Вернемся к типам выручки и содержанию, на которое обращают внимание налоговые органы и суды. По каждому типу выручки в месте ее возникновения контролирующие инстанции рассматривают правомерность применения льгот по собственным критериям, в частности, возможности создания такого продукта или услуги силами предприятия, а также размещения реального центра принятия решений по деятельности организации – это и есть содержание, или substance. У классических офшорных компаний обычно отсутствует персонал и прочие средства производства, имущество формально числится на балансе, а центр принятия решений находится не только не по адресу регистрации, но обычно за пределами страны.
Общее исключение из правила, пожалуй, относится только к офшорным компаниям, владеющим флотом, например: организация в самом деле владеет сухогрузом или танкером, который принадлежит ей по бумагам и ходит под флагом ее юрисдикции. Но в таком случае персонал обычно работает по срочным контрактам, а центр принятия решений располагается не в офшорной стране. Как правило, местонахождение офиса такой компании – это адрес почтового ящика, а директором выступает номинал, подписывающий документы по доверенностям за 400–500 компаний и не несущий никакой ответственности.
Проверка контрагентов
Все, кто привлекал инвесторов из числа крупных международных фондов, особенно американских, помнят их вопросы о процессах по противодействию отмыванию средств и их эффективности в компании (сюда относятся борьба с финансированием терроризма, противодействие коррупции, санкционные политики и регламенты).
Применительно к коррупционным рискам подобные процедуры называются anti-bribery, к противодействию отмыванию средств и терроризму – anti-money laundering (AML), к соответствию санкционным требованиям, принятым государствами, которые определяют международную финансовую повестку, – sanctions list screening. Если от вас требуют таких процедур, то это не просто формальное утверждение на уровне компании шаблонных политик и размещение их на сайте для внешних заинтересованных сторон. Для полного соответствия требованиям надзорных органов и международных аудиторов необходима не только подготовка документов, но и внедрение этих контрольных операций в ежедневные процессы. Их качество должно регулярно подтверждаться прохождением независимой экспертизы или внутреннего тестирования.
Внедрение перечисленных процедур в работу крупной компании требует отработки процессов, встраивания контрольных функций в ежедневную деятельность и последующую автоматизацию операций. Для обеспечения их надежности и непрерывности, как и в случае с прочими повторяющимися процессами, требуются адекватные контрольные механизмы, которые обычно составляют службу внутреннего аудита. Подразделение может называться и иначе, но важно соблюдать его независимость и следить за отсутствием ангажированности.
В России проверка (скрининг) клиентов на соответствие закону 115-ФЗ – противодействие уходу от налогов, легализации доходов, финансированию терроризма – обязательна для кредитных и страховых компаний согласно регулированию Центробанка России. Также у руководства компании есть обязанность проявлять должную осмотрительность: проверять контрагентов на добросовестность. Если выяснится, что вы работаете с компанией-однодневкой, то как минимум получите вызов для дачи показаний, а также камеральную проверку, в случае же доказательства вины ответственность может быть вплоть до уголовной.
Для проверки контрагента можно использовать информационные ресурсы «Контур. Фокус» и «СПАРК», официальные справочные ресурсы государственных органов (например, ФНС РФ). Со своей стороны, рекомендую создавать папку с базовыми документами по каждому контрагенту (как российской, так зарубежной компании):
• устав (Articles of association);
• свидетельство о регистрации (Certificate of incorporation);
• паспортные данные собственников;
• отчеты о компании из информационных систем.
Из таких ресурсов, как «Контур. Фокус» и «СПАРК», можно получить достаточно подробную информацию о контрагенте: регистрационные и налоговые номера, лицензии, данные о руководстве и собственниках, финансовые показатели и данные отчетности, информацию об уплаченных налогах (и наличии задолженности по ним), исполнительных производствах, арбитражных делах. Обычно этих данных достаточно, чтобы сделать базовые выводы о приемлемости начала работы с контрагентом.
Риск-менеджмент
Завершающий блок ключевых зон ответственности финансового директора – управление рисками. Last but not least, как говорят англичане, – последний в списке, но не по значимости. Оценка рисков и организация мер по управлению ими во время экономических кризисов и катастрофических событий приобретает особое значение в работе финансового руководителя. К сожалению, в последние несколько лет мы вспоминаем об этом намного чаще, чем хотелось бы.
Думать о рисках и выстраивать эффективную и желательно автоматизированную систему их выявления, оценки и контроля необходимо заблаговременно, в спокойное время.
