Пока гром не грянет, мужик не перекрестится!

История внутреннего контроля тесно связана с мошенничеством. С развитием, появлением новых способов мошенничества появлялись новые способы контроля, которые потихоньку и привели к созданию концепции внутреннего контроля.

Считается, что первая письменная запись была учётной записью:
На глиняной табличке из города Урука, который существовал на территории нынешнего Ирака, записано: «29 086 мер ячменя 37 месяцев Кушим». Эта запись сделана между 3400 и 3000 годами до н. э. Текст, вероятно, означает, что некий Кушим получил за период 37 месяцев чуть менее 30 000 мер ячменя.
Как предполагает историк Юваль Ной Харари: Кушим — это первый человек, чьё имя дошло до нас. «Характерно, что первое в истории записанное имя принадлежало не пророку, поэту или завоевателю, а бухгалтеру».

Тогда же и появились первые купцы-обманщики. Некий господин Нанни жалуется на купца Эа-Насира, на вавилонской глиняной табличке примерно 1750 года до н. э.

«Деньги серебром заплачены, а обещанную медь, мало того, что доставили с опозданием и нагрубили принимавшему заказ слуге, так ещё и сплав не того сорта. Слуга медь не принял, но заплатил. А купец перестал выходить на связь и фактически пропал с деньгами несчастного Нанни. Ни меди, ни серебра.»

Табличку нашли в руинах одного из домов древнего города-государства Ур рядом с ещё несколькими похожими жалобами на Эа-Насира. Исследователи решили, что это либо дом самого купца, где он просто складировал эти негативные отзывы, не обращая на них никакого внимания, либо суд.
Так что мошенники и недобросовестные менеджеры были всегда. К сожалению, понять, было ли какое-либо системной решение проблем в Древнем Вавилоне — непонятно.

Следующий этап начался в Древней Греции. В V в. до н. э. в Афинах появились «контроллеры» — они контролировали расходы Народного собрания. Аристотель упоминал подобных лиц в своём труде «Политика», разграничивая учётные и контрольные функции в государстве.
В Древнем Риме подобный людей называли аудиторами, от латинского audite — слушать. Они должны были слушать финансовые отчёты и оценивать их правильность. Похоже, бумажных финансовых отчётов тогда не было.

В 1285 году король Англии Эдуард I издаёт первый закон, регулирующий деятельность аудиторов. Именно этот период и считается временем зарождения современного аудита в Европе.

С развитием мировой торговли и экономических отношений роль аудиторов возрастает. Компаний становится всё больше и больше. Часть из них, случайно или намеренно, обманывают инвесторов. Роль аудиторов начинает возрастать. Основная цель — это контроль бухгалтерской отчётности.

В XVIII веке политик и экономист Джордж Уотсон порекомендовал шотландским коммерсантам проаудировать их бухгалтерскую отчётность Результаты оказались настолько значительны, что «чёрствые, скупые и педантичные» (по характеристике англичан) шотландцы стали проводить постоянно.
В 1805 году аудиторы создают первую профессиональную аудиторскую организацию: после публикации справочника с фамилиями 17 аудиторов. С 1884 года ежегодный аудит бухгалтерской отчётности предприятий и акционерных обществ на территории Англии стал обязательным. В 1862 году Англия узаконила аудит, как отдельную отрасль экономической науки.

В Соединённых Штатах Америки первый закон об аудите принимают в 1886 году: «Об образовании аудиторских фирм». В 1887 г. появилась ассоциация аудиторов Америки, а с 1896 года, после сдачи экзамена по специальности в университете Нью-Йорка, любой дипломированный бухгалтер мог получить лицензию на занятие аудиторской деятельностью.

Обязанностей аудиторов не были чётко определены. В Древнем Риме они должны быть защищать интересы государства. В XIX веке инвесторы, акционеры и кредиторы видели в аудиторе защитника своих интересов. Потихоньку аудиторы стали отвечать только перед акционерами.
Насколько внешние аудиторы должны выявлять мошенничества в компании — один из ключевых вопросов. Профессор Моер (Moyer, https://www.jstor.org/stable/239850) в 1951 году говорил, что самая основная обязанность аудиторов обнаруживать мошенничество. В текущих аудиторских стандартах зафиксировано, что аудитор должен получить лишь разумную уверенность, что отчётность не содержит искажений, вызванных в том числе мошенничеством.
Так что внешний аудит сфокусировался на одной из частей внутреннего контроля: только проверка отчётности. Все остальные аспекты деятельности предприятия необходимо контролировать по-другому.

