Или как мы сами испортили свою профессию. 

Когда-то я заинтересовался: почему, несмотря на очевидную полезность (скажем, по соотношению «затраты-эффективность»), как по нашему общему мнению, так и по опросам менеджмента предприятий, риск-менеджеры и внутренние аудиторы не то, чтобы очень популярны, а профессии «постановщик систем внутреннего контроля» вообще как бы и нет. Для тех, кто сомневается – посмотрите раздел вакансий на сайте ИВА, их мало.

На этой странице представлено мое видение ситуации, почему маркетинг считается полезным для любого бизнеса, а риск-менеджмент, внутренний контроль и внутренний аудит – далеко не для всех. Хотя я бы по ценности поставил бы их вровень.

Введение.

Сначала необходимо отметить, что потенциальные пользователи, а именно владельцы бизнесов, на мой взгляд, не виноваты. В 1990-х специфика бизнеса не подразумевала «оценку систем внутреннего контроля» в современном понимании, а в 2000-х сначала был рост, потом кризис, в общем, опять не до разных «фич». Тем не менее, именно к середине 2000-х годов, на мой взгляд, произошло устаканивание бизнеса, рынки росли, у бизнеса были деньги. В этой ситуации владельцу бизнеса можно было продать что угодно: от маркетинга и психотренингов до информационных систем и внутреннего контроля. Почему не удалось продать наши профессии, а также почему не удается применить все возможности для улучшения бизнеса, попытаюсь рассказать на примере СВК.

Начну с того, что русскоязычной литературы не было (а если была – то очень специфическая), поэтому нести идеи в массы могли только англоговорящие люди. В этой ситуации естественным образом идеологами стали компании «большой четверки» либо выходцы из них. Кроме того, возникла мода на независимых директоров. Примерное развитие проектов и рассмотрим на условных примерах.

1. Привлечение консультантов.

Начать стоит с того, что к середине 2000-х отношение к консультантам в целом было уже не очень хорошим. Как и сейчас, принципиально консалтинг не изменился. Можно почитать про консультационный проект «Универсальные кактусы» (см. интернет). Но бюджеты на консультационные услуги, уверен, были во всех компаниях TOP400.

К тому моменту «мировая методика» (COSO IC IF) существовала уже давно, но ситуацию усугубило появление SOX. И почему-то Big4 решила продавать внутренний контроль именно через соответствие SOX. Почему именно так? Возможно, очень успешно продавалось по всему миру. Возможно, что соответствие формальному требованию, особенно о котором ты не знаешь, продавать потенциальным клиентам легче (вспомните гаишников: знака ты не видел, но соблюсти вроде как был обязан). 

Для примера – две презентации, скачанные в середине 2000-х с сайтов компаний (были в открытом доступе): Deloitte, KPMG

Можете почитать эти материалы, справедливости ради нужно сказать, что аналогичных материалов сейчас нет. Комментировать не буду, можете сами поставить себя на место собственника и спросить: «интересно ли оно мне?». А теперь посмотрите на таблички из моей книги, что дает внутренний контроль (стр. 31 и 32-33) и ответьте на тот же самый вопрос: «интересно ли оно мне?».

Помимо этого, консультантами было допущено, как мне кажется, две принципиальные ошибки:

  1. Внутренний контроль предлагалось ставить «сверху», то есть рассказывали про контрольную среду, философию управления рисками, важность контроля при подготовке отчетности и другие высокие материи. А любой собственник (вспомните владельца «Уникака») хочет видеть ощутимый результат по проблеме, которая его беспокоит (в случае «Уникака» – воровство Мегасова). При подходе «сверху» собственник был доволен редко, потому что добраться от высоких материй до закрытия конкретных дыр за 1-2 этапа большого проекта невозможно. Кроме того, результат часто ограничивался презентацией. Презентации о 110 слайдах, на которых его компания упоминается два раза (например, на первой странице и на одном в середине «о текущем уровне контроля»), собственников задевали не очень сильно. 
  2. Если речь доходила до описания процессов, то процессы рисовались исключительно с точки зрения формирования отчетности, фактически – движения первичных документов, но никак не с точки зрения принятия решений. А проблема внутреннего контроля – как правило, именно в принятии управленческих решений. Собственник эту проблему понимал, бывшие аудиторы отчетности – как правило, не очень. Конечно, через отчетность можно добраться до всех бизнес-процессов, но это почему-то происходило редко и далеко не по всем известным собственнику проблемам, что отражалось на восприятии консультантов по постановке СВК собственником. При этом, справедливости ради нужно отметить, что формальным заказчиком выступал финансовый директор, а не собственник, и результат его вполне устраивал.

Таким образом, консультационный канал не смог развить внутренний контроль. Результатом распространения подхода «от SOX» стало мнение о том, что «внутренний контроль – это соответствие каким-то требованиям законодательства другой половины земного шара в части отчетности. Нам оно нужно, как рыбе зонтик (собаке – пятая нога, зайцу – триппер и т.д.)». Сам случайно увидел как-то раз переписку акционеров (переслали по ошибке).

