Требования банков, бирж, инвесторов и прочих институтов, отношения с которыми строятся, как правило, на получении средств для развития бизнеса, относятся как к общекорпоративному, так и к финансовому контролю. Обычно это ковенанты (covenants) или особые условия, регламентирующие отдельные решения компании, информацию об операциях, развитии бизнеса и финансовых показателях, а также выполнение определенных финансовых и операционных нормативов или достижение плановых показателей.
Финансовый контроль
Для организации это системообразующий и критичный блок. Как сказали бы бухгалтеры и аудиторы, сюда входит:
• организация системы отражения фактов хозяйственной деятельности;
• сбор финансовой отчетности и ее аудит;
• если необходимо, контроль выполнения нормативных показателей согласно корпоративным документам и соглашениям с финансовыми институтами;
• выполнение требований законодательства страны по регистрации компании относительно выпуска финансовой и налоговой отчетности.
С точки зрения практического внедрения системы финансового контроля это, во-первых, правила и процессы подготовки, подписания и хранения первичных документов: счетов, товарных накладных, актов приемки-передачи услуг или товаров, актов о выполненных работах и пр. Система предприятия должна быть создана (или задизайнена, как принято говорить в среде методологов и автоматизаторов) таким образом, чтобы документы первичного учета под каждый факт хозяйственной деятельности своевременно формировались и подписывались, а процессы компании позволяли избежать человеческого фактора ошибок сотрудников, прямых злоупотреблений или мошенничества.
Следует отметить, что в части утверждения транзакций в финансовых процессах важно соблюдать принцип разделения полномочий (SOD – segregation of duties). Сотрудник, который имеет право вносить транзакцию на оплату в системе, не должен «совмещать» возможность ее утверждения, так как это увеличивает вероятность мошенничества.
Во-вторых, это, конечно же, правила, методология, процессы и автоматизация системы по сбору отчетности отдельных компаний, а также консолидированной отчетности группы. Важно настроить эффективный последовательный и поэтапный процесс с контрольными процедурами (точками), который позволит в регламентированные сроки организовать подготовку, проверку и раскрытие (публикацию) отчетности для внешних пользователей.
Для этого полезно разработать и встроить в процесс так называемый «светофор» – контрольный отчет, настроенный на ключевые для компании сверки и отражающий сопоставимость цифр из различных источников или баз данных. Тут же можно внедрить порог материальности и округлять данные при проверке. В некоторых бизнесах он может быть практически нулевым (цифры сходятся без приближений), в иных организациях порог материальности может доходить до 0,5 %, что нормально.
Возможно еще установить порог (процент) допустимого отклонения при выполнении аналитических процедур (год к году, квартал к кварталу, месяц к месяцу). При формировании порога материальности важно ориентироваться на показатели отчетности (статья pretax income, fixed assets, revenue). В разных компаниях базы для расчета могут отличаться, они зависят от профиля организаций.
Финансовый контроль в базовой реализации есть в любой компании, которая ведет регулярный бухгалтерский учет и сдает налоговую отчетность. Дальше идут качественные уровни реализации системы финансового контроля: наличие описанных процессов, методологии учета, сбора и хранения документов, автоматизация процессов, проведение сверок с контрагентами и внутри компании между различными источниками данных, внедрение элементов внутреннего аудита и регулярное проведение внешнего и др.
Контроль информационных систем
Этот блок обычно называют контролем доступа к корпоративным системам, или системой IT-контроля. К ней относится регламентация прав и уровней доступа к различным внутренним системам и базам компании, а также информационная безопасность (противодействие взлому и несанкционированному доступу извне – хакерским атакам и краже данных).
Во многих регионах мира исторически IT-департаменты относятся к зоне ответственности финансовых руководителей и департамента по работе с персоналом. Последний организует прием и увольнение сотрудников, контролирует прохождение новым работником процессов онбординга (onboarding), строгое соблюдение регламентов охраны конфиденциальной информации и недопущение потерь интеллектуальной собственности при уходе сотрудника из компании.
Юридическое сопровождение процесса – немаловажный митигатор (mitigation – предотвращение) рисков. В документах и внутренних процедурах должны отражаться реальные должностные обязанностей сотрудников, проводиться их регулярный аудит и своевременное обновление, постоянное документирование результатов интеллектуального труда. Это очень важный элемент риск-менеджмента для компаний, основное направление деятельности которых – создание интеллектуальной продукции, в первую очередь, в области IT. Наибольшее значение этот фактор приобретает в новых отраслях. Например, при создании систем анализа данных на базе инструментов машинного обучения (в обычной жизни это обобщенно называют искусственным интеллектом, artificial intelligence, или AI).
