В примере 1 книги на стр. 25 приведен абсолютно классический случай, который возникает при первом аудите. Ключевой вывод – это необходимость постановки либо же принципиального изменения СВК. Там же отмечено, что внутренние аудиторы должны предлагать разумные операционные изменения. О том, почему иногда отчеты ограничиваются результатами анализа первички – в других разделах сайта.

Тем не менее, возникает вопрос, с чего же начинать постановку СВК. В книге описано три подхода: COSO IC IF (фактически – от статей отчетности), от рисков и «традиционные» для России. Здесь приведу дополнительные комментарии к последним двум и предложу ещё один. Подход COSO, как уже было написано во введении – не ко мне.

Подход «от рисков».

Последовательность действий в книге описана разумно, линия толерантности выбрана «какая выбрана» (подходы могут быть разными). Что необходимо дополнить.

При постановке системы внутреннего контроля часть мероприятий будет иметь проектный характер. Если Вы посмотрите изменение математического ожидания рисков из примеров, то TOP-10 рисков, с которыми работать наиболее целесообразно в соответствии с этим подходом, будут следующие:

Название риска

Тип риска

Мероприятия

Усиление российских конкурентов

Стратегический

Разработка и продвижение более сложной продукции (брундуляторов пятого и шестого поколений).

Повышение качества продукции.

Разрушение системы НИОКР

Стратегический

Открытие кафедры в профильном университете.

Разработка и реализации целевой программы по удержанию молодежи.

Война с миноритариями

Операционный

Выкуп пакета акций по немного завышенной цене.

Потери интеллектуальной собственности

Опасность

Постановка системы управления интеллектуальной собственностью.

Ведение электронного архива.

Налоговые претензии

Финансовый

Взятка руководителю ИФНС по крупнейшим налогоплательщикам.

Недружественное поглощение

Опасность

Изменение юридической структуры и схемы финансово-хозяйственной деятельности.

Формирование плана действий в кризисных ситуациях.

Незаинтересованность менеджеров в реализации стратегии

Стратегический

Разработка мотивации менеджеров на основании BSC.

Выход на рынок иностранного конкурента

Стратегический

Разработка и продвижение более сложной продукции (брундуляторов пятого и шестого поколений).

Повышение качества продукции.

Уход топ-менеджера

Операционный

Заключение долгосрочных трудовых договоров.

Разработка мотивации менеджеров на основании BSC.

Необходимость переноса производства

Стратегический

Глубокая проработка плана переноса производства.

Переговоры с властью о получении каких-либо преференций при выносе производства за черту города.

Проектные мероприятия – фактически мероприятия для постановки контроля на уровне бизнеса. Однако сложность состоит в том, что очень тяжело каким-то специальным образом поставить СВК для разработки брундуляторов, открытия кафедры, выкупа пакета акций или взятке руководителю ИФНС. В этом смысле постановка системы внутреннего контроля на уровне бизнеса будет означать фактически управление рисками, то есть особой системы управления не потребуется: в рамках предприятия всё необходимое есть, просто нужно корректно поставить задачи (о том, как формировать мероприятия – см. здесь). Мониторинг будет осуществлять внутренний аудит.

Тем не менее, среди этих мероприятий есть и мероприятия уровня процессов. И если Вы решили развивать внутренний контроль на уровне процессов и взяли отдельного человека, подход на основании рисков тоже вполне помогает. В приведенном случае лучше начинать с постановки системы управления интеллектуальной собственностью, системы управления качеством продукции и построения BSC. Кстати, одиннадцатый по дельте математического ожидания риск – неэффективные инвестиции.

Опасность этого подхода состоит в том, что ты берешься сразу за сложные вещи, которые, скорее всего, уже лечили не один год. Можно и надорваться. При этом борьба с откатами (четырнадцатый риск по дельте матожидания) значительно проще, а результаты – понятнее.

Традиционный подход.

Подход детально описан в книге и, по факту, имеет много общего с подходом к управлению рисками при выборе последовательности постановки. Для выбора последовательности постановки можно предложить также более детальную оценку, аналогичную оценке рисков для планирования аудита на основании денежных потоков (более подробно — здесь).

Также необходимо отметить то, что при наличии воровства возможно указание владельца на то, что нужно сначала разобраться с ним (ставить СВК «снизу вверх»). Дело в том, что разница между «украли» 100 руб. и «потерял на ровном месте» 100 руб. для некоторых людей имеет принципиально разное значение.

Отмечу, что этот подход лучше использовать в начале постановки СВК.

Подход «от случившегося».

Данный подход больше подходит к компаниям, в которых уже есть определенная СВК. То есть большая часть процессов регламентирована, сотрудники привыкли к жизни по регламентам. Традиционный подход и подход от рисков может не очень подойти: макулатуры достаточно много, искать проблемы там, где пока не «рвануло», затруднительно. Ситуация может усугубиться безусловной корявостью уже существующих регламентов: на предложение что-то изменить в процессе менеджмент будет говорить что «регламенты есть, непонятно зачем их изменять, и так все в инструкциях» и пр.

В этом случае абсолютно разумным будет выглядеть подход «от случившегося». То есть мы усиливаем внутренний контроль на основании анализа причин рождения имеющихся случаев: безнадежной дебиторки, закупок по завышенным ценам (о чем сообщили на горячую линию), кривых инвестиционных проектов и т.д. и т.п. Подход подходит для больших бизнесов: в случае маленького завода не нужно думать о BSC, когда завод хотят отнять.

Если вы нашли ошибку, пожалуйста, выделите фрагмент текста и нажмите Ctrl+Enter.