Наше с экспертом сайта отношение к комплаенс-ориентированным подходам к жизни приведено на соответствующих страницах (например – здесь). Однако последствия применения комплаенс-ориентированного подхода могут оказаться достаточно печальными не только потому, что такой подход поверхностен: любой подход к внутреннему аудиту имеет свои ограничения по эффективности. Но только с помощью комплаенс-ориентированного подхода можно кардинально изменить представление о чем-либо, назвав отвратительное приемлемым и наоборот. Эта страничка посвящена технике возникновения таких расхождений.

Пример из жизни.

Для начала вопрос. Посчитаете ли Вы разумным, если в управлении рисками, внутреннем контроле и внутреннем аудите в организации:

  • не используется ни один известный в мире стандарт (COSO, Международные профессиональные стандарты внутреннего аудита). То есть не «не соответствует / соответствует частично» по итогам внешней оценки, а даже не декларируется попыток обеспечить соответствие;
  • подразделения возглавляют люди, которые до этого ни разу не сталкивались с управлением рисками / внутренним аудитом. Не говорим о всяких CIA, даже опыта работы нет;
  • оценка эффективности управления рисками и системы внутреннего контроля не проводится никогда и никем. Внутренний аудит, безусловно, существует, но ни разу не проводил оценку эффективности системы управления рисками и внутреннего контроля;
  • эффективность внутреннего аудита не оценивается в принципе. То есть даже один раз в пять лет в соответствии с МПСВА не то, что не делается, а вообще не планируется?

До кучи: в совете директоров нет ни одного независимого директора, все документы (политики, процедуры, etc.) написаны на основании скачанного из интернета «приближенными» к руководству консультантами (сами понимаете, работа меньше 12 млн. руб. без НДС стоить не может), «горячая линия» в каком-либо виде отсутствует и пр.

Представили? Так вот, такая ситуация, оказывается, для предприятий с государственным участием нормальна не только «по жизни» (то есть ситуация плоха, но нормальна, потому что так почти везде), но и «по закону». И возникает это из-за того, что Росимущество Приказом от 22.08.2014 №306 «Об утверждении Методики самооценки качества корпоративного управления в компаниях с государственным участием» рекомендует использовать именно комплаенс-ориентированный подход к такой оценке этого самого качества. Конкретнее – на основании балльной оценки по перечисленным в Методике пунктам необходимо достичь желаемого уровня качества корпоративного управления не ниже 65% от возможного максимального количества очков.

Рассмотрим подробнее, как комплаенс-ориентированный подход приводит к приведенному выше неожиданному результату на примере раздела V «Управление рисками, внутренний контроль и внутренний аудит». Для обоих типов упомянутых в Методике акционерных обществ анкета одинакова, различаются только номера вопросов. Справа в таблице приведена потенциальная оценка и комментарии о том, как организовать требуемое соответствие, особо не напрягаясь.

 