2. Создание собственных подразделений внутреннего контроля.

Тем не менее, службы внутреннего контроля появлялись. И кто-то их должен возглавить. Для того, чтобы создать службу внутреннего контроля / внутреннего аудита, кто-то должен составить требования к кандидатам. Как Вы думаете, а не финансовый ли директор это делал? Собственно, на мой взгляд, оттуда и пошли требования, указываемые в типовой вакансии и сейчас. Как бывший главный бухгалтер, выросший до финансового директора, в вакансии, содержащий слово «аудитор» может не указать «наличие квалификационного аттестата аудитора»? Для него это когнитивный диссонанс. А раз уж один раз завелось, то требования продолжают перепечатывать уже кадровики. Таким образом, собственник не очень внятно понимал, что хочет, сподвижники действовали в меру своих сил и способностей, а кадровики роли помощника выполнить не могли, потому что они частенько вообще не очень понимают требования к нестандартным вакансиям.

Поиск среди резюме по словам «постановка систем внутреннего контроля», «внутренний аудит», как ни странно, приводил к тому, что руководителем становился выходец из big4. Да, хорошо, если это был человек с определенным жизненным опытом (то есть работа консультантом – не его первая работа). Однако такие люди на рынке – редкость, потому что им и так неплохо платят. Теперь смотрим на «разумного» кандидата, который с хорошей вероятностью и мог возглавить подразделение внутреннего контроля/аудита. Рассмотрим подробнее, что он мог сделать.

Относительно хороший вариант.

Относительно хороший вариант – если ключевой акционер сразу поставит задачу «что он хочет увидеть». В большинстве случаев это будет проверка какого-нибудь процесса (продажи, закупки, стройка). И хорошо, если «разумный кандидат», который стал руководителем, понимает, что знаний ему не хватает, и зовет в службу кого-нибудь из forensic (кстати, из ОБХСС тоже неплохо). Тогда внутренние аудиторы бодрят конкретных руководителей, анализируют конкретные сделки и получается хорошо.

Но идеальная ситуация, а именно изменение системы внутреннего контроля, как правило, не достигалась. Во-первых, не особо много практики. Во-вторых, изменение процесса для подразделения внутреннего контроля / аудита становится невыгодным: подразделение теряет работу. Гораздо выгоднее создать штат ревизоров-контролеров по всем процессам и фактически мониторить каждую сделку в режиме on-line (вплоть до согласования заключения договоров), регулярно отчитываясь собственнику о предотвращении ущерба в цать бюджетов на собственное содержание.

Неплохой вариант.

Любым таким вариантом является вариант, когда новый руководитель уделяет бухгалтерскому учету минимум времени. Понятно, что вряд ли захочется сразу лезть в бизнес-процессы (если, конечно, прямого указания нет). Неплохим вариантом является проведение ревизий и инвентаризаций. Как правило, везде есть определенный учетный бардак, документы оформляются «как-нибудь» потом, поэтому внеплановые проверки позволяют показать свою нужность. Впоследствии, при наличии руководителя либо менеджера с образованием, полученном в разумном вузе (не условной Современной Гуманитарной Академии, выпускников у которой за 20 лет больше, чем у МГУ им. М.В. Ломоносова за все время существования), проблемы в принятии управленческих решений становятся вполне очевидными. А это уже можно продавать владельцу. Но, опять же, беда в том, что до этого момента проходит достаточно продолжительное время (вряд ли менее 2-3 лет). А даже за пару лет собственник может потерять интерес к тому же внутреннему аудиту, считая, что «занимаются инвентаризациями, выхлоп есть, и ладно».

Плохой вариант.

Плохой вариант – это когда начинается дублирование работы внешнего аудита. Отчет о работе выглядит как «мы минимизировали кучу налоговых рисков». В этом плане полезность деятельности стремится к нулю. Единственный хороший выхлоп – порядок в документообороте. Ну и налоговые риски в целом снимаются, при плохом учете это важно.

Некие особенности.

Даже в случае идеальной компании внутренний аудитор сталкивается с противодействием менеджмента. Но в рассматриваемом случае ситуация усугублялась тем, что выпускники большой четверки в подавляющем большинстве – относительно молодые люди, частенько говорящие на странном языке (непосвященному человеку тяжело понять, что такое «дизайн и тестирование контролей») и обладающие избыточным ЧСВ. При этом Big4 было их первым и единственным местом работы до перехода в реальный бизнес, поэтому нередко занималась позиция «я вам указываю на недостатки, их устранение – Ваша задача, иначе я потеряю независимость». В результате стандартное противодействие менеджмента переходило в абсолютно неконструктивное противостояние именно из-за поведения проверяющих, а также личного и профессионального отношения к вновь созданному подразделению. А в интригах 28-летний человек будет послабее, чем 50-летний менеджер, заставший советские НИИ. Результат понятен.