В 1940х начал развиваться внутренний аудит.
По стандартам ИВА, внутренний аудитор должен оценить риск мошенничества, но не предполагается, что он обладает компетенцией специалиста, чья основная функция заключается в выявлении и расследовании фактов мошенничества.

Внутренний контроль, как отдельная концепция, начал развиваться после серии скандалов в 1970-х:
Уотергейт: крупный политический скандал, который, в том числе, выявил подкуп иностранных чиновников;
Бананагейт: подкуп правительства Гондураса экспортёром бананов,
Локхид: подкуп чиновников Европы для покупки самолётов и другие.


В 1977, как ответ на скандалы с подкупом, в Штатах принимают закон о противодействии коррупции за рубежом: FCPA — Foreign Corrupt Practice Act.
В 1985 году начинает работать Национальная комиссия по Мошенничеству с финансовой отчётностью. Целью комиссии было изучить причины искажения отчётности. В историю она вошла как комиссия Тредвея, по фамилии первого председателя комиссии – Джеймса С. Тредвея.

Работа комиссии Тредвея спонсировалась совместно пятью профессиональными организациями:

1. American Accounting Association (AAA)
2. American Institute of Certified Public Accountants (AICPA)
3. Financial Executives International (FEI)
4. Institute of Internal Auditors (IIA)
5. National Association of Accountants; сейчас — Institute of Management Accountants (IMA)

Так образовалась КОСО – Комитет организаций-спонсоров комиссии Тредвея. (COSO – Committee of Sponsoring Organization of Tredway Commision).

В 1987 году Комиссия выпускает отчёт, в котором говорится, что многие СЕО и СФО соглашаются с тем, что хороший внутренний контроль помогает предотвратить мошенничество. Однако никто не может объяснить, что такое внутренний контроль. Одной из рекомендаций было определить, что же такое внутренний контроль.

Так что КОСО продолжило свою работу. В результате в 1992 на свет появился документ «Внутренний контроль: интегрированная концепция» (Internal Control Integrated Framework). Сейчас этот документ называют концепцией КОСО по внутреннему контролю, или COSO 92.

Концепция стала основной концепцией внутреннего контроля во всём мире. Определение внутреннего контроля из КОСО, с небольшими правками, использовал Минфин РФ. Популярность КОСО связана с тем, что многие компании хотели выйти именно на американские биржи – как на самый богатый рынок капитала.

К сожалению, публикация концепции в 1992 году не сильно изменило человечество.
В 2000 году компания Энрон была признана самой инновационной крупной компанией. Рыночная капитализация превышала 60 млрд долларов, только за 2000 год компания выросла на 87%.
В течение 2001 года выяснилось, что компания фальсифицировала отчётность. Акции компании упали с 90,75 $ за акцию в середине 2000 года до менее чем 1 $ за акцию в ноябре 2001 года. 21 декабря 2001 года компания подала заявление о банкротстве. Активы компании составляли 63,4 млрд долларов, и это стало самым крупным банкротством на тот момент.

Сопутствующим ущербом стало то, что обанкротилась аудиторская компания Энрона — Артур Андерсен. Через несколько лет, в 2005 году, суд оправдал компанию, но ей уже это не помогло. Так, большая пятёрка аудиторских компаний стала большой четвёркой.

Энрон недолго держал пальму первенства по банкротствам. Меньше чем через год, 25 июня 2002 года Worldcom призналась в мошенничестве с отчётностью на 3,9 млрд долларов. Впоследствии сумма выросла до 11 млрд долларов.

Одной из причин банкротства Энрона эксперты называли то, что в компании отсутствовала надёжная система внутреннего контроля. То есть, с одной стороны – концепция внутреннего контроля уже опубликована, равно как и сформированы методы работы с внутренним контролем. Но с другой — менеджмент не занимался вплотную контролем. Не было никакой обязанности.

