Научная статья на тему 'Мониторинг выполнения мероприятий по устранению нарушений и рисков в системе внутреннего контроля (практика ОАО «Российские железные дороги»)'

Мониторинг выполнения мероприятий по устранению нарушений и рисков в системе внутреннего контроля (практика ОАО «Российские железные дороги») Текст научной статьи по специальности «Экономика и бизнес»

CC BY
6013
814
i Надоели баннеры? Вы всегда можете отключить рекламу.
Ключевые слова
АУДИТ / AUDIT / КОНТРОЛЬ / CONTROL / МОНИТОРИНГ / MONITORING / ПЛАН МЕРОПРИЯТИЙ / PLAN OF ACTION / НАРУШЕНИЯ / VIOLATIONS / SHORTCOMINGS / РИСКИ / RISKS / СИСТЕМА ВНУТРЕННЕГО КОНТРОЛЯ (СВК) / INTERNAL CONTROL SYSTEM / СТАНДАРТЫ / STANDARDS / УСТРАНЕНИЕ НАРУШЕНИЙ / ELIMINATION OF VIOLATIONS / НЕДОСТАТКИ

Аннотация научной статьи по экономике и бизнесу, автор научной работы — Иванов Олег Борисович

В статье рассматривается практика ОАО «РЖД» по созданию эффективной системы организации и проведения мониторинга выполнения мероприятий по устранению нарушений, недостатков и рисков, а также совершенствованию системы внутреннего контроля на основе внедрения системы внутрикорпоративных стандартов.

i Надоели баннеры? Вы всегда можете отключить рекламу.

Похожие темы научных работ по экономике и бизнесу , автор научной работы — Иванов Олег Борисович

iНе можете найти то, что вам нужно? Попробуйте сервис подбора литературы.
i Надоели баннеры? Вы всегда можете отключить рекламу.

The Russian Railways’ Experience in Monitoring the Elimination of Violations and Risks in the Internal Control System

The article presents the way the company builds its effective system of monitoring the elimination of violations, shortcomings, risks and improves the internal control system by introducing the corporate standards.

Текст научной работы на тему «Мониторинг выполнения мероприятий по устранению нарушений и рисков в системе внутреннего контроля (практика ОАО «Российские железные дороги»)»

АУДИТ, КОНТРОЛЬ, УПРАВЛЕНИЕ РИСКАМИ

УДК 657.6

Мониторинг выполнения мероприятий по устранению нарушений и рисков в системе внутреннего контроля

(практика ОАО «Российские железные дороги»)

В статье рассматривается практика ОАО «РЖД» по созданию эффективной системы организации и проведения мониторинга выполнения мероприятий по устранению нарушений, недостатков и рисков, а также совершенствованию системы внутреннего контроля на основе внедрения системы внутрикорпоративных стандартов.

Ключевые слова: аудит, контроль, мониторинг, план мероприятий, нарушения, недостатки, риски, система внутренне- О Б Иванов

го контроля (СВК), стандарты, устранение нарушений.

В основе функционирования внутреннего контроля и аудита компании лежит организация работы по построению системы, кторая обеспечивает: заслон неэффективному использованию финансовых, материальных и иных ресурсов; своевременное выявление нарушений, недостатков и рисков, их оперативное устранение и мобилизацию на этой основе внутрихозяйственных резервов. И здесь важно подчеркнуть, что главное в деятельности службы внутреннего контроля и аудита — не выявить нарушения или определить риски, а обеспечить их устранение и исключить условия для их повторяемости. Устойчивого результата можно добиться только при условии, что эта работа будет строиться на системной основе.

Следует отметить, что практика эффективной организации такой работы создана в ОАО «Российские железные дороги». В компании внедрен стандарт «Организация и проведение мониторинга выполнения мероприятий по устранению нарушений, недостатков и совершенствованию системы внутреннего контроля». Он разработан с учётом требований нормативных документов Российской Федерации, лучшей зарубежной и отечественной практики, международных стандартов внутреннего аудита и внутрикорпоративных нормативных документов ОАО «РЖД».

Стандарт регламентирует процедуру мониторинга выполнения мероприятий по устранению нарушений,

© Иванов О.Б., 2014

97

Устранение нарушений и рисков в системе внутреннего контроля

недостатков и совершенствованию системы внутреннего контроля (СВК) подразделениями внутреннего аудита компании и ее дочерних и зависимых обществ.

