Функционирование системы внутреннего контроля и аудита в условиях информационной экономики Текст научной статьи по специальности «Экономика и бизнес»

Вестник СПбГУ. Сер. 8. 2005. Вып. 2 (№ 16)

О. М. Удовиченко

ФУНКЦИОНИРОВАНИЕ СИСТЕМЫ ВНУТРЕННЕГО КОНТРОЛЯ И АУДИТА В УСЛОВИЯХ ИНФОРМАЦИОННОЙ ЭКОНОМИКИ

Выбор методов и технологий внутреннего контроля и аудита определяется целями и видами деятельности предприятия, набором специфических для данной организации рисков, состоянием окружающей среды. Информатизация, появление Интернета коренным образом изменяют бизнес-среду, выявляя необходимость структурной перестройки традиционной системы корпоративного управления и внутреннего контроля и аудита. Цель данной статьи — выявить факторы модификации и показать современные тенденции развития системы внутреннего контроля и аудита на предприятии.

Возрастание роли информации и внедрение информационных технологий в финансово-хозяйственную деятельность предприятий переводит постиндустриальное общество в новое качественное состояние — информационное общество, где продолжается усложнение экономических отношений, расширяется перечень новых продуктов и услуг, происходят изменение организационных структур управления на предприятиях, усиление децентрализации и масштабов их деятельности. При этом чем сложнее структура внутренней среды экономического субъекта и изменчивее взаимоотношения с внешней средой, тем выше риски принятия эффективных управленческих решений. Появление Интернета и развитие новых форм бизнеса, одной из которых является электронная коммерция, модифицируют компоненты производственного процесса, полностью изменяют концепцию торговли (акт купли-продажи совершается во время компьютерного сеанса), поэтому необходимо принимать во внимание специфические риски, связанные с ведением бизнеса в электронной среде.

Все это предопределяет необходимость структурной перестройки традиционной системы корпоративного управления и внутреннего контроля и аудита, направленной на своевременное выявление и оценку потенциальных рисков, предупреждение или минимизацию последствий случайных и

© О. М. Удовиченко, 2005

труднопредсказуемых событий, которые могут привести к нарушению нормального функционирования или даже ликвидации предприятий и организаций. Цель данной статьи состоит в анализе механизма и базовых принципов функционирования систем внутреннего контроля и аудита на предприятии и выявлении факторов модификации и современных тенденций их развития.

ВНУТРЕННИЙ КОНТРОЛЬ И ВНУТРЕННИЙ АУДИТ: СООТНОШЕНИЕ

ПОНЯТИЙ

В современной экономике предприятия наблюдаются увеличение масштабов и усложнение структуры предприятия. Растет угроза утраты управляемости, когда система управления развивается медленнее, чем сама организация как объект управления. Высшие менеджеры организации, определяя стратегию ее развития, не имеют возможности заниматься еще и контролем текущей деятельности и передают полномочия по принятию решений на нижестоящие иерархические уровни управления. В такой ситуации только эффективная система внутреннего контроля и аудита, дополняющая внешний аудит, может обеспечить компании высокую степень управляемости, основанную на профессиональном осознании роли этих инструментов в условиях мгновенной передачи информации, необходимой для полноценного функционирования и развития организации.

В силу действия этих обстоятельств в развитых государствах руководители предприятий уделяют внутреннему аудиту и контролю особое внимание. Выбор методов и технологий внутреннего контроля и аудита определяется целями и видами деятельности организации, набором специфических для нее рисков, а также окружающей средой. При этом основную ответственность за эффективное функционирование системы внутреннего контроля и аудита несет руководство предприятия, в то время как владельцы заинтересованы в доходности и низком риске своих вложений.

Понятийный аппарат внутреннего аудита и внутреннего контроля на предприятии вышел из практической в исследовательскую, теоретическую сферу. В частности, компания Ernst&Young активно проводит политику перестройки функциональной структуры и разделения властных полномочий между отделами внутреннего контроля и аудита в соответствии с новыми условиями деятельности в информационной экономике и требованиями риск-менеджмента. Иллюстрацией необходимости изменения роли внутреннего контроля и аудита явилось исследование, посвященное анализу рынка внутреннего аудита в России [Ernst&Young..., 2002].

Для четкого понимания соотношения понятий «внутренний контроль» и «внутренний аудит» определим их сущность в процессе управления экономическим субъектом.

Рассмотрим основные характерные черты системы внутреннего контроля (СВК). В российской и международной практике выделяют три основных элемента СВК [Ситнов, 2002]:

1) надлежащим образом организованную систему финансового учета;

2) контрольную среду;

3) отдельные средства контроля.

