленно или случайно). Текст должен быть однозначно понятен всем - от высшего руководства до разнорабочих и уборщиц. Но как просто не пиши и не приводи примеры, всех нюансов отразить в Кодексе просто невозможно. Поэтому очень важно поощрять сотрудников задавать вопросы. И очень важно, чтобы было кому правильно отвечать на эти вопросы. Это ожидается не только от функции комплаенс, но и от непосредственных руководителей сотрудника, у которого возникли вопросы.
Пока на этом ограничимся и перейдем к следующей точке фокуса.
Оценка соблюдения стандартов поведения.  В организации существуют процессы для оценки деятельности отдельных лиц и групп на соответствие ожидаемым стандартам поведения организации.
От каждого сотрудника в организации ожидается, что, если он стал свидетелем потенциального нарушения требований Кодекса, он должен незамедлительно об этом сообщить через «горячую линию» (в том числе анонимно) функции комплаенс. В зависимости от ситуации и вида нарушения, сообщение может быть и непосредственному руководителю, HR, внутреннему аудиту финансовой службе и т.д. Статистика о таких обращениях и реакция менеджмента в какой-то степени дает представление о том, насколько хорошо все работает, но такая оценка очень субъективна.
Гораздо лучше, когда на регулярной основе проводится независимая оценка работы процессов, связанных с Кодексом. Ее можно проводить как своими силами (например, внутренним аудитом) или привлекать внешнего консультанта. Независимый взгляд позволит выявит те моменты, которые могут быть и не видны участникам процесса. Пример из собственной практики. В одной крупной международной компании произошло серьезное обновление функции комплаенс.  Обновился кодекс, появились новые процессы, началось много коммуникаций и тренингов.  Все выглядело очень даже прилично. Руководство поручило провести независимую оценку, которая неожиданно выявила много сюрпризов. Например, при попытке позвонить на номера телефонов горячей линии, указанных в Кодексе, выяснилось, что один номер не обслуживается, а второй – ведет в кол-центр компании. Т.е. канал, который по статистике является самым эффективным для выявления нарушений, не работает. Также выяснилось, что различные виды нарушения регистрируются и расследуются разными функциями и коммуникаций между ними нет. И функции комплаенс видна только какая-то часть.  Т.е. у нас элементарно нет общей картины о том, что происходит и какой масштаб. В общем, независимая оценка пришлась весьма кстати и помогла своевременно поправить косяки.
Последняя по списку (но не по важности) точка фокуса:
Своевременное устранение отклонений. Отклонения от ожидаемых стандартов поведения организации выявляются и исправляются своевременно и последовательно.
Тоже очень большой процесс с кучей нюансов. Но, если на пальцах, то обычно это работает так. Все обращения и выявления потенциальных нарушений должны быть зарегистрированы. Реестр обращений ведет комплаенс. Учитывая специфику информации, доступ к реестру очень ограничен. Особенно к информации о сообщившем о потенциальном нарушении. Реестр, помимо статистики обращений, нужен для контроля того, что ни одно обращение не осталось без внимания и не застряло на любом из этапов обработки. Комплаенс проводит предварительную оценку обращения и, если есть признаки потенциального нарушения, инициирует расследование. При этом, сообщившему о потенциальном нарушении идет обратная связь, о том, что по его информации начата работа.  Вариантов, кто проводит расследование может быть несколько. Один из удачных, на мой взгляд, вариантов, когда в процессе виды нарушений классифицированы и по каждому виду определено, какая функция вовлекается в рабочую группу для расследования. Комплаенс координирует работу расследований и отслеживает сроки. По завершению расследования формируются рекомендации по дисциплинарным мерам и мерам, направленным на предотвращение повтора инцидента. Комплаенс на регулярной основе готовит для совета директоров отчетность со статистикой инцидентов, результатами расследований, принятыми мерами. Информация о «преступлениях и наказаниях» может доводиться до сотрудников, демонстрируя для них неприятие со стороны менеджмента нарушений этических норм. Механизм коммуникации может быть разный - периодические информационные бюллетени, общие встречи сотрудников, публикация приказов о дисциплинарных мерах на корпоративном портале и т.д. 

В сухом остатке

Для закрепления всего вышенаписанного, суть первого принципа в одном предложении:
Менеджмент и Наблюдательный совет устанавливают стандарты и механизмы для организации, чтобы понимать и придерживаться того, что правильно, и определяет процесс и ресурсы для выявления и устранения потенциальных отклонений.

На этом о первом принципе все. Осталось разобраться еще с четырьмя.

Продолжение во второй части.