вторник, 20 августа 2019 г.

Не работает внутренний контроль? Часть первая. При чем тут комплаенс?

Лирика и предисловие

Получил просьбу написать «что-нибудь на тему внутреннего контроля». Мол, нет ничего на эту тему, а хочется (и с английским беда). 
Удивился, порылся в интернете – действительно ли ничего нет? По запросу "внутренний контроль" поисковик возвращает порядка 16 млн ссылок, но большинство статей фрагментарно, по верхам, одним глазом. С литературой ситуация еще хуже. Большая часть того малого, что есть, безнадежно устарела и является очень вольным трактованием COSO модели. 
Долго думал, что выбрать. Тема не маленькая – можно написать целую книгу и не одну. В конечном счете, решил написать о самой обделенной вниманием части - Контрольной среде.
Если у Вас в компании попытки наладить контроли заканчиваются тем, что они или работают неправильно, или не работают вовсе – верный признак того, что у вас проблема с Контрольной средой.
Контрольная среда – это фундамент для системы внутреннего контроля.  В зависимости от того, насколько прочен фундамент – настолько надежно будет работать система.
А еще, это – самый сложный для внедрения компонент. В первую очередь – ментально.

Место Контрольной среды в COSO модели и первый принцип.

Кубик COSO уже, наверно, набил оскомину, но для целостности изложения очень быстро напомню.