Исходя из этого, под надлежащим образом организованной системой финансового учета экономического субъекта следует понимать систему учета, формирующую полную, своевременную и достоверную информацию о финансово-хозяйственной деятельности, обеспечивающую контроль за наличием и движением имущества, а также предотвращающую возможность злоупотреблений.

Контрольная среда — совокупность факторов, характеризующих общее состояние системы управления экономическими субъектами и влияющих на отношение руководства к необходимости организации и осуществления внутреннего контроля за функционированием данного субъекта и, как следствие, принимаемые в этой связи действия. Элементы контрольной среды представлены на рисунке.

->■ Стиль и основные принципы руководства компанией

<Г! ->■ Организационная структура компании

М рц и

- Система документооборота компании

^ - Кадровая политика компании

1-4 § Рч

->■ Распределение ответственности и полномочий

Н м §

- Порядок осуществления внутреннего (управленческого) учета и внутренней отчетности

- Порядок ведения бухгалтерского учета и подготовки внешней (бухгалтерской) отчетности

Рисунок. Элементы контрольной среды

Под отдельными средствами контроля подразумеваются принятая руководством экономического субъекта политика, процедуры и иные действия, призванные обеспечить возможность выявления или предотвращения и исправления искажений информации в системе бухгалтерского учета, а также во всем процессе управления экономическим субъектом с целью достижения его стратегических целевых установок.

Таким образом, современная система внутреннего контроля экономического субъекта представляет собой определенную политику и процедуры (средства контроля), принятые системой управления данным субъектом для достижения целей процесса управления, предусматривающих степень выполнимости упорядоченного и эффективного ведения финансово-хозяйственной деятельности, включая строгое следование политике управления, обеспечение сохранности имущества, обнаружение и предотвращение искажений, возникающих вследствие как непреднамеренных действий, так и злоупотреблений, относительную точность и полноту бухгалтерской (финансовой) информации [Международные стандарты..., 2000].

Под внутренним аудитом понимается регламентированная внутренними документами деятельность по контролю звеньев управления и различных аспектов функционирования экономического субъекта, осуществляемая представителями специального контрольного органа в рамках помощи органам управления субъекта (общему собранию участников хозяйственного товарищества, общества или членов производственного кооператива, наблюдательному совету, совету директоров, исполнительному органу). Цель внутреннего аудита — помощь органам управления предприятия в осуществлении эффективного контроля над различными звеньями (элементами) системы внутреннего контроля. Процесс внутреннего аудита является сложной и многоуровневой процедурой. Он выполняется службой внутреннего аудита (или, как ее иногда называют, службой внутренней ревизии, службой внутреннего контроля) предприятия. Являясь независимым подразделением в рамках экономического субъекта, она осуществляет систематическую работу по проверке и оценке его деятельности. Иногда собственники предприятия для проведения внутреннего аудита привлекают независимых внешних экспертов с целью обеспечения объективной информации и уменьшения внутренних злоупотреблений. Этапы процесса проведения внутреннего аудита включают предварительное планирование; идентификацию и оценку риска; разработку общего плана и программы аудита; проведение аудита; мониторинг результатов и совершенствование системы внутреннего аудита.

В экономической литературе нет точного определения соотношения понятий и процессов внутреннего контроля и внутреннего аудита. В частности, известный английский специалист Р. Додж, представивший в России одну из своих первых работ, связанных с международным аудитом, рассматривает внутренний аудит как процесс, подчиненный внутреннему контролю: «Внутренний аудит является составной частью внутреннего контроля; осуществляется по решению органов управления фирмы для целей контроля и анализа хозяйственной деятельности» [Додж, 1992, с. 87].

Еще десять лет назад внутренний аудит действительно соответствовал содержанию первичной ступени внутреннего контроля. В современных усло-

виях внутренний аудит применяется наряду с внутренним контролем и независимо от него. Внутренний аудит выводится из форм и методов внутреннего контроля, но, будучи самостоятельной организационной формой последнего, сосуществует параллельно с ним и выполняет самостоятельные функции. Более того, в условиях развития новых форм и методов управления внутренний аудит, организуемый в виде специального комитета аудита на каждом крупном предприятии не исполнительными органами управления в виде генерального или финансового директора, а советом директоров, наблюдательным советом или другими институтами собственников предприятия, становится независимым консультационным центром управления. Если в 2000 г. в Соединенных Штатах Америки 62% комитетов внутреннего аудита находилось в подчинении финансового или генерального директора, то в 2003 г. 53% таких организаций подчинялось совету директоров [Веников, 2002].

