Как я прочитал книгу 14 лет спустя

Начну я с истории создания книги. Дело было в 2006 году. Если помните, тогда появился SOX (обязательный с 2003), а также вышел стандарт COSO ERM (2004). Подробнее об истории стандартов – здесь. И все консультанты из big4 стали рассказывать про то, что внутренний контроль – это всё, как рекомендует COSO. И стали придумывать свои интерпретации (видел презентации всех), которые были явными разного качества переводами мыслей буржуйских партнеров. Не удивительно, что основное внимание было уделено компоненту «достоверность отчетности». Кстати, появление SOX, если кто не знает, тесно связано с возникновением big4. До этого была big5, если не знаете – гуглите «дело Enron» или «Arthur Andersen».

Я, на тот момент молодой человек, но с определенным опытом, стал понимать, что «внутренний контроль» имени big4 – явно не то, что нужно бизнесу в России. В то время работал консультантом в компании Русаудит, наши клиенты – это типичный средний бизнес, которому слова типа SOX и COSO принципиально не нужны. Даже если соберутся на биржу (например, на AIM LSE). А специализировались мы на организационном развитии в широком смысле, то есть брались за всё, что связано с системой управления бизнесом. И появилась идея создать продукт, который поможет именно среднему бизнесу, без лишней макулатуры, но полезный, не очень дорогой и понятно продаваемый собственникам. Этим продуктом стала регламентация процессов, но не в виде реинжиниринга на основе глубокого анализа существующих, а постановка заново на основании видения консультантов. Цель всех этих действий – закрывать очевидные дыры во внутреннем контроле, мешающие бизнесу и беспокоящие владельца. Так как информации из самых разных источников (от отчетов о диагностике из архивов до личных проектов) было много, да и опыт появился, стало понятно, что «каждая семья несчастна по-своему» — это не про бизнес. Потому что дыры в системе внутреннего контроля у всех примерно одинаковы.

Книг по внутреннему контролю было примерно столько же, как сейчас. То есть много, но не про тот внутренний контроль. Поэтому в качестве поддержки самой идеи продажи такого продукта и была книга написана. Цель была достигнута – регулярные обращения самых лучших по качеству очень правильного масштаба клиентов. Лучшие по качеству – это те, которые сами к тебе обращаются. Было бы больше, но издательство закрыли в 2008 году (не разорилось, а именно закрылось). Поэтому продали только 3 тыс. экземпляров (ушли быстро), а электронные книги тогда были в зачаточном состоянии. Кстати, как раз на момент первого отзыва с предложением представить коммерческое предложения я ушел в реальный бизнес. 

Долго запрягал, поэтому быстро поеду. В общем, про ошибки. Ошибки понимаю, почему они возникли – во многом следует из вышесказанного. Вот их краткий перечень:

Терминологические ошибки.

1. Очень обидел внутренних аудиторов уже в предисловии (ну и далее – стр. 14, 17, …). Отнесу это к терминологии, потому что до этого внутренним аудитором не работал и, соответственно, Стандартов не читал. Естественно, воспринимал внутренних аудиторов из собственного опыта.
2. В продолжение предыдущей ошибки – по книге есть большое смешение функционала службы внутреннего контроля (которая занимается постановкой) и службы внутреннего аудита. Но объявлю ошибку терминологической – если назвать по всей книге службу внутреннего контроля службой внутреннего контроля и аудита (СВКиА), а также заменить внутреннего контролера на внутреннего аудитора – получится вполне. Особенно явно борьба автора с самим собой видна на стр. 41. Корректировки, безусловно, нужны и в части того, что «внутренний контролер должен потребовать» и т.п. Все такие глаголы нужно заменить на «рекомендовать». Интересный вопрос: а может ли СВКиА заниматься постановкой, вроде как противоречие Стандартам, потому что теряется независимость? Мой ответ – да, может. В рамках консультационных услуг, результатом которых будут детальные рекомендации. Вплоть до написания регламентов – бывает, что «писателя» даже в большой организации просто нет, почему бы и не помочь. А для сохранения независимости и объективности – год не проверяем. 
3. Ну и COSO – все-таки не методика, а модель. Кстати, вообще не помню, чтобы так говорил. В памяти осталось, что вроде как один из редакторов потребовал.

В целом – многие вещи бы назвал по-другому, более традиционно. Но, с учетом того, что на русском на тот момент было минимум общедоступных переводов – ничего страшного, бывает. Тот же FERMA для Русаудита перевел переводчик.

