Далее добавляем текущий статус реализации защитных мер, например, степень их выполнения к августу 2023 года. Это может быть оценка (не реализованы, частично реализованы, полностью реализованы) или процент выполнения. Нужно обязательно назначить руководителя (топ-менеджера, ответственного за блок задач) и исполнителя. Лучше всего закреплять ответственность за одним подразделением с участием других (при необходимости). Если ответственных двое, то при негативном развитии событий сложно понять, кто упустил момент для правильной и своевременной реализации мер. По каждому ответственному необходимо иметь сотрудника, замещающего его на случай отсутствия.
Завершаем перечень самой важной записью – планом мер по предотвращению события или снижению вероятности его возникновения. По желанию здесь можно добавить ссылки на задачи в таск-трекере (YouTrack, Jira, Yandex Tracker). Далее нужно установить сроки, назначить ответственных по каждому пункту и регулярно проводить контроль реализации.
Как правило, построить планы по всем событиям и эффективно решать их параллельно не получится, поэтому следует выделить приоритетные задачи – в первую очередь занимаемся наиболее вероятными и катастрофическими по последствиям. Далее – имеющими среднюю вероятность и критические последствия. Потом предлагаю решать задачи со средними последствиями и высокой (далее средней) вероятностью. Задачи по событиям с низкой вероятностью в любой градации последствий можно оставить напоследок, но сохранить в плане, обязательно отслеживать, решать по мере возможности.
Следует отметить, что «черные лебеди» последних лет (пандемия и события 2023 года) для российских предприятий в матрице рисков и угроз определялись низкой вероятностью и критическими последствиями. Из-за сложных мер по защите им не уделяли особого внимания вплоть до наступления событий. Как показала практика, даже такие случаи надо заранее прорабатывать и иметь антикризисный план (желательно не один).
Глава 9Система внутренних контролей
Внедрение системы внутренних контролей
Для компании индивидуально настроенная и правильно функционирующая система внутренних контролей не менее важна, чем для человека и общества.
Эволюция выработала у живых существ автоматические контрольные и регулирующие механизмы – естественный отбор способствовал воспроизводству и сохранению сильных, полезных качеств путем более успешного размножения и защиты, причем на рефлекторном уровне, и отбраковыванию слабых, лишних через гибель менее приспособленных. По сути, организации по своим признакам похожи на живые системы.
В бизнесе конкуренция играет роль естественного отбора, эволюция протекает постепенно и способствует повышению эффективности. Но в отличие от живого организма в случае с компанией мы имеем значительно меньше рефлекторно работающих систем.
В бизнесе нам требуется самим вырабатывать автоматические или полуавтоматические (с минимизацией человеческого фактора) контрольные и эволюционные механизмы и внедрять их в операционные и стратегические процессы. У нас, по сравнению с живыми системами и природной эволюцией, больше влияния на систему и возможностей для создания гибкой, настроенной на выживание организации. Однако продолжительность ее существования меньше, чем в природе. Здесь мы и переходим к такому обширному понятию как системы внутренних контролей.
Благодаря им в бизнесе выстраиваются процессы, а в дальнейшем отслеживается их функционирование, фиксируются неэффективности и нарушения, вырабатываются и внедряются корректирующие процедуры. Я склонен рассматривать системы внутренних контролей в широком смысле: не как контрольные механизмы или внутренний аудит компании, а как систему мониторинга и развития. Это соответствует и наблюдаемым эволюционным процессам в природе.
Систему внутренних контролей можно сравнить с обязательным техническим осмотром автомобиля или регулярными медицинскими обследованиями человека. Любая диагностика помогает выявить и устранить проблему на ранней стадии. Это приводит к экономии ресурсов. А главное, существенно снижаются риски аварии и, соответственно, вероятность ущерба здоровью или даже прекращения функционирования (гибели). Аналогично это работает и в отношении регулярных медицинских осмотров.
Похожие процессы происходят и в бизнесе. На начальных этапах компания может развиваться без системы внутренних контролей, но далее без нее не обойтись: по мере роста стремительно возрастает сложность внутренних процессов и операций, повышаются риски «поломок» и неправильного функционирования. Если в крупном бизнесе не внедрять систему контролей, то растет вероятность реализации рисков, которые, как я ранее описал, необходимо систематизировать в формате карты угроз.
Показателен пример криптобиржи FTX, ставшей за три года (перед своим банкротством в 2022 году) второй по величине (после Binance) криптобиржей в мире[27]. Но этого не произошло во многом потому, что у компании (как считают) не было эффективной системы внутренних контролей.