Перефразируя известное выражение «кто не знает историю, обречен на повторение ее ошибок», скажу: кто не готовится ко всевозможным угрозам, не сможет насладиться и победами.
Управление рисками и выстраивание систем внутренних контролей – одна из самых значимых задач финансового и операционного руководителей. Оценка рисков направлена на определение риск-аппетита, максимально широкого спектра угроз, их ранжирование и последующее управление ими с помощью мероприятий по минимизации возможных потерь.
Чтобы подступиться к построению эффективной системы управления рисками, следует определить риск-аппетит и сами угрозы. Я рекомендую начать с составления перечня таковых, сгруппировать их по типам, распределить по степени воздействия и вероятности возникновения:
• катастрофические события (природные или геополитические);
• отраслевые изменения;
• регуляторные новации;
• финансовые и операционные риски;
• риски, связанные с конкуренцией.
По каждому блоку получается список из нескольких угроз: природные явления, геополитика, макроэкономика, отраслевое регулирование, экология и техногенные риски (особенно важно для крупных производственных комплексов: вспомните аварии на «Норильском никеле» или Саяно-Шушенской ГЭС), конкуренция, мошенничество (сюда же относятся воровство и коррупция), кибербезопасность, риски цепочек поставок, юридические риски и другие – как общие, так и специфические для отрасли, региона или предприятия.
Далее необходимо составить план по проработке каждой существенной угрозы. По сути, это проектный менеджмент в управлении операционной деятельностью. Здесь же становится очевидной необходимость дальнейшего мониторинга систем для своевременного выявления отклонений и поддержки принятия управленческих решений.
Далее мы обсудим составление карты угрозы бизнеса, методы риск-менеджмента, а также создание системы внутренних контролей для отслеживания и предотвращения событий, потенциально опасных для стабильности и развития бизнеса.
Карта угроз
Зачастую предприниматели и многие менеджеры пренебрежительно относятся к управлению рисками. «Давайте делать бизнес. Не отвлекайтесь и не отвлекайте других своими заумными темами», – так иногда говорят руководители. Они не правы. Заблуждаются и те, кто считает, что управление рисками актуально только для крупной компании. На любой стадии развития бизнеса следует анализировать угрозы, разрабатывать планы по их устранению или снижению. Без системного подхода к риск-менеджменту бизнес превращается в рулетку.
Я предлагаю сделать пробный подход к управлению угрозами – составить карту рисков. Это таблица – список негативных событий и тех последствий, которые возникают или могут возникнуть в вашем бизнесе. Их можно группировать по источникам возникновения: мошенничество, финансовые, налоговые, регуляторные, природные (форс-мажоры), техногенные риски, конкуренция, кражи и порча имущества и пр.
Следует ранжировать события по вероятности их наступления и возможным потерям. Первый показатель может быть низким (раз в несколько лет), средним (раз в год) или высоким (несколько раз в год). Со вторым нужно ориентироваться на размер финансовых потерь и чувствительность к ним. Последнее зависит от размера и маржинальности бизнеса: какие потери будут для компании несущественны, какие чувствительны, но не опасны, какие вызывают серьезные операционные потери, но не грозят остановкой деятельности, а какие могут привести к потере бизнеса, банкротству.
Высокий уровень потерь ведет практически к стопроцентному банкротству, если нет внешней поддержки. Средний – к чувствительным, но не критичным затратам. Они индивидуальны для каждого бизнеса, но, как правило, не превышают месячной выручки. Низкий уровень – незначительные штрафы или потери, обычно не более выручки за один-три дня. Соответственно, для высокомаржинального бизнеса сумма может быть больше, чем для компании с низкой рентабельностью.
По каждому событию необходимо добавить наименование, описание и возможные последствия. Последние желательно оценивать количественно: в деньгах. Далее надо описать и классифицировать защитные меры. Их можно распределить на процедурные, организационные, финансовые, продуктовые и технологические. Также важно оценить затраты на них. Если эффект от реализации мер превышает возможные последствия риска – его принимают, в противном случае ищут иные варианты мероприятий, которые будут разумными и менее затратными.
Итак, для процедурных мер достаточно разработать и внедрить процесс. Для организационных – добавить к процессу исполнителя или контролера. Финансовые меры связаны с прямыми затратами. Продуктовые требуют внесения усовершенствований в товар или услугу. Технологические вынуждают разработать и внедрить собственные или приобрести сторонние аппаратные и/или программные решения.