Модель состоит из 5 компонент (лицевая грань), которые в совокупности составляют систему внутреннего контроля, работающих на всех уровнях предприятия (правая грань) и направленных на достижение трех целей (верхняя грань):
  • Эффективность и результативность операций
  • Полнота и достоверность отчетности (управленческой и финансовой)
  • Соблюдение законов и нормативных актов
Сам внутренний контроль COSO определяет, как:
Процесс, осуществляемый советом директоров, руководством и другим персоналом, призванный обеспечить разумную уверенность в достижении целей (указанных выше).
Два очень важных момента, вытекающих из этой формулировки:
  • Это процесс, в котором участвуют все, и, в первую очередь, менеджмент, а не сам внутренний контроль (функция).
  • Процесс в первую очередь направлен на обеспечение достижения целей, т.е. процессы, а не поиск и карание виноватых. Хотя, в отдельных случаях, без этого не обойтись.
Вся работа системы внутреннего контроля базируется на 17 принципах.  Для того, чтобы помочь менеджменту понять, что принципы реализованы и функционируют, COSO предлагает «точки фокуса» для каждого принципа.
Первым компонентом является Контрольная среда. COSO определяет ее следующим образом:
Контрольная среда - это совокупность стандартов, процессов и структур, которые являются основой для осуществления внутреннего контроля во всей организации. Совет директоров и высшее исполнительное руководство задают «тон сверху» касательно важности внутреннего контроля, включая ожидаемые стандарты поведения. Менеджмент реализует эти ожидания на различных уровнях организации. Понятие контрольной среды включает в себя принцип честности и этические ценности организации; параметры, позволяющие совету директоров выполнять свои обязанности по осуществлению корпоративного надзора; организационную структуру и распределение полномочий и ответственности; процесс привлечения, развития и удержания компетентных сотрудников; строгий контроль показателей деятельности, стимулов и вознаграждении в целях усиления подотчетности за результаты. Сформированная в итоге контрольная среда оказывает всеобъемлющее воздействие на систему внутреннего контроля.
Другими словами, Контрольная среда это:
  • Как делать правильно? Правила игры, понятные для всех. Контроль соблюдения, выявление и устранение несоответствий.
  • Кто что может, и кто за что отвечает?
  • Правильные исполнители. Наличие людей с правильными знаниями и навыками на местах.
  • Что стимулирует это делать? Оценка и мотивация.
Контрольная среда базируется на пяти принципах. Первый принцип звучит так:
Организация демонстрирует приверженность честности и этическим ценностям.
Точки фокуса для первого принципа следующие:
  • Определение «тона сверху»
  • Определение стандартов поведения
  • Оценка соблюдения стандартов поведения
  • Своевременное устранение отклонений 
Обычно дойдя до слов «тон сверху», аудитория говорит: «ну, это понятно, давайте дальше…». А потом оказывается, что «тон сверху» воспринимается как, когда топы надувают щеки и важно говорят: «да, уж…» тем самым давая понять, что задачу действительно нужно делать не для галочки. COSO же ожидает гораздо большего:
Определение тона сверху. Совет директоров и руководство на всех уровнях организации демонстрируют своими директивами, действиями и поведением важность честности и этических ценностей для поддержки функционирования системы внутреннего контроля.
Зачем вообще это нужно? Обычно собственники компании очень хорошо представляют себе, что из себя должна представлять компания, какова ее миссия, какое отношение должно быть к поставщикам и клиентам, какие ожидания от менеджмента и сотрудников компании, как они это все должны обеспечивать. Беда в том, что видение сотрудников (да порой и менеджмента) может очень сильно отличаться от ожиданий собственников. А значит и делать они будут не совсем так. Что приведет к не совсем тем результатам. И эти результаты могут оказаться не тем, что можно назвать «приятным сюрпризом». Чтобы этого избежать, нужно эти ожидания сформулировать, донести и контролировать понимание и соблюдение.
Как это происходит? Высшее руководство и совет директоров (или эквивалентный надзорный орган) формируют ценности, философию и стиль работы организации. При этом должны быть учтены ожидания различных заинтересованных сторон организации, таких как сотрудники, поставщики, клиенты, инвесторы и сообщество. Кроме того, должны быть учтены социальные и этические нормы на рынках, на которых действует организация.
Сформированные ожидания с различной степенью формальности должны отражаться в:
  • Миссии и ценностях организации
  • Стандартах или Кодексе корпоративной этики (или Кодексе поведения)
  • Политиках и практиках
  • Принципах операционной деятельности
  • Директивах, руководствах и другие вспомогательных сообщениях
  • Действиях и решениях менеджмента на разных уровнях и совета директоров
  • Отношении и реакции на отклонения от ожидаемых стандартов поведения
  • Неформальных и ежедневных действиях и коммуникациях лидеров на всех уровнях организации
