Не следует множить сущее без необходимости
Принцип Оккама

Человечество любит придумать абстрактные сущности, чтобы потом их детально изучать. Медицина долгое время считала, что человек состоит из четырёх жидкостей: кровь, желчь, слизь и чёрная желчь -- и детально описывала каждую, хотя в реальности существовало максимум две.

Реальность в таких случаях только мешает стройным абстрактным теориям.

И вот тут возникает вопрос на миллион: есть ли действительно отдельная сущность «внутренний контроль», или это придуманная абстракция?
А если есть, то как мы можем доказать, что концепция внутреннего контроля работает?

В самой концепции и её применении можно выделить несколько парадоксов:

1. применяли ли саму концепцию или нет?
2. влияние менеджмента на внутренний контроль;
3. мошенничество и внутренний контроль;
4. замкнутый цикл и человеческий фактор;
5. другие.

Один из интересных вопросов: а помогает ли концепция компаниям? Несмотря на развитие концепции, в компаниях по-прежнему происходят мошенничества и нарушения внутреннего контроля. Но если применение концепции не помогает предотвратить мошенничества, то зачем тогда нужна концепция?

Прежде чем отвечать на вопрос, работает ли концепция, нужно вначале разобраться с другим вопросом: а применяли ли концепцию? Может быть, все мошенничества, все нарушения в компаниях происходят лишь потому, что они не применяли концепцию? Если концепцию не применять, то неважно, насколько она хорошо написана — работать она не будет. Можно купить лекарство — но если его не пить, толку от этого не будет.

В 2001 обанкротилась компания Энрон. Перед банкротством в ней работало около 22 000 сотрудников в 40 странах мира, она являлась одной из ведущих в мире компаний в энергетике. Выручка за 2000 год составила более 100 млрд долларов. Это было самое крупное банкротство по состоянию на 2001. В 2002 году Worldcom занял первое место, Лемон Бразер опередил их в 2008 году.
Одной из причин краха называют отсутствие эффективной системы внутреннего и внешнего контроля. Хотя прошло уже 9 лет после публикации концепции COSO92 — можно было бы и внедрить.

Как ответ на это, в 2002 году был подписан закон Сорбейнса — Оксли или СОКС. Секция 404 закона обязывает менеджмент ежегодно оценивать систему внутреннего контроля за финансовой отчётностью:

Действие закона Сорбейнса — Оксли распространяется на компании, котирующиеся на биржах США. Биржи в других странах также внедряют кодексы корпоративного управления или требования к системе внутреннего контроля. То есть, публичные компании обязаны с 2002 года внедрить систему внутреннего контроля, по крайней мере за отчетностью.

Таким образом, значительная часть компаний обязана была применять концепцию внутреннего контроля. Однако, несмотря на это, по-прежнему случались нарушения корпоративных практик.

Можно привести лошадь на водопой, но нельзя заставить её напиться.

После 2002 года большинство компаний обязаны применять концепцию внутреннего контроля. Но как мы все знаем, можно внедрять концепцию по сути, действительно налаживая внутренний контроль и можно внедрять формально — лишь показывая, что мы внедряем концепцию.
Поэтому, к сожалению, нет явных и надежных данных о том, насколько концепция помогает предотвратить мошенничества.

Но частные компании не обязаны внедрять концепцию внутреннего контроля, они сами решают применять, и если да, то в какой степени, концепцию КОСО. Было бы интересно сравнить количество нарушений в частных и публичных компаниях, но, я не уверен, что эти данные доступны для анализа.

Как оценить влияние занятий спортом на здоровье? Можно взять группу людей, которые занимаются спортом, и сравнить с группой людей, которые не занимаются спортом, и сравнить показатели здоровья. Результаты будут различаться. Однако, насколько разница в здоровье объясняется именно занятиями спортом?

Почему одни люди занимаются спортом, а другие нет? Например, у них больший доход и они могут позволить себе заниматься спортом. Значит, они могут позволить себе здоровое питание, жить в более экологичном районе и так далее. Или спортом занимаются люди, которые заботятся о себе. Тогда они не будут делать то, что может им повредить: употреблять алкоголь чрезмерно, переедать, курить и т. д. Так что, хотя занятия спортом и влияют на здоровье, невозможно разницу в здоровье объяснить только занятиями спортом.

В статистике такую зависимость называют третьим фактором. Когда зависимость между двумя переменными на самом деле объясняется третьим фактором.