Методические ошибки.

1. Стр. 10. Очень сомнительный тезис, что внутренний контроль – достаточно затратная система. Безусловно, что-то он стоит. Но хороший внутренний контроль – это эффективный внутренний контроль.
2. Стр. 13. Некорректный тезис о том, что при совмещении владения и управления система внутреннего контроля (СВК) не требуется. Скорее наоборот, у владельца времени нет, у него другие дела. Ну и про масштаб бизнесов, безусловно, ошибся: советские предприятия-гиганты сохранились, просто сменили владельцев. А проблемы были теми же.
3. Со стр. 15. Конечно же, нет никакой «формальной» и «неформальной» СВК. Это было выдумано для продажи услуг и для того, чтобы показать, что мы занимаемся именно «неформальной», то есть необязательной частью. Единственный момент – переименовал бы в «обязательную» и «необязательную» часть СВК. Тогда бы было бы все понятнее.
4. Стр. 35. Корректнее разделить расчет и оценку рисков. Расчет риска – присвоение значений, оценка рисков – оценка приемлемости.
5. Стр. 36 и стр. 58. Линия толерантности традиционно проводится в виде гиперболы. Но можно считать линию из книги, как говорят IT-разработчики, не багом, а фичей😊.
6. Стр. 49. В разделе «Принципы внутреннего контроля» количество принципов можно расширить. С другой стороны, если изобретать свой COSO «с игрищами и блудницами», то мне перечисленных принципов и сейчас достаточно.
7. Стр. 123. Выплат части неиспользованных резервов бюджетов в качестве премий быть не должно. Либо планы будут завышаться, либо что-то полезное не сделают (например, ремонт), либо отчетность будет искажаться (договорятся с подрядчиками о переносе подписания актов на следующий год).
8. Стр. 131. Система сбалансированных показателей может быть инструментом не только стратегической, но и тактической мотивации.
9. Стр. 196. Не указано, что ограниченный перечень поставщиков в виде списка потенциальных поставщиков может приводить к возникновению картелей.
10. Стр. 241. Проверка соблюдения регламентов, безусловно, важна. Но я сейчас работаю внутренним аудитором и иду от анализа достижения целей, соблюдение регламентов – вторично.
11. Стр. 279. Процедуры внутреннего контроля не всегда более трудоемки по сравнению с теми же процедурами в отсутствии СВК. См. тезис №1.
12. Стр. 284. Если рекомендации должны исполняться беспрекословно, то вряд ли их можно назвать рекомендациями.

Ну и рубль девальвировался, поэтому рублевые примеры как-то уменьшились в масштабах. Нужно было все примеры приводить в долларах США, постабильнее будет валюта.

Избыточное возложение обязанностей на службу внутреннего контроля (и аудита) в разделах 5 и 6.  

В этих разделах есть много слов о том, что служба внутреннего контроля непосредственно должна участвовать в некоторых процессах, как правило, принимая участие в согласовании самых рисковых решений. Если речь идет именно о службе внутреннего контроля, то предложения разумны. Если же воспринимать ее как службу внутреннего аудита – очевидно, что нет. Перечень таких решений:

1. Стр. 145 и стр. 208. Потенциально служба внутреннего контроля (аудита) может согласовывать договоры, однако лучше этого избегать. Причин несколько, основные – во-первых, остальные перестанут работать, во-вторых, крайними всегда назначат контролера/аудитора. Поэтому все действия – в экономическую безопасность или какое-либо другое подразделение по принципу «четырех глаз».
2. Стр. 162. Вот чем точно не нужно нагружать службу внутреннего контроля (аудита), так это согласованием платежей. А вот про экономическую безопасность – очень даже неплохо сказано для идеальной схемы.
3. Стр. 179. Указано, что внутренний контролер должен осуществить проверку рекламных щитов в зонах размещения. Ситуация двоякая, такую находку можно оставить и для внутреннего аудита, неплохой отчет может получиться 😊.
4. Стр. 197. Формирование лота. В принципе, участие внутреннего аудитора тоже подходит под Стандарты – обычная консультационная услуга. Но лучше отказаться.
5. Стр. 199. Внутренний аудитор может участвовать в комиссии по закупкам, но без права совещательного голоса. Поэтому нужно заменить на специалистов по экономической безопасности в терминологии книги.
6. Стр. 218. Из планирования ремонтов аудиторов, очевидно, нужно исключить.
7. Стр. 236. Написано правильно – «на подразделения внутреннего контроля». Но не внутренний аудит должен согласовывать цены подрядчику (хотя в качестве консультационных услуг и бывало).
8. Стр. 281. Несмотря на то, что написано очень мягко, «рассмотрите возможность настоять на увольнении» – не нужно это, пусть руководители сами решения принимают. Но полезность действия, на мой взгляд, неоспорима.