Действие настоящего Стандарта распространяется на все подразделения аппарата управления ОАО «РЖД», его филиалы и другие структурные подразделения, негосударственные учреждения и в установленном порядке на его дочерние и зависимые общества.

Мониторинг выполнения планов мероприятий по устранению нарушений, недостатков и рисков представляет собой непрерывный процесс оценки подразделением внутреннего аудита адекватности, эффективности и своевременности действий, предпринятых руководителями объектов внутреннего аудита и контроля, по устранению нарушений, недостатков и рисков, выявленных в ходе проведенных ранее проверок.

Процесс мониторинга должен осуществляться непрерывно до полного устранения нарушений и минимизации рисков, а также устранения причин их возникновения и условий для их повторяемости. При этом процесс мониторинга включает:

— получение информации от руководителей объектов внутреннего аудита и контроля о состоянии выполнения планов мероприятий по устранению нарушений, недостатков и рисков (в том числе первичной документации, подтверждающей выполнение указанных мероприятий);

— анализ и проверку документации, подтверждающей выполнение мероприятий;

— планирование и проведение контрольных (последующих) проверок результатов выполнения мероприятий;

— формирование отчета по результатам мониторинга.

Руководители объектов внутреннего аудита и контроля в установленные сроки после подписания отчета по результатам проверки проводят совещания по рассмотрению результатов проверки, на которых определяют причины допущенных нарушений, виновных должностных лиц, а также разрабатывают планы мероприятий по устранению нарушений, недостатков и рисков, меры по недопущению их впредь; определяют меры, направленные на совершенствование системы внутреннего контроля в подразделении.

При этом устанавливается порядок, при котором руководители проверяемых подразделений и дочерних обществ несут ответственность за обеспечение своевременного и надлежащего выполнения плана мероприятий по устранению выявленных проверкой нарушений, недостатков и мер по минимизации рисков.

Курирующие вице-президенты и руководители причастных подразделений аппарата управления компании осуществляют текущий контроль за полнотой и своевременностью выполнения планов мероприятий руководителями объектов внутреннего контроля и аудита, в том числе:

98

Устранение нарушений и рисков в системе внутреннего контроля

— принимают меры по обеспечению мероприятий по совершенствованию системы внутреннего контроля в подведомственных подразделениях;

— контролируют работу по выполнению планов мероприятий в структурных подразделениях с оказанием консультационной помощи руководителям объектов внутреннего аудита в пределах своей компетенции и полномочий;

— привлекают к ответственности руководителей объектов внутреннего аудита, допустивших нарушения и не принявших своевременных мер по их устранению.

Периодически или согласно запросам подразделения внутреннего аудита руководители объектов внутреннего аудита и контроля предоставляют работникам подразделения внутреннего аудита информацию о состоянии выполнения планов мероприятий и документы, подтверждающие фактическое выполнение мероприятий.

Работники подразделения внутреннего аудита при необходимости запрашивают дополнительную информацию о состоянии выполнения плана мероприятий (включая подтверждающую документацию) от подразделений компании и в установленном порядке от ее дочерних и зависимых обществ.

Для агрегации информации по состоянию выполнения планов мероприятий работники подразделения внутреннего аудита формируют документ, который именуется «Статус о выполнении мероприятий по устранению нарушений, недостатков и совершенствованию системы внутреннего контроля» (таблица 1). Данный статус обновляется в непрерывном режиме при разработке новых планов мероприятий по итогам проверок, при изменении состояния выполнения планов мероприятий, при изменении сроков мероприятий или смене работников, ответственных за их выполнение.

Статус о выполнении мероприятий содержит:

— список мероприятий по совершенствованию системы внутреннего контроля, включая мероприятия по возмещению потерь;

— список работников компании или ее дочерних и зависимых обществ, ответственных за выполнение мероприятий;

— сроки исполнения мероприятий;

— информацию о состоянии выполнения мероприятий.

Результаты выполнения мероприятий по совершенствованию системы внутреннего контроля также подлежат проверке подразделением внутреннего аудита. Проверка результатов выполнения мероприятий осуществляться посредством анализа и проверки документации, подтверждающей факт или состояние выполнения мероприятий.

