CC BY
849
АУДИТ, КОНТРОЛЬ, УПРАВЛЕНИЕ РИСКАМИ
УДК 657.6
Мониторинг выполнения мероприятий по устранению нарушений и рисков в системе внутреннего контроля
(практика ОАО «Российские железные дороги»)
В статье рассматривается практика ОАО «РЖД» по созданию эффективной системы организации и проведения мониторинга выполнения мероприятий по устранению нарушений, недостатков и рисков, а также совершенствованию системы внутреннего контроля на основе внедрения системы внутрикорпоративных стандартов.
Ключевые слова: аудит, контроль, мониторинг, план мероприятий, нарушения, недостатки, риски, система внутренне- О Б Иванов
го контроля (СВК), стандарты, устранение нарушений.
В основе функционирования внутреннего контроля и аудита компании лежит организация работы по построению системы, кторая обеспечивает: заслон неэффективному использованию финансовых, материальных и иных ресурсов; своевременное выявление нарушений, недостатков и рисков, их оперативное устранение и мобилизацию на этой основе внутрихозяйственных резервов. И здесь важно подчеркнуть, что главное в деятельности службы внутреннего контроля и аудита — не выявить нарушения или определить риски, а обеспечить их устранение и исключить условия для их повторяемости. Устойчивого результата можно добиться только при условии, что эта работа будет строиться на системной основе.
Следует отметить, что практика эффективной организации такой работы создана в ОАО «Российские железные дороги». В компании внедрен стандарт «Организация и проведение мониторинга выполнения мероприятий по устранению нарушений, недостатков и совершенствованию системы внутреннего контроля». Он разработан с учётом требований нормативных документов Российской Федерации, лучшей зарубежной и отечественной практики, международных стандартов внутреннего аудита и внутрикорпоративных нормативных документов ОАО «РЖД».
Стандарт регламентирует процедуру мониторинга выполнения мероприятий по устранению нарушений,
© Иванов О.Б., 2014
97
Устранение нарушений и рисков в системе внутреннего контроля
недостатков и совершенствованию системы внутреннего контроля (СВК) подразделениями внутреннего аудита компании и ее дочерних и зависимых обществ.
Действие настоящего Стандарта распространяется на все подразделения аппарата управления ОАО «РЖД», его филиалы и другие структурные подразделения, негосударственные учреждения и в установленном порядке на его дочерние и зависимые общества.
Мониторинг выполнения планов мероприятий по устранению нарушений, недостатков и рисков представляет собой непрерывный процесс оценки подразделением внутреннего аудита адекватности, эффективности и своевременности действий, предпринятых руководителями объектов внутреннего аудита и контроля, по устранению нарушений, недостатков и рисков, выявленных в ходе проведенных ранее проверок.
Процесс мониторинга должен осуществляться непрерывно до полного устранения нарушений и минимизации рисков, а также устранения причин их возникновения и условий для их повторяемости. При этом процесс мониторинга включает:
— получение информации от руководителей объектов внутреннего аудита и контроля о состоянии выполнения планов мероприятий по устранению нарушений, недостатков и рисков (в том числе первичной документации, подтверждающей выполнение указанных мероприятий);
— анализ и проверку документации, подтверждающей выполнение мероприятий;
— планирование и проведение контрольных (последующих) проверок результатов выполнения мероприятий;
— формирование отчета по результатам мониторинга.
Руководители объектов внутреннего аудита и контроля в установленные сроки после подписания отчета по результатам проверки проводят совещания по рассмотрению результатов проверки, на которых определяют причины допущенных нарушений, виновных должностных лиц, а также разрабатывают планы мероприятий по устранению нарушений, недостатков и рисков, меры по недопущению их впредь; определяют меры, направленные на совершенствование системы внутреннего контроля в подразделении.
При этом устанавливается порядок, при котором руководители проверяемых подразделений и дочерних обществ несут ответственность за обеспечение своевременного и надлежащего выполнения плана мероприятий по устранению выявленных проверкой нарушений, недостатков и мер по минимизации рисков.
Курирующие вице-президенты и руководители причастных подразделений аппарата управления компании осуществляют текущий контроль за полнотой и своевременностью выполнения планов мероприятий руководителями объектов внутреннего контроля и аудита, в том числе:
98
Устранение нарушений и рисков в системе внутреннего контроля
— принимают меры по обеспечению мероприятий по совершенствованию системы внутреннего контроля в подведомственных подразделениях;
— контролируют работу по выполнению планов мероприятий в структурных подразделениях с оказанием консультационной помощи руководителям объектов внутреннего аудита в пределах своей компетенции и полномочий;
— привлекают к ответственности руководителей объектов внутреннего аудита, допустивших нарушения и не принявших своевременных мер по их устранению.