Текст из Методики Фактический результат
Вопрос Вариант ответа Оценка Оценка Комментарий к оценке
факт шкала макс. балл
81 Утверждена ли СД политика в области управления рисками и внутреннего контроля? А Да 0 4 4 4 Существует формальная политика, принесенная консультантами. Ее даже кто-то прочитал, но до менеджмента она не доведена. Тем не менее, оценка максимальна: на СД утверждена, документ разумен.
Б Нет 0 0
82 Применяются ли в обществе общепринятые концепции и практики работы в области управления рисками и внутреннего контроля, такие как «Интегрированная концепция построения системы внутреннего контроля» COSO, Концепция (COSO) «Управление рисками организаций. Интегрированная модель», Комитет спонсорских организаций Комиссии Трэдуэй; Международный стандарт ИСО 31000 «Менеджмент риска. Принципы и руководящие указания», Международный стандарт ИСО 31010 «Менеджмент риска. Техники оценки рисков»? А Да 0 4 4 0 Про что эти слова? Кстати, мы и про FERMA не знаем…
Б Нет 0 0
83 Есть ли в обществе отдельное структурное подразделение по управлению рисками/лицо, выполняющее функции такого подразделения? А Да 0 6 6 6 Конечно, подразделение есть, штатное расписание утверждено. Переименовали из отдела страхования. Вариант более жизненный (реальный случай): выделить человека из ОТиТБ в управление рисками – охрана труда тоже ведь про риски (конкретнее – про кирпич на голову).
Б Нет 0 0
84 Организован ли в обществе безопасный, конфиденциальный и доступный канал информирования СД (комитета по аудиту) и подразделения внутреннего аудита о фактах нарушений законодательства, внутренних процедур, кодекса этики общества любым его работником и (или) любым членом органа управления или органа контроля за финансово-хозяйственной деятельностью общества («горячая линия»)? А Да 0 2 2 0 Сами понимаете, что «шума» (то есть ложных сообщений) по такому каналу будет много, то есть фактически это будет анонимный клеветнический канал, где злые завистники в виде обиженных рядовых сотрудников могли бы обливать грязью эффективный менеджмент. Зачем нужно это беспокойство для всех?
Б Нет 0 0
85 Проводится ли в обществе систематическая работа по выявлению, оценке и управлению рисками? А Да, на регулярной основе (не реже одного раза в 6 месяцев) 0 4 4 4 Безусловно. Раз в квартал (1) отдел управления рисками спрашивает у менеджмента, нет ли новых рисков (почему-то не находятся никогда); (2) каждый менеджер присылает в отдел управления рисками отчет об управлении рисками (перечисляет текущие контрольные процедуры, см. про «реальные» и «виртуальные» мероприятия) и новую оценку своих рисков (повысился / понизился). Занимает примерно 20 минут в квартал у каждого, из них 15 минут – найти письмо за предыдущий квартал. Дальше отдел управления рисками готовит сводную презентацию…
Б Да, но нерегулярно 0 2
В Нет 0 0
86 Приняты ли в обществе внутренние нормативные и методологические документы, регулирующие вопросы управления рисками, в том числе выявление, оценку и управление рисками? А Да 0 2 2 2 Вариант 1. Существует бумажка на двух листах, написанная финансовым директором от руки. Вариант 2. Многотомный фолиант от консультантов. В принципе, что в них написано, не очень важно (см. предыдущий пункт), но факт наличия документов неоспорим.
Б Нет 0 0
87 Рассматривает ли СД (комитет по аудиту) отчеты о ключевых рисках и управлении ими на регулярной основе (не реже одного раза в 6 месяцев)? А Да 0 4 4 4 Да. Отчет, сформированный в п. 85, вполне можно вынести на рассмотрение Совета директоров. В протоколе по итогам заседания «принимают к сведению».
Б Нет 0 0
88 Организует ли СД на ежегодной основе оценку эффективности функционирования системы управления рисками и внутреннего контроля? А Да, с последующим представлением отчета о результатах такой оценки в составе годового отчета общества 0 3 3 0 Совет директоров контролирует деятельность через прочитывание отчетов о рисках из предыдущего пункта. Дополнительной потребности в оценке КСУР и прочих СВК нет. Тем более с публикациями в годовом отчете.
Б Да, однако без представления отчета о результатах такой оценки в составе годового отчета общества 0 2
В Нет 0 0
89 Применяются ли в обществе общепринятые стандарты деятельности в области внутреннего аудита и, в частности, Международные профессиональные стандарты внутреннего аудита Института внутренних аудиторов? А Да 0 4 4 0 Международные стандарты придуманы буржуями. Мы же российская организация, зачем они нам нужны?
Б Нет 0 0
90 Как в обществе организована функция внутреннего аудита? А Создано отдельное структурное подразделение внутреннего аудита 0 6 6 6 Отдельное структурное подразделение создано. Но требования к руководителю не определены, поэтому служат верные ленинцы народнофронтовцы. Пример из жизни: внутренний аудит на предприятии с выручкой больше $1 млрд. (уже по новому курсу) возглавляет бывший бухгалтер / казначей (понятное дело, что не с простой, а с руководящей позиции перешел), для которого текущая должность – первая работа во внутреннем аудите. Человек очень квалифицированный: к.э.н. Правда, защищался почему-то в областном центре (чуть больше 300 тыс. чел.) в 1900 км от места жительства…
Б Внутренние аудиторские проверки проводятся независимой внешней организацией 0 4
В Внутренние аудиторские проверки проводятся структурным подразделением общества, на которое эти функции возложены наряду с его основными функциями 0 1
Г Внутренние аудиторские проверки не проводятся 0 0
91 Установлена ли уставом или внутренними документами общества функциональная подотчетность подразделения внутреннего аудита СД и административная подотчетность ЕИО общества? А Да 0 4 4 4 Это как раз без проблем организовать. Главное, чтобы сильный человек это подразделение не возглавил случайно. Но как сильный человек в принципе может там оказаться, если ищут через директора по персоналу, а кандидатура согласуется с генеральным и СБ перед вынесением на Совет Директоров? Кстати, внутренние кандидаты (из бухгалтерии) в приоритете.
Б Нет 0 0
92