Именно в этом понимании меняются сущность и функции внутреннего аудита, заключающиеся в предоставлении гарантий (assurance иногда переводится как «уверенность») и консультаций (consulting) заказчикам (клиентам). При этом сфера предоставления гарантий и консультаций за последние годы существенно расширилась и кроме задач сугубо контрольно-оценочного характера включает такие основные области, как:

♦ внутренний контроль;

♦ экономическая диагностика;

♦ выработка финансовой стратегии;

♦ маркетинговые исследования;

♦ управление рисками в новой информационной среде;

♦ управленческое консультирование;

♦ корпоративное управление;

♦ выработка стратегии по освоению новых видов деятельности.

Следовательно, внутренний аудит выполняет функцию оценки надежности и эффективности системы внутреннего контроля (не только финансового, но и операционного, контроля за соблюдением политик и процедур) в процессе управления рисками, с которыми сталкивается компания (например, при выведении на рынок новых продуктов, внедрении новых информационных систем, реструктуризации бизнеса), в процессе корпоративного управления. Внутренний аудит — это постоянный, нацеленный на будущее процесс, задача которого состоит в том, чтобы содействовать руководству компании в достижении поставленных целей наиболее эффективным образом. Его стратегическая направленность должна быть прежде всего адекватна целевым установкам этой системы [Ситнов, 2002].

Международное аудиторское сообщество также рассматривает внутренний аудит в расширенном понимании. Согласно профессиональным

стандартам, выработанным международным Институтом внутренних аудиторов (IIA) [Международные профессиональные стандарты..., 2004], именно профессиональные внутренние аудиторы играют ключевую роль в оценке и гарантировании эффективности систем управления рисками, контроля и корпоративного управления. В функции внутреннего аудита входят оценка достоверности отчетности (как внешней, финансовой и регуляционной, так и внутренней, управленческой), проверка целесообразности и экономической эффективности операций, сохранности активов и, безусловно, соблюдения законодательства, требований нормативных документов регулирующих органов и контрактных обязательств предприятия.

ВНУТРЕННИЙ КОНТРОЛЬ И АУДИТ В УСЛОВИЯХ ФОРМИРОВАНИЯ новой

КОНЦЕПЦИИ РИСК-МЕНЕДЖМЕНТА НА ПРЕДПРИЯТИИ

В настоящее время модифицируется роль внутреннего контроля и внутреннего аудита с точки зрения как соотношения их функций, так и со-подчиненности в системе управления предприятием. В немалой степени эти изменения происходят под влиянием новых концепций риска и практики риск-менеджмента. Современный этап унификации требований к системе внутреннего контроля предприятий, основанной на концепции риска, начался в США в 1985 г., когда при участии и на средства пяти профессиональных организаций — AICPA (American Institute of Certified Public Accountants), Американской Ассоциации по учету и отчетности (American Accounting Association), FEI (Financial Executives Institute), Института внутренних аудиторов (Institute of Internai Auditors, IIA) и Института специалистов управленческого учета (Institute of Management Accountants) — была создана национальная комиссия по борьбе с недостоверной финансовой отчетностью, известная по имени своего первого председателя Джеймса С. Тредуэя (James C. Treadway) как Комиссия Тредуэя. Выпущенный ими в 1987 г. отчет, помимо других рекомендаций, содержал призыв к перечисленным организациям — спонсорам Комиссии Тредуэя — объединить усилия по достижению договоренности об общих для всех основных понятиях внутреннего контроля с точки зрения риск-менеджмента в новых условиях развития информационной экономики. Основываясь на этом предложении, рабочая группа под покровительством Комитета спонсорских организаций Комиссии Тредуэя (Committee of Sponsoring Organizations of the Treadway Commission, COSO) провела анализ существовавшей на тот момент литературы по внутреннему контролю. Результат этой работы был представлен общественности в 1992 г. под названием «Интегрированная концепция внутреннего контроля» (Internai Control — Integrated Framework). Кратко этот документ принято называть по наименованию комитета-организатора концепцией COSO или моделью COSO. Среди проче-

го, комиссия рекомендовала спонсирующим организациям разработать интегрированное руководство по внутреннему контролю, для чего и был создан комитет COSO. Модели риска и контроля, предложенные COSO, послужили основой для ряда других подобных моделей, разработанных организациями, аналогичными COSO, и различными консультационными фирмами [Гиниятов]. Модель COSO была особенно важна, поскольку акцент в ней ставился на ответственности руководства предприятия за состояние контроля. В ней также указывались основные понятия и определения внутреннего контроля и его ключевые компоненты, исходя из следующих ключевых предпосылок:

♦ Внутренний контроль — это процесс, т. е. средство достижения цели, а не самоцель.

♦ Внутренний контроль осуществляется людьми, поэтому для него важны не только (и не столько) правила, процедуры и другие руководящие документы, сколько люди на всех уровнях организации.

