Итак, в прошлый раз мы прошлись по первому принципу функционирования системы внутреннего контроля, который формирует требования к этическому поведению и обеспечивает контроль за их соблюдением. Тема местами для кого-то нудноватая, но очень важная, как основа системы внутреннего контроля.
Рискну предположить, что следующая тема вызовет гамму эмоций, большая часть из которых, будет совсем не связана с радостными воспоминаниями. Поэтому, прежде, чем к ней переходить, хочу сказать пару слов о целях данного цикла статей. Основная идея - изложить базовые принципы модели, заменив теоретические выкладки публикации COSO практическими примерами из жизни реальных компаний. Я не один год провел в аудите и консалтинге, работая в четырех странах с компаниями почти всех отраслей. И не питаю никаких иллюзий о том, какой процент компаний добился, скажем так, не очень выдающихся показателей в построении системы внутреннего контроля. Мне также повезло поработать в компаниях, где система внутреннего контроля работала на высоком уровне зрелости и вживую «пощупать» то, о чем пишет COSO. Лично для меня интересен опыт компаний, которые добились результатов. И почти не интересен тех, которые пытались. И не важно по причине каких экономических, социальных, физических или ментальных ограничений у них не получилось. Их опыт полезен только для примеров, почему так делать не нужно.
Двигаемся дальше. Я считаю, что каждый из пяти принципов жизненно важный для построения основы эффективной системы внутреннего контроля. Но второй принцип – особенный. В большинстве случаев, его неэффективная реализация делает внедрение системы внутреннего контроля бесконечным и безрезультативным процессом. А еще, на его реализацию тяжелее всего повлиять. Потому, что речь пойдет о совете директоров (наблюдательном совете или аналогичном надзорном органе).
Для полноты картины можно еще упомянуть комитет по рискам, который характерен для финансовых компаний, и комплаенс-комитет, характерный для отраслей с жестким внешним регулированием. Оба этих случая – выполнение внешних требований. И, как мы знаем, что-то созданное не по своей воле, а по воле регулятора, к реальной эффективности системы внутреннего контроля имеет очень отдаленное отношение. Поэтому про них все.
А пока поговорим о навыках и опыте, которые нужны надзорному органу для выполнения функций по надзору за системой внутреннего контроля.
К общим традиционно относятся честность и этические стандарты, лидерство, критическое мышление и решение проблем. К специализированным навыкам и опыту относятся:
Если нужной экспертизы нет – конструктивного диалога построить не получится. Будет непонятый диалог на непонятном языке.
Кстати о непонятном. Какой бы большой экспертизой не обладали члены наблюдательного совета, никогда не лишним будет в начале договориться о терминах. Иначе эта экспертиза может сыграть злую шутку. Небольшая история для иллюстрации. Случилось это на встрече с наблюдательным советом, посвященной построению системы внутреннего контроля. Пока мы говорили в целом, все было хорошо. Когда же мы перешли к необходимости формирования контрольной среды с описанием кодекса этики и других прелестей, неожиданно послышались категорические возражения. В духе «это все на западе, а у нас такое не может быть никогда». Первой моей реакцией был шок. Основная задача была «выстраивание системы внутреннего контроля в соответствие с требованиями COSO». И без контрольной среды внедрение компонент превращалось в сизифов труд. Потом до меня дошло, что про термины мы не договорились и в дискуссии явно просматриваются признаки их разночтения. Пришлось, отбросив пафос публикаций COSO и, вооружившись методом KISS, рассказывать суть каждого из терминов, как я их понимаю. После этого снова рассказать уже с единым трактованием терминов, что мы собираемся делать и зачем. Не могу сказать, что это далось мне легко, но на следующем заседании комитета мы уже говорили не о том, нужно ли это внедрять, а о том, как ускорить внедрение этого.
Переходим к следующей «точке фокуса», которую без преувеличения можно назвать Ахиллесовой пятой системы внутреннего контроля.
Но найти мало – нужно еще и дать определённую свободу в решениях. Для некоторых компаний (а точнее их владельцев) сама мысль о делегировании полномочий никак не дается. Акционеры вроде ушли из операционного управления в наблюдательный совет, но продолжают через головы нанятых по случаю генеральных раздавать прямые указания в операционке. А что, если их несколько, и эти указания противоречат друг другу? В таких компаниях корпоративное управление – всего лишь дорогая игрушка на похвастаться перед другими.