Изменения во внешней среде.

За 14 лет их произошло немало, хотя Президент и не сменился. Старомодной книгу делают следующие моменты:

• у нас уже практически укоренились элементы бизнес-культуры, принятые в других странах: опционные программы, отчетность по МСФО, чемоданы денег прямо в кабинет уже не носят и т.п. При этом не только хорошие элементы укоренились, но и не очень – например, менеджеры всё более склонны манипулировать своими показателями для достижения KPI;
• в части отъема бизнеса. Если в 90-х и 00-х годах рейдерство было относительно сложным процессом, людей «закрывали» реже, и поэтому юридическая структура значительно усложняла этот процесс, то с 10-х годов как не защищайся – ничего не сделаешь. Просто поговорят, а если не согласишься – возбудят уголовное дело и «закроют». Это такие личные впечатления, не утверждаю, что это именно так везде. Но уж про подделку реестров я точно давно ничего не слышал, а 15-20 лет назад – случаи не единичны;
• минимизировать налоги агрессивным способом уже вряд ли получится, у налоговой уже вовсю работают всякие АСК, и разбиение бизнеса на УСНО видно как на ладони, и роялти за товарный знак – предмет многочисленных разбирательств. В-общем, НДС обналичивать по-прежнему можно, но недолго;
• дивиденды стали платить разумным образом (хотя, думаю, не везде);
• иметь головную компанию в офшорах уже не модно;
• практика по спорам с налоговыми органами об обоснованности цен договоров на управление устоялась;
• совсем советских предприятий с соответствующим оборудованием уже почти не осталось (в книге был прогноз – как минимум 10 лет). Хотя летом был на экскурсии в Жостово, там на предприятие не пускают, но показывают фильм, как клепают заготовки для подносов и обжигают их. Впечатление, что это даже не советское производство, а более раннее;
• милиция превратилась в полицию;
• факсами уже не пользуются;
• НДС повысили (к таблице на стр. 34);
• компьютеров 486DX4-100 уже нигде нет;
• оптоволокно сейчас, наверное, уже везде. И даже Wi-Fi распространился;
• формы документов имени Госкомстата перестали быть обязательными;
• ICQ даже я пользоваться перестал.

Технические ошибки.

В книгах годов 50-60-70-х прошлого века после издания вклеивали листочки «вместо <…> следует читать <…>». Точно не помню сам вид таблички, но на примере рассматриваемой книги вид у такого листочка был бы таким:

 А орфографических ошибок много, я их увидел после прочтения книги в бумаге, до этого всё было отдано на откуп корректору. Особенно обидно, что издатель говорил, что корректор очень хороший. Но пропустил кучу ошибок, при этом слово «таки» исправил на «так и» на стр. 277.

Что бы добавил бы сейчас.

Помимо исправления ошибок, сделал бы больший акцент на автоматизацию. Но это я понял после выхода книги, причем на первой же работе внутренним аудитором. Первый личный опыт изложен здесь. Но, опять же, автоматизируйте приведенные в книге примеры отчетов – и первый шаг будет сделан.

Отдельно бы посвятил главу «особенностям» контроля в государственных и окологосударственных структурах, но я попал в такую на работу только спустя 8 лет после выхода книги.

Отдельно скажу по поводу расширения, добавления и т.п. Добавлять, безусловно, можно многое. Частично исправлено на сайте (то, что вспомнил). Личный опыт не особо применим – с момента ухода из консалтинга у меня только четвертое место работы, то есть даже если и есть что-то новое, то выборка маловата. 

***

Подводя итоги – за книжку не стыдно как минимум. Более того, если исправить терминологию да убрать несколько сомнительных тезисов – актуальна и сейчас в полном объеме. Если бы можно было бы внести приведенные на этой странице исправления да переиздать – вообще бы было бы отлично.

А в продолжение книги был сделан сайт, если бы не было книги – скорее всего, не было бы и сайта, потому что сайт во многом состоит из идей книги. И, что хорошо – если на сайте кто-то замечает ошибку, то ее сразу исправляем. Одних орфографических было более полусотни, люди сообщили.