Как использование концепции влияет на достижение целей и состояние внутреннего контроля в компании? Как определить, что именно концепция улучшает состояние внутреннего контроля. Или на состояние внутреннего контроля влияет не сама концепция, а третий фактор?

В своё время я работал в розничной сети магазинов. Магазины были разные: от плохих до хороших. Всех волновало, как повысить качество магазина, сделать из плохих магазинов хорошие.

Но почему магазин становился плохим или хорошим? В компании все процедуры управления, обеспечения, логистики, работы с персоналом, с кассами — всё было более или менее одинаково. ИТ-системы были одинаковы. Но магазины всё равно отличались.

По мнению менеджмента, одним из ключевых факторов был директор магазина: если в магазине хороший директор, то и магазин будет хорошим. Если плохой — то и магазин не очень. То есть, личность директора магазина для состояния магазина значила больше, чем политики и процедуры компании.

Безусловно, в реальности зависимости гораздо сложнее и должны учитывать множество факторов. Но что можно сказать однозначно: личность руководителя компании или подразделения оказывает значительное влияние на состояние внутреннего контроля и порядок в компании. Это подтверждает КОСО, этому есть подтверждения из практики.

Важный вопрос — насколько значимо влияние руководителя на компанию? Если руководитель заботится о системе внутреннего контроля – то тогда концепция неважна: в компании всё равно будет порядок. Если же руководитель не заботится о порядке внутри, то концепции внутреннего контроля бесполезны. Концепцию либо не будут внедрять, либо будут внедрять формально, лишь для того, чтобы показать, что есть концепция.

Тогда возникает вопрос: а насколько вообще нужна концепция внутреннего контроля для достижения результата? Может быть, нужно искать или воспитывать нужных людей?

Крупный фабрикант приходит к раввину:

• Ребе, у меня проблемы. фабрика приносит одни убытки, дисциплины никакой, производительность на нуле, долги растут, налоги заели. Что делать?
• Возьми Талмуд, положи его подмышку и обходи всю фабрику два раза в день.

Через месяц приходит радостный фабрикант к раввину и говорит:

• Замечательно, воровство на работе прекратилось! бездельники уволены, производительность выросла, с долгами покончено! В чем секрет?
• Руководитель должен постоянно находиться у себя на производстве и вникать во все, что происходит.
• Это я понял. А Талмуд зачем?
• Таки для солидности.

COSO выделяет такой параметр построения системы внутреннего контроля как tone at the top или тон сверху.

Формального определения этого термина нет. Тон сверху описывает этический климат в организации, который устанавливается советом директоров, генеральным директором и высшим менеджментом. Хороший тон сверху помогает предотвратить мошенничества и неэтичные практики.

Тон сверху, в том числе определяет, как менеджмент относится к внутреннему контролю. Если Совет директоров или ГД не интересуются вопросами внутреннего контроля, то чтобы не делали люди внизу — о рабочей системе внутреннего контроля говорить не приходится. COSO неоднократно упоминает, что «tone at the top» — ключевой фактор в построении системы внутреннего контроля.

К сожалению, тону сверху уделено не очень много внимания в концепции. Само словосочетание «tone at the top» встречается лишь 13 раз в концепции. И из 350 страниц концепции COSO 2013, тону сверху посвящено всего 3 страницы, то есть меньше 1%. Не слишком ли мало для одного из самых важных элементов системы внутреннего контроля?

Проблема в том, что tone at the top невозможно внедрить с помощью контрольных процедур. Это ценностные установки совета и высшего менеджмента. Косвенно это подтверждает одно из ограничений COSO: пренебрежение контролем со стороны менеджмента, management override.

Пренебрежение контролем со стороны менеджмента — действие, предпринятое для обхода средств контроля организации в незаконных целях, включая личную выгоду или представление финансового состояния компании в лучшем свете или предоставление отчётности, показывающей соответствие какому-либо требованию.

Например, для увеличения выручки, менеджер разрешает отгрузку крупной партии товара клиенту, с плохой кредитной историей. Отгрузка была заблокирована супервайзером в соответствии с политиками компании. Пренебрежение контролем обычно не документируются и не разглашаются, поскольку цель состоит в том, чтобы скрыть эти действия.

