Методические аспекты управления рисками на основе внедрения системы внутреннего контроля Текст научной статьи по специальности «Экономика и бизнес»

УДК 336.6

1 2 К.И. Колесов , А.С. Антонов

МЕТОДИЧЕСКИЕ АСПЕКТЫ УПРАВЛЕНИЯ РИСКАМИ НА ОСНОВЕ ВНЕДРЕНИЯ СИСТЕМЫ ВНУТРЕННЕГО КОНТРОЛЯ

Нижегородский государственный технический университет им. Р.Е. Алексеева1,

Филиал ОАО "МТС" МР "Поволжье"2

Цель: разработать модель внедрения риск-ориентированной системы внутреннего контроля (СВК) предприятия. Методология: подходы и методы к управлению рисками, теория управления организацией на основе СВК, концептуальные основы внутреннего контроля COSO.

Результаты: проведен анализ нормативно-правовой базы и теоретических основ построения СВК на предприятии. Показана актуальность управления рисками на основе внедрения СВК. Описана модель развития и предложена схема формирования СВК в организации в соответствии с рекомендациями COSO. Результатом исследования является алгоритм построения риск-ориентированной СВК.

Выводы: на основании разработанного подхода к внедрению системы внутреннего контроля предложены методические аспекты управления рисками организации.

Ключевые слова: риск, система внутреннего контроля, закон SOX, методика COSO, управление рисками, материальность счета, существенность счета, риск искажения счета финансовой отчетности, балансовая единица.

Введение

Современное развитие экономики в России предопределяет необходимость построения качественной системы управления организацией. Одним из неотъемлемых элементов системы стратегического и оперативного управления является управление рисками. Переход от управления ресурсами к управлению знаниями, необходимость непрерывного изменения и информационного обеспечения для принятия управленческих решений предопределяет актуальность развития новых технологий управления, в том числе и разработки новых подходов к управлению рисками.

Для построения адекватной системы управления рисками руководство организации должно располагать учетной и контрольно-аналитической информацией. В числе вопросов, решаемых руководством в области управления рисками, наиболее важными являются определение величины риска, который организация готова принять в процессе своей деятельности, а также разработка управленческих методик воздействия на риск в зависимости от его оценочной величины. Одним из современных подходов к решению данных задач является формирование системы внутреннего контроля (СВК).

Внутренний контроль объединяет в себе контрольную среду, систему бухгалтерского учета и отдельные средства контроля, направленные на формирование достоверной финансовой отчетности. Эффективность СВК напрямую влияет на эффективность функционирования организации в целом. Оценка СВК позволяет определить, насколько достоверно финансовая отчетность предприятия отражает его реальное положение.

Таким образом, организация СВК может снизить финансовые риски компании путем их мониторинга, оценки, контроля и своевременного принятия управленческих решений. Анализ организации СВК предприятия и ее оценка становится особенно актуальной в условиях трансформирования российских стандартов бухгалтерского учета в соответствии с международными стандартами финансовой отчетности. Однако в существующей литературе недостаточно подробно описаны методические рекомендации управления рисками на основе СВК. Следовательно, описание методических аспектов управления рисками на основе внед-

© Колесов К.И., Антонов А.С., 2013

рения СВК актуально и имеет теоретическое и практическое значение. Также актуальность исследования обусловлена появлением новых нормативно-правовых требований к предприятиям в части формирования системы внутреннего контроля.

Риск-ориентированный внутренний контроль

Можно выделить следующие основные типы внутренних рисков, присущих системе организации бизнес процессов, способных повлиять на достижение целей компании (рис. 1).

Рис. 1. Классификация внутренних рисков организации

Риском можно управлять, т.е. прогнозировать наступление рискового события и принимать меры к снижению степени риска. Одним из подходов к управлению рисками является внедрение интегрированной СВК. Внутренний контроль - процесс, инициируемый руководством организации, направленный на получение достаточной степени уверенности относительно достоверности финансовой отчетности в соответствии с общепринятыми принципами ее формирования для внешних пользователей, включая следующие:

• все операции и сделки компании должны быть соответствующим образом авторизованы;

• активы компании должны быть защищены от несанкционированного использования;

• все операции должны найти соответствующее отражение в учетных регистрах и финансовой отчетности.

Внутренний контроль направлен на получение информации относительно выполнения следующих задач:

• оценка эффективности и рациональности деятельности;

• оценка достоверности финансовой отчетности;

• соблюдение законов и нормативных актов.

Отсутствие СВК на предприятиях, чаще всего, обусловлено следующими причинами:

• отсутствие эффективного подхода к выявлению недостатков бизнес-процессов;

• отсутствие документально закрепленной методической базы к выявлению бизнес-рисков;

• недостаточное понимание руководством связи между внутренними процессами организации.