В других компаниях акционеры ушли в наблюдательный совет, но он преимущественно состоит из родственников и близких. Стремление доверять только своим понятно и очевидно. Но обладают ли они необходимыми навыками и опытом? Даже если они тоже вышли из операционного управления вместе с владельцами и хорошо понимают нюансы компании. Во-первых, под определение «независимый» они никак не попадают. Они просто делают так, как сказал владелец. Во-вторых, условия «тогда» и «сейчас» могут радикально отличаться. Одно дело управлять по серым схемам, имея хорошее подспорье в виде неуплаченных налогов. Тут можно обходиться лишь управленческой отчетностью и интуицией. Но, если владельцы решили переходить прозрачные и «белые» схемы для того, чтобы переводить бизнес на новый уровень, этих навыков может быть недостаточно, а где-то будут даже мешать. В наблюдательном совете могут быть люди с приставкой «независимый» в титуле. Но чаще всего, слово «независимый» символизирует не независимое и объективное мнение, а то, что от этого мнения ничего не зависит. Такой себе набор дорогих консультантов, настаивающих на том, что их дело – рекомендовать, но если кто-то не согласен с рекомендацией – то и ладно. Если что – «они же говорили».
По сюжету, дальше должно быть про зрелые компании, где ситуация радикально лучше. Но это - не тот случай. В большинстве остальных организаций на уровне аудиторских комитетов преобладает вялое и пассивное поведение, которое ну никак не помогает достигать тех заветных целей. И это не какая-то там «местная специфика». Аналогичная картина наблюдается и «цивилизованных» странах. Причины приблизительно у всех одинаковые: нежелание владельцев контрольных пакетов делится полномочиями, местами усугубленное недостатком экспертизы и внутриполитическими играми.
Двое канадских ученых - Ричард Лебланк и Джеймс Гиллис длительный период изучали деятельность советов директоров различных компаний Канады. Книга по результатам этого исследования уже старенькая, но набор цитат из нее ни капли не утратил актуальности и здорово иллюстрирует общую картину:
Рискну предположить, что следующая тема вызовет гамму эмоций, большая часть из которых, будет совсем не связана с радостными воспоминаниями. Поэтому, прежде, чем к ней переходить, хочу сказать пару слов о целях данного цикла статей. Основная идея - изложить базовые принципы модели, заменив теоретические выкладки публикации COSO практическими примерами из жизни реальных компаний. Я не один год провел в аудите и консалтинге, работая в четырех странах с компаниями почти всех отраслей. И не питаю никаких иллюзий о том, какой процент компаний добился, скажем так, не очень выдающихся показателей в построении системы внутреннего контроля. Мне также повезло поработать в компаниях, где система внутреннего контроля работала на высоком уровне зрелости и вживую «пощупать» то, о чем пишет COSO. Лично для меня интересен опыт компаний, которые добились результатов. И почти не интересен тех, которые пытались. И не важно по причине каких экономических, социальных, физических или ментальных ограничений у них не получилось. Их опыт полезен только для примеров, почему так делать не нужно.
Двигаемся дальше. Я считаю, что каждый из пяти принципов жизненно важный для построения основы эффективной системы внутреннего контроля. Но второй принцип – особенный. В большинстве случаев, его неэффективная реализация делает внедрение системы внутреннего контроля бесконечным и безрезультативным процессом. А еще, на его реализацию тяжелее всего повлиять. Потому, что речь пойдет о совете директоров (наблюдательном совете или аналогичном надзорном органе).
Принцип 2: Совет директоров демонстрирует независимость от руководства и осуществляет надзор за развитием и осуществлением внутреннего контроля.Как и у предыдущего, у второго принципа четыре точки фокуса:
- Установление обязанностей по надзору.
- Применение соответствующей экспертизы.
- Независимая работа.
- Обеспечение надзора за системой внутреннего контроля.
Установление обязанностей по надзору. Совет директоров определяет и принимает свои обязанности по надзору в отношении установленных требований и ожиданий.Структура надзора выстраивается в зависимости от наличия внешних требований. Такими могут быть стандарты листинга на фондовой бирже, требования законодательства, отраслевые стандарты и т.д. Если таковых требований нет – структура зависит от воли, знаний и навыков владельцев. Как правило, надзор осуществляется посредством профильных комитетов. С точки зрения системы внутреннего контроля интерес представляют следующие комитеты:
- Комитет по назначениям – руководит отбором директоров и контролирует оценку высшего руководства. В частности, найм и увольнение главного исполнительного директора, оценку достижения целей и эффективности системы управления.