Периодически или согласно запросам подразделения внутреннего аудита руководители объектов внутреннего аудита и контроля предоставляют работникам подразделения внутреннего аудита информацию о состоянии выполнения планов мероприятий и документы, подтверждающие фактическое выполнение мероприятий.
Работники подразделения внутреннего аудита при необходимости запрашивают дополнительную информацию о состоянии выполнения плана мероприятий (включая подтверждающую документацию) от подразделений компании и в установленном порядке от ее дочерних и зависимых обществ.
Для агрегации информации по состоянию выполнения планов мероприятий работники подразделения внутреннего аудита формируют документ, который именуется «Статус о выполнении мероприятий по устранению нарушений, недостатков и совершенствованию системы внутреннего контроля» (таблица 1). Данный статус обновляется в непрерывном режиме при разработке новых планов мероприятий по итогам проверок, при изменении состояния выполнения планов мероприятий, при изменении сроков мероприятий или смене работников, ответственных за их выполнение.
Статус о выполнении мероприятий содержит:
— список мероприятий по совершенствованию системы внутреннего контроля, включая мероприятия по возмещению потерь;
— список работников компании или ее дочерних и зависимых обществ, ответственных за выполнение мероприятий;
— сроки исполнения мероприятий;
— информацию о состоянии выполнения мероприятий.
Результаты выполнения мероприятий по совершенствованию системы внутреннего контроля также подлежат проверке подразделением внутреннего аудита. Проверка результатов выполнения мероприятий осуществляться посредством анализа и проверки документации, подтверждающей факт или состояние выполнения мероприятий.
На основе статуса о выполнении мероприятий и результатов проверок выполнения планов мероприятий работники подразделения внутреннего аудита периодически формируют сводный отчет по результатам мониторинга в разрезе каждой проверки и направляют его руководителю подразделения
99
Таблица 1
О
° Статус о выполнении мероприятий по устранению нарушений, недостатков, рисков и совершенствованию системы
внутреннего контроля
Недостаток, нарушение, риск Уровенв значимости недостатка Мероприятие Срок мониторинга состояния выполнения мероприятия Ответственный работник объекта внутреннего аудита и контроля Работник подразделения внутреннего аудита, ответственный за мониторинг Состояние выполнения мероприятия (по данным ответственных работников объекта внутреннего аудита и контроля) Комментарии
дается описание недостатка, нарушения, риска в соответствии с внутрикор-поративнв1м стандартом «Проведение внутренних аудиторских проверок подразделением внутреннего аудита и контроля» 1. высокий, 2. средний, 3. низкий Ранжирование недостатков осуществляется в соответствии со стандартом «Проведение внутренних аудиторских проверок подразделением внутреннего аудита и контроля» описание мероприятия План мероприятий по устранению нарушений, недостатков, рисков и совершенствованию системы внутреннего контроля составляется в соответствии со стандартом «Подготовка отчета по резулв-татам проведения внутренней аудиторской проверки подразделением внутреннего аудита и контроля» периодичноств устанавливается в соответствии с Положением о внутреннем аудите в ОАО «РЖД»; Положением о системе внутреннего контроля в ОАО «РЖД»; решением руководителей подразделений внутреннего аудита и контроля ФИО и должности работника объекта внутреннего аудита и контроля (объекта проверки) ответственного за выполнение мероприятия ФИО и должности работника подразделения внутреннего аудита, ответственного за мониторинг 1. мероприятие выполнено; 2. мероприятие выполнено частично; 3. мероприятие не выполнено; 4. мероприятие в процессе выполнения если мероприятие не выполнено / выполнено частично указывается причина и предполагаемый срок, к которому мероприятие должно бытв выполнено, а также определяется лицо виновное в невыполнении мероприятия в срок или в неполном объеме
Устранение нарушений и рисков в системе внутреннего контроля
Устранение нарушений и рисков в системе внутреннего контроля
внутреннего аудита, который принимает решение о направлении информации президенту компании, курирующим вице-президентам. Кроме того, информация о результатах выполнения плана и о фактах невыполнения мероприятий, направленных на устранение наиболее значимых недостатков, нарушений, возмещению потерь, минимизации рисков направляется причастным руководителям подразделений компании и дочерних обществ для принятия мер.
Руководитель объекта внутреннего аудита и контроля в десятидневный срок со дня подписания отчета по результатам проверки проводит совещание по разбору выявленных нарушений и рисков, определению причин нарушений, виновных, а также рассматривает проект плана мероприятий по устранению нарушений и совершенствованию системы внутреннего контроля.
