Начинать, понятное дело, нужно с нормативной документации, а именно Международных стандартов и законодательства «этой страны» (где живешь). Именно в таком порядке, потому что законодательство любой страны имеет свойство подстраиваться под международное, а первоисточник, как правило, излагает лучше последователей. Например, в документе ФНС РФ (правда, уже отмененном) один из компонент COSO «Информация и коммуникации» переведен как «Информационная система».
Стандарты и законодательство – это, если можно выразиться, обязательная программа. Странно работать кем-либо и не прочитать стандарты деятельности, особенно если они есть. Дальше – сложнее. У человека, который хочет развиваться, регулярно возникает потребность найти что-либо интересное, причем и в смежных областях, в первую очередь во внутреннем контроле и управлении рисками. И добавим ограничение по итогам обсуждения на LI: человек плохо знает английский язык. Совсем плохо, примерно как я.
Об информации.
Самое плохое в том, что информации, безусловно, много. Но вот выудить из этого массива что-либо ценное – далеко не всегда можно быстро. Основные источники:
- интернет. Чуть менее, чем полностью, состоит из ерунды. Я бы оценил процент бесполезного не менее, чем в 95%. Особенно радуют поисковые системы, первая выдача и яндекса, и гугла по запросу «внутренний аудит». Цитата (если удалят): «Внутренний аудит — это форма контроля деятельности организации изнутри». Ситуацию никак не изменишь, и дальше будет только хуже, потому что ограничений на публикацию любого добра в интернете нет, а алгоритмы поисковиков – своеобразны;
- периодика в бумажном виде. Практически её нет, за исключением редких статей в экономических/бухгалтерских журналах. Причем статьи бывают очень даже разумными, как их выявить – см. ниже, но для конкретного издания – редки. То есть подписываться на все экономические издания – бесполезно, выгоднее пользоваться предыдущим пунктом. К периодике в полубумажном виде (то есть конвертировано в pdf для печати на A4) можно отнести журнал «Внутренний аудитор», издаваемый Институтом внутренних аудиторов. Но он распространяется только среди членов. Разумность статей в нем я бы оценил как самую высокую, то есть 60/40;
- книги. Больше 90% книг про внутренний контроль и внутренний аудит – это учебные пособия. Пишут их люди, которые в бизнесе никогда не работали, им нужна «научная новизна». Тем не менее, несколько хороших есть, см. ниже. А вот в управлении рисками много «технических» книг, то есть на треть состоящих из многоэтажных формул. Безусловно, есть и упомянутая «научная новизна», но среди авторов много и практиков. Тем не менее, лично я в применимость также не очень верю.
Отдельная тема – материалы семинаров/конференций/встреч. Во-первых, многие спикеры рисуют свои слайды по всем законам презентаций, то есть на слайде есть одна картинка и 15 слов, из которых без самого автора ничего непонятно. Во-вторых, спикеры той же конференции ИВА – частенько одни и те же из конференции в конференцию. Поэтому возникает соблазн нарисовать одну презентацию и «гастролировать» с ней с минимальными изменениями. Лично был немного удивлен руководителями, которые рассказывали про то, что делали 5 лет назад (при этом даже я слышал это во второй раз). Сейчас я в конференциях внутренних аудиторов не участвую, материалы не читаю, поэтому от оценок процента полезности воздержусь. Остальными источниками, как-то форумы, соцсети и т.п., можно пренебречь. Состою во всех группах, активность – околонулевая.
Как видно, во всех источниках полезности немного. Понятно, что у меня вероятны искажения, связанные с опытом: очень многое видел, кое-что прочел, регулярно пишу, то есть удивить сложно. Однако я не занимаю позицию «всё дрянь», и оцениваю именно практическую пользу для меня, если бы я прочитал материал как первый по теме. И полезность всё равно не очень высокая.
Тем не менее, самообразование путем чтения – один из самых дешевых способов развития собственных навыков, поэтому читайте как можно больше, но учитесь отметать ненужное. Именно поэтому делюсь признаками ненужной и разумной информации, а также несколькими аспектами её применения. Подчеркну, что это признаки, то есть и из источника, полностью соответствующему признакам ненужной информации, можно получить что-то разумное, и наоборот.