♦ От внутреннего контроля владельцы и руководство предприятия могут ожидать только обоснованного уровня обеспечения достижения поставленных целей, но никак не абсолютной гарантии безошибочной работы.

♦ Внутренний контроль обеспечивает достижение поставленной цели или нескольких целей в смежных областях деятельности.

Согласно модели COSO, внутренний контроль — это процесс, осуществляемый высшим органом предприятия, определяющим его политику (например, советом директоров, который представляет владельцев компании), его управленческим персоналом высшего уровня (менеджментом) и всеми другими сотрудниками. Данный процесс в достаточной и оправданной мере призван обеспечивать достижение предприятием таких целей, как:

1. Целесообразность и финансовая эффективность деятельности (включая сохранность активов).

2. Достоверность финансовой отчетности.

3. Соблюдение применяемого законодательства и требований регулирующих органов.

Система внутреннего контроля, по оценке COSO, должна складываться из пяти взаимосвязанных компонентов:

1) контрольной среды и нравственного климата;

2) оценки риска;

3) мероприятий контроля;

4) сбора и анализа информации и передачи ее по назначению;

5) мониторинга и исправления ошибок.

Enterprise Risk Management Framework является дальнейшим развитием модели COSO и в значительной мере — ответом профессионального сооб-

щества на осложнение обстановки в связи с появлением новых рисков — ростом угрозы терроризма и громкими банкротствами международных компаний последних лет, вызванными некорректностью их финансовой отчетности. В настоящее время Enterprise Risk Management Framework прошла этап публичного обсуждения и издана в окончательном виде в 2004 г. [Enterprise Risk Management..., 2004].

Поскольку многие из рисков имеют одинаковый характер или сходную природу, им стали присваивать названия, которые условно выражали их характер (например, «кредитный риск», «операционный риск», «рыночный риск» и т. д.). В соответствии с концепцией контроля, ориентированного на риск, с каждым видом деятельности изначально связаны специфические (свойственные, inherent) риски, избежать которых можно только несколькими альтернативными способами, такими как [Чернова, 2000]:

♦ уклонение от риска, отказ или избежание риска (risk avoidance);

♦ метод принятия риска на себя (risk assumption);

♦ метод уменьшения размера убытков (loss reduction);

♦ метод предотвращения убытков (loss prevention);

♦ самострахование (self-insurance);

♦ страхование (insurance);

♦ метод передачи рисков, иной, чем страхование (risk transfer).

Однако необходимо, во-первых, своевременно идентифицировать эти

риски, во-вторых, создать такие управленческие механизмы1 (процессы), которые при реализации риска смягчат последствия его воздействия до приемлемого уровня. Тогда внутренний контроль — это те части бизнес-процесса, которые обеспечивают подходящий для бизнеса уровень контролируемого (или остаточного, residual) риска [Тихомиров].

В целом структурные характеристики риска (опасность, подверженность риску, уязвимость, взаимодействие рисков)2 рассматриваются в контексте соотношения внутренней и внешней среды бизнеса:

♦ внутренняя среда, включающая носителей риска, — объекты, по отношению к которым проверяется риск. Внутренняя среда описывается источниками возникновения риска. Данный элемент важен с

1 Независимо от причин возникновения экономического риска естественным является желание каждого субъекта уменьшить возможные потери, связанные с реализацией данного риска. Это желание реализуется через соответствующие (управленческие) решения, в результате принятия которых и происходит управление риском, называемое также в контексте бизнеса риск-менеджментом. Таким образом, управление риском (риск-менеджмент) — процесс принятия и выполнения управленческих решений, которые минимизируют неблагоприятное влияние на организацию убытков, вызванных случайными событиями.

2 Подробнее об этом см.: [Кудрявцев, Чернова, 2003].

точки зрения функционирования систем внутреннего контроля и аудита, так как именно с их помощью оценивается возможное влияние носителей на работу организации;

♦ внешняя среда бизнеса, которая может провоцировать реализацию риска. Внешний аудит призван оценивать влияние внешней среды на функционирование организации с точки зрения регулирующих органов и регламентирующих документов, а внутренний аудит и контроль характеризуют взаимодействие внешней среды и организации.

Концепция управления риском значительно изменилась за последние десять лет. В современном понимании именно внутренние и внешние риски формируют среду внутреннего контроля предприятия, а управление риском в системе внутреннего контроля считается важнейшим фактором эффективной деятельности организации. Одной из задач внутренних аудиторов как раз и является оценка системы внутреннего контроля предприятия. Отметим, что особую роль при формировании новой концепции управления риском сыграли события, оказавшие непосредственное влияние на деятельность внутренних аудиторов:

♦ Публикация новой программы COSO (Комитета организаций — спонсоров Комиссии Тредуэя) по управлению рисками на предприятии («Концепции управления рисками предприятия») [Enterprise Risk Management..., 2004].