Для каждого выявленного в ходе проверки недостатка или нарушения руководитель объекта внутреннего аудита и контроля:
— разрабатывает мероприятия, направленные на его устранение;
— определяет сумму потерь, которая должна быть возмещена (если реализация рисков и нарушения привели к потерям);
— определяет срок выполнения мероприятия;
— назначает работников, ответственных за выполнение каждого из мероприятий.
Особо выделяются мероприятия по совершенствованию СВК, к которым относятся:
— внедрение новых и совершенствование существующих контрольных процедур (включая разработку нормативных документов);
— возмещение возникших вследствие нарушений и реализации рисков потерь;
— корректировка бизнес-процесса;
— совершенствование системы управления подразделением, изменение и дополнение положений и должностных инструкций;
— изменение структуры подразделения.
При разработке проекта плана мероприятий по совершенствованию СВК руководитель объекта внутреннего аудита и контроля должен учитывать следующие факторы:
— требуемые финансовые, временные, трудовые и иные ресурсы; при этом стоимость ресурсов, необходимых для выполнения мероприятия, не должна превышать размер возможного ущерба от реализации риска;
— снижение рисков — разработанные мероприятия и контрольные процедуры должны быть направлены на устранение недостатков СВК, в том числе на исключение повторяемости нарушений и реализации рисков;
— последовательность выполнения мероприятий — порядок выполнения мероприятий должен учитывать уровень значимости недостатков
101
Устранение нарушений и рисков в системе внутреннего контроля
и нарушений, на которые направлены разрабатываемые мероприятия, а также взаимозависимость мероприятий;
— влияние на прочие риски — предлагаемые мероприятия не должны снижать эффективность управления прочими рисками объекта внутреннего аудита и контроля, а также рисками смежных бизнес-процессов;
— возможность возмещения потерь — мероприятия должны предусматривать возможность полного или частичного возмещения потерь по выявленным нарушениям и реализовавшимся рискам;
— привлечение к ответственности в установленном порядке лиц, допустивших нарушения.
Руководитель объекта внутреннего аудита и контроля документирует проект плана мероприятий по совершенствованию СВК по установленной форме (таблица 2), подписывает и направляет его руководителю проверки на рассмотрение, который в недельный срок после его получения анализирует проект на предмет адекватности предлагаемых мероприятий и степени снижения рисков по результатам устранения недостатков по следующим параметрам:
1) позволит ли мероприятие после его выполнения обеспечить полное и своевременное устранение выявленных нарушений, недостатков и последствий реализации рисков;
2) позволит ли выполнение плана мероприятий по совершенствованию СВК снизить риски объекта внутреннего аудита и контроля до приемлемого уровня;
3) позволит ли мероприятие после его выполнения наиболее полно возместить потери от нарушений и реализовавшихся рисков;
4) достаточность предлагаемых мероприятий — является ли набор предлагаемых мероприятий полным и исчерпывающим для обеспечения эффективности СВК объекта внутреннего аудита и контроля и устранения всех выявленных нарушений, недостатков и рисков;
5) соответствует ли порядок устранения недостатков и нарушений определенному уровню значимости;
6) учитывает ли порядок выполнения мероприятий их взаимозависимость;
7) приемлемы ли сроки и последовательность реализации мероприятий для эффективного устранения недостатков и нарушений.
По результатам анализа руководитель проверки дает комментарии и предложения к плану мероприятий и направляет их руководителю объекта внутреннего аудита и контроля, после чего тот в свою очередь рассматривает их (при необходимости согласовывает с курирующим вицепрезидентом) и утверждает. После этого руководитель объекта внутреннего аудита и контроля обязан:
— незамедлительно уведомить ответственных работников своего подразделения об их обязанностях и ответственности в рамках реализации
102
План мероприятий по устранению нарушений, недостатков, рисков и совершенствованию
системы внутреннего контроля
Таблица 2
№ п/п Недостаток, нарушение, риск Стоимостная оценка, тыс.руб. (если применимо) Уровенв значимости недостатка/ нарушена, риска Мероприятие Срок выполнения мероприятия Затраты на выполнение мероприятий, тыс. руб. (если применимо) Должностное лицо, ответственное за выполнение мероприятия Примечание
1 2 3 4 5 6 7 8 9
описание недостатка, нарушения, риска в соответствии со стандартом «Проведение внутренних аудиторских проверок подразделением внутреннего аудита и контроля» 1. ВЫСОКИЙ, 2. средний, 3. низкий Ранжирование недостатков осуществляется в соответствии со стандартом «Проведение внутренних аудиторских проверок подразделением внутреннего аудита и контроля» описание мероприятия указывается срок выполнения мероприятия согласно плану мероприятий по устранению нарушений, недостатков и совершенствованию СВК ФИО и должности работника объекта внутреннего аудита и контроля, ответственного за выполнение мероприятий
О
Устранение нарушений и рисков в системе внутреннего контроля
Устранение нарушений и рисков в системе внутреннего контроля
плана мероприятий по устранению нарушений, недостатков, минимизации рисков и совершенствованию СВК;
— обеспечить своевременное и надлежащее выполнение утвержденного плана;
— своевременно в текущем режиме уведомлять подразделение внутреннего аудита об исполнении мероприятий.