Очень важный момент. Ожидается, что руководство и совет директоров не просто участвуют в разработке ценностей, философии и стиля работы организации, но и своими поступками демонстрируют приверженность и соблюдение этих ценностей. Не секрет, в отечественных компаниях высшее руководство исповедует философию Quod licet Iovi, non licet bovi. И изменение такого подхода на уровне высшего руководства требует просто фантастических усилий. Но без этого дальше ничего не будет. Можно потратить хоть все время на рассказы сотрудникам о честности и этических ценностях, но, если поступки «наверху» им не соответствуют – сотрудники вам никогда не поверят и желающих придерживаться ценностей будет не много. И наоборот, этическое и ответственное поведения со стороны руководства и совета директоров и демонстрация неприемлемости неправомерных действий посылают сильные сигналы сотрудникам. Сотрудники, скорее всего, выработают такое же отношение к правильному и неправильному, а также к рискам и мерам контроля, как те, которые демонстрирует руководство.
Без сильного тона сверху, поддерживающего сильную культуру внутреннего контроля, последствия будут очень серьезными для всей системы внутреннего контроля:
  • Оценка рисков может быть некорректной
  • Ответные меры на риски могут быть неадекватными
  • Контрольные действия могут быть нечеткими или не соблюдаться
  • Коммуникации могут давать сбои
  • Обратная связь по мониторингу может быть не услышана или не приняты меры
Поэтому тон сверху может быть либо драйвером, либо барьером для внутреннего контроля.
Идем к следующей точке фокуса:
Определение стандартов поведения. Ожидания совета директоров и высшего руководства в отношении честности и этических ценностей определены в стандартах поведения организации и понятны на всех уровнях организации, а также сторонними поставщиками услуг и деловыми партнерами.
Стандарты поведения разъясняют сотрудникам:
  • Что хорошо, а что плохо (бережливое отношение, честность, порядочность, нетерпимость к мошенничеству, недопустимость искажения информации и учетных данных и т.д.)
  • Какие риски для компании влечет нарушение стандартов
  • Законодательные и регуляторные требования, правила и другие ожидания акционеров, (например, корпоративная социальная ответственность)
Как правило, стандарты поведения публикуются в виде Кодекса корпоративной этики или аналогичного документа. Стоп, это же функция комплаенс! При чем тут внутренний контроль? Сюрприз! Работа функции комплаенс – это часть Контрольной среды.
Типичный кодекс корпоративной этики плюс/минус содержит в себе (не ограничиваясь) следующие группы тем:
  • Общие моменты (на кого распространяется, ожидания от сотрудников, ожидания от менеджмента, кому задавать вопросы, кому сообщать о нарушении, гарантии безопасности сообщившему о нарушении, дополнительные информационные ресурсы)
  • Сотрудники (равные условия, отношение к детскому и принудительному труду, отношение к харастменту, здоровье и безопасность рабочего места, отношение к алкоголю и наркотикам)
  • Клиенты, партнеры, конкуренты (персональные данные, добропорядочное отношение, защита интеллектуальной собственности, антимонопольное законодательство, легализация незаконно нажитых средств, торговые ограничения и контроль экспорта, конфликт интересов, подарки и проявления гостеприимства)
  • Взаимоотношения с органами государственной власти (взяточничество и коррупция, политическая деятельность, запросы органов государственной власти, внешние коммуникации, окружающая среда)
  • Отношение к активам организации и финансовая отчётность (точность и полнота данных в учете и отчетности, уровни полномочий, требования к сохранности документов, инсайдерские сделки, интеллектуальная собственность и конфиденциальная информация)
  • Администрирование Кодекса (ответственность, обучение, получение согласия соблюдать, расследование возможных нарушений, принятие решений, дисциплинарные меры, отчетность о расследованиях и принятых мерах)
Не следует ожидать, что, единожды разослав сотрудникам уведомление о наличии Кодекса корпоративной этики, сотрудники тут же все поймут и бросятся соответствовать и настанет всеобщее счастье.
При внедрении Кодекса корпоративной этики следует провести целый букет мероприятий. Об этом тоже можно написать целую книгу, но поскольку это – не книга, пройдусь широкими мазками по точкам боли.
Коммуникации о положениях кодекса.
  • Должны быть регулярными и по всем доступным каналам.
  • Отдельная коммуникация с менеджментом о его роли в обеспечении соблюдения требований. Сюда входит демонстрация соблюдения на собственном примере, разъяснения сотрудникам, контроль и ответственность за соблюдения требований сотрудниками в своем подразделении. 
  • Обязательное ознакомление с кодексом всех новых сотрудников. Прочтение и письменное согласие соблюдать (зачем – об этом чуть позже) плюс тренинг с разъяснением положений, примерами и серией вопросов/ответов.
  • Периодические информационные бюллетени с напоминанием к кому обращаться, разбором выявленных нарушений и принятых корректирующих действий.
  • Каналы связи с комплаенс-офицером для уточнений и разъяснений. 
Письменное согласие соблюдать требования.
Сбор письменных согласий с каждого сотрудника, на первый взгляд, может показаться проявлением ненужной бюрократии и переводом времени и ресурсов. Но эти затраты вполне оправданы. Форма письменного согласия сообщает сотруднику о том, что:
  • Кодекс корпоративной этики есть неотъемлемой частью внутреннего распорядка организации.
  • Нарушение требований Кодекса считается серьезным дисциплинарным проступком.
  • К сотруднику, не соблюдающему требования Кодекса могут быть применены дисциплинарные меры, вплоть до увольнения.
  • Отказ от подписания согласия может привести к прекращению трудовых отношений. 