Укажите, выполняются ли следующие рекомендации в отношении функциональной подотчетности подразделения внутреннего аудита СД:

(укажите все верные варианты)

А СД (комитет по аудиту) утверждает политику в области внутреннего аудита (положение о внутреннем аудите) 0 1 5 5 С этим все нормально. Если помните, что в СД у нас нет независимых директоров, поэтому не страшно. Бумажки готовятся, рассматриваются, утверждаются, ставятся на контроль. Макулатура как макулатура…
Б СД утверждает план деятельности внутреннего аудита и бюджет подразделения внутреннего аудита 0 1
В СД (комитет по аудиту) получает информацию о ходе выполнения плана деятельности и об осуществлении внутреннего аудита 0 1
Г СД принимает решения о назначении, освобождении от должности, а также определении вознаграждения руководителя подразделения внутреннего аудита 0 1
Д СД (комитет по аудиту) рассматривает существенные ограничения полномочий подразделения внутреннего аудита или иные ограничения, способные негативно повлиять на осуществление внутреннего аудита 0 1
93 Проводится ли следующая работа при осуществлении внутреннего аудита: (укажите все верные варианты) А Оценка эффективности системы внутреннего контроля 0 2 6 2

По п. А и Б – уже писалось выше, что это не нужно.

А вот п. В вполне себе исполняется: мы же читали документ, откуда взяты эти вопросы, анкетку заполняли, качество корпоративного управления рассчитали, 65% достигли…

Б Оценка эффективности системы управления рисками 0 2
В Оценка корпоративного управления 0 2
94 Приняты ли в обществе внутренние нормативные и методологические документы, регулирующие вопросы внутреннего аудита? А Да 0 2 2 2 С документами у нас всё хорошо, консультанты отработали как минимум 10% из заплаченных 12 млн. руб. без НДС.
Б Нет 0 0
95 Рассматривает ли СД (комитет по аудиту) отчеты о результатах внутренних аудиторских проверок и отчеты о мониторинге результатов устранения недостатков (не реже одного раза в квартал)? А Да 0 4 4 4 Да, рассматривает. Но пользы не очень много, потому что внутренний аудит безобиден. И, по счастливому стечению обстоятельств, в основном ответствен за исполнение плана мероприятий главный бухгалтер.
Б Нет 0 0
96 Проводит ли СД (Комитет по аудиту) регулярную оценку деятельности подразделения внутреннего аудита? А Да, в том числе с привлечением внешних консультантов 0 3 3 0 Не нужна она Совету директоров, потому что зачем. Народный фронт плохое за версту учует, вот ведь губернатора Сахалина как прищучили… К тому же внешним консультантам придется раскрыть собственные наработки, а зачем наши «ноу-хау» кому-то показывать?
Б Да, в том числе с участием материнской компании общества 0 2
В Да, но исключительно собственными силами общества 0 1
Г Не проводит 0 0
ИТОГО:     63 43  

Основной итог этого упражнения для приведенного условного примера: при плановом показателе в 41 очко и выше (65% от 63) мы набрали аж 43. То есть вполне себе нормальное корпоративное управление, причем абсолютно не напрягаясь. Да, ближе к нижней планочке, но только же начали, дальше будем расти…

Результат – фактически возникает две правды: «реальная» и «измеренная». Я бы сказал (назову это «реальной» правдой, отложив ложную скромность) про управление рисками, внутренний контроль и внутренний аудит, описанный в примере, что это – профанация идей и дискредитация профессий. Люди, возглавляющие соответствующие подразделения, будут утверждать, что у них рейтинг («измеренная» правда) превышает нормативный. Нужно еще добавить, что у меня аудиторское суждение и никакой бумажки нет. У оппонентов – утвержденная Председателем Совета Директоров методика самооценки качества корпоративного управления, соответствующая действующей Методике Росимущества, протоколы заседаний Совета директоров Общества с выписками, подтвержденная внешними консультантами корректность проведенной оценки корпоративного управления и пр. То есть до кучи у меня бумажки нет, а у потенциальных оппонентов – хоть чем знаете жуй. Типовой результат «комплаенс-ориентированного» подхода (и выводы, и количество макулатуры).