Если поднять, что концепция говорит про влияние менеджмента, то мы приходим к следующему парадоксу:
SOX: менеджмент отвечает за систему внутреннего контроля.
COSO: tone-at-the-top – критически важный инструмент для создания системы внутреннего контроля.
COSO: management override – пренебрежение менеджментом контрольными процедурами – одно из самых серьёзных ограничений внутреннего контроля.

Если переформулировать, то мы получаем два утверждения про менеджмент и систему внутреннего контроля:

1. Внимание руководства критически важно для построения надёжной СВК.
2. Какая бы СВК ни была надёжной, если захочет, руководитель может обойти эту самую СВК.

Возникает вопрос — может, сама по себе, концепция ВК и СВК не играют никакой роли? А эффективность СВК зависит не от применяемой концепции, а от того, насколько нам удалось найти адекватного руководителя?

Итак, навыки и ценностные установки менеджера играют ключевую роль в налаживании надежного внутреннего контроля.

Логично предположить, что тогда нам нужны какие-то критерии для выбора руководителя. К сожалению, эти критерии в концепции не установлены.

Исходя из определения, основная цель внутреннего контроля — это достижение целей предприятия. Однако исторически внутренний контроль развивался как система предотвращения мошенничеств и противоправных действий. И предотвращение мошенничеств по-прежнему осталось одной из функций внутреннего контроля.

Если брать строгие определения, то мошенничество — лишь одно из противоправных действий, которые могут совершать сотрудники компании. Это может быть воровство, нарушение этики, взяточничество и так далее. Для простоты все эти нарушения далее по тексту мы будем называть мошенничество. Это не совсем правильно, но кратко и понятно.

Чтобы эффективнее предотвращать мошенничества, нужно понять, почему люди совершают подобные действия. Про мошенничество выпущено много книг. Здесь мы затронем основные моменты, чтобы разобраться с принципами построения системы.

Одно из классических исследований причин мошенничество было сделано Дональдом Кресси. Ему удалось сформулировать классическую модель совершения мошенничеств в корпоративном мире. Эта модель стала называться треугольник мошенничества.

Чтобы совершилось мошенничество, необходимо 3 фактора:
1. возможность;
2. давление или мотивация;
3. рационализация, возможность оправдать себя.

Треугольник мошенничества похож по принципу действия на пожарный треугольник. Пожарный треугольник состоит из трёх вершин: кислород, тепло и топливо. Чтобы возник пожар, нужна комбинация всех трёх элементов в нужной пропорции. Если мало тепла, но много кислорода и горючий материал, то пожар всё равно возникнет. Если будет негорючий материал, но будет много кислорода и много тепла — опять-таки пожар возникнет. Пожар возникает, когда комбинация всех трёх элементов превышает определённый предел.

Треугольник мошенничества работает также: мошенничество произойдёт, если суммарное значение всех элементов превысит определённый предел. Если будет много возможностей для мошенничества, то даже при низкой мотивации и низкой возможности самооправдания — мошенничество всё равно произойдёт. Если будет мало возможностей, но высокая мотивация и/или мошенничество считается нормальным — опять-таки правонарушения будут.
Можно вспомнить шутливые лозунги времен СССР: «тащи с работы каждый гвоздь, ты здесь хозяин, а не гость!», «уходя с аэродрома, не забудьте всё для дома!» и т. п. Если в компании действуют подобные лозунги, то как ни налаживай СВК — сотрудники будут мошенничать, так или иначе.
Чтобы снизить вероятность мошенничества — нам нужно работать со всеми вершинами треугольника. Работать только с одной — не имеет смысла.

В последнее время появились усложнения к треугольнику: ромб мошенничества, пятиугольник мошенничества. С теоретической точки зрения, может быть, эти модели оправданы. Но с практической точки зрения я бы упростил треугольник до двух направлений:

1. возможности совершить правонарушение: организация процессов, контроли и т. д.
2. социокультурные факторы: работа с людьми, с их ценностями и т. д.

Чтобы снизить вероятность мошенничества, нам нужно работать по двум направлениям:

1. выстраивать и налаживать процессы и систему контроля;
2. заниматься работой с людьми, воспитывать и обучать сотрудников.

Проблема в том, что в подавляющем большинстве концепция COSO и практики её применения работают с процессами. Большинство консультантов будут говорить про оценку рисков и отладку процессов.
Концепция упоминает, что этика и культура компании важны, но никто не предлагает механизмы и схемы работы для повышения этичности или культуры компании.