Как ответ на корпоративные скандалы, президент Буш 30 июля 2002 года подписал закон Сорбейса — Оксли. Закон не менял концепцию внутреннего контроля, он усиливал ответственность менеджмента за соблюдение системы внутреннего контроля. Появился обязательный отчёт о работе контролей по формированию финансовой отчётности.

Но закон не остановил мошенничества, корпоративные скандалы продолжались: AIG (2004), Bernard Madoff (2008), Autonomy Corporation (2012) и множество других.

В 2008 году банкротство Леман Бразерс стало самым крупным банкротством. К счастью, в этом никто не обвинил в этом систему внутреннего контроля, иначе мы бы увидели ещё ряд законодательных инициатив.

В 2013 году КОСО выпустило обновление концепции Внутреннего контроля 1992 года. На этот раз это не было связано с какими-либо скандалами. Просто к 20-летию концепции решили её обновить. Но при этом изменения планировались в основном косметическими: трогать определение или принципы не планировали. В 2014 году концепцию 92 года признали устаревшей.

Внутренний контроль является частью корпоративного управления. Одно из определений корпоративного управления — это комплекс мер и правил, помогающих акционерам «контролировать руководство компании и влиять на менеджмент». Поэтому многие кодексы корпоративного управления в той или иной степени затрагивают вопросы внутреннего контроля.

В Великобритании издан Кодекс Корпоративного управления (UK Corporate Governance Code), описывающий принципы корпоративного управления. Обязателен для компаний, котирующихся на Лондонской бирже.
Ранее Кодекс был известен под название Объединённый кодекс, так как состоял из нескольких отчётов и кодексов, регулирующих корпоративное управление. Первым отчётом в Кодексе стал отчёт Кэдбери в 1992 году.
В 1991 году крупная британская компания Полли Пек Интернешионал (Polly Peck International) обанкротилась из-за действий генерального директора, Асил Надира. По данным следствия Надир выводил крупные суммы на счета подконтрольных ему компаний в Северном Кипре. Следствие предъявило более 68 обвинений Надиру в краже и фальсификации отчётности.

В 1991 году Лондонская фондовая биржа учредила Комитет Кэдбери. Первоначально цель работы комитета было предотвращение финансового мошенничества, но после скандалов с BCCI и Робертом Максвеллом, цель расширили до корпоративное управления в целом. Окончательный отчёт вышел в декабре 1992 года и охватывал вопросы финансов, аудита и корпоративного управления и содержал три основные рекомендации:

1. должность генерального директора и председателя СД должны быть разделены, что гарантирует отсутствие свехполномочий у генерального директора;
2. в советах директоров должно быть не менее трёх неисполнительных директоров, двое из которых не должны иметь финансовых или личных связей с руководителями
3. в каждом совете директоров должен быть аудиторский комитет, состоящий из неисполнительных директоров

Эти рекомендации изначально были весьма спорными, хотя они всего лишь отражали «лучшую практику» и призывали к распространению этой практики на все компании, котирующиеся на бирже. В то же время отчёт Кэдбери определял, что абсолютных правил не существует, и не может быть так, что «один размер подходит всем». В 1994 году принципы были добавлены к Правилам листинга Лондонской фондовой биржи, и было оговорено, что компании не обязаны соблюдать принципы, но должны объяснить, почему они этого не делают.

Впоследствии Объединённый кодекс дополнялся другими отчётами: отчёт Гринбери, 1995, отчёт Хэмбпела, 1998 и другими. В 1999 году выходит отчёт «Внутренний контроль: Руководство для директоров по Объединённому кодексу» (1999). Отчёт был подготовлен Комитетом под руководством Найджела Тернбулла из The Rank Group plc совместно с Лондонской фондовой биржей. Как водится, отчёт стал называться отчётом Тернбулла.

Отчёт информировал директоров об их обязательствах в соответствии с Объединённым кодексом в отношении поддержания хорошего «внутреннего контроля» в своих компаниях или проведения хороших аудитов и проверок для обеспечения качества финансовой отчётности и выявления любого мошенничества до того, как оно станет проблемой. Отчёт был пересмотрен в 2005 году, а в сентябре 2014 заменен новым руководством.