- Компенсационный комитет – осуществляет надзор за политикой и практикой вознаграждения высшего руководства, мотивирования ожидаемого поведения, балансирования стимулов для краткосрочных и долгосрочных результатов, увязки эффективности со стратегическими целями и соотношения компенсации с риском.
- Комитет по аудиту – осуществляет надзор за работой системы внутреннего контроля. Из чего состоит надзорная деятельность, рассмотрим чуть позже - в четвертой «точке фокуса».
Для полноты картины можно еще упомянуть комитет по рискам, который характерен для финансовых компаний, и комплаенс-комитет, характерный для отраслей с жестким внешним регулированием. Оба этих случая – выполнение внешних требований. И, как мы знаем, что-то созданное не по своей воле, а по воле регулятора, к реальной эффективности системы внутреннего контроля имеет очень отдаленное отношение. Поэтому про них все.
А пока поговорим о навыках и опыте, которые нужны надзорному органу для выполнения функций по надзору за системой внутреннего контроля.
Применение соответствующей экспертизы. Совет директоров определяет, поддерживает и периодически оценивает навыки и знания, необходимые своим членам, чтобы они могли задавать оценивающие вопросы высшему руководству и предпринимать соответствующие действия.Навыки и опыт можно разделить на общие, которые ожидаются от всех членов наблюдательного совета (или аналога), и специфические, необходимые для функционирования системы внутреннего контроля.
К общим традиционно относятся честность и этические стандарты, лидерство, критическое мышление и решение проблем. К специализированным навыкам и опыту относятся:
- Менталитет внутреннего контроля (например, профессиональный скептицизм, перспективы подходов к выявлению рисков и реагированию на них, а также оценка эффективности системы внутреннего контроля)
- Знание рынка и компании (например, знание продуктов / услуг, цепочки создания стоимости, клиентской базы, конкурентов)
- Финансовая экспертиза, включая финансовую отчетность (например, стандарты бухгалтерского учета, требования к финансовой отчетности)
- Правовая и нормативная экспертиза (например, понимание действующих законов, правил и стандартов)
- Социальная и экологическая экспертиза (например, понимание ожиданий социальных и экологических ожиданий и действий)
- Стимулы и компенсация (например, знание рыночных ставок и методов компенсации)
- Соответствующие системы и технологии (например, понимание проблем и возможностей критически важных систем и технологий)
Если нужной экспертизы нет – конструктивного диалога построить не получится. Будет непонятый диалог на непонятном языке.
Кстати о непонятном. Какой бы большой экспертизой не обладали члены наблюдательного совета, никогда не лишним будет в начале договориться о терминах. Иначе эта экспертиза может сыграть злую шутку. Небольшая история для иллюстрации. Случилось это на встрече с наблюдательным советом, посвященной построению системы внутреннего контроля. Пока мы говорили в целом, все было хорошо. Когда же мы перешли к необходимости формирования контрольной среды с описанием кодекса этики и других прелестей, неожиданно послышались категорические возражения. В духе «это все на западе, а у нас такое не может быть никогда». Первой моей реакцией был шок. Основная задача была «выстраивание системы внутреннего контроля в соответствие с требованиями COSO». И без контрольной среды внедрение компонент превращалось в сизифов труд. Потом до меня дошло, что про термины мы не договорились и в дискуссии явно просматриваются признаки их разночтения. Пришлось, отбросив пафос публикаций COSO и, вооружившись методом KISS, рассказывать суть каждого из терминов, как я их понимаю. После этого снова рассказать уже с единым трактованием терминов, что мы собираемся делать и зачем. Не могу сказать, что это далось мне легко, но на следующем заседании комитета мы уже говорили не о том, нужно ли это внедрять, а о том, как ускорить внедрение этого.
Переходим к следующей «точке фокуса», которую без преувеличения можно назвать Ахиллесовой пятой системы внутреннего контроля.
Работа независимо. Совет директоров состоит из достаточного числа членов, которые не зависят от руководства и объективны в оценках и принятии решений.В теории все звучит здорово:
Совет директоров независим от руководства и демонстрирует соответствующие навыки и опыт в выполнении своих обязанностей по надзору. Независимость проявляется в объективности мнения, действиях, внешности и фактах членов совета директоров. Публичным компаниям, как правило, требуется, чтобы большинство их директоров были независимыми и не имели текущих или недавних личных или профессиональных отношений с предприятием.На практике все немного сложнее. Для каких-то компаний достаточно непросто найти кандидата, который, обладая знаниями отрасли и компании, не имел текущих или недавних личных или профессиональных отношений с предприятием.