Работать с процессами нужно, но если мы будем только работать с процессами — это будет бессмысленно. Нужно работать и с процессами, и с персоналом.

Чем больше мы можем доверять сотрудникам, тем меньше нам нужно контролей. А если предположить, что мы можем доверять сотрудникам полностью, то контроли становятся вообще не нужны. Например, ситуация из французской компании FAVI из книги Ф. Лалу «Открывая организации будущего».

Если у нас всем сотрудникам можно доверять — то можно вообще обойтись без контролей. Представляете — компания без согласований, контролей и т. д.? Какая будет эффективность? Скорее всего, это покажется нереальным. Я сам, вначале, когда написал «без контролей» — осёкся и подумал, что перебор. Что хоть какой-то минимум должен быть. А с другой стороны — почему нет?

Культура — это то, что делают сотрудники, когда начальник выходит из комнаты.

Почему же в КОСО нет или очень мало информации про работу с этикой и культурой? Ответ, как, мне кажется, прост:
1. Работать с культурой — сложно.
2. Работу с культурой сложно оцифровать и измерить.

Невозможно измерить этичность поведения, и невозможно сказать, при каком уровне этичности риски мошенничества будут снижены до приемлемой величины. Поэтому все методики работают с процессами.

Получается интересный парадокс. Культура оказывает значительное влияние на поведение сотрудников, гораздо в большей степени снижая вероятность мошенничества, чем отдельный контроль или контроли. Однако из-за сложности работы с культурой — мы работаем только с процессами.

Складывается впечатление, что мы ищем под фонарём, потому что там светлее, а не потому что там потеряли.

По определению, внутренний контроль может предоставить только разумную, не абсолютную, гарантию достижения цели. Ключевой фактор — это человеческие ошибки. Это одно из самых популярных объяснений, почему что-то не сработало. На любой сбой системы можно сказать — причина человеческий фактор.

Если вспомнить ограничения внутреннего контроля из COSO 2013 года:

1. ошибки
2. ошибочные суждения
3. сговор
4. обход контроля
5. случайное воздействие внешних факторов

Четыре из пяти ограничений отсылают нас к ошибкам людей. Людям действительно свойственно ошибаться. Но, если мы посадим за руль машины неопытного водителя, и машина попадёт в аварию — кто виноват: водитель, который, безусловно, ошибся, или тот, кто посадил его за руль?

Подход КОСО к человеческому фактору сильно ограничивает и саму концепцию, и подход к тому, что сделать действительно безошибочную СВК.

пункт 1. начальник всегда прав.
пункт 2. если начальник не прав, смотри пункт 1.

Замкнутый цикл – это цикл, из которого нет выхода. Как в случае с правотой начальства. Проблема замкнутого цикла в том, что он не позволяет системе развиваться. М. Саед писал в книге «Принцип «Чёрного ящика»:

Там же приводится и пример замкнутого цикла из медицины. Как врачи трактовали кровопускание? Если пациенту стало лучше – то метод помог. Если пациенту стало хуже – плохо, но он был настолько плох, что все методы медицины не могли ему помочь. Печально было то, что кровопускание применяли во всех случаях, даже в случаях, когда ослабление пациента приводило его к смерти.

Прогресс в медицине начал двигаться, когда врачи начали измерять действия по реальным результатам, а не по мнению людей.

Замкнутый цикл – это подгонка реальности под факты. Думать по замкнутому циклу свойственно человечеству во все времена. Так проще думать, не надо напрягаться. Замкнутые циклы есть всегда и везде. Основная проблема в том, как их обнаруживать.

Раньше было убеждение, что причина всех аварий — это люди, человеческий фактор. Пока было такое мнение – системы не развивались. Как только пришло понимание, что в ошибках людей может быть виновата система – сразу же пошёл прогресс. Например, в Англии, во время второй мировой, пилоты при посадке очень часто убирали шасси. В результате самолёт повреждался. Никакие штрафы и внушения не помогали. Пока не выяснили, что переключатели «выпустить закрылки» и «убрать шасси» находились рядом и выглядели одинаково. Как только изменили форму переключателей – такие аварии сразу прекратились.

Есть ли подобные циклы в теории внутреннего контроля сейчас? Конечно, есть. Самый критический цикл – это то, что большинство ошибок объясняется человеческим фактором. При любой ошибке всегда можно найти человека, действия которого привели к аварии или нарушению процедур компании.