Базельский комитет по банковскому надзору в 1998 году выпустил два документа: «Основы оценки системы внутреннего контроля» № 33 и «Система внутреннего контроля в банках: основы организации» № 40, посвящённых системе внутреннего контроля в банках. Базельский комитет предложил набор принципов, согласно которым должна строиться оценка адекватности систем внутреннего контроля банка за всеми балансовыми и внебалансовыми инструментами.

Комитет представил 13 принципов, соблюдение которых необходимо для достижения эффективного внутреннего контроля. Эти принципы были сгруппированы в пяти категориях, совпадающих с предложенными COSO, и одной специфической, характерной для сложившейся в мире стандартной двухуровневой банковской системы: Оценка состояния системы внутреннего контроля органами банковского надзора.

Ассоциация Аудита и Контроля Информационных Систем (Information Systems Audit and Control Association, ISACA) разработала в 1996 году первую версию Методологии управления информационными технологиями — или COBIT, Control Objectives for Information and Related Technology.

COBIT устанавливает стандарты безопасности и контроля в ИТ. Первая версия COBIT’а выпущена в 1996 г. В 2019 году вышла версия COBIT-2019.

В других странах также выходили документы, которые, так или иначе, относились ко внутреннему контролю.

Модель CoCo (критериев контроля) была впервые опубликована Канадским институтом дипломированных бухгалтеров в 1995 году. Эта модель основана на COSO и, по мнению некоторых, является более конкретной и удобной для пользователя. CoCo описывает внутренний контроль как действия, способствующие достижению наилучшего результата для организации.
Модель состояла из 4 блоков:

1. Purpose (цель, назначение).
2. Commitment (посвящённость, верность, обязательства).
3. Capability (возможности).
4. Monitoring & Learning (наблюдение и обучение).

В Руководстве также предполагали, что ошибки в опознании и использовании возможностей (упущенные возможности) являются особым видом риска, который должен специально оцениваться.

В 1999 году во Франции вышли Рекомендации Комитета по корпоративному управлению под председательством г-на Марка Виено.

В Южно-Африканской республике выходят отчёты Кинг I, 1994 и Кинг II, 2002. Их выпускал Комитет по корпоративному управлению, который возглавлял бывший судья Высокого суда Мервин Кинг. Как это водится, отчёты получили название по фамилии председателя комиссии. Отчёты обязательны для компаний, котирующихся на бирже в ЮАР.

В 1995 году выходит первая версия стандартов Австралии и Новой Зеландии по Управлению Рисками (ANZ Risk Management Standard). В основе его концепции лежали известные принципы оценки риска в таких областях, как безопасность мореплавания, мостостроение и ядерная безопасность. Пересмотренные стандарты AS/NZS 4360 были изданы в апреле 1999 года.

В мире разработано и выпущено достаточно много концепций и правил по внутреннему контролю. Но самой распространённой концепцией является концепция КОСО. Поэтому дальше мы будем изучать внутренний контроль, опираясь именно на концепцию КОСО и практики применения.

Это краткий обзор концепции КОСО. У нас нет задачи детально разобрать классический подход — про это есть достаточно много литературы.

Что же такое внутренний контроль? COSO даёт следующее определение:

Внутренний контроль — это процесс, осуществляемый советом директоров предприятия, менеджментом и прочим персоналом, спроектированный для того, чтобы получить разумную уверенность достижения целей предприятия по следующим категориям:

• результативность и эффективность операций;
• надёжность финансовой отчётности;
• соответствие законам и нормативным актам.

Это определение стало классическим. Оно не поменялось при обновлении концепции в 2013 году, уточнились только пояснения и дополнения к определению.

Минфин РФ используется почти такое же определение внутреннего контроля (цветом выделены отличия от определения КОСО):

Система внутреннего контроля представляет собой процесс, организованный и осуществляемый представителями собственника, руководством, а также другими сотрудниками аудируемого лица, для того чтобы обеспечить достаточную уверенность в достижении целей с точки зрения надёжности финансовой (бухгалтерской) отчётности, эффективности и результативности хозяйственных операций и соответствия деятельности аудируемого лица нормативным правовым актам. Это означает, что организация системы внутреннего контроля и её функционирование направлены на устранение каких-либо рисков хозяйственной деятельности, которые угрожают достижению любой из этих целей.