На основе статуса о выполнении мероприятий и результатов проверок выполнения планов мероприятий работники подразделения внутреннего аудита периодически формируют сводный отчет по результатам мониторинга в разрезе каждой проверки и направляют его руководителю подразделения

99

Таблица 1

О

° Статус о выполнении мероприятий по устранению нарушений, недостатков, рисков и совершенствованию системы

внутреннего контроля

Недостаток, нарушение, риск Уровенв значимости недостатка Мероприятие Срок мониторинга состояния выполнения мероприятия Ответственный работник объекта внутреннего аудита и контроля Работник подразделения внутреннего аудита, ответственный за мониторинг Состояние выполнения мероприятия (по данным ответственных работников объекта внутреннего аудита и контроля) Комментарии

дается описание недостатка, нарушения, риска в соответствии с внутрикор-поративнв1м стандартом «Проведение внутренних аудиторских проверок подразделением внутреннего аудита и контроля» 1. высокий, 2. средний, 3. низкий Ранжирование недостатков осуществляется в соответствии со стандартом «Проведение внутренних аудиторских проверок подразделением внутреннего аудита и контроля» описание мероприятия План мероприятий по устранению нарушений, недостатков, рисков и совершенствованию системы внутреннего контроля составляется в соответствии со стандартом «Подготовка отчета по резулв-татам проведения внутренней аудиторской проверки подразделением внутреннего аудита и контроля» периодичноств устанавливается в соответствии с Положением о внутреннем аудите в ОАО «РЖД»; Положением о системе внутреннего контроля в ОАО «РЖД»; решением руководителей подразделений внутреннего аудита и контроля ФИО и должности работника объекта внутреннего аудита и контроля (объекта проверки) ответственного за выполнение мероприятия ФИО и должности работника подразделения внутреннего аудита, ответственного за мониторинг 1. мероприятие выполнено; 2. мероприятие выполнено частично; 3. мероприятие не выполнено; 4. мероприятие в процессе выполнения если мероприятие не выполнено / выполнено частично указывается причина и предполагаемый срок, к которому мероприятие должно бытв выполнено, а также определяется лицо виновное в невыполнении мероприятия в срок или в неполном объеме

Устранение нарушений и рисков в системе внутреннего контроля

Устранение нарушений и рисков в системе внутреннего контроля

внутреннего аудита, который принимает решение о направлении информации президенту компании, курирующим вице-президентам. Кроме того, информация о результатах выполнения плана и о фактах невыполнения мероприятий, направленных на устранение наиболее значимых недостатков, нарушений, возмещению потерь, минимизации рисков направляется причастным руководителям подразделений компании и дочерних обществ для принятия мер.

Руководитель объекта внутреннего аудита и контроля в десятидневный срок со дня подписания отчета по результатам проверки проводит совещание по разбору выявленных нарушений и рисков, определению причин нарушений, виновных, а также рассматривает проект плана мероприятий по устранению нарушений и совершенствованию системы внутреннего контроля.

Для каждого выявленного в ходе проверки недостатка или нарушения руководитель объекта внутреннего аудита и контроля:

— разрабатывает мероприятия, направленные на его устранение;

— определяет сумму потерь, которая должна быть возмещена (если реализация рисков и нарушения привели к потерям);

— определяет срок выполнения мероприятия;

— назначает работников, ответственных за выполнение каждого из мероприятий.

Особо выделяются мероприятия по совершенствованию СВК, к которым относятся:

— внедрение новых и совершенствование существующих контрольных процедур (включая разработку нормативных документов);

— возмещение возникших вследствие нарушений и реализации рисков потерь;

— корректировка бизнес-процесса;

— совершенствование системы управления подразделением, изменение и дополнение положений и должностных инструкций;

— изменение структуры подразделения.