Руководители причастных подразделений аппарата управления компании осуществляют контроль за полнотой и своевременностью выполнения планов мероприятий руководителями объектов проверки, в том числе:
— принимают меры по обеспечению выполнения разработанных мероприятий;
— контролируют работу по выполнению планов мероприятий в структурных единицах и подразделениях, а также дочерних и зависимых обществах;
— привлекают к ответственности руководителей объектов внутреннего аудита и контроля, не принявших своевременных мер по устранению выявленных недостатков, нарушений и внедрению мероприятий по совершенствованию системы внутреннего контроля.
Руководители объектов внутреннего аудита и контроля периодически отчитываются в подразделение внутреннего аудита о состоянии выполнения плана мероприятий. Информация должна содержать следующие сведения:
а) «мероприятие выполнено» — для данных мероприятий руководитель объекта внутреннего аудита и контроля:
1) предоставляет документацию, подтверждающую факт выполнения мероприятия;
2) указывает дату выполнения мероприятий;
б) «мероприятие выполнено частично» (выполнены отдельные пункты мероприятия) — для данных мероприятий руководитель объекта внутреннего аудита и контроля:
1) предоставляет документацию, подтверждающую факт частичного выполнения мероприятия;
2) указывает причины, по которым мероприятие не выполнено в установленный срок и в полном объеме;
3) указывает планируемые сроки выполнения мероприятия;
в) «мероприятие в процессе выполнения» — для данных мероприятий руководитель объекта внутреннего аудита и контроля подтверждает, что их выполнение осуществляется в установленные сроки;
г) «мероприятие не выполнено» — для данных мероприятий руководитель объекта внутреннего аудита и контроля указывает:
1) причины, по которым мероприятие не выполнено в установленные сроки или выполнено не полностью;
2) планируемые сроки выполнения мероприятия (если мероприятие планируется выполнить в дальнейшем);
104
Устранение нарушений и рисков в системе внутреннего контроля
3) определяет должностных лиц, виновных в срыве мероприятий.
По поручению президента компании или решению директора по внутреннему контролю и аудиту для мероприятий, направленных на устранение недостатков с высоким уровнем значимости, может быть установлен особый контроль и обеспечен мониторинг состояния их выполнения. В данном случае:
— работники подразделения внутреннего аудита согласно установленным срокам и периодичности отчетности запрашивают информацию о состоянии выполнения мероприятий и подтверждающую документацию у руководителя объекта внутреннего аудита и контроля в установленном порядке;
— руководитель объекта внутреннего аудита и контроля, после получения соответствующего запроса, незамедлительно предоставляет информацию о состоянии выполнения мероприятий в подразделение внутреннего аудита.
Ответственные сотрудники подразделения внутреннего аудита контролируют сроки, качество, достоверность и полноту предоставления руководителем объекта внутреннего аудита и контроля информации о выполнении плана мероприятий, проверяют подтверждающую документацию, анализируют причины срывов исполнения мероприятий плана.
При планировании проверок результатов выполнения мероприятий учитывается время, необходимое на анализ подтверждающей документации; определяется порядок проведения контрольных проверок.
Руководители проверок при разработке аудиторских процедур учитывают:
— уровень значимости недостатков, нарушений, рисков, на устранение которых направлены мероприятия;
— специфику мероприятий;
— последовательность выполнения мероприятий;
— состояние выполнения мероприятий по информации, полученной от руководителей объектов внутреннего аудита и контроля и подтвержденной первичными документами.
В соответствии с действующими в ОАО «РЖД» внутрикорпоративными стандартами аудиторские процедуры должны содержать порядок оценки эффективности управления рисками объекта внутреннего аудита и контроля после внедрения мероприятий (для рисков, по которым в рамках внутренних аудиторских проверок был сформулирован вывод о неэффективности их управления). Блок-схема определения эффективности выполнения утвержденного плана мероприятий в соответствии со стандартом «Организация и проведение мониторинга выполнения мероприятий по устранению нарушений, недостатков и совершенствованию системы внутреннего контроля» приведена на рисунке 1.