По FTX в момент написания книги еще идет расследование, но уже очевидно, что биржа в связке с инвестиционной компанией ее основателя вкладывала и торговала активами без применения базового компонента риск-менеджмента – автоматической остановки убытков (stop-loss), используя при этом деньги клиентов биржи и закладывая под многомиллиардные обязательства организации собственные токены. Вся эта деятельность осуществлялась под руководством малоопытного молодого менеджмента.
Основатель, он же генеральный директор, настойчиво внедрял в корпоративную культуру принятие стимуляторов и различных препаратов для повышения производительности, что, как показывают многочисленные независимые эксперты, вызывало снижение чувства опасности и зачастую приводило к агрессивным инвестиционным и рискованным управленческим решениям. Компания была очень большая, с огромным количеством ежедневных операций. А статистика больших чисел, как водится, имеет прямолинейные и неумолимые закономерности.
При таком качестве управления и количестве операций без должной системы внутренних контролей банкротство рано или поздно должно было случиться. Катализаторами краха обычно становятся внезапные события на рынке. В случае FTX ими стали банкротства других крупных криптопроектов: кредитной экосистемы Celsius, стейблкоинов Luna и Terra.
На антикризисное управление организацией поставили руководителя, который в начале 2000-х вел банкротство энергетической компании Enron (о ней мы уже упоминали). После детального изучения документов он сообщил, что процессы риск-менеджмента в FTX практически отсутствовали, систем внутренних контролей не было. Финансовая компания, работающая таким образом, – это нонсенс. Ключевой процесс в подобном бизнесе – правильная оценка рисков, систематизация соответствующих операций и выстраивание систем внутренних контролей.
В завершение рассмотрим основные составляющие систем внутренних контролей, которые можно разделить на несколько уровней:
• уровень общекорпоративного контроля;
• уровень финансового контроля;
• уровень контроля информационной безопасности;
• уровень специфического для отрасли типа контроля (технологического, операционного, экологического, репутационного и т. п.).
Общекорпоративный контроль
К общекорпоративному контролю относится исполнение законодательных требований, регламентов внутренних и внешних, процедур управления. Он следит за соответствием требованиям законодательства страны (или стран), предъявляемым к регистрации компании, если речь идет о международной группе, и собственным требованиям корпоративного управления, а также за выполнением регламентов и правил всевозможных организаций и институциональных образований, с которыми взаимодействует предприятие. Хороший пример последнего – следование требованиям банка, финансирующего компанию, или биржи, на которой она размещена, и через инфраструктуру которой распространяет свои акции среди частных и институциональных инвесторов.
К внутренним документам, регламентирующим корпоративное управление, относятся:
• устав компании;
• акционерное соглашение (если оно есть);
• отдельные внутренние нормативные документы.
К последним – учетная политика, политика повышений и компенсаций, закупочных процедур, по противодействию легализации и отмыванию средств (AML), по выполнению санкционных требований, по противодействию коррупции, регламенты договорной работы и др.
Реализация системы внутренних контролей с регулярным аудитом – это не желание организации, а, как правило, требование корпоративного законодательства о регистрации и сопровождении компаний, наподобие Companies law, Commercial Transactions Law, Companies Act и пр. Задача этих актов – защита прав акционеров, среди которых особое внимание уделяется миноритариям, регламентации прав и обязанностей уровней корпоративного управления – менеджмента компании во главе с ее генеральным директором, СЕО или президентом (в зависимости от страны и региона – совета директоров, комитетов при советах директоров, общего собрания акционеров).
Все уровни корпоративного управления (менеджмент или СEO, совет директоров, собрание акционеров) несут ответственность – индивидуально полную или коллективную совместно с другими уровнями управления. Эти области принятия решений невозможно ратифицировать или ввести в действие без соответствующего решения (consent) совета директоров (board of directors), а на следующем уровне – без него и собрания акционеров (general meeting). Вышестоящий орган управления таким образом контролирует субординированный к нему.
В качестве примера можно привести одобрение советом директоров или акционерами кандидатуры внешнего аудитора, нанятого для проверки финансовой отчетности компании. Поскольку именно они, согласно уставу или акционерному соглашению, утверждают такого контрагента и стоимость его услуг, то принятие решения только генеральным директором или его заместителем (финансовым директором) будет превышением полномочий и может повлечь признание подобного договора недействительным. Операционному менеджменту в таком случае грозит административное или уголовное наказание – в зависимости от суммы договора и наличия злого умысла. Как правило, аудитор или банк сам проверит полномочия подписанта и потребует все необходимые разрешительные документы (например, резолюцию совета директоров), но при заключении контракта с обычным контрагентом такого контрольного процесса может не быть.