Поскольку совет должен всегда активно участвовать и быть готовым подвергать сомнению и тщательно изучать деятельность руководства, представлять альтернативные взгляды и иметь смелость действовать перед лицом очевидных или предполагаемых проступков, необходимо, чтобы в состав совета входили независимые директора. Конечно, должностные лица и служащие привносят глубокие знания об организации, но независимые директора, обладающие соответствующим опытом, ценят свою беспристрастность, здоровый скептицизм и объективную оценку.
Но найти мало – нужно еще и дать определённую свободу в решениях. Для некоторых компаний (а точнее их владельцев) сама мысль о делегировании полномочий никак не дается. Акционеры вроде ушли из операционного управления в наблюдательный совет, но продолжают через головы нанятых по случаю генеральных раздавать прямые указания в операционке. А что, если их несколько, и эти указания противоречат друг другу? В таких компаниях корпоративное управление – всего лишь дорогая игрушка на похвастаться перед другими.
В других компаниях акционеры ушли в наблюдательный совет, но он преимущественно состоит из родственников и близких. Стремление доверять только своим понятно и очевидно. Но обладают ли они необходимыми навыками и опытом? Даже если они тоже вышли из операционного управления вместе с владельцами и хорошо понимают нюансы компании. Во-первых, под определение «независимый» они никак не попадают. Они просто делают так, как сказал владелец. Во-вторых, условия «тогда» и «сейчас» могут радикально отличаться. Одно дело управлять по серым схемам, имея хорошее подспорье в виде неуплаченных налогов. Тут можно обходиться лишь управленческой отчетностью и интуицией. Но, если владельцы решили переходить прозрачные и «белые» схемы для того, чтобы переводить бизнес на новый уровень, этих навыков может быть недостаточно, а где-то будут даже мешать. В наблюдательном совете могут быть люди с приставкой «независимый» в титуле. Но чаще всего, слово «независимый» символизирует не независимое и объективное мнение, а то, что от этого мнения ничего не зависит. Такой себе набор дорогих консультантов, настаивающих на том, что их дело – рекомендовать, но если кто-то не согласен с рекомендацией – то и ладно. Если что – «они же говорили».
По сюжету, дальше должно быть про зрелые компании, где ситуация радикально лучше. Но это - не тот случай. В большинстве остальных организаций на уровне аудиторских комитетов преобладает вялое и пассивное поведение, которое ну никак не помогает достигать тех заветных целей. И это не какая-то там «местная специфика». Аналогичная картина наблюдается и «цивилизованных» странах. Причины приблизительно у всех одинаковые: нежелание владельцев контрольных пакетов делится полномочиями, местами усугубленное недостатком экспертизы и внутриполитическими играми.
Двое канадских ученых - Ричард Лебланк и Джеймс Гиллис длительный период изучали деятельность советов директоров различных компаний Канады. Книга по результатам этого исследования уже старенькая, но набор цитат из нее ни капли не утратил актуальности и здорово иллюстрирует общую картину:
«Либо ты поступаешь, [как хочет владелец контрольного пакет], либо — пошел вон» — член совета директоров
«Если [компания ABC] принадлежит мне, нужны ли мне ограничители? Черта с два! Не бывать такому, что я буду владельцем компании, а кто-то сможет ограничить мои возможности по управлению ею. Что мне нужно, так это группа консультантов, которые делятся со мной своими мыслями — люди, которых я уважаю, которые увеличивают стоимость, обладают познаниями в отрасли и подвергают сомнению мой авторитет и указания. Однако если я не удовлетворен их советами, я поступлю так, как мне будет угодно» — владелец контрольного пакета акций
«Советы директоров учитывают мнение заинтересованных сторон только, если это отвечает их собственным интересам» — член совета директоров
«Это чушь! Это не настоящие советы директоров» — член совета директоров
«Проблема в том, что мы в комитете по аудиту доверяем менеджменту и не обладаем достаточными познаниями в области финансов» — председатель правления компании, оказывающей финансовые услуги
«Думаю, можно сказать, что у нас не очень большой опыт работы в качестве членов совета» — председатель комитета по аудиту
«Совет директоров плывет по течению... Заседания проводятся преимущественно по телефону. Комитеты не работают... и не проводят регулярных заседаний. Не сформулированы требования к отчетности» — член совета директоров
«Члены совета ни черта не понимают в том, что происходит» — председатель советаНо представим, что звезды сошлись и в надзорном органе есть проактивные люди с определенной свободой действий, а также нужными навыками и опытом, чтобы держать менеджмент в нужном тонусе. Такое, хоть и редко, но встречается. В чем же состоит эта самая надзорная деятельность? На этот вопрос отвечает последняя «точка фокуса».