Признаки ненужной информации.
Основное – нужно отсекать теорию (если Вы, разумеется, не студент) от практики. Как правило, практически неприменимые опусы можно выявить по следующим признакам:
- Послужной список автора. Любой уважающий себя «учоный» для получения степеней и званий научного роста должен быть плодовитым, что для всех источников информации означает определенную стопку статей и монографий (книг). Но отсутствие практики приводит к тому, что темы высасываются из пальца и к реальной жизни отношения не имеют.
- Так называемая «научная новизна». Согласитесь, что если Вы придумаете собственное определение внутреннего контроля или аудита, классифицируете что-либо (например, риски), рассмотрите с точки зрения разных заинтересованных сторон (заказчик, исполнитель, клиент, потребитель…), да еще разбавите формулами – для людей с кафедры или ученого совета, которые ни разу не общались с действующими специалистами, все эти сомнительные действия будут похожи на научное исследование. Кстати, сама «научная новизна» может быть положена в основу кандидатской.
- Ссылка на ст. 19 Федерального закона №402-ФЗ «О бухгалтерском учете», где написано, что «Экономический субъект обязан организовать и осуществлять внутренний контроль совершаемых фактов хозяйственной жизни», а также ссылку на информацию Минфина. Если честно, я не встречал систему внутреннего контроля в бизнесе, которая была бы создана после появления ст. 19 402-ФЗ, поэтому ссылка авторов на этот элемент законодательства в подавляющем большинстве означает, что саму тему авторы узнали именно из этого закона. Не путать с обязательными и рекомендуемыми документами ЦБ, Минэка и пр., там относительно разумно.
- Ссылка на Международные стандарты аудита (МСА). Люди реально путают МПСВА (Международные профессиональные стандарты внутреннего аудита) и МСА. До сих пор. Сами понимаете, если авторы не очень разбираются, какие стандарты применять, скорее всего, читать их не стоит.
- Место размещения. На сайтах для бухгалтеров и внешних аудиторов что-то разумное ожидать маловероятно. Потому что уважающий себя сайт имеет, как минимум, редактора. А редакторы пропускают то, что им понятно, а понятны им темы бухучета и внешнего аудита. Соответственно, возникает пул авторов, которые могут написать о чем угодно языком, понятным для бухгалтеров. Однако, как и многим журналистам, вникать в тему нет ни смысла, ни времени.
Отдельно добавлю про кубики COSO. Возможно, у меня какая-то ментальная ловушка, но после появления во введении или на одном из первых слайдов кубика очень редко дожидаешься чего-то хорошего. Исключение – один кубик в самом-самом начале. Чтобы соблюсти академичность, наверное.
Признаки разумной информации.
Увы, признаков разумной информации значительно меньше, чем признаков ненужной. Потому что сомнительной информации принципиально больше. Тем не менее, можно выделить следующие индикаторы разумности:
- Личность автора. Идеально – директор/менеджер по соответствующему направлению негосударственной структуры. Почему именно директор/менеджер – думаю, понятно (хотя встречаются что тексты, что выступления – глаза с ушами вянут), отдельно поясню, почему негосударственной. Во-первых, сам знаю, как устроено внутри (как правило, плохо, см. пример из жизни). Во-вторых, принято совсем уж лукавить, то есть выдавать желаемое за действительное. Хотя, безусловно, есть авторы и из госструктур, которых интересно читать.
- Ссылки на МПСВА, ISO, FERMA. Можно было бы сюда включить и COSO, но уж больно много однотипных статей про одно и то же.
- Если ищете что-то узкопрофессиональное, то есть как профессиональные сайты, так и сайты консультантов на специализированную тему. Мне так в ситуации из жизни очень помог https://meteoenergetic.ru/. И информации много, и написано понятно (хотя дизайн глаз и режет, но на этом сайте тоже специфичен). Любимый пример – про ценообразование.
В общем-то, всё.
Применимость полученных знаний.