Техника формирования чек-листа.

Такие результаты возможны потому, что при формировании чек-листа для комплаенс-ориентированного подхода к оценке чего-либо в большинстве случаев происходит отказ от обязательных требований. То есть, вообще говоря, мы понимаем, что внутренний аудит без соответствия (хотя бы стремления) к МПСВА – это не внутренний аудит, а что-то другое. Но мы не выносим требование о том, что соответствие МПСВА – обязательно, а если соответствия нет, то при расчете рейтинга это оценивается в минус 1000 очков. Мы заменяем это обязательное и основополагающее требование маленькой долей в общей оценке (в примере выше – 4 очка из 63). Когда этот механизм применяется многократно для оценки чего-нибудь, становится возможным признание нормальной (или «в целом» нормальной) любой бредятины.

Поясню еще более подробно на примере допуска к участию в тендере на поставку автомобиля. Детальный подход к формированию «правильных» балльных оценок приведен в книге на стр. 191. Заметьте, что странный выбор шкал присущ и Методике Росимущества, рассмотренной выше:

  • факт наличия подразделения оценивается выше (6 очков, вопросы №83 и №90), чем соответствие мировым стандартам (4 очка, вопросы №82 и №89);
  • оценка (вопрос №96) Института внутренних аудиторов или big4 стоит 3 очка, оценка «изнутри себя» (то есть приезд давно знакомого собутыльника «с крыши») – 2 очка.

Но балльные шкалы при применении комплаенс-подходов – это «вишенки на торте», то есть милые добавления. Ключевое – это именно техника «сглаживания» обязательного требования, которую и рассмотрим.

Представим, что предприятию нужно купить грузовик грузоподъемностью 5 тн. Требования (приведу только 4): новый, европеец (Volvo, Mercedes, MAN,…), грузоподъемность 5 тн, цвет – корпоративный (например, голубой). Мы вводим следующую шкалу:

Требование Оценка Дополнительные комментарии, обосновывающие введение шкалы
Год выпуска

Новый – 5 очков.

Подержанный – 4 очка.

Очевидно, что необходимо искать возможности для экономии. Бюджет ограничен, подержанный автомобиль может стать неплохим выходом при урезании инвестиционной программы. К тому же б/у техника может быть и лучше, чем новая отдельных производителей.
Производитель

Европа – 5 очков.

Азия – 4 очка.

Другое – 3 очка.

Нельзя сосредотачиваться на конкретных производителях, так как это может привести к ограничению конкуренции.
Грузоподъемность

4 тн и выше – 5 очков.

2-4 тн – 4 очка.

до 2 тн – 3 очка.

Нельзя указывать в требованиях конкретную грузоподъемность, это может привести к формированию тендерных условий под конкретного производителя.
Цвет

Корпоративный (голубой) – 5 очков.

Синий, фиолетовый или морская волна – 4 очка.

Другой – 3 очка.

Цвет – одна из технических характеристик, указание конкретного цвета аналогично указанию конкретной грузоподъемности, то есть (см. предыдущую строчку) может привести к формированию тендерных условий под конкретного производителя.

И установим (опять же, для примера) требование (см. Методику выше) о том, что автомобиль допускается к конкурсу при получении оценки в размере 65% от максимума. То есть нужно набрать 13 очков из 20 максимальных.

Пусть в конкурсе участвуют все мировые производители и красный ВАЗ-2104 1999 г.в. за $15000. «Четверка» вполне себе проходит под условия конкурса (13 очков). Она и выигрывает (по цене) у всех остальных производителей. То есть по итогам применения чек-листа мы получаем, что ржавое корыто не на ходу (требования о том, что оно должно самостоятельно передвигаться, вообще-то нет), коих много в любом дворе – это почти новый грузовик.

