Внутренний контроллинг — это иммунная система компании, в процессе создания которой первоочередное внимание важно уделять построению команды и внутренней культуре, и лишь затем — технологиям и выстраиванию процессов. В противном случае велик риск того, что контроллинг будет вредить компании либо не будет работать как надо. О том, как это сделать, рассказывает Марина Болгарова, независимый эксперт в области контроллинга и отчетности1.
Сначала поясню, почему провожу аналогию между иммунной системой и контроллингом. На протяжении моей карьеры в области аудита и предпринимательства, работы по найму мне удалось ознакомиться с работой совершенно различных компаний: от нефтехимических холдингов, телеком-гигантов, международных фармкомпаний до IT-стартапов и амбициозных образовательных проектов. За время работы мною выработана некая теория о сути контроллинга, первичных и вторичных его элементах. Компания — это живой организм, а внутренний контроллинг — это его иммунная система. Представьте себе: если у компании завтра не будет контроллинга, то послезавтра не будет и самой компании. Человек может прожить без ноги, без руки и даже без части головного мозга. Без иммунитета — не прожить. Уровень внутреннего контроллинга, как и иммунная система организма, зависит от уровня зрелости и развития компании.
Человек по мере взросления все больше и больше сталкивается с внешним миром и его биологической средой. И нужно обеспечить этому организму такой уровень защиты, чтобы дальше он рос и был защищен от угроз внешнего мира. Также и компании в процессе развития необходимо нарастить свою иммунную систему и пройти через ряд собственных детских болезней. И чужой опыт здесь полезен с точки зрения профилактики и того, как болезни лечат в других компаниях.
Внутренний контроллинг как иммунная система компании
Для правильной работы иммунной системы важно, чтобы каждый ее элемент строго выполнял свою функцию. У каждого элемента есть своя заданная программа, по которой она работает. Но работает она с прицелом на здоровье всего организма, а не в изоляции, не сама по себе — это ключевой момент. Знакомая ситуация: человек уходит в отпуск и почти сразу подхватывает простуду. Как только организм расслабляется, он наконец-то может позволить себе поболеть, потому что иммунная система работает по-разному в зависимости от контекста, в котором находится человек. Контроллинг — это нечто большее, чем просто свод правил, процедур, регламентов и внутренних контролей. И когда речь идет о конфликте бизнеса и контроллинга, то никакого конфликта в принципе быть не должно и не может, если контроллинг правильно понимает свою функцию. А функция у всех в компании одна — это защита ее интересов и достижение результата. И все в своих решениях, в своих ежедневных задачах должны опираться именно на эту цель: что в данной ситуации, в данном контексте лучше для компании в целом. И если контроллинг вне зависимости от контекста утверждает, что тот или иной договор, акт, оплату мы не пропустим, потому что у нас есть жесткая процедура и политика, то в таком случае проигравший будет всегда один — компания в целом.
В здоровом организме, как и в здоровой компании, это работает без какой-либо координации из мозга или прочих важных центров. Самоорганизация в действии.
Как это выглядит на практике: фармкомпании заключают договоры с аптечными сетями на оказание услуг — выкладка, НТЗ, информирование и т.д. Объем инвестиций очень существенный, поэтому необходим процесс контроля выполнения услуг аптечными сетями. И в одной из компаний мы как раз внедряли и отлаживали этот процесс. Взяли человека, разработали политику, процедуру, провели тренинги, и потихоньку процесс заработал. Конечно, изменение любого кросс-функционального процесса дается непросто, тем более когда вместо одного действия тебе нужно совершить с десяток, чтобы снизить существенные бизнес-риски. Но при внедрении подобных комплексных изменений необходимо сохранять гибкость, потому что помимо соблюдения регламента важно также не испортить отношения с партнерами (в данном случае с аптечными сетями). Ведь мы в них заинтересованы не меньше, чем они в нас. И, конечно, чем крупнее аптечная сеть, тем важнее такой актив, как отношения.
И здесь важно понимать, кто выполняет эту функцию, что это за человек. Человек, который реализует здесь свои амбиции и власть? Или человек, который исходит из того, что будет лучше для компании?
И в какой-то момент мы поняли, что мало выстроить контроль, важно то, как он реализуется. Ведь по регламенту все правильно, но и он может сработать так, что это будет во вред компании. И когда можно было согласовать, обсудив риски и детали с инициатором, контроллер идет на принцип. В итоге мы поменяли человека на той позиции.
Это как раз тот случай, когда сбоит какой-то элемент системы. И система начинает пожирать сама себя. Контроль ради контроля, в итоге ценность от такого контроля сомнительна.