Безусловно, замечательно, если Вы ищете новых знаний «про запас». Однако, как показывает практика в т.ч. нашего сайта (поисковые запросы), всё-таки люди ищут решение очень конкретных задач. Самый популярный запрос по переходу из поисковых систем – «реестр рисков предприятия пример заполненный».
В общем, скорее всего, результаты поиска Вы захотите применить у себя. Программа проверки внутреннего аудита всё стерпит, а вот на действиях по постановке СВК и рекомендациях по итогам отчета внутреннего аудита можно и погореть. Поэтому рекомендую учитывать следующие особенности:
- требования законодательства (биржи, регуляторов, …). Если Ваша компания под эти требования не подпадает – практически сразу «в топку», как минимум будут задавать вопросы «А зачем нам это?»;
- можно объединить с предыдущим пунктом. Если автор – банкир/страховщик, то вряд ли применимо для торговых компаний;
- очень важный вопрос – уровень развития бизнеса. Для условной численности в 100, 1000, 10 тысяч и так далее человек – система управления принципиально отличается, в т.ч. и с точки зрения рассматриваемых на сайте тем;
- требования бизнеса. За последнее время прочитал кучу замечательных статей про IT (от архитектуры до информационной безопасности). Но если Вам не нужен on-line биллинг (ну, то есть когда зачисляешь оператору связи 100 рублей, а тебе сразу смс-ка приходит о пополнении баланса) – количество требований сразу падает на порядок;
- важный момент – корпоративная культура. Банально: где-то приняты отмазки, а где-то если подписались под планом изменений – значит, сделают по-человечески. Соответственно, тот же мониторинг может быть очень разным.
Где и что искать.
А теперь – рекомендации авторов сайта.
Начнем со стандартов – можно посмотреть и у нас, в самом начале страницы «Для скачивания». Для внутреннего аудитора – изучайте дополнительно не только стандарты в широком доступе, но и полный комплект с практическими указаниями. Взять на сайте ИВА. Если не состоите в членстве, как и я – попросите у знакомых.
Про интернет – опять же, на сайте есть обзор интернета. Несколько лет назад было принято обмениваться ссылками, но по странному совпадению все ссылки, которые не относятся к тематике, омертвели. Поэтому почистил, теперь только актуальное.
Из периодики – члены Института внутренних аудиторов могут почитать вышеупомянутый журнал «Внутренний аудитор».
Рекомендации про книги по риск-менеджменту давать затруднительно, потому что тем, кто занимается какими-то расчетами – возможно, нужно прочитать многое, чтобы не изобретать велосипед.
Про внутренний контроль – опять же, на сайте есть книга Р.В. Макеева (то есть меня) «Постановка систем внутреннего контроля. От проверок отчетности к эффективности бизнеса». Там некоторые вопросы освещены не очень корректно, спустя 14 лет признаю, но можно задать вопросы автору в случае сомнений. Сейчас вышла книжка О.В. Крышкина «Искусство контроля», пока не дочитал (но купил). Кстати, в виде книжки есть и COSO ERM, сайт ИВА по-прежнему продает. Но она, скажем так, тяжеловата для прочтения.
А про внутренний аудит есть две книги, что называется, must read:
- Л. Сойер. Внутренний аудит по Сойеру. Весь 2020 год упражнялся в её рецензировании и комментировании, дополнительно комментировать не буду;
- О.В. Крышкин «Настольная книга по внутреннему аудиту». Олег Владимирович – кандидат экономических наук, что обуславливает тяжеловатость чтения, но по практической применимости сопоставима с этим сайтом, то есть безусловно полезна. В отличие от буржуев российские авторы сосредоточены не на том, что сделать, а как сделать. Почему-то не приняты типовые программы проверок, но в этой книге – есть. Но после ее прочтения рекомендую также прочесть мнение про разницу в подходах (часть 1 и часть 2).
Кстати, я видел пару относительно свежих книг и даже их прочитал. Первоначально казалось обнадеживающе, но получилось как-то слабенько. Авторов называть не буду, захотите – в интернете найдете.