Правила (стандарт) № 8 «Понимание деятельности аудируемого лица, среды, в которой она осуществляется, и оценка рисков существенного искажения аудируемой финансовой (бухгалтерской) отчётности».

КОСО выделяет несколько основных аспектов определения:

Цели
Внутренний контроль предназначен для достижения целей в одной или нескольких пересекающихся категориях. Цели разделяются на три категории:
⎯ операционная;
⎯ финансовая и;
⎯ законодательство;
Такое разбиение позволяет сосредоточиться на различных аспектах системы внутреннего контроля. Эти пересекающиеся категории, очень часто являются зоной ответственности различных менеджеров. Также при использовании этой классификации становится ясным, чего ожидать от каждой категории внутреннего контроля. Необходимо учесть, что конкретные цели могут попадать сразу в несколько категорий.

Процесс
Внутренний контроль — это процесс, состоящий из постоянных задач и активностей. Это не разовое действие, не разовый проект. Это задачи и действий, которые пронизывают всю деятельность компании и длятся, пока существует компания. Более того, внутренний контроль наиболее эффективен, когда он встроен в бизнес (в процесс), а не является некой надстройкой.

Персонал
На внутренний контроль влияет весь персонал компании. Внутренний контроль — это не просто набор политик и процедур, это действия всех сотрудников на всех уровнях. Сотрудники определяют цели предприятия и устанавливают контроли. Сотрудники влияют на внутренний контроль, равно как и система внутреннего контроля влияет на поведение людей.

Достижение целей
Внутренний контроль не гарантирует 100 % достижение целей.
Концепция обеспечивает разумную уверенность и не может гарантировать абсолютную уверенность достижения цели. Невозможность гарантировать связана с рядом ограничений, которые присущи системе внутреннего контроля. Их мы разберём позже.

Структура
Концепция применяется ко всей структуре компании. Все компоненты, все цели должны быть определены для каждого подразделения. Адаптация принципов должна отличаться в зависимости от размера и характера подразделения.

Кубик КОСО — самая известная фигура во внутреннем контроле. Ни один семинар или доклад о внутреннем контроле не обходится без кубика КОСО. Пожалуй, только треугольник мошенничества может сравниться по известности с кубиком.

Кубик — это краткое описание концепции внутреннего контроля КОСО. Он остался неизменным с 1992 года. На передней стороне перечислены 5 компонент концепции: контрольная среда, оценка рисков, контрольные процедуры, информация и мониторинг. Сверху — 3 категории целей: операционная эффективность, отчётность и соответствие. Сбоку — уровни подразделений компании.

Смысл кубика — в подразделении любого уровня должны выполняться все 5 компонент в отношении всех 3 категорий целей. То бишь, все эти параметры взаимосвязаны.

Контрольная среда
Основа для построения системы внутреннего контроля. Включает в себя этические ценности, целостность, tone at the top, работу совета директоров, орг. структуру и т. д. Контрольная среда оказывает всеобщее влияние на систему внутреннего контроля.
Контрольная среда — самая сложная компонента СВК. Все призна́ют её важность, но никто не понимает, как её оценить. Как можно оценить этический климат в организации? Некая попытка разобраться с контрольной средой — внедрение company level controls (CLC) или entity level controls (ELC). Но так чтобы результаты оценки сильно на что-то влияли — пока нет.

Оценка рисков и Контрольные процедуры
Эти две компоненты оказали самое большое влияние на работу всех специалистов по внутреннему контролю и аудиту. Связка риск-контроль была описана именно здесь. Оценка рисков предполагает, что мы должны выявить, что может пойти не так и выявить существенность этого риска. Контрольная процедура должна устранить выявленный риск до приемлимеого уровня.
К сожалению, это самые осязаемые компоненты в концепции. Многие специалисты видят суть внутреннего контроля во всестороннем и полном описании рисков и контролей.

Информация и коммуникация
Самая непонятная компонента. Информация — это формальный набор данных, необходимых для работы предприятия. Коммуникация — постоянный, итеративный процесс обмена информацией.
Что делать с этой компонентой — вообще непонятно. Если речь идёт о том, чтобы иметь необходимую информацию для контроля — то это надо рассматривать в компонентах «риски и контроли». Если же здесь идёт речь о том, как люди работают с информацией, как готовы воспринимать негативную информацию и т. д. — то это надо рассматривать в Контрольной среде.

