Финансы и управление
Правильная ссылка на статью:
Комзолов А.А., Кириченко Т.В. — Реализация концепции риск-ориентированного внутреннего контроля в системе обеспечения экономической безопасности собственников корпораций // Финансы и управление. -2019. - № 4. DOI: 10.25136/2409-7802.2019.4.31259 URL: https;//nbpublish.com/Hbrary_read_article.php?id=31259
Реализация концепции риск-ориентированного внутреннего контроля в системе обеспечения экономической безопасности собственников корпораций
Комзолов Алексей Алексеевич
доктор экономических наук
профессор, кафедра безопасности цифровой экономики, факультет комплексной безопасности ТЭК,
РГУ нефти и газа (НИУ) им. И.М. Губкина
119991, Россия, город Москва, г. Мзсква, Ленинский проспект, 65 И alexkomzolov@gmail.com
Кириченко Татьяна Витальевна
доктор экономических наук
профессор, кафедра безопасности цифровой экономики, факультет комплексной безопасности ТЭК, РГУ
нефти и газа (НИУ) им. И.М. Губкина
119991, Россия, город Москва, г. Мзсква, Ленинский проспект, 65
И tvkirichenko@gmail.com
Статья из рубрики "Управление и контроль в экономике"
Аннотация.
Предметом исследований являются инструменты и методы формирования системы внутреннего контроля, позволяющие надежно и эффективно обеспечить экономическую безопасность собственников корпораций. Авторами подробно рассматривается институциональная система обеспечения экономической безопасности собственников корпораций. А также проблема инкорпорации международных стандартов управления рисками и внутреннего контроля в систему российского права, показано как различные подходы этих стандартов отразились в конкретных нормах права. Особое внимание уделено предложениям по внедрению в российских корпорациях действенных инструментов риск-ориентированного внутреннего контроля. Отражен опыт авторов по применению этих инструментов на практике. Основными методами исследований являются общенаучный метод и сравнительно-правовой метод. А также последовательное применение риск-ориентированного подхода при выборе и обосновании целесообразности применения инструментов построения системы внутреннего контроля корпорации. Основными выводами проведенных исследований являются: констатация глубокой инкорпорации в российское правовое поле концепций и принципов COSO построения системы управления рисками и внутреннего контроля, принципов функционирования внутреннего аудита; утверждение о целесообразности применения при риск-ориентированном формировании внутреннего контроля карты рисков бизнес-процессов. Научная новизна исследований заключается в выявлении эволюционной составляющей при сравнительном анализе правовых норм, регулирующих
систему управления рисками и внутреннего контроля. А также в последовательном применении риск-ориентированного подхода, позволившего предложить эффективный инструмент построения системы внутреннего контроля - карту рисков бизнес-процессов.
Ключевые слова: риск, управление рисками, внутренний контроль, внутренний аудит, экономическая безопасность, корпорация, публичное акционерное общество, карта рисков, совет директоров, собрание акционеров
DOI:
10.25136/2409-7802.2019.4.31259
Дата направления в редакцию:
09-11-2019
Дата рецензирования:
14-11-2019
Дата публикации:
15-11-2019
Крупнейшими хозяйствующими субъектами являются корпорации (публичные акционерные общества). Для этой организационно-правовой формы характерно большое число сотрудников и большое число собственников - акционеров. При этом, как правило, имеется большое число мелких акционеров. Что не может не создавать дистанцию между собственниками и высшим менеджментом корпорации, у которых могут
быть как различные интересы, так и различные взгляды на будущее общества -Ш. Высшим органом корпорации, представляющим акционеров, является собрание акционеров. Однако этот орган весьма громоздок и не работает постоянно. Для контроля над финансово-хозяйственной деятельностью корпорации собранием акционеров создается ревизионная комиссия, но она осуществляет контроль деятельности за год. Для более тесного и регулярного контроля над деятельностью общества собрание создает совет директоров (наблюдательный совет). Такая схема не может не порождать новую проблему - наличие дистанции между представленными в совете директоров и ревизионной комиссии собственниками и непредставленными в органах управления и контроля миноритарными акционерами.
Для обеспечения экономической безопасности всех собственников законодатель и регулятор финансовых рынков выстраивает систему, призванную обеспечить экономическую безопасность собственника. Прежде всего, законодатель тщательно и взвешенно продумывает правила, обеспечивающие правильное функционирование собрания акционеров, где прописывает, что такое общее собрание акционеров, как регулярно и для чего оно созывается, далее он регулирует полномочия общего собрания, а также компетенции общего собрания акционеров, которые оно может и не может передавать своему выборному органу - совету директоров.
Регулируется также, каким образом принимаются решения общего собрания акционеров,
кто имеет право голоса, сколько голосов требуется по каким вопросам и какие решения могут приниматься только по предложению совета директоров. Также законодатель определяет по каким вопросам возможно проведение общего собрания акционеров в форме заочного голосования, а по