105
Устранение нарушений и рисков в системе внутреннего контроля
Рисунок 1. Порядок определения эффективности выполнения мероприятий по устранению нарушений, недостатков, рисков и совершенствованию системы внутреннего контроля в ОАО «РЖД»
На основе отчетов по результатам контрольных проверок и результатов анализа подтверждающей документации работники подразделения внутреннего аудита формулируют выводы относительно:
1) факта устранения недостатка или нарушения:
— устранено;
— не устранено (с указанием причины);
2) своевременности выполнения мероприятия:
— выполнено в установленные сроки;
— выполнено с задержкой сроков (с указанием причины задержки);
3) эффективности выполнения мероприятия (по решению руководителя подразделения внутреннего аудита):
— мероприятие эффективно;
106
Устранение нарушений и рисков в системе внутреннего контроля
— мероприятие неэффективно.
На основе статуса о выполнении мероприятий и отчетов по результатам контрольных проверок и анализа подтверждающей документации работниками подразделения внутреннего аудита составляется сводный отчет по результатам мониторинга.
Информация с выводами об эффективности системы внутреннего контроля и управления рисками объекта проверки направляется президенту компании, курирующим вице-президентам и руководителям, в подведомственности которых находятся проверяемые подразделения, дочерние и зависимые общества.
Результаты мониторинга мероприятий по устранению нарушений и рисков используются при планировании аудитов и внутреннего контроля в других подразделениях и дочерних обществах компании.
Таким образом, создание механизма организации и проведения непрерывного мониторинга нарушений, недостатков и рисков является действенным рычагом повышения эффективности системы внутреннего контроля, фактором искоренения и упреждения нарушений, снижения рисков, мобилизации внутрихозяйственных резервов компании.
Литература
1. Иванов О.Б. Принципы построения риск-ориентированной системы внутреннего контроля и аудита в крупной компании, корпорации, холдинге // Аудиторские ведомости. 2013. № 8. С. 18—35.
2. Иванова С.В. О влиянии внешних условий и специфике принятия решений в отечественной системе образования // Ценности и смыслы. 2012. № 2. С. 4-17.
3. Национальный стандарт Российской Федерации ГОСТ Р ИСО 90002008 «Системы менеджмента качества. Основные положения и словарь», утвержденный приказом Ростехрегулирования от 18 декабря 2008 года № 470-ст. Режим доступа: www.consultant.ru (дата обращения: 4 ноября 2014 года).
4. Соколов Б.Н., Русакова А.С. Внутренний аудит и контроль бизнеспроцессов: организация, методики, практика. М.: Изд. СГУ, 2013. 433 С.
5. Стандарты и руководства Международной организации высших органов финансового контроля (ИНТОСАИ). Режим доступа: http://www. iktosai.org/ (дата обращения: 4 ноября 2014 года).
6. The Institute of Internal Auditors. The Professional Practices Framework. The Institute of Internal Auditors Research Foundation, 2005.
7. Committee of Sponsoring Organizations. Enterprise Risk Management — Integrated Framework. COSO, 2004.
8. The Institute of Internal Auditors. The Professional Practices Framework. The Institute of Internal Auditors Research Foundation, 2005.
107
Устранение нарушений и рисков в системе внутреннего контроля
References
1. Ivanov O.B. The principles of risk oriented internal controls and audits in big companies, corporations and holdings. Auditorskie vedomosti [Audit Jour-nal].2013, no. 8, pp. 4—17 (in Russian).
2. Ivanova S.V. On the influence of external conditions and specificity of decision-making in the national education system. Tsennosti I smysly [Values and meanings], 2012, no. 2 pp. 4—17 (in Russian).
3. National Standard of the Russian Federation GOST R ISO 9000-2008
4. "Quality Management Systems. Fundamentals and vocabulary", approved by Order Rostechregulirovanie of 18 December 2008 — 470. Available at: www. consultant (accessed 4 November 2014) (in Russian).
5. Standards and guidelines of the International Organization of Supreme Audit Audit Institutions (INTOSAI). Available at: http://www.iktosai.org/ (accessed 4 November 2014) (in Russian).
6. Sokolov B.N., Rusakova A.S. Internal auditing and control of business processes: the organization, methods, practice. Moscow: SGU Publishing, 2013 (in Russian).
7. Committee of Sponsoring Organizations. Enterprise Risk Management — Integrated Framework. COSO, 2004.
8. The Institute of Internal Auditors. The Professional Practices Framework. The Institute of Internal Auditors Research Foundation, 2005.
108