Мониторинг
Это текущая или периодическая оценка системы внутреннего контроля, то, как работают все пять компонент системы.
Самая простая для понимания компонента: систему необходимо оценивать. Это очень похоже на работу с автомобилем: чтобы автоомобиль работал хорошо нам нужен контроль за его состоянием. Текущий контроль: встроенная индикация в машине, показывающая что идет не так, и периодический мониторинг: техническое обслуживание на станции.

В целом, вот и всё. Для эффективной работы СВК необходимо, чтобы работали все пять компонент во всех категориях целей на всех подразделениях.

COSO 2013 пересмотрело подход к описанию внутреннего контроля. Вместо длинного описания сформулировано 17 ключевых принципов, разбитых по компонентам.

Контрольная среда
1. Демонстрировать приверженность честности и этическим ценностям.
2. Обеспечивать исполнение Советом обязанностей по надзору.
3. Устанавливать структуры, линии подотчётности, полномочия и обязанности.
4. Демонстрировать приверженность обеспечению компетентности персонала.
5. Возлагать на людей ответственность.

Оценка рисков
6. Определять надлежащие цели.
7. Выявлять и анализировать риски.
8. Оценивать риски мошенничества.
9. Определять и анализировать изменения, которые могут значительно повлиять на внутренний контроль.

Контрольные процедуры
10. Выбирать и разрабатывать контрольные процедуры, снижающие риски.
11. Выбирать и разрабатывать средства контроля над технологиями.
12. Внедрять контрольные процедуры посредством политик и процедур.

Информация и коммуникация
13. Использовать актуальную и качественную информацию для оказания поддержки службе внутреннего аудита.
14. Распространять информацию о внутреннем контроле внутри организации.
15. Передавать информацию о внутреннем контроле внешним сторонам.

Мониторинг
16. Проводить постоянные или периодические оценки средств внутреннего контроля (или и то и другое).
17. Информировать о недостатках внутреннего контроля.

Матрица рисков и контролей — основной инструмент для описания системы контрольных процедур в процессах. Ниже приведён пример матрицы. В реальности используемые матрицы могут гораздо сложнее, однако структура остаётся именно такой.

Пример матрицы рисков и контролей

Как видно, матрица рисков и контролей полностью сфокусирована на двух компонентах: рисках и контролях. Мы находим, что в процессе может пойти не так, и анализируем, какой контроль снижает риск до приемлемого уровня.

Во всех концепциях описаны условия, которые не позволяют системе внутреннего контроля (СВК) достичь 100 % эффективности. Даже в самом определении внутреннего контроля есть отсылка на то, что система будет работать с ограничениями: разумная уверенность в достижении целей.

Обычно ограничениям в концепциях уделяется мало внимания. Но мы хотим разобраться, работает или нет сама концепция. С учётом того, что мы хотим разобраться в том, где система работает и, главное, где система не работает — то мы разберём ограничения достаточно подробно.

КОСО 1992 описывает следующие ограничения СВК:

• ошибочные действия;
• ошибочные суждения;
• сговор;
• обход менеджментом контрольных процедур;
• стоимость контроля.

В КОСО 2013 ограничения незначительно поменялись. Стоимость контроля ушла, зато добавились внешние события. В результате список ограничений выглядит следующим образом:

• суждения;
• внешние события;
• ошибки;
• обход менеджментом контрольных процедур;
• сговор.

Список ограничений в отчёте Тернбула похож на список КОСО. Надёжная система внутреннего контроля может снизить, но не может устранить возможность:

• плохого суждения при принятии решений;
• человеческой ошибки;
• намеренного обхода контрольных процедур сотрудниками и другими;
• обход менеджментом контрольных процедур;
• непредвиденного стечения обстоятельств.

Если ограничения из всех концепций разбить по группам, то получится 4 большие группы:

1. Внешние события.

2. Непреднамеренные ошибки:

• человеческая ошибка;
• ошибочные действия;
• ошибочные суждения;

3. Преднамеренные ошибки:

• сговор;
• обход менеджментом контрольных процедур;
• обход сотрудниками контрольных процедур;

4. Процессные условия:

• стоимость контроля.