Вместе с трудовым договором можно оформлять соглашение о конфиденциальности (non-disclosure agreement) и неконкуренции (non-compete agreement). Следует обеспечивать правильную передачу результатов интеллектуальной собственности от сотрудников и внешних подрядчиков предприятию, предусмотреть все нюансы такой процедуры при заключении договора, разработать типовые формы документов и прописать детали в них.
Специфический контроль
Как я уже отметил, помимо стандартного для всех бизнесов контроля, практически во всех отраслях существует еще и специфический:
• внешние риски – рыночные, экологические, региональные (географические);
• внутренние – технологические, производственные, связанные с влиянием человеческого фактора (например, с состоянием и действиями машиниста или летчика).
Очевидно, что для производственных предприятий, где операционный процесс сопровождается повышенной травмоопасностью, необходимы особые правила поведения. Эта задача в зоне ответственности генерального директора. Специфический контроль существует во всех отраслях и, как правило, он задокументирован на уровне внутренних регламентов и инструкций предприятия.
Отдельно следует упомянуть риски, связанные с разработкой, тестированием и внедрением в массовое использование новых технологий, таких как робототехника, изучение систем искусственного интеллекта, генной инженерии, нанотехнологий, космоса, поиск внеземного разума, эксперименты с вирусами, внедрение систем социального контроля, разработка сланцевой нефти и др.
Внедрение контрольных процессов
Внедрение внутренних контролей необходимо начинать с исследования и описания бизнес-процессов организации, выявления и документирования стандартных и специфических процедур. С данной задачей хорошо справляются консультанты «Большой четверки». В рамках этих компаний сформированы группы, которые занимаются диагностикой и внедрением внутренних контролей организаций, готовящихся к первичному размещению акций на международных биржах. Для российских компаний подобные услуги были востребованы во время бума IPO, с начала 2021-го до февраля 2022 года.
Однако эффективнее нанять собственного опытного специалиста, чем пользоваться услугами консультантов. Как правило, берут его на позицию руководителя службы внутренних контролей или аудита. На первых порах – обычно полгода-год – с помощью консультантов и сотрудников предприятия ему нужно провести полную диагностику, описать сложившиеся процессы, идентифицировать потенциальные риски, подготовить план внедрения основных контрольных операций.
На следующем этапе потребуется внедрение контроля в операционные процессы. Это уже более серьезная работа, которая потребует существенного вовлечения в деятельность финансовой и юридической служб, бухгалтерии, отдела по работе с персоналом, подразделений службы безопасности и IT, методологов и автоматизаторов финансовых и производственных информационных систем. Как правило, на этом этапе у руководителя службы появляется один или несколько специалистов, отвечающих за внедрение контрольных процессов. В дальнейшем они станут лидерами отдельных направлений – отделов департамента внутренних контролей или аудита.
На этапе диагностики и внедрения внутренних контролей целесообразно перевести руководителя службы в состав финансового блока, поскольку в течение года или двух он будет плотно работать именно в этом подразделении. После автоматизации процедур службу внутренних контролей следует вывести из-под руководства операционного менеджмента и подчинить совету директоров, чтобы обеспечить независимость мнения сотрудников подразделения при тестировании и аудите систем. Практически всегда менеджмент и генеральный директор будут противиться такому переводу, поскольку он ограничивает свободу операционного управления, отбирает полномочия и ставит дополнительный надзорный над менеджментом орган. Тем не менее, это существенный элемент защиты от злоупотреблений и коррупции, а также дополнительный внутренний источник информации для принятия решений членами совета директоров.
Глава 10Развилки карьеры
Будущее профессии
Как и все разумные стратегически мыслящие люди, я слежу за трендами, размышляю о будущем работы, возможных траекториях развития занятости и востребованности тех или иных профессий и навыков в среднесрочной и долгосрочной перспективе. Очевидно, что мир очень быстро меняется. Вместе с тем скорость перемен в разных областях неодинаковая, и что важнее – плохо прогнозируемая. Как это ни странно, мы относимся к прогрессу или излишне оптимистично, или пессимистично.