Я принципиально не рассматриваю вариант, когда внутренний аудитор – это то же самое, что и внешний, только зарплату получает внутри компании. Вероятность того, что такой человек доберется хотя бы до «неплохого» варианта в первые года три работы, откровенно низка.

Итого: чаще встречаются плохие варианты, внутренний контроль / аудит в лучшем случае рассматривается как надстройка над подготовкой отчетности (см. как текущие вакансии, так и резюме соискателей на любом работном сайте, включая hh.ru). За пределы бухгалтерии подразделения иногда выходят, но не более. При неплохом и относительно хорошем вариантах подразделения внутреннего контроля/аудита вполне себе завоевали место под солнцем, в некоторых случаях их уважают и даже боятся. Беда в том, что количество компаний с вариантами лучше плохого, на мой взгляд, маловато, всеобщего распространения даже «неплохой вариант» внутреннего аудита не имеет. Не говоря о следующих ступенях.

3. Независимые директора.

В 2000-х многие владельцы  бизнесов (особенно созданных в период «90-х») задумались о том, как сделать так, чтобы бизнес управлялся, но не лично ими, а через систему управления. Одним из элементов ухода от оперативного управления стало формирование советов директоров. Ну и, как у всех, создавались комитеты по аудиту. Кто же там мог оказаться?

Во-первых, это мог быть член комитета по аудиту из комитета по аудиту какой-нибудь иностранной компании (экспат). Как Вы думаете, что интересует комитет по аудиту иностранной компании на бирже в 2000-х годах (после Enron, WorldCom, etc.)? И что такой человек привнес в качестве основной идеи своей работы? Естественно, что все внимание – к отчетности. При этом большинство таких людей работали даже не в big4, а скорее в big6 или даже big8. Естественно, создавалось подразделение внутреннего аудита. Туда принимался человек из big4. Далее – см. п. 2, плохой вариант. Фактической целью такого подразделения было не обеспечить интересы владельца бизнеса, а снижение уровня беспокойства председателя комитета по аудиту.

Во-вторых, это мог быть независимый директор из возникших ассоциаций, институтов и т.п. При этом вряд ли он мог быть в курсе всей лучшей практики. Новое место работы рассматривалось как место заработка, при этом не всегда получаемого от компании. Лично был свидетелем, как очень уважаемый в этом мире человек просил «учесть свой интерес» при выборе аудитора на следующий год. Характеризует…

Результат.

Риск-менеджмент, внутренний контроль и внутренний аудит не то, чтобы бы могли очень развиться. Ни один из возможных каналов в нормальном виде не сработал в большинстве компаний. Даже при наличии подразделений с названиями «служба внутреннего аудита», «служба внутреннего контроля» часто эти подразделения выполняют только малую часть от того, что рекомендуется международными стандартами. Внутренний контроль в этих бизнесах бывает откровенно плохим, управление рисками – на зачаточном уровне, сами подразделения в лучшем случае занимаются ревизионной работой и расследованиями (конкурируя со Службой безопасности. Как думаете, кто чаще выигрывает?), в худшем – не вылезают за пределы бухгалтерии. В такой ситуации, по моему мнению, решающую роль оказал именно плохой подбор персонала. Неправильная постановка задачи – это уже вторично.

И теперь, если владелец понимает, что у него что-то не то с внутренним контролем или захочет поставить систему управления рисками, он будет менять менеджмент, привлекать консультантов и делать что угодно, кроме развития подразделений риск-менеджмента / внутреннего контроля / внутреннего аудита с правильно поставленными целями и соответствующим контингентом в качестве исполнителей. Кстати, из-за этого и появляются вакансии внутренних аудиторов в Москве с требованием опыта анализа бизнес-процессов и зарплатой «до 80 тыс. руб. в месяц», потому что большинство владельцев, руководителей и других причастных уверены, что платить больше и не за что.

А мы имеем 50 человек на конференциях по внутреннему аудиту, причем все между собой знакомы максимум через 2 рукопожатия. Вот так сложилась наша профессия.

Все ли так плохо?

На самом деле не все так мрачно. В последние годы многие «прожженные» внешне-внутренние аудиторы обнаруживают, судя по материалам конференций, что окружающий мир за пределами бухгалтерской отчетности удивителен. Я легко могу привести примеры полезного риск-менеджмента, разумного внутреннего контроля и эффективного внутреннего аудита в российских бизнесах. И это делают люди, работающие здесь – профессиональнейшие председатели комитетов по аудиту, руководители служб внутреннего аудита, и, конечно, исполнители, коих становится больше и больше.

Но даже 4000 внутренних аудиторов (по количеству членов ИВА) на всю страну явно не хватает. Истории, описанные выше, уверен, повторяются сейчас в среднем бизнесе. Поэтому я очень надеюсь на развитие своей профессии, одновременно являющейся хобби, в правильном русле. В том числе благодаря этому сайту.

Если вы нашли ошибку, пожалуйста, выделите фрагмент текста и нажмите Ctrl+Enter.