Внедрение СВК позволяет получить организации следующие преимущества:

• повышение капитализации компании за счет своевременного выявления и предупреждения рисков, влияющих на достижение поставленных операционных целей;

• повышение эффективности бизнес-процессов;

• установление связи целей и рисков во всей организации;

• стандартизация процесса принятия управленческих решений по ключевым рискам на основе стандартизированного и структурированного процесса управления рисками по всей компании;

• повышение ответственности руководства за управление бизнес-рисками;

• повышение уровня информативности принятия решений;

• предупреждение существенных рисков и снижение вероятности неожиданного возникновения неблагоприятных событий;

• повышение сохранности активов организации.

На российских предприятиях внедрение СВК до настоящего момента не имело широкого распространения. Влияние на распространение СВК в России оказала необходимость формирования данного функционала для предприятий, акции которых обращаются на американской фондовой бирже, в соответствии с 404 статьей закона Сарбейнс-Оксли (SOX). Также отправным этапом развития системы внутреннего контроля в российской практике послужило вступление в силу с 1 января 2013 года ФЗ «О бухгалтерском учете» № 402. Данный закон регламентировал обязательное формирование СВК. В соответствии с SOX на конец каждого отчетного периода директор должен подтвердить:

• достоверность финансовой отчетности;

• ответственность за разработку и поддержание процедур контроля над раскрытием информации и подготовкой финансовой отчетности;

• оценку СВК, сопровождающуюся подтверждением этой оценки аудитором.

Компанией Pricewaterhouse Coopers в соответствии с SOX была разработана пятиуровневая модель развития СВК (табл. 1).

Таблица 1

Модель развития системы внутреннего контроля

Уровень Характеристика СВК

Оптимизированный Контрольные процедуры скоординированы со стратегическими целями организации, с бизнес- процессами. Управление рисками и СВК действуют как одна интегрированная команда. Контрольные процедуры в значительной степени автоматизированы. Использование специального инструментария и технологий облегчает адаптацию к меняющимся обстоятельствам

Управляемый Руководящие принципы описаны подробно. Осуществляется регулярный и доступный для анализа мониторинг выполнения контрольных процедур. Процедуры контроля постоянно адаптируются к изменению рисков и регулярно документируются. Риск-ориентированный подход к контролю, интеграция СВК и риск-менеджмента. Действует стандартизованный порядок документального оформления контрольных процедур. Уполномоченный по СВК координирует контрольные процедуры и осуществляет их мониторинг с помощью выборочных проверок

Стандар- тизиро- ванный Установлены простые руководящие принципы, регулирующие работу системы внутреннего контроля. Среда контроля и бизнес-процессы (процедуры и механизмы контроля) документально оформлены. Процедуры контроля отслеживаются. Имеет место обмен опытом, процедуры контроля периодически адаптируются к изменению рисков

Неформальный Действуют процедуры внутреннего контроля, однако они не стандартизированы. Процедуры контроля отслеживаются с трудом или не отслеживаются. Процедуры контроля в значительной степени зависят от отдельных сотрудников; в компании отсутствует обучение персонала и информационный обмен по вопросам контроля

Ненадежный Действуют малочисленные процедуры внутреннего контроля или они полностью отсутствуют

Алгоритм формирования риск-ориентированной СВК

По результатам анализа регламентирующей и методической документации представим схему формирования СВК (рис. 2).

Рис. 2. Схема формирования СВК

В соответствии с представленной схемой приведем алгоритм формирования риск-ориентированной СВК в виде следующих этапов:

1. Определение объема работ.

Этап включает в себя определение существенных счетов, а также материальных балансовых единиц, в отношении которых должны быть оценены и задокументированы SOX-риски. На данном этапе предлагается произвести анализ и ранжирование счетов финансовой отчетности для определения тех из них, ошибки в которых могут повлиять на пользователя отчетности. Ранжирование основывается на количественной проверке счетов на основании любой из следующих оценок:

• оборот, структура и остатки счета;

• вероятность ошибки или мошенничества;

• количество активностей по счету;

• изменения в характеристиках счета и др.

Данный этап позволяет сузить объем проекта и не контролировать риски, связанные со счетами, которые не критичны с точки зрения SOX.

1.1. Определение уровней материальности и существенности.