♦ Принятие стандарта Института внутренних аудиторов (ИВА), предполагающего включение оценки риска в ежегодный аудиторский план, а также стандарта ИВА по включению оценки риска в планирование аудиторских заданий.

ЭЛЕКТРОННАЯ КОММЕРЦИЯ — ВНЕШНИЙ ФАКТОР МОДИФИКАЦИИ

СИСТЕМЫ ВНУТРЕННЕГО АУДИТА И КОНТРОЛЯ

К числу факторов изменения концепции управления риском в системе внутреннего контроля и аудита относятся развитие информационно-коммуникационных технологий и сети Интернет, новые условия ведения экономической деятельности (т. е. динамичное изменение внутренней и внешней среды организации), появление новых видов риска. Одним из процессов, который влияет на модификацию инструментария и структуру внутреннего контроля и аудита, является развитие электронной коммерции, повышающей риски ведения предпринимательской деятельности на предприятиях. В последнее время наблюдаются устойчивый рост числа пользователей Интернета и, естественно, расширяется применение новых информационных технологий, базирующихся в той или иной степени на открытых компьютерных сетях в различных сферах деятельности и прежде

всего в электронной коммерции. Эта тенденция характерна практически для всего мирового сообщества, в том числе и для России.

К 2004 г. электронная коммерция превратилась в относительно небольшой, но быстрорастущий сектор мировой экономики. Согласно данным Государственного департамента США по торговле, в третьем квартале 2004 г. на долю электронной коммерции пришлось 1,9% всех продаж потребительских товаров и услуг в стране. В Европе этот показатель даже немного выше — около 2%. По России статистика отсутствует, но, как было озвучено на конференции «Электронная коммерция и торговля — 2004», общий оборот электронных сделок (корпоративных и потребительских) в нашей стране в 2004 г. превысил отметку в 600 млн долл. [Электронная коммерция..., 2004].

При определении возможности и необходимости внедрения элементов электронной торговли в деятельность организации следует учитывать, что ей, как и любой другой сфере человеческой деятельности, присущи риски, которые могут привести к ощутимым убыткам. Например, компьютерный вирус I Love You прервал работу или повредил около 70 млн компьютеров по всему миру, нанеся совокупный ущерб в сумме более 10 млрд долл. США. По самым скромным оценкам, всего в мире существует от 20 до 50 тыс. всевозможных вирусов, и число их постоянно растет. По данным компании Axent Technologies, более 91% сайтов компаний, занимающихся электронной торговлей, подвергались атакам хакеров. Поэтому в 1996 г. был опубликован документ «Цели контроля за информационными и связанными с ними технологиями» («CobiT, Control Objectives for Information and Related Technology»), который стал первой попыткой установить на международном уровне стандарты безопасности и контроля в сфере информационных технологий. Документ использовал интегрированную модель контроля за информационными технологиями для поддержки бизнес-процессов, предложенную Ассоциацией аудита и контроля информационных систем (Information Systems Audit and Control Association, ISACA). Последняя редакция этого документа была опубликована в июле 2000 г.

Управление рисками и их оценка в системе корпоративного контроля — это система организационно-экономических мероприятий, направленных на своевременное выявление и оценку потенциальных рисков, предупреждение или минимизацию последствий случайных и трудно предсказуемых событий, которые могут привести к нарушению нормального функционирования или даже ликвидации предприятий и организаций. Применительно к электронной коммерции это означает определение рисков, их ранжирование и принятие решения о распределении ответственности за контроль над рисками (табл. 1).

Таблица 1

Риски электронной коммерции и риск-менеджмент

Риски Методы управления рисками Технические действия

Воздействие компьютерных вирусов Превентивные мероприятия Установка антивирусных программ, инструктаж пользователей

Перехват данных Использование технологий шифрования Кодирование данных, препятствующее их прочтению или искажению

Неправильная идентификация пользователей Применение систем аутентификации Внедрение электронной цифровой подписи в целях проверки авторства и подлинности документа

Несанкционированное проникновение в защищенные сети Использование межсетевых экранов (брандмауэров) Фильтрация информационного потока, поступающего в сеть или на сервер

Источник: [Козье, 1999, с. 105].

