В продолжение темы про риск-менеджмент, а именно — описание карты угроз организации и их мониторинг — хочу затронуть внутренние контроли. Для компании индивидуально настроенная и правильно функционирующая система внутренних контролей не менее важна, чем для человека и общества.
Наверно, для компании акцент менеджмента на построение такой системы имеет даже большее значение, чем для человека. Ведь эволюция выработала у живых существ автоматические контрольные и регулирующие системы — естественный отбор способствовал сохранению полезных качеств через воспроизводство нужного путем более успешного размножения и защиты, причем на рефлекторном уровне, и отбраковывание лишнего через гибель менее приспособленных, или конкурентоспособных, живых существ (по сути — живых систем, тех же организаций). В бизнесе та же конкуренция играет роль естественного отбора, эволюция постепенно протекает и способствует повышению эффективности, но в данном случае мы имеем значительно меньше рефлекторно, автоматически работающих систем.
В бизнесе у нас значительно больше влияния на систему и возможностей для создания гибкой, настроенной на выживание системы зависящие во многом от нас сроки. В сроки значительно более короткие, нежели чем в природе. Тут-то мы и переходим к такому обширному понятию, как система внутренних контролей.
Внутренние контроли необходимы бизнесу для отслеживания корректного функционирования процессов, фиксации неэффективностей и нарушений, выработке корректирующих процедур и внедрения их в организации. Как следует из определения, я склонен рассматривать системы внутренних контролей в широком смысле — не просто как контрольные механизмы или внутренние аудиты компании, но как систему мониторинга и развития. Это соответствует и наблюдаемым эволюционным процессам в природе.
Систему внутренних контролей можно сравнить с прохождением обязательного технического осмотра для автомобиля или же регулярную проверку организма у врачей. Техосмотр автомобиля помогает выявить проблему на ранней стадии, когда она может быть сравнительно легко устранена — что приводит к экономии ресурсов. А главное, при таком подходе существенно снижаются риски аварии, и соответственно — вероятность ущерба здоровью или даже человеческих жертв. Аналогично это работает и в отношении регулярного медицинского осмотра для выявления болезней и патологий на ранней стадии. В принципе, многие живут и без регулярных техосмотров и обследований, но до определенного момента. Дальше существенно вырастают риски, стоимость их предотвращения, а в запущенных случаях существенно сокращается срок жизни.
Очень похоже это работает и в бизнесе. До определенной величины компании, если повезет, можно дорасти не внедряя систему внутренних контролей, но дальше, с укрупнением и усложнением системы, несравнимо быстрее нарастает сложность внутренних процессов и операций, повышаются риски поломок и неправильного функционирования. Если в крупном бизнесе не внедрять систему контролей, то начинают нарастать по экспоненте вероятности наступления угроз и рисков, которые, как я ранее описал, необходимо систематизировать в форме карты угроз.
Внутренние контроли можно разделить на несколько уровней — уровень общекорпоративных контролей, уровень финансовых контролей, уровень контроля информационной безопасности, специфические для отрасли типы контролей (технологические, операционные, экологические, репутационные, и прочие). В дальнейшем я подробнее расскажу про каждый из уровней.