Теперь предположим, что мы проводим комплаенс-ориентированный аудит закупок автомобиля. Ситуацию описывает эксперт:

Положение о закупках есть? Регламент проведения тендера есть? Необходимые документы сформированы? Выбор сделан кошерно? Бинго!

Вывод: деятельность компании соответствует установленным процедурам, бест практис соблюден, аудитор, не напрягаясь, заключил, что все Ok. Результат для всех:

  • Руководитель подразделения внутреннего аудита понял, что план по проверкам выполняется, КПЭ будет в норме, значит, бонус приедет и можно планировать отдых на Мальдивах;
  • собственник получил разумную уверенность в том, что у него никто ничего лишнего не украл;
  • снабженцы не только втюхали родному предприятию гнилую «четверку», причем даже не корпоративного цвета, под видом нового грузовика, но и получили премию за экономию бюджета.

Всем хорошо. Правда, деньги зря потрачены, но да ладно.

Итого.

Чтобы не быть обвиненным в критике светлого без собственных предложений о прекрасном, приведу краткий ответ на вопрос, а «как бы описанную ситуацию можно изменить». Изменить совершенно банально: должен быть перечень обязательных требований, без исполнения которых оценка чего бы то ни было (из примера – условного корпоративного управления) – «неудовлетворительно». То есть если хотя бы один пункт не выполнен, то это (в примере – корпоративное управление) – однозначно плохо. Как у классика: «Свежесть бывает только одна — первая, она же и последняя. А если осетрина второй свежести, то это означает, что она тухлая».

Кстати, такая возможность заложена в виде флажков в рассматриваемый приказ Росимущества. Этого абсолютно достаточно. Но в рассмотренном на этой странице разделе V «Управление рисками, внутренний контроль и внутренний аудит» ни один из принципов не отмечен «флажком», то есть не является обязательным к внедрению, что как минимум странно. Да, и я понимаю, что исполнение даже этих обязательных требований может оказаться профанацией (то есть бумажки есть, а по смыслу ничего нет). Но подход «либо соответствуем, либо нет» всё равно лучше, чем «Росимущество рекомендует совету директоров АО утвердить минимальное допустимое значение качества корпоративного управления не ниже 65%».

Остается вопрос: можно ли применять чек-листы? Ответ: безусловно, да. В рознице очень полезно. На примере «Связного»: сбор информации о состоянии торговой точки не занимает очень много времени (примерно 15-20 минут у инвентаризаторов при их появлении), но достаточно интересен многим подразделениям от безопасности до персонала (ответы примерно на 40 вопросов, например, «годен ли огнетушитель по сроку годности»).

Но! Обратите внимание на два аспекта.

  • Аспект 1. Возможные ответы должны быть однозначными. Пример – однозначно ответить на вопрос «Пол чистый (да/нет)» невозможно. Кстати, в чек-листе «Связного» такой вопрос был, но не по нашей инициативе он туда был включен. Правильный вопрос: «Есть ли на полу окурки (да/нет)».
  • Аспект 2. Совершенно точно нужно избегать замены аудиторского суждения об эффективности неким «галочным» соответствием (пусть даже и «лучшим практикам»), в т.ч. не нужно присваивать рейтинги. Из того, что 39 из 40 требований соблюдены (то есть вроде как рейтинг 97,5%) не следует, что всё хорошо, потому что на полу может быть куча сами знаете чего.

В заключение отмечу, что в эффективность чек-листов (за исключением розницы) я не очень верю, потому что чек-лист – это первый шаг к комплаенс-ориентированному подходу.

P.S. Если отклониться от тематики сайта, то для рассматриваемого документа можно в таком же стиле ответить и на оставшиеся вопросы, результат однозначен (сам потестировал, не привожу для сокращения объема): отвратительное с точки зрения корпоративного управления ОАО вполне достигнет требуемых 65%. Кстати, про независимых членов Совета директоров. Если таковые отсутствуют, то это минус 10 очков, или около 2% к «качеству корпоративного управления», хотя, конечно, рекомендации являются как бы обязательными к внедрению.

Если вы нашли ошибку, пожалуйста, выделите фрагмент текста и нажмите Ctrl+Enter.