Актуальность проблем возникновения новых рисков при ведении бизнеса в электронной среде подтверждается тем, что международное сообщество активно их обсуждает, пытаясь найти эффективные методы решения. Так, по данным экономического и социального совета ООН, Интернет превращается в сеть для продажи товаров с поддельными торговыми марками (джинсы, мобильные телефоны и т. д.) и операций с фальшивыми или украденными кредитными картами. По данным Организации по защите прав на интеллектуальную собственность (Coalition for Intellectual Property Rights), убытки, связанные с подделкой торговых марок уже в 1999 г. превысили 1 млрд долл. По оценкам Europay, в 2001 г. только в Англии потери от незаконных операций с кредитными картами выросли на 50% и составили 160 млн фунтов [Europay пытается остановить..., 2002]. В отличие от банкоматов, которые подключены к закрытой сети банка с централизованной авторизацией трансакций, Интернет по своему замыслу представляет открытую систему, и финансовые трансакции в сети подвержены особым рискам. В связи с этим Europay рекомендует банкам использовать средства мониторинга для отслеживания моделей поведения пользователей [Europay пытается остановить., 2002].

Еще большие убытки приносят взлом сайтов, умышленное распространение вирусов. Рост числа провайдеров, предоставляющих бесплатный доступ в Интернет, привел к развитию кибертерроризма, направленного на подрыв национальной безопасности других стран, разрушение их энерго-

системы, организации авиаперевозок и т. д. Интернет стал удобным полем деятельности для лиц с девиантным поведением и агрессивными наклонностями.

Международное сообщество также нуждается в новом согласованном правовом стандарте на деловые контракты, заключенные посредством электронной торговли. Такой стандарт создает Комиссия ООН по праву международной торговли (ЮНСИТРАЛ) [Конвенция Организации Объединенных Наций..., 2000], но лишь национальные государства могут ввести новые законы в действие. Эпоха бесконтрольности и анонимности во Всемирной компьютерной сети уходит в прошлое. Разработчики компьютеров и программ все чаще вставляют в свою продукцию средства идентификации пользователей. Так, выпущенный компанией Intel новый процессор Pentium 4 содержит уникальный номер, идентифицирующий каждый компьютер.

Конвенция ООН против транснациональной организованной преступности [Конвенция Организации Объединенных Наций., 2000], подписанная рядом стран, в том числе и Россией, в Палермо (2000 г.), предусматривает кроме процедуры конфискации и ареста преступных доходов, защиты свидетелей и т. д. электронное наблюдение, контролируемые поставки, создание публичных реестров юридических и физических лиц, учредивших фирмы, управляющих и финансирующих их, а также лишенных права занимать руководящие должности. ФБР США создало специальную службу для просмотра по ключевым словам и контроля информации по Интернету, включая электронную почту.

Ведущие страны поддерживают развитие стеганографии — технологии, благодаря которой можно прятать информацию внутри графического или аудиофайла, не изменяя его внешнего вида и размеров и тем самым снижая риск перехвата данных во время нахождения информации в сети Интернет. Без пароля доступ к этой информации невозможен. Это позволяет не только сохранять тайну переписки, но и шифровать внутри файла имя автора и дату, т. е. защищать авторские права. Интернет-робот способен круглосуточно просматривать трафик и сообщать владельцу о незаконном использовании его прав, фиксируя адреса нарушителей.

СТРАТЕГИЯ РАЗВИТИЯ ОРГАНИЗАЦИИ И УПРАВЛЕНИЕ РИСКОМ

Стратегия развития предприятия в условиях информационной экономики должна учитывать все стороны его функционирования, задавая цели и методы их достижения в долгосрочной перспективе. Так, если организация ориентирована на завоевание рынка, то в качестве основного варианта управления рисками она может предпочесть удержание у себя всех или большей части рисков. Если же она сконцентрирована на поддержании

положительного имиджа, сложившегося на рынке в ее отношении, и сохранении своей финансовой устойчивости, то вариантом управления рисками может быть передача крупных рисков во внешнюю среду.

Подобное влияние осуществляется не только путем согласования целей управления риском с миссией и задачами организации, но и за счет определения ее отношения к риску. К числу основных вариантов управления риском на уровне организации можно отнести следующие: осторожный; взвешенный; рискованный.

Выбор одного из них, среди прочего, как раз и будет определяться стратегией организации. Так, если организация ориентируется на завоевание рынка, то она предпочтет рискованный или взвешенный вариант управления риском. Если ее цель — сохранение сложившегося положения на рынке и обеспечение своей финансовой устойчивости, то выбор будет в пользу взвешенного или осторожного варианта (табл. 2).