При разработке проекта плана мероприятий по совершенствованию СВК руководитель объекта внутреннего аудита и контроля должен учитывать следующие факторы:

— требуемые финансовые, временные, трудовые и иные ресурсы; при этом стоимость ресурсов, необходимых для выполнения мероприятия, не должна превышать размер возможного ущерба от реализации риска;

— снижение рисков — разработанные мероприятия и контрольные процедуры должны быть направлены на устранение недостатков СВК, в том числе на исключение повторяемости нарушений и реализации рисков;

— последовательность выполнения мероприятий — порядок выполнения мероприятий должен учитывать уровень значимости недостатков

101

Устранение нарушений и рисков в системе внутреннего контроля

и нарушений, на которые направлены разрабатываемые мероприятия, а также взаимозависимость мероприятий;

— влияние на прочие риски — предлагаемые мероприятия не должны снижать эффективность управления прочими рисками объекта внутреннего аудита и контроля, а также рисками смежных бизнес-процессов;

— возможность возмещения потерь — мероприятия должны предусматривать возможность полного или частичного возмещения потерь по выявленным нарушениям и реализовавшимся рискам;

— привлечение к ответственности в установленном порядке лиц, допустивших нарушения.

Руководитель объекта внутреннего аудита и контроля документирует проект плана мероприятий по совершенствованию СВК по установленной форме (таблица 2), подписывает и направляет его руководителю проверки на рассмотрение, который в недельный срок после его получения анализирует проект на предмет адекватности предлагаемых мероприятий и степени снижения рисков по результатам устранения недостатков по следующим параметрам:

1) позволит ли мероприятие после его выполнения обеспечить полное и своевременное устранение выявленных нарушений, недостатков и последствий реализации рисков;

2) позволит ли выполнение плана мероприятий по совершенствованию СВК снизить риски объекта внутреннего аудита и контроля до приемлемого уровня;

3) позволит ли мероприятие после его выполнения наиболее полно возместить потери от нарушений и реализовавшихся рисков;

4) достаточность предлагаемых мероприятий — является ли набор предлагаемых мероприятий полным и исчерпывающим для обеспечения эффективности СВК объекта внутреннего аудита и контроля и устранения всех выявленных нарушений, недостатков и рисков;

5) соответствует ли порядок устранения недостатков и нарушений определенному уровню значимости;

6) учитывает ли порядок выполнения мероприятий их взаимозависимость;

7) приемлемы ли сроки и последовательность реализации мероприятий для эффективного устранения недостатков и нарушений.

По результатам анализа руководитель проверки дает комментарии и предложения к плану мероприятий и направляет их руководителю объекта внутреннего аудита и контроля, после чего тот в свою очередь рассматривает их (при необходимости согласовывает с курирующим вицепрезидентом) и утверждает. После этого руководитель объекта внутреннего аудита и контроля обязан:

— незамедлительно уведомить ответственных работников своего подразделения об их обязанностях и ответственности в рамках реализации

102

План мероприятий по устранению нарушений, недостатков, рисков и совершенствованию

системы внутреннего контроля

Таблица 2

№ п/п Недостаток, нарушение, риск Стоимостная оценка, тыс.руб. (если применимо) Уровенв значимости недостатка/ нарушена, риска Мероприятие Срок выполнения мероприятия Затраты на выполнение мероприятий, тыс. руб. (если применимо) Должностное лицо, ответственное за выполнение мероприятия Примечание

1 2 3 4 5 6 7 8 9

описание недостатка, нарушения, риска в соответствии со стандартом «Проведение внутренних аудиторских проверок подразделением внутреннего аудита и контроля» 1. ВЫСОКИЙ, 2. средний, 3. низкий Ранжирование недостатков осуществляется в соответствии со стандартом «Проведение внутренних аудиторских проверок подразделением внутреннего аудита и контроля» описание мероприятия указывается срок выполнения мероприятия согласно плану мероприятий по устранению нарушений, недостатков и совершенствованию СВК ФИО и должности работника объекта внутреннего аудита и контроля, ответственного за выполнение мероприятий

О

Устранение нарушений и рисков в системе внутреннего контроля

Устранение нарушений и рисков в системе внутреннего контроля

плана мероприятий по устранению нарушений, недостатков, минимизации рисков и совершенствованию СВК;

— обеспечить своевременное и надлежащее выполнение утвержденного плана;

— своевременно в текущем режиме уведомлять подразделение внутреннего аудита об исполнении мероприятий.