При определении объёма работ по развитию и поддержке СВК на текущий финансовый год предлагается использовать финансовую отчётность по US GAAP за последний отчётный год и бюджетные показатели на следующий отчётный год. В течение года показатели бюджета и ежеквартальной отчётности анализируются на предмет актуальности рассчитанных в

начале года уровней материальности и существенности. Наиболее приемлемой базой для расчёта материальности является прибыль/убыток до налогообложения. В случае, если деятельность компании в отчётный период убыточна, требуется использовать показатели операционного дохода до уплаты амортизационных отчислений и выручки. Если в рассматриваемый период показатели прибыли не отражают адекватно результаты деятельности компании (сложная макроэкономическая ситуация, иные единичные существенные события, влияющие на показатели деятельности компании только в указанном периоде), возможно рассмотрение балансовых показателей - капитал и общая стоимость активов.

1.2. Определение существенных счетов.

В целях выявления существенных счетов оценивается вероятность отражения в отчетности недостоверных данных. Уровень существенности позволяет установить ограничение величины совокупных искажений по индивидуальному счету и снизить риск необнаружения.

1.3. Установление взаимосвязи циклов/процессов с существенными счетами.

Следующий шаг при оценке объема работ - установление взаимосвязи между существенными счетами и процессами. Он применяется для подтверждения того, что все существенные процессы были выявлены и ля всех существенных счетов определены формирующие их процессы. Для каждого существенного счёта отчётности требуется идентифицировать транзакции, в ходе которых создаются обороты/остатки по данному счёту и процессы, которые эти транзакции формируют.

1.4. Определение материальных балансовых единиц компании/дочерних компаний.

Для установления, какие объекты должны быть включены в оценку СВК, необходимо

оценить соответствующую финансовую значимость балансовой единицы и риск существенного искажения данных, связанный с этой балансовой единицей.

Как правило, финансовая значимость БЕ оценивается на основании соответствующих финансовых показателей по отношению к показателям консолидированных финансовых отчетов. При этом, если БЕ является несущественной по финансовым показателям отчёта о прибылях и убытках, требуется оценить существенность по отдельным счетам финансовой отчётности. Если на этой стадии выявлены существенные счета, такие балансовые единицы должны быть признаны материальными. После определения материальных БЕ необходимо оценить, какие именно процессы будут рассматриваться на каждой материальной БЕ. Для этого по каждому существенному счёту отчётности определяются БЕ, которые необходимо включить в объём работ для обеспечения необходимого покрытия по данному счёту. Непокрытый остаток по каждому существенному счёту не должен превышать уровень существенности, рассчитанный ранее. Далее определяются существенные процессы по отношению к каждому счёту, существенному на уровне БЕ для подтверждения того, что все существенные циклы/процессы на уровне БЕ были выявлены и для всех существенных счетов были определены формирующие их процессы.

1.5. Определение необходимых для покрытия утверждений финансовой отчетности, соответствующих каждому счету и расшифровке.

Для каждого счета финансовой отчетности могут быть определены одно или несколько утверждений. Совокупность применимых для счета утверждений руководства формирует финансовые риски искажения, связанные с данным счетом.

2. Документирование СВК.

В ходе документирования СВК формируется описание всех процессов, влияющих на существенные счета финансовой отчётности, схемы процессов, матрицы рисков и контролей для каждого процесса. Результатом документирования является документация по СВК, позволяющая сделать вывод о полноте выявленных рисков и достаточности для их покрытия описанных контрольных процедур. За основу построения СВК предлагается воспользоваться интегрированной моделью внутреннего контроля, предложенной Комитетом спонсорских организаций Комиссии Трэдуэй (COSO). На этапе описания бизнес процессов производится формализация связи между существенными счетами, хозяйственными операциями и процессами. Как только

становятся понятны процессы, в которых изменяются существенные счета, то далее описываются детальные функции процесса, последовательность их выполнения, документы по процессу и ответственные за исполнение функций. Наиболее эффективно использование специализированных систем по описания бизнес-процессов, с помощью которых возможно представление процесса в удобном виде для анализа полноты и рискованности.

2.1. Повествовательное описание процесса.

На данном этапе предлагается задокументировать описание процесса, определить его границы, описать шаги процесса и их исполнителей, а также определить документооборот в рамках процесса. Этап заключается в документировании шагов процесса, сбора документальных подтверждений его исполнения, создании схемы процесса с привязанными к шагам возможными рисками, заполнении таблицы рисков и покрывающих риски в своей части контрольных процедур. Данный этап позволяет представить детальную схему протекания процесса, на основании которой можно в полной степени выявить все возможные риски, присущие процессу и его недостатки. Основной задачей создания схемы SOX-процесса является выявление рисков и их наглядное представление.

2.2. Определение рисков SOX.

На данном этапе предлагается определить риски, которые могут быть реализованы при исполнении каждой функции процесса и которые влияют на достоверность финансовой отчетности. Процедура идентификация рисков требует участия экспертов по процессу и применения специальных методик. Этап заключается в идентификации всех рисков, возможных на каждой стадии процесса, описании данных рисков и создании матрицы, содержащей все риски, присущие каждому процессу предприятия. Данный этап позволяет на основании единой матрицы отследить непокрытые риски и произвести работу над выявленными недостатками.