Так что взаимодействие системы внутреннего контроля и человеческого фактора строится на замкнутом цикле:

1. Если произошла ошибка, то это человеческий фактор.
2. Человеческий фактор устранить невозможно.
3. Мы упоминаем, что ЧФ устранить невозможно.
4. Значит, концепция КОСО правильная!

Давайте посмотрим на ситуацию с другой стороны.

Вот, например, фотография парка. Через парк идёт красивая дорожка, выложенная плиткой. Однако люди не ходят по этой красивой дорожке, они протоптали другую дорожку. Кто ответственен за это?

• люди: они не соблюдают установленные правила, не ходят по дороге, это человеческий фактор;
• дизайнеры: они установили правила так, что их сложно соблюдать, это системный фактор.

В случае с парком и дорожкой совершенно точно, что дизайнер проложил дорожку, совершенно не понимая и не интересуясь тем, как люди будут пользоваться или хотят пользоваться парком. Людей интересует наиболее короткий путь между двумя точками. Если мы строим систему без учёта того, что такое человек — то мы строим систему, в которой уже заложены ошибки.

Есть множество дисциплин, которые изучают поведение человека и проектируют своё взаимодействие с ним так, чтобы добиться полного контакта с ним. UI/UX, охрана труда, авиастроение и другие — все они понимают, что человек — это обязательный элемент системы, и его поведение, его возможности надо изучать. И с помощью этого можно создать безошибочную систему.

Охрана труда, например, заявляет, что, несмотря на существующее мнение, будто человек — сам по себе проблема, при правильно выстроенной системе мотивации и контроля цель нулевого травматизма будет достигнута. То есть, несмотря на все способности человека ошибаться, можно добиться того, что ошибки не будут приводить к травмам.

Концепция внутреннего контроля не может строиться на предположении, что люди должны вести себя безошибочно. Экономисты давно уже доказали, что люди ведут себя не рационально. Но вместе с тем, поведение людей подчиняется определённым правилам, которые можно и нужно использовать при построении надёжной системы внутреннего контроля.

Пока я видел ни в концепции, ни в подходах к внутреннему контролю, подхода, как нам построить систему, в которой ошибки людей не будут приводить к серьёзным последствиям. Точно так же не было каких-либо отсылок на исследования и подходы к построению системы внутреннего контроля, которая бы учитывала особенности поведения людей.

Любая система, с которой работают люди, должна учитывать особенности поведения людей. Нам нужно пересмотреть подход к тому, что мы называем человеческий фактор. В большинстве случаев, это не ошибка людей, это системные ошибки.
Мы детально посмотрим на работу с человеческим фактором в отдельной главе и изучим опыт смежных дисциплин, которые помогут нам построить рабочую систему.

Если против какой-нибудь болезни предлагается очень много средств, то это значит, что болезнь неизлечима.
А. П. Чехов

Антона Павловича можно дополнить: если одно лекарство действует против многих болезней, то это значит, что лекарство бесполезно.

Подход к оценке контроля, изложенный в КОСО, не уникален. Этот подход изначально использовался других областях. А если область действия принадлежит сразу нескольким концепциям — то возникает вопрос — а в чём же уникальность концепции?

В пищевом производстве я столкнулся со следующим алгоритмом контроля рисков:

1. Анализ рисков;
2. Определение критических контрольных точек (ККТ);
3. Задание критических пределов для каждой ККТ;
4. Разработка системы мониторинга;
5. Определение корректирующих действий;
6. Разработка процедуры верификации;
7. Разработка документации в отношении всех процедур и записей.

Этот алгоритм описан в концепции HACCP: англ. Hazard Analysis and Critical Control Points — анализ рисков и критические контрольные точки. HACCP предусматривает систематическую идентификацию, оценку и управление опасными факторами, существенно влияющими на безопасность продукции.

Разработка концепции началась в 1960-х годов в NASA. Основной задачей являлось создание безопасной пищи для астронавтов. Национальный консультативный комитет по микробиологическим критериям оценки продуктов питания (NACMCF), учреждённый по рекомендации комитета Национальной Академии наук США (NAS), утвердил систему ХАССП как воплощение эффективного и рационального подхода к обеспечению безопасности пищевых продуктов. С 2001 года ХАССП обязателен для применения на территории России.

Алгоритм работы ХАССП во многом похож на алгоритм работы КОСО. Используется другая терминология: вместо контрольных процедур — контрольные точки; сам алгоритм более детальный. Ключевое отличие: ХАССП не работает с контрольной средой.