Руководители причастных подразделений аппарата управления компании осуществляют контроль за полнотой и своевременностью выполнения планов мероприятий руководителями объектов проверки, в том числе:

— принимают меры по обеспечению выполнения разработанных мероприятий;

— контролируют работу по выполнению планов мероприятий в структурных единицах и подразделениях, а также дочерних и зависимых обществах;

— привлекают к ответственности руководителей объектов внутреннего аудита и контроля, не принявших своевременных мер по устранению выявленных недостатков, нарушений и внедрению мероприятий по совершенствованию системы внутреннего контроля.

Руководители объектов внутреннего аудита и контроля периодически отчитываются в подразделение внутреннего аудита о состоянии выполнения плана мероприятий. Информация должна содержать следующие сведения:

а) «мероприятие выполнено» — для данных мероприятий руководитель объекта внутреннего аудита и контроля:

1) предоставляет документацию, подтверждающую факт выполнения мероприятия;

iНе можете найти то, что вам нужно? Попробуйте сервис подбора литературы.

2) указывает дату выполнения мероприятий;

б) «мероприятие выполнено частично» (выполнены отдельные пункты мероприятия) — для данных мероприятий руководитель объекта внутреннего аудита и контроля:

1) предоставляет документацию, подтверждающую факт частичного выполнения мероприятия;

2) указывает причины, по которым мероприятие не выполнено в установленный срок и в полном объеме;

3) указывает планируемые сроки выполнения мероприятия;

в) «мероприятие в процессе выполнения» — для данных мероприятий руководитель объекта внутреннего аудита и контроля подтверждает, что их выполнение осуществляется в установленные сроки;

г) «мероприятие не выполнено» — для данных мероприятий руководитель объекта внутреннего аудита и контроля указывает:

1) причины, по которым мероприятие не выполнено в установленные сроки или выполнено не полностью;

2) планируемые сроки выполнения мероприятия (если мероприятие планируется выполнить в дальнейшем);

104

Устранение нарушений и рисков в системе внутреннего контроля

3) определяет должностных лиц, виновных в срыве мероприятий.

По поручению президента компании или решению директора по внутреннему контролю и аудиту для мероприятий, направленных на устранение недостатков с высоким уровнем значимости, может быть установлен особый контроль и обеспечен мониторинг состояния их выполнения. В данном случае:

— работники подразделения внутреннего аудита согласно установленным срокам и периодичности отчетности запрашивают информацию о состоянии выполнения мероприятий и подтверждающую документацию у руководителя объекта внутреннего аудита и контроля в установленном порядке;

— руководитель объекта внутреннего аудита и контроля, после получения соответствующего запроса, незамедлительно предоставляет информацию о состоянии выполнения мероприятий в подразделение внутреннего аудита.

Ответственные сотрудники подразделения внутреннего аудита контролируют сроки, качество, достоверность и полноту предоставления руководителем объекта внутреннего аудита и контроля информации о выполнении плана мероприятий, проверяют подтверждающую документацию, анализируют причины срывов исполнения мероприятий плана.

При планировании проверок результатов выполнения мероприятий учитывается время, необходимое на анализ подтверждающей документации; определяется порядок проведения контрольных проверок.

Руководители проверок при разработке аудиторских процедур учитывают:

— уровень значимости недостатков, нарушений, рисков, на устранение которых направлены мероприятия;

— специфику мероприятий;

— последовательность выполнения мероприятий;

— состояние выполнения мероприятий по информации, полученной от руководителей объектов внутреннего аудита и контроля и подтвержденной первичными документами.

В соответствии с действующими в ОАО «РЖД» внутрикорпоративными стандартами аудиторские процедуры должны содержать порядок оценки эффективности управления рисками объекта внутреннего аудита и контроля после внедрения мероприятий (для рисков, по которым в рамках внутренних аудиторских проверок был сформулирован вывод о неэффективности их управления). Блок-схема определения эффективности выполнения утвержденного плана мероприятий в соответствии со стандартом «Организация и проведение мониторинга выполнения мероприятий по устранению нарушений, недостатков и совершенствованию системы внутреннего контроля» приведена на рисунке 1.