Первоочередное внимание людям, а не процессам
Каждый второй молодой аудитор большой четверки спит и видит, как он находит у клиента фрод, и я не была исключением. Такое, конечно, тоже вредит процессу аудита — там, где мы должны спокойно и беспристрастно описать и проверить, как работает процесс, подсказать, как его выстроить лучше, мы начинаем тратить свои ресурсы на совсем другие задачи.
Здоровый уровень стресса — спорт, закаливание, голодание — это то, что помогает поддержать иммунную систему в хорошей форме. Здоровый уровень стресса — это значит в меру и без фанатизма. Можно себя загнать, и тогда это будет не про пользу, а совсем наоборот.
Также и в компании — если сотрудники никогда не испытывают стресса, то наступает деградация. В одной из моих компаний сотрудники работали по 15—20 лет. В большинстве случаев потому, что им там было очень комфортно. Теперь, когда компания реструктуризируется и перестраивается, большинство из них уходят, потому что не привыкли работать в ином режиме. Здоровый стресс уберет лишних людей. Но при этом чрезмерный стресс уберет и ключевых, правильных людей.
Здоровый стресс — это развитие. Если люди в компании не развиваются, то не развивается и компания. Без стресса ты быстро вывалишься из конкурентной борьбы, это касается и людей, и компаний.
Но здесь, как и во всем, важно соблюдать меру. Одному человеку искупаться в проруби — это смерти подобно. Другой от этого будет только здоровее, при том что программа у каждой иммунной системы одинаковая. Здоровый стресс укрепляет организм, чрезмерный его убивает. Один и тот же стресс по-разному действует на разные организмы.
Заботиться о своем организме и поддерживать здоровый образ жизни так же важно, как и заботиться о культуре в своей компании.
Найти баланс ресурсов и добавленной стоимости
Иммунная система — это еще и про баланс. В каждом из нас помимо правильных здоровых бактерий живут вредные. Мы живем не в стерильном мире и не защитимся от попадания вредных микробов и вирусов в организм, но это нормально, при этом организм в целом здоров и нормально функционирует. А вот когда уровень этих микробов и вирусов переходит за критический, человек заболевает. Иммунная система, в свою очередь, срабатывает, у нее появляются новые антитела (новые контроли), и человек живет дальше уже с системой защиты от этой болезни.
Как это перенести в контекст организации: может быть, не нужно пытаться выстроить идеальную систему, обеспечивающую, например, 100%-ный уровень точности финансовой отчетности, что неплохо само по себе. Тут важно найти баланс — баланс ресурсов и так называемой добавленной стоимости.
Расскажу про принцип баланса на примере методологии внешнего аудита в Big 4, который можно адаптировать и для внутреннего аудита.
Внешний аудит — это некий check out: сходили к врачу, проверили — все хорошо? Отлично! Работаем дальше в том же ключе до следующего года. В следующем году процедуру повторим, чтобы убедиться, что все системы работают как следует. Check out — система стандартных процедур и контролей, анализов и тестов. Если вот тут анализ плохой, то уже есть повод исследовать глубже и разобраться в причине. То же самое во внешнем аудите — стандартная система процедур и проверок. Сначала решаем, что проверять, потом проверяем и делаем заключение: насколько защитная функция в компании в целом здорова.
В любой компании Big 4 процедура аудита состоит из четырех этапов.
Первый этап — это понимание бизнеса в целом. Обычно вы приходите к врачу и первым делом рассказываете, кто вы и что вы. Так же и здесь анализируются:
-
продукты и услуги, которые предлагает компания. Структура компании в целом, включая IT-среду;
-
цели компании, стратегия, ключевые факторы успеха;
-
оценка ключевых бизнес-рисков и выявление существенных бизнес-рисков;
-
определение уровня материальности.
В любой отчетности есть ошибки. Нам нужно лишь понять, какой уровень ошибок будет материальным. Другими словами, какая величина ошибки может повлиять на экономическое решение пользователя, которое он принимает на основании этой отчетности. Это как верхняя и нижняя граница в анализах — то, что вне этих границ, уже говорит о наличии проблем в организме.
В аудите есть несколько уровней материальности в зависимости от глубины детализации. Чтобы понять, что проверять, нужно спуститься до самого нижнего уровня — классов операций. Та материальность, что применима на уровне отчетности в целом, не применима на уровне проводки или класса операций.
Второй этап — оценка рисков. Мы выделяем основные процессы внутри компании и разбиваем все проводки в отчетности компании на группы — так называемые классы операций. Так, например, реализация может состоять из двух классов операций — реализация на внешний и на внутренний рынок.
Далее, для существенных классов операций мы рисуем карту процесса (Flow of Transactions). На примере реализации — это весь процесс от поступления заказа до его обработки и попадания соответствующей проводки в книгу.