Концепция ХАССП вполне может заменить концепцию КОСО при контроле за безопасностью пищевой продукции. А может быть, и полностью КОСО, ну, разве что, кроме работы с контрольной средой. Хотя на практике, с контрольной средой и КОСО не очень-то работает.

Если концепции сходны, то в чём тогда различие внутреннего контроля над финансовой отчётностью и безопасностью пищевой продукции. И есть ли тогда какой-то общий подход, который может объединить оба подхода?

Если проследить историю схемы риск-оценка-контроль, то мы придём к методологии FMEA. FMEA (аббревиатура от Failure Mode and Effects Analysis, анализ видов и последствий отказов) — это методология описания ошибок и определения их влияния на систему, с учётом их влияния, вероятности возникновения и вероятности того, что отказ произойдёт незамеченным.

FMEA была разработан в НАСА в 1960-х годах. Позже он был включён в другие документы, в частности, в MIL-STD-1629 «Procedures for Performing a Failure Mode, Effects and Criticality Analysis».
В 1970-х годах методология FMEA была применена в автомобильной промышленности компанией Ford для повышения надёжности и безопасности автомобилей. Компания также использовала FMEA для улучшения дизайна и производственного процесса. С 1988 года метод начал использоваться Большой Тройкой: GM, Ford, Chrysler, в 1993 году FMEA стал одним из требований стандартов AIAG и American Society for Quality Control.

Ряд стандартов называют подход FMECA: Failure mode, effect, and criticality analysis — анализ отказов, последствий и критичности отказов. Со временем «C» было исключено из общего использования, однако анализ критичности по-прежнему является значительной частью FMEA.

Существует два основных подхода к выполнению FMEA:
1. Аппаратный подход, который перечисляет отдельные элементы оборудования и анализирует их возможные режимы отказа.
2. Функциональный подход, который признаёт, что каждый элемент предназначен для выполнения функций, которые можно классифицировать как результаты. Перечисляются результаты работы, и анализируются режимы отказов.

Результаты анализа по FMEA заносятся в таблицу:


В таблице используются следующие обозначения:

• значимость потенциального отказа S;
• вероятность возникновения дефекта О;
• вероятность обнаружения отказа D.

ПЧР или приоритетное число риска, это количественная оценка отказа с точки зрения его значимости по последствиям, вероятности возникновения и вероятности обнаружения, считает как произведение трёх вышеупомянутых параметров:
ПЧР = S × О × D.

Существенное отличие FMEA от матрицы рисков и контролей — это вероятность не обнаружения отказа. Во всём остальном таблицы совпадают.

Как видно, схема риск-контроль используется, с разными вариациями, во многих других областях: при безопасности пищевой продукции и анализе работы машин. Цель примерно тоже одинакова: избежать негативных последствий.
В ХАССП — чтобы продукты не испортились. ФМЕА — чтобы машины и механизмы работали как задумано. Во внутреннем контроле — чтобы мошенничеств не было.

Вполне возможно, схема риск-контроль является эффективным методом работы с нарушениями. Если NASA с помощью этих схем запустила космические корабли, то, очевидно, схема работает.

Вопрос в том, насколько одинаковыми являются сферы «пищевая промышленность», «работа машин и механизмов» и «внутренний контроль»?

На мой взгляд, эти области кардинально отличаются двумя аспектами:
1. широта и точность постановки цели.
2. вариативность отклонений.

Цели.
В пищевой промышленности и работе машин цели достаточно конкретные цели: чтобы продукты не испортились, чтобы машины работали как задумано. Нет цели вкусно питаться или чтобы выручка от машин превысила 1 млн долларов. То есть цели более приземлённые и достижимые.
Может быть, если для внутреннего контроля сузить цель до формирования надёжной финансовой отчётности, то по целям эти системы будут похожи.