Таблица 2

Взаимосвязь стратегии развития организации и вариантов управления

рисками

Стратегия фирмы Вариант управления рисками

Освоение новой рыночной ниши Рискованный

Взвешенный

Сохранение устойчивого финансового положения

Осторожный

Осторожный вариант управления рисками выбирается организацией в том случае, если ее руководство предпочитает минимизировать риск банкротства, потери планируемого дохода или прибыли, появления и/или увеличения дополнительных расходов. Однако надо иметь в виду, что зачастую именно более рискованные стратегии позволяют вырваться из общего окружения и освоить новую эффективную рыночную нишу. В процессе исследования рисков коммерческой организации большое внимание следует уделять учету специфики ее деятельности. Во-первых, это позволит на начальном этапе анализа ограничить круг изучаемых рисков до тех из них, которые оказывают непосредственное воздействие на работу компании. Например, для фермерских хозяйств имеет смысл исследовать климатические риски и исключить из рассмотрения валютные риски, для интернет-компаний существенно важен фактор безопасности финансовых трансакций в сети Интернет. Во-вторых, учет специфики деятельности коммерческой организации позволит установить приоритет исследования профильных рисков, требующий рассмотрения в пер-

вую очередь тех из них, которые оказывают на деятельность предприятия наибольшее воздействие.

Взаимосвязь между стратегией развития организации и системой управления риском проявляется не только в том, что первая определяет вторую, но и в наличии обратной зависимости: выбор того или иного варианта управления риском может потребовать некоторой корректировки указанной стратегии или предварительного учета определенных рисков при ее создании. Это объясняется наличием специфического влияния риска при ведении бизнеса в электронной среде на такие цели фирмы, как:

♦ продолжение операций. Событие, возникшее в результате реализации рисковой ситуации, может быть настолько неблагоприятным, что приведет к прекращению операций фирмы (например, в связи с ее банкротством). Очевидно, что в подобной ситуации цели и миссия фирмы не могут быть реализованы, поэтому стратегия ее развития должна учитывать возможность возникновения подобных обстоятельств. В данном аспекте наиболее вероятен риск, связанный с использованием объектов интеллектуальной собственности: нарушением чужих авторских и патентных прав, плагиатом — «пиратским» использованием объектов интеллектуальной собственности, принадлежащих страхователю, утерей прав на объекты интеллектуальной собственности;

♦ стабильность операций и/или денежных потоков. Финансовый риск, порождаемый деятельностью в сфере е-коммерции: перерывы в бизнес-процессах из-за атак хакеров или ошибок в программах, в том числе вызванных нелояльностью программистов, и иные непредвиденные расходы; риск утраты и повреждения оборудования, посредством которого осуществляется деятельность на рынке е-ком-мерции; риск, связанный с хранением и доставкой товаров, являющихся объектами онлайновой торговли;

♦ прибыльность операций. Хотя для достижения определенных целей предприятие может позволить себе относительно короткие периоды убыточной работы, прибыльность операций выступает в качестве необходимого условия его функционирования в долгосрочной перспективе, поэтому риск, связанный с финансовой информацией, используемой в сфере электронной коммерции (повреждение, искажение, хищение, блокирование доступа), является очень актуальным;

♦ деловая репутация. Риск нарушения обязательств партнерами (например, компаниями, осуществляющими доставку товаров — объектов онлайновой торговли).

Проведенный анализ показывает тесную взаимосвязь между стратегией развития организации, с одной стороны, и рисками и системой управле-

ния и контроля, с другой стороны, в условиях развития электронной коммерции как важнейшего направления деятельности любой компании при формировании конкурентного преимущества на рынке. Наличие такой взаимосвязи свидетельствует, во-первых, о необходимости учета и внутреннего аудита рисков и осуществления мер по управлению ими и, во-вторых, о том, что управление риском — основная составная часть общего менеджмента компаний.

В настоящее время существуют различные технические способы предупреждения соответствующих типов рисков. Однако полностью устранить риски удается далеко не всегда: степень информационной защищенности имеет свой верхний предел, обусловливаемый свойствами имеющегося оборудования и спецификой применяемых технологий. Естественным дополнением к техническим способам защиты может стать использование методов внутреннего аудита, основными целями которого в информационном обществе являются оценка рисков, связанных с использованием информационных технологий, оценка контроля и выработка рекомендаций по принятию корректирующих мер в областях, где он должен быть улучшен. Например, интернет-проект, обеспечивающий очевидное конкурентное преимущество, с точки зрения заложенных потенциальных рисков несет в себе дополнительные, порой весьма ощутимые угрозы. Внутренние аудиторы с их организационной независимостью и знанием факторов риска и контроля играют ведущую роль, помогая компаниям соблюдать сложные положения и жесткие временные рамки ведения бизнеса в электронной среде. Таким образом, действия внутренних аудиторов должны быть направлены на оптимизацию затратной части, минимизацию рисков и создание условий, позволяющих получить отдачу от инвестиций в информационные технологии в самые короткие сроки.