Затем на карте процесса мы определяем потенциально слабые места, то есть где существуют риски того, что процесс может пойти не по запланированному маршруту (What Could Go Wrong).
Помощниками в проверке на наличие слабых мест являются некие маркеры (assertions), позволяющие нам однозначно понять, есть риск на данном этапе процесса или нет.
Данных маркеров всего пять. Ниже примеры маркеров в процессе реализации:
-
существование (Existence) — контроль над тем, чтобы мы не признали дебиторскую задолженность (ДЗ) дважды или не записали ДЗ на другого покупателя;
-
полнота (Completeness) — проверка того, что признали всю ДЗ, которую должны были признать, не забыли и не потеряли;
-
оценка (Valuation) — проверка того, что сумма, отраженная в проводке, правильная — с учетом скидок, бонусов и прочих деталей;
-
права и обязательства (Rights and Obligations) — контроль над тем, чтобы ДЗ была отражена в правильном периоде;
-
представление и раскрытие информации (Presentation and disclosure).
Задавая соответствующие вопросы для каждого маркера, мы проверяем: какие риски есть в процессе. Ведь с первого взгляда на процесс он кажется нам вполне логичным и правильным. Но, накладывая эти самые маркеры, мы видим возможные риски и контроли, покрывающие эти риски.
Пример
В одной из компаний была установлена система электронного документооборота, в которой одобряются различные документы: договоры, акты, заявки на оплату. У каждого из документов есть определенная цепочка согласования, зависящая от различных переменных. В день на директора по маркетингу могло падать до 100 заявок на согласование. Как вы думаете, при загруженности менеджера такого уровня какое качество контроля он может обеспечить? В цепочке согласования стоят все руководители инициатора. Все согласовали количество точек контроля. А по факту — никто не проверил, потому что каждый следующий согласующий полагался на визу предыдущего. И так — масса документов.
Поэтому есть третий этап — это тестирование контролей. Мы выбираем контроли, которые должны быть протестированы — это ключевые контроли: если они не работают, то высока вероятность того, что отчетность содержит существенные ошибки.
Тестируем контроли на всей выборке и делаем заключение о том, насколько высок риск, что контроли не работают.
Последний, четвертый этап — это уже подготовка заключения, другими словами, определение диагноза.
Вся суть аудиторской методологии заключается в том, чтобы выявить жизненно важные, ключевые для компании контроли, проверить, как они работают, и если есть слабые места, то дать соответствующие рекомендации. Материальность — это ключевое понятие в аудите. От нее зависит, как вы эффективно инвестируете ресурсы, которые всегда ограничены.
Если человек придет к врачу и тот ему выпишет направления на все возможные анализы, то этот человек из больницы уже вряд ли выйдет. Во всяком случае, здоровым. Потому что проверить все, конечно, возможно. Но чтобы организм был здоров на 100%, он должен не жить. На кладбище никто не кашляет.
«Доверяй, но проверяй». В аудите большую роль играет оценка достоверности фактов (audit evidence). Представьте себе картину — пациент пришел к врачу с какой-то проблемой. Врач: «Сдайте десять анализов, потом приходите на прием». На что пациент возражает: «Я недавно уже сдавал в поликлинике за углом для справки в бассейн. Там было все в порядке». Последнее, чему верит внешний аудитор, — это устным заявлениям сотрудников. И даже документы для аудитора — это не истина в последней инстанции, даже их аудиторы порой ставят под сомнение.
В фарминдустрии значительный бюджет отводится на медиа-активность. Это мероприятия различных масштабов — круглые столы, когда медицинские представители рассказывают врачам о наших препаратах, это конференции локальных и федеральных масштабов, фармтренинги и прочие мероприятия.
— Проверяете, что мероприятие фактически состоялось? — спрашивает внутренний аудитор менеджеров.
— Конечно! — отвечают они. — Вот ведь и акт подписан, и отчет о мероприятии — все документы в порядке.
— Отлично. Давайте мы сейчас выберем несколько мероприятий и позвоним арендодателям? Участникам? Внешним спикерам?
И тут начинают возникать вопросы. Я не утверждаю, что не нужно доверять своим коллегам. Конечно нужно. Доверие — это тоже про уровень культуры! Но нужно сохранять определенный уровень критичности. Ведь в том числе и в этом заключается функция контроллинга и внутреннего аудита — в относительной независимости и объективности в оценке и суждениях.
Коротко расскажу об одной концепции американского социолога, которая немного дополняет и подтверждает мой тезис о том, как культура влияет на работоспособность системы внутренних контролей.
Мошенничество — это преднамеренный обман человека или организации или манипуляция отношениями с целью получения какой-либо выгоды, финансовой или прочей. Мошенничество на рабочем месте обычно обнаруживается случайно. Поэтому многие компании используют так называемый треугольник мошенничества, чтобы помочь предотвратить случаи мошенничества на рабочем месте.