Теперь у организации есть юридическое основание уволить сотрудника за неэтичное поведение, а сотрудник, ознакомившийся с данными условиями, серьезнее отнесется к требованиям Кодекса. 
Простота изложения и принцип «сомневаешься - спрашивай».
От того, насколько понятно написан Кодекс, напрямую зависит насколько правильно его требования будут соблюдаться. Обтекаемые формулировки всегда увеличивают вероятность того, что требование будет трактовано некорректно (умышленно или случайно). Текст должен быть однозначно понятен всем - от высшего руководства до разнорабочих и уборщиц. Но как просто не пиши и не приводи примеры, всех нюансов отразить в Кодексе просто невозможно. Поэтому очень важно поощрять сотрудников задавать вопросы. И очень важно, чтобы было кому правильно отвечать на эти вопросы. Это ожидается не только от функции комплаенс, но и от непосредственных руководителей сотрудника, у которого возникли вопросы.
Пока на этом ограничимся и перейдем к следующей точке фокуса.
Оценка соблюдения стандартов поведения.  В организации существуют процессы для оценки деятельности отдельных лиц и групп на соответствие ожидаемым стандартам поведения организации.
От каждого сотрудника в организации ожидается, что, если он стал свидетелем потенциального нарушения требований Кодекса, он должен незамедлительно об этом сообщить через «горячую линию» (в том числе анонимно) функции комплаенс. В зависимости от ситуации и вида нарушения, сообщение может быть и непосредственному руководителю, HR, внутреннему аудиту финансовой службе и т.д. Статистика о таких обращениях и реакция менеджмента в какой-то степени дает представление о том, насколько хорошо все работает, но такая оценка очень субъективна.
Гораздо лучше, когда на регулярной основе проводится независимая оценка работы процессов, связанных с Кодексом. Ее можно проводить как своими силами (например, внутренним аудитом) или привлекать внешнего консультанта. Независимый взгляд позволит выявит те моменты, которые могут быть и не видны участникам процесса. Пример из собственной практики. В одной крупной международной компании произошло серьезное обновление функции комплаенс.  Обновился кодекс, появились новые процессы, началось много коммуникаций и тренингов.  Все выглядело очень даже прилично. Руководство поручило провести независимую оценку, которая неожиданно выявила много сюрпризов. Например, при попытке позвонить на номера телефонов горячей линии, указанных в Кодексе, выяснилось, что один номер не обслуживается, а второй – ведет в кол-центр компании. Т.е. канал, который по статистике является самым эффективным для выявления нарушений, не работает. Также выяснилось, что различные виды нарушения регистрируются и расследуются разными функциями и коммуникаций между ними нет. И функции комплаенс видна только какая-то часть.  Т.е. у нас элементарно нет общей картины о том, что происходит и какой масштаб. В общем, независимая оценка пришлась весьма кстати и помогла своевременно поправить косяки.
Последняя по списку (но не по важности) точка фокуса:
Своевременное устранение отклонений. Отклонения от ожидаемых стандартов поведения организации выявляются и исправляются своевременно и последовательно.
Тоже очень большой процесс с кучей нюансов. Но, если на пальцах, то обычно это работает так. Все обращения и выявления потенциальных нарушений должны быть зарегистрированы. Реестр обращений ведет комплаенс. Учитывая специфику информации, доступ к реестру очень ограничен. Особенно к информации о сообщившем о потенциальном нарушении. Реестр, помимо статистики обращений, нужен для контроля того, что ни одно обращение не осталось без внимания и не застряло на любом из этапов обработки. Комплаенс проводит предварительную оценку обращения и, если есть признаки потенциального нарушения, инициирует расследование. При этом, сообщившему о потенциальном нарушении идет обратная связь, о том, что по его информации начата работа.  Вариантов, кто проводит расследование может быть несколько. Один из удачных, на мой взгляд, вариантов, когда в процессе виды нарушений классифицированы и по каждому виду определено, какая функция вовлекается в рабочую группу для расследования. Комплаенс координирует работу расследований и отслеживает сроки. По завершению расследования формируются рекомендации по дисциплинарным мерам и мерам, направленным на предотвращение повтора инцидента. Комплаенс на регулярной основе готовит для совета директоров отчетность со статистикой инцидентов, результатами расследований, принятыми мерами. Информация о «преступлениях и наказаниях» может доводиться до сотрудников, демонстрируя для них неприятие со стороны менеджмента нарушений этических норм. Механизм коммуникации может быть разный - периодические информационные бюллетени, общие встречи сотрудников, публикация приказов о дисциплинарных мерах на корпоративном портале и т.д. 

В сухом остатке

Для закрепления всего вышенаписанного, суть первого принципа в одном предложении:
Менеджмент и Наблюдательный совет устанавливают стандарты и механизмы для организации, чтобы понимать и придерживаться того, что правильно, и определяет процесс и ресурсы для выявления и устранения потенциальных отклонений.

На этом о первом принципе все. Осталось разобраться еще с четырьмя.

Продолжение во второй части.

Автор: на
Ярлыки: ,

Комментариев нет:

Отправить комментарий

Подписаться на: Комментарии к сообщению (Atom)