Первая группа ограничений — это внешние события.
Действительно, могут сложиться внешние условия, при которых компания не сможет добиться своих целей: экономический кризис, политический кризис, наводнение или любое другое редкое событие, хоть падение метеорита.

С одной стороны, это логично. С другой стороны — риск-менеджмент как раз направлен на работу с внешними событиями. В море может быть шторм, и если наш корабль не готов к шторму — то логично не выходить в море. Если же событие очень редкое: допустим, падение метеорита — то закладываться на такое событие не слишком разумно. И тогда отсылки на такие события не могут быть ограничениями СВК.


Вторая группа — непреднамеренные ошибки людей.
Ещё Сократ писал: «Человеку свойственно ошибаться». Люди могут ошибаться в действиях, в суждениях, в решениях. У людей есть свои особенности поведения — в последнее время развивается поведенческая психология, которая говорит, что люди не поступают рационально.

С другой стороны, если люди ведут себя не рационально и людям свой свойственно ошибаться — как так получилось, что мы создаём систему без учёта особенностей людей? Если мы не учитываем особенности людей, то да, в системе люди будут ошибаться.
Для построения нормальной СВК нужно учитывать поведение людей. Если люди допускают ошибки из-за особенности системы предприятия, то это не ограничение СВК — это неправильно работающая система СВК. В охране труда (не в России) в 1960-х годах перешли от «виноват человек» к «виновата система». Почему же во внутреннем контроле мы до сих пор говорим про человеческую ошибку?

Третья группа — намеренные ошибки людей.
В эту группу включаются сговор и пренебрежение сотрудниками и менеджментом контрольными процедурами.
Обход или пренебрежение контрольными процедурами — это сознательное действие менеджера и/или сотрудника, направленное на игнорирование или пренебрежение контролей. КОСО отличает обход от вмешательства – сознательного действия менеджера в обход контролей для урегулирования нестандартных и уникальных операций. Вмешательство необходимо, так как нельзя создать процесс, который сможет обработать все возможные ситуации.
Только отчёт Тернбулла описывает пренебрежение сотрудниками, КОСО же говорит только о менеджменте. Что логично — так как ущерб от действий менеджера будет в несколько, если не в десятки, раз больше, чем от действий сотрудника. Однако и сотрудников значительно больше, чем менеджеров, и ущерб они могут нанести значительный.
В любом случае при сговоре или пренебрежении система не будет работать как надо. Если люди захотят — они обойдут любую систему контроля.
Но если воспринимать эти ограничения как действительные, то мы приходим к парадоксу. Изначальная цель СВК — предотвратить мошенничество. Но КОСО говорит, что не может это сделать. Тогда вопрос: а зачем тогда концепция? И можно ли разработать такую концепцию, чтобы нивелировать этот тип ограничений?

Четвёртая группа — процессные ограничения.
Изначально КОСО относило сюда стоимость контроля: не каждую мелочь можно и нужно контролировать.
Кроме стоимости здесь можно упомянуть время, расстояние и другие параметры. Если у нас компания распределена по большой территории, то контролировать её будет сложнее, чем централизованную компанию. Электроэнергию нельзя передать без потерь, в зависимости от класса напряжения потери могут доходить до 10 %. Продукты питания, особенно овощи-фрукты, портятся, меняется их вес и т. д. При выдержке рома доля ангела (испарение спирта при выдержке) может доходить до 7 %.
Логично, что это общие условия, на которые СВК влиять не в состоянии. Поэтому, возможно, КОСО и исключило стоимость из ограничений.

Если посмотреть на ограничения, то в ряде случаев они и не ограничения. Физические параметры мира — мы не сможем сделать лучше, как бы мы не хотели. Люди могут ошибаться — и нам нужно строить систему с учётом того, что в ней будут работать люди. Внешние условия — надо понимать, при каких условиях, что мы делаем. Намеренные ошибки людей, которые нельзя устранить — желательно построить систему, которая умеет работать с этими ошибками.

С учётом сказанного, я бы вообще не использовал термин «ограничение». Я бы использовал термин «особенности работы» СВК.