Обеспечение надзора за системой внутреннего контроля. Совет директоров несет ответственность за надзор над разработкой, внедрением и проведением внутреннего контроля руководством:Каких-то особых сложностей (по сравнению с предыдущими) в данной точке фокуса нет. Необходимая надзорная деятельность, которая ожидается от надзорного органа по каждому компоненту, вполне сносно перечислена в самой модели:
- Контрольная среда - Установление честности и этических ценностей, структур надзора, полномочий и ответственности, ожиданий компетентности и подотчетности совету директоров.
- Оценка риска - Надзор за оценкой руководством рисков для достижения целей, включая потенциальное влияние значительных изменений, мошенничества и злоупотребления служебным положением.
- Контрольные процедуры - Обеспечение контроля высшего руководства за разработкой и выполнением контрольных процедур.
- Информация и коммуникация - Анализ и обсуждение информации, касающейся достижения предприятием целей.
- Процедуры мониторинга - Оценка и надзор за характером и масштабами процедур по мониторингу, оценка руководством и устранение недостатков.
Контрольная средаНа этом о втором принципе все. В следующий части пройдемся структурам, линиям подотчётности распределению полномочий и обязанностей по обеспечению функционирования системы в целом по организации. Перейти к части три.
- Надзор за определением и применением стандартов поведения организации
- Определение ожидания и оценка работы главного исполнительного директора (или эквивалентной роли)
- Создание структур и процессов надзора, соответствующих целям организации (например, при необходимости, совет и комитеты с необходимыми навыками и опытом)
- Комиссионная оценка эффективность надзора и рассмотрение возможностей для улучшения
- Выполнение фидуциарных обязанностей перед акционерами или другими владельцами (в зависимости от обстоятельств) с должным вниманием и тщательностью (например, готовиться к собраниям и посещать их, просматривать финансовую отчетность предприятия и другие раскрытия информации)
Оценка риска
- Оценка действий высшего руководства, задавая зондирующие вопросы о планах и результатах деятельности организации, и требуя последующих и корректирующих действий, по мере необходимости
- Рассмотрение внутренних и внешних факторов, которые представляют значительный риск для достижения целей; выявление проблем и тенденций (например, последствия для устойчивости бизнес-операций предприятия)
- Обсуждение оценки руководством рисков для достижения целей, включая потенциальное воздействие значительных изменений (например, рисков, связанных с выходом на новый рынок), а также мошенничества или коррупции
Контрольные процедуры
- Оценка, насколько активно организация управляет инновациями и изменениями, такими как изменения, вызванные новыми технологиями или экономическими и геополитическими изменениями.
- Запросы руководству относительно выбора, разработки и развертывания контрольных мероприятий в областях значительного риска и, при необходимости, исправления (например, в ответ на значительные риски, возникающие из-за внутренних или внешних факторов)
Информация и коммуникация
- Надзор за высшим руководством в выполнении контрольных мероприятий
- Коммуникация директив и тона сверху
- Получение, анализ и обсуждение информации, касающейся достижения организацией целей
- Изучение предоставленной информации и представление альтернативного взгляда
- Оценка раскрытия информации для внешних заинтересованных сторон на предмет полноты, актуальности и точности
Процедуры мониторинга
- Принятие и обработка восходящих коммуникаций о проблемах
- Оценка и надзор за характером и масштабами деятельности по мониторингу, любых превышений полномочий со стороны руководства, а также процесса оценки и принятия корректирующих мер руководством
- Оценка честности и этических норм высшего руководства
- По мере необходимости взаимодействие с руководством, внутренними и внешними аудиторами и другими лицами для оценки уровня осведомленности о стратегиях организации, определенных целях, рисках и последствиях для контроля, связанных с развитием бизнеса, инфраструктуры, нормативных актов и других факторов.