Вариативность.
Какая сложная не была бы машина, в ней всегда конечное число элементов. Желаемое поведение элементов задаётся их свойствами и тоже имеет конечный набор вариантов. Да, если у нас в машине 100 000 деталей, каждая из которых может отказать 3 разными способами, то у нас 300 тысяч вариантов отклонений — это много, но это конечное число.
В системе, где работает человек, вариативность поведения гораздо выше. Человек может ошибаться гораздо изощреннее, чем деталь в машине. У нас может быть всего 1000 сотрудников, но каждый может сделать что-то не то 100 разными способами. Безусловно, 97 из этих способов маловероятны — скорее всего, люди будут нарушать стандартными способами, но эти возможности есть.
Это и есть кардинальное отличие социоэкономических систем от машин. Вполне возможно, что ограничения системы внутреннего контроля как раз связаны с вариативностью систем. Мы можем описать работу системы внутреннего контроля для 3 наиболее вероятных нарушений, но не для всех 100. Тогда и появилось ограничение в виде человеческого фактора.

С пищевой промышленностью такая же история. В биологии работают законы, которые ограничивают вариативность. Ключевые параметры: температура, влажность, доступ кислорода и ряд других. При низкой температуре активность бактерий замирает и т. д.
Вариативность есть, но она больше похожа на работу механизмов, чем на работу социоэкономических систем, таких как компания.

Метод «риск-контроль» прекрасно работает для ряда систем, что показали стандарты ХАССП и FMEA. Но пищевая промышленность и машиностроение отличается от социоэкономических систем по ряду параметров.
И вопрос, на который пока нет надёжного ответа: действительно ли метод «риск-контроль» будет также прекрасно работать для другого класса систем? Нужна ли адаптация метода? или нужна разработка другого метода для другого класса систем?

Другой вопрос: а есть ли общая теория контроля систем?
В физике есть законы тяготения, которые описывают поведения планет, есть квантовые законы, которые работают на уровне атомов. Есть стремление разработать общую теорию, которая бы описывала взаимодействие и на уровне планет, и на уровне атомов.

У нас есть работающая система контроля для машин, для пищевой промышленности, есть попытки создать теорию контроля для социоэкономических систем. Можно ли объединить и создать общий подход?

Цель внутреннего контроля — достижение целей предприятия. При этом КОСО подчёркивает:
«Хотя определение стратегий и целей не является частью внутреннего контроля, цели являются базой, на основе которой внедряются и выполняются оценка рисков и устанавливаются последующие контрольные процедуры».

И тут кроется небольшой парадокс. Логично, что внутренний контроль оставил выполнение целей в стороне. Если бы определение целей входило бы во внутренний контроль, то тогда внутренний контроль не отличался от менеджмента. Но как мы можем гарантировать, пусть даже и с разумной вероятностью, что мы достигнем целей, которые поставлены в другом процессе? А что, если цели недостижимые?

Допустим, авиакомпания хочет добиться, чтобы 100% рейсов прилетали вовремя. Розничная сеть хочет снизить воровство в магазинах до 0%. Электротранспортная компания хочет снизить потери при передаче электроэнергии до 0%. Это хорошие цели, только все они недостижимые. Ни одна СВК не сможет добиться этих целей.

Про постановку целей написано множество книг, есть множество подходов, как ставить цели. В CMART'е говорится, что что цель должна быть достижимой. Но как мы можем понять, что она достижимая? И если ставить легко достижимые цели, то компания не будет развиваться. Джек Уэлч говорил, что всегда можно найти сегмент рынка, на котором компания будет лидером. То есть, надо расширять понятие рынка и в том числе ставить трудодостижимые или недостижимые цели.

Психологи говорят, что наибольший эффект можно достичь, когда цель чуть-чуть недостижима. Есть подходы утверждающие, что правильная цель должна быть больше жизни или определяют цель как эволюционную. В таком случае цель изначально является недостижимой, и мы должны идти к ней постоянно.

Парадокс целей связан с тем, что внутренний контроль должен гарантировать разумную уверенность достижения целей. Однако цели ставятся в другом процессе, и понять, можно ли вообще достичь этих целей в рамках внутреннего контроля — нельзя.

Более того, одна из распространённых причин для мошенничества — это установка слишком амбициозных целей.

Опять-таки, если вернутся к циклу PDCA, то корректировка цели является одним из важных моментов цикла управления. И чтобы гарантировать достижение целей, нам нужно иметь возможность корректировать цель или пути её достижения.

На логическом уровне у концепции внутреннего контроля есть несколько недостатков. Это возвращает нас к ключевому вопросу: а есть ли такое понятие как внутренний контроль. Можно ли подтвердить, что внутренний контроль существует объективными методами или это придуманная абстракция?

В самой концепции и подходе к внутреннему контролю есть несколько парадоксов, которые не позволяют понять, насколько же действенна концепция.