105

Устранение нарушений и рисков в системе внутреннего контроля

Рисунок 1. Порядок определения эффективности выполнения мероприятий по устранению нарушений, недостатков, рисков и совершенствованию системы внутреннего контроля в ОАО «РЖД»

На основе отчетов по результатам контрольных проверок и результатов анализа подтверждающей документации работники подразделения внутреннего аудита формулируют выводы относительно:

1) факта устранения недостатка или нарушения:

— устранено;

— не устранено (с указанием причины);

2) своевременности выполнения мероприятия:

— выполнено в установленные сроки;

— выполнено с задержкой сроков (с указанием причины задержки);

3) эффективности выполнения мероприятия (по решению руководителя подразделения внутреннего аудита):

— мероприятие эффективно;

106

Устранение нарушений и рисков в системе внутреннего контроля

— мероприятие неэффективно.

На основе статуса о выполнении мероприятий и отчетов по результатам контрольных проверок и анализа подтверждающей документации работниками подразделения внутреннего аудита составляется сводный отчет по результатам мониторинга.

Информация с выводами об эффективности системы внутреннего контроля и управления рисками объекта проверки направляется президенту компании, курирующим вице-президентам и руководителям, в подведомственности которых находятся проверяемые подразделения, дочерние и зависимые общества.

Результаты мониторинга мероприятий по устранению нарушений и рисков используются при планировании аудитов и внутреннего контроля в других подразделениях и дочерних обществах компании.

Таким образом, создание механизма организации и проведения непрерывного мониторинга нарушений, недостатков и рисков является действенным рычагом повышения эффективности системы внутреннего контроля, фактором искоренения и упреждения нарушений, снижения рисков, мобилизации внутрихозяйственных резервов компании.

Литература

1. Иванов О.Б. Принципы построения риск-ориентированной системы внутреннего контроля и аудита в крупной компании, корпорации, холдинге // Аудиторские ведомости. 2013. № 8. С. 18—35.

2. Иванова С.В. О влиянии внешних условий и специфике принятия решений в отечественной системе образования // Ценности и смыслы. 2012. № 2. С. 4-17.

3. Национальный стандарт Российской Федерации ГОСТ Р ИСО 90002008 «Системы менеджмента качества. Основные положения и словарь», утвержденный приказом Ростехрегулирования от 18 декабря 2008 года № 470-ст. Режим доступа: www.consultant.ru (дата обращения: 4 ноября 2014 года).

4. Соколов Б.Н., Русакова А.С. Внутренний аудит и контроль бизнеспроцессов: организация, методики, практика. М.: Изд. СГУ, 2013. 433 С.

5. Стандарты и руководства Международной организации высших органов финансового контроля (ИНТОСАИ). Режим доступа: http://www. iktosai.org/ (дата обращения: 4 ноября 2014 года).

6. The Institute of Internal Auditors. The Professional Practices Framework. The Institute of Internal Auditors Research Foundation, 2005.

7. Committee of Sponsoring Organizations. Enterprise Risk Management — Integrated Framework. COSO, 2004.

8. The Institute of Internal Auditors. The Professional Practices Framework. The Institute of Internal Auditors Research Foundation, 2005.

107

Устранение нарушений и рисков в системе внутреннего контроля

References

1. Ivanov O.B. The principles of risk oriented internal controls and audits in big companies, corporations and holdings. Auditorskie vedomosti [Audit Jour-nal].2013, no. 8, pp. 4—17 (in Russian).

2. Ivanova S.V. On the influence of external conditions and specificity of decision-making in the national education system. Tsennosti I smysly [Values and meanings], 2012, no. 2 pp. 4—17 (in Russian).

3. National Standard of the Russian Federation GOST R ISO 9000-2008

4. "Quality Management Systems. Fundamentals and vocabulary", approved by Order Rostechregulirovanie of 18 December 2008 — 470. Available at: www. consultant (accessed 4 November 2014) (in Russian).

5. Standards and guidelines of the International Organization of Supreme Audit Audit Institutions (INTOSAI). Available at: http://www.iktosai.org/ (accessed 4 November 2014) (in Russian).

6. Sokolov B.N., Rusakova A.S. Internal auditing and control of business processes: the organization, methods, practice. Moscow: SGU Publishing, 2013 (in Russian).

7. Committee of Sponsoring Organizations. Enterprise Risk Management — Integrated Framework. COSO, 2004.

8. The Institute of Internal Auditors. The Professional Practices Framework. The Institute of Internal Auditors Research Foundation, 2005.

108

i Надоели баннеры? Вы всегда можете отключить рекламу.