2.3. Оценка существенности риска.

На данном этапе риски оцениваются по их значимости (например, по величине наносимого ущерба) и вероятности искажения. При оценке вероятности следует принимать во внимание следующие факторы:

• возможные манипуляции, связанные с методом признания выручки;

• имеются основания полагать, что руководство компании осуществляет операции не в соответствии со стандартными процедурами;

• имеет место внесистемная обработка операций;

• необычные, сложные операции либо события;

• существенный объем операций со связанными сторонами;

• имеют место проводки, основанные на субъективных оценках;

• особенные риски, связанные с ценностью и ликвидностью;

• изменения в процессах, системах, участвующих в инициировании, совершении, учете операций, формировании отчетности;

• большое количество проводок непосредственно в главной книге в конце периода;

• выявленные индикаторы возможного мошенничества.

В случае, если риск связан с несколькими статьями отчетности, для каждой из статей определяется максимально возможная сумма искажения. Далее оценивается эффект исходя из рассчитанного уровня существенности и материальности.

2.4. Документирование контрольных процедур.

Данный этап заключается в документировании контролей, направленных на покрытие выявленных рисков, и позволяет выяснить, какие действия производятся в рамках исполнения контрольной процедуры, покрывают ли контрольные процедуры в полной степени выявленные риски и, в случае обнаружения недостатков, произвести работу над ними.

3. Оценка эффективности полученных результатов.

В рамках данного этапа формируется и выполняется система тестов, задача которых проверить правильность осуществления контрольных процедур в компании. Результаты данного этапа являются входной информацией для совершенствования контрольных процедур и

системы внутреннего контроля в целом. Существуют четыре основных метода тестирования: опрос, наблюдение, проверка и повторное выполнение. При тестировании контролей, покрывающих наиболее существенные риски, необходимо применять несколько методов тестирования, что позволит повысить степень уверенности в результатах тестирования.

Выводы

Проведен анализ нормативно-правовой базы и теоретических основ построения СВК на предприятии. На базе данного анализа показана актуальность управления рисками на основе внедрения СВК. Описана модель развития СВК как методический аспект управления финансовыми рисками в организации и предложена схема его формирования в соответствии с рекомендациями COSO. Согласно данной схеме разработан алгоритм построения риск-ориентированной СВК. Предложенный алгоритм позволил сформулировать методические аспекты управления рисками на основе СВК.

Библиографический список

1. Федеральный закон "О бухгалтерском учете" № 402-ФЗ от 06.12.2011 [Электронный ресурс]: http://base.consultant.ru/cons/cgi/onlibe.cgi?red=doc;base=LAW$n122855

2. Ваганова, А.С. Управление рисками промышленного предприятия на основе концепции риск-контроллинга: монография / А. С. Ваганова, И. Б. Гусева. - Нижний Новгород: НГТУ им. Р. Е. Алексеева, 2011. - 215 с.

3. Колесов, К.И. Анализ финансовой отчетности предприятия: учеб. пособие / К.И. Колесов, А.С. Узбекова. - Н. Новгород: НГТУ им Р.Е, Алексеева, 2012. - 245 с.

4. Колесов, К.И. Методологические аспекты стратегического контроллинга на основе многоуровневого подхода: монография / К.И. Колесов, А.Ф. Плеханова. - Н. Новгород: НГТУ.

им Р.Е, Алексеева, 2010. - 134 с.

Дата поступления в редакцию 16.07.2013

K.I. Kolesov, A.S. Antonov

METHODICAL ASPECTS OF RISK MANAGEMENT BASED ON INTRODUCTION

OF INTERNAL CONTROL SYSTEM

Nizhny Novgorod state technical university n.a. R.E. Alexeev

Purpos: To develop a model for the introduction of risk-oriented internal control system of the enterprise. Methodology: Approaches and methods of risk management, the theory of management of the organization on the basis of internal control system, conceptual bases of internal control by COSO

The results: The analysis of normative-legal and theoretical bases of construction of the internal control system at the enterprise. Relevance of risk management based on introduction of internal control system. The model of development of internal control system is described. The scheme of formation of the internal control system in accordance with the recommendations of the COSO. The result of research is an algorithm for constructing a risk-oriented internal control system.

Conclusions: On the basis of the developed approach to introduction of internal control system methodical aspects of risk management of the organization are offered.

Key words: risk, internal control system, law SOX, COSO technique, risk management, materiality of the account, importance of the account, risk of distortion of the account of financial statements, balance unit.