ЗАКЛЮЧЕНИЕ

В системе соотношения понятий мы определяем внутренний контроль как определенную политику и набор процедур (средств контроля), принятые системой управления экономическим субъектом для достижения целей процесса управления, которые предусматривают степень выполнимости упорядоченного и эффективного ведения финансово-хозяйственной деятельности данного субъекта, включая строгое следование политике управления, обеспечение сохранности имущества, обнаружение и предотвращение искажений, возникающих вследствие как непреднамеренных действий, так и злоупотреблений, относительную точность и полноту бухгалтерской (финансовой) информации [Международные стандарты, 2000]. В свою очередь, внутренний аудит подразумевает регламентированную внутренними документами организации деятельность по контролю звеньев управления и

различных аспектов функционирования организации, осуществляемую представителями специального контрольного органа в рамках помощи органам управления организации. Эти системы взаимозависимы, но в современной практике внутренний аудит играет роль независимой экспертизы, становясь источником объективной информации как для собственников, так и для менеджмента компании. Внутренний аудит выводится из форм и методов внутреннего контроля и, будучи самостоятельной организационной формой внутреннего контроля, сосуществует наряду с ним и выполняет самостоятельные функции.

В связи с появлением новых рисков формируется более сложная концепция риск-менеджмента на предприятии. В современном понимании именно внутренние и внешние риски формируют среду предприятия для контроля и анализа, а управление риском в системах внутреннего контроля и внутреннего аудита считается важнейшим фактором его эффективной деятельности, происходит трансформация внутреннего аудита и контроля в инструмент оценки рисков, наблюдается смещение акцентов от оценки отдельных операций к оценке рисков в деятельности организации в целом.

Электронная коммерция является важнейшим фактором модификации системы внутреннего аудита и контроля. Стратегия развития компании в условиях информационной экономики должна учитывать все стороны функционирования компании в электронной бизнес-среде, задавая ее цели и методы их достижения в долгосрочной перспективе, оценивая потенциальные риски, присущие именно электронной коммерции. Это объясняется наличием специфического влияния риска при ведении бизнеса в электронной среде на такие цели фирмы, как продолжение операций, стабильность операций и денежных потоков, прибыльность операций, деловая репутация.

Литература

Веников В. Анализ качества различных подходов к аудиторской проверке. 2002

[Электронный ресурс] — Режим доступа: http://consulting.ru/206ven_1 Гиниятов Р. Риск и контроль (модель COSO) // Институт внутренних аудиторов [Электронный ресурс]. — Режим доступа: http://www.iia-ru.ru/publication/ st1.html

Додж Р. Краткое руководство по стандартам и нормам аудита / Пер. с англ. М.:

Финансы и статистика; ЮНИТИ, 1992. Козье Д. Электронная коммерция. М.: Русская редакция, 1999.

Конвенция Организации Объединенных Наций против транснациональной организованной преступности. 2000 [Электронный ресурс]. — Режим доступа: http://www.un.org/russian/documen/convents/orgcrime.htm Кудрявцев А. А., Чернова Г. В. Управление рисками. М.: ТК Велби, 2003.

Международные стандарты аудита и Кодекс этики профессиональных бухгалтеров

(1999). М.: МЦРСБУ, 2000. Международные профессиональные стандарты внутреннего аудита // Институт внутренних аудиторов. 2004 [Электронный ресурс]. — Режим доступа: http:// www.iia-ru.ru/goods/index.html Ситное А. А. Роль внутреннего аудита в системе управления экономическим субъектом // Менеджмент в России и за рубежом. 2002. № 4. С. 51-60. Тихомирое А. Ориентируясь на риски, или как оценивать внутренний контроль // Институт внутренних аудиторов [Электронный ресурс]. — Режим доступа: http://www.iia-ru.ru/publication/st1.html Черноеа Г. В. Практика управления рисками на уровне предприятия. СПб.: Питер, 2000.

Электронная коммерция еще только начинается // Портал содействия развитию малых форм предприятий в научно-технической сфере. 2004 [Электронный ресурс]. — Режим доступа: http://www.technet.ru/index.php?r=12&article=2105 Ernst&Young. Исследование состояния внутреннего аудита в России и СНГ. 2002

[Электронный ресурс]. — Режим доступа: http://www.eyi.com Europay пытается остановить мошенничество с кредитными картами. 2002 [Электронный ресурс]. — Режим доступа: www.e-commerce.ru Enterprise Risk Management: Committee of Sponsoring Organizations of the Tradeway Commission. 2004 [Электронный ресурс]. — Режим доступа: http://www.coso. org/Publications/ERM.htm

Статья поступила в редакцию 15 апреля 2005 г.