Дональд Кресси, американский криминолог и социолог, разработал треугольник мошенничества, чтобы объяснить, почему законопослушные граждане и сотрудники иногда совершают серьезные преступления на рабочем месте.
Треугольник мошенничества (fraud) состоит из трех элементов: стимул, возможность, рационализация (см. рисунок). Когда сотрудник совершает мошенничество, элементы треугольника помогают понять методы и логическое обоснование, мотивацию.
Возможность — это когда потенциальный нарушитель, скажем так, думает, что внутренние контроли слабые, и видит очевидные для него пути эти контроли обойти. Еще одна причина — это личный пример руководства. Мне трудно представить компанию, чьи сотрудники отличаются высокими моральными принципами при том, что руководство злоупотребляет своим рабочим положением в личных целях. «Рыба гниет с головы», везде и всегда было так.
Рационализация или мотивация — это способ, как нарушитель объясняет себе, почему эти действия допустимы, то есть способ оправдать свое неэтичное поведение. У него не может быть внутреннего конфликта, он должен внутренне согласиться с тем, что да, это допустимо, и объяснить самому себе почему. Например, «в нашей стране или в нашей компании все так делают, иначе не выжить».
Еще один элемент — это стимул или давление. Это могут быть:
персональные пристрастия: такие как страсть к деньгам, власти, успеху. Это могут быть объективные финансовые трудности, давление на работе, сильное недовольство работой или руководителем;
бонусы, завязанные на финансовые метрики, — распространенная проблема многих компаний, когда краткосрочные цели оказываются в приоритете над долгосрочными стратегическими.
Приведу пример из практики.
В одной небольшой компании А в один прекрасный день пропала техника на внушительную сумму. В результате внутреннего расследования обнаружилось, что виновником пропажи оказался недавно уволившийся по собственному желанию сотрудник. Позже выяснилось, что у него была сложная финансовая ситуация, связанная с семейными обстоятельствами. Если мы попытаемся разобрать этот кейс по треугольнику мошенничества, то какие выводы мы сделаем? Что касается элемента «возможности» — тут все понятно. Очевидно, что достаточных контролей для предотвращения кражи не было. Никто и предположить не мог, что в теплой, буквально семейной атмосфере коллектива возможен подобный прецедент.
Стимул — здесь тоже довольно тривиально: финансовые сложности спровоцировали поведение, когда сотрудник не смог устоять перед соблазном легкой наживы. Ну что ж, мы не были в его шкуре, чтобы его судить. Но и это не ключевое. Вы только подумайте — насколько слабая была эмоциональная связь у этого сотрудника с компанией и с руководителем, которого он так легко смог подставить! Ключевое — как плохо мы знали обстоятельства человека и самого человека, что он смог так легко рационализировать свой поступок, внутренне решить конфликт.
Процессы должны быть отлажены, но люди и корпоративная культура важнее
Вероятно, есть те, кто скажет, что люди и команды важны, разумеется. Но хорошо выстроенные, отлаженные и работающие процессы не менее важны. Сотрудники болеют, ходят в отпуска, в конце концов, увольняются, а процессы остаются и должны работать всегда.
Видела изнутри много компаний, и, конечно, все они отличаются: по-разному выстроенные процессы, разные инструменты, технологии, методологии и прочее. Конечно, нет места, где все работает идеально. Но иногда бывает очень хорошо работающий, отлаженный процесс, то, что называется best practice. И хочется скопировать его и реализовать в какой-то другой компании. Но далеко не факт, что этот best practice сработает у вас, потому что внедрять и реализовывать этот процесс будут совсем другие люди.
Есть компании с отличными командами, есть компании с изумительной корпоративной культурой. И я убеждена, что именно это является началом всего, а не высокотехнологические инструменты и безупречно отлаженные процессы.
***
Когда строили самолеты, учились у птиц. Природа — тот самый источник мудрости, доступный всем, у которого неплохо иногда поучиться. Нужно просто чуть оторваться от рутины, посмотреть по сторонам и добавить воображения.
Наша роль как руководителей — обеспечить правильное место контроллинга в структуре компании. Когда с иммунной системой в организме все хорошо, то ее никто не замечает и не вспоминает. В свете последних событий с коронавирусом в мире тема приобрела неожиданный оттенок актуальности. Желаем вам, чтобы контроллинг в вашей компании никто не замечал.
Треугольник мошенничества (рисунок)
1 Недавно она выступала с докладом по этой теме на конференции «Внутренний контроль и внутренний аудит как инструменты повышения эффективности бизнеса», организованной группой «Просперити Медиа» и порталом CFO-Russia.ru при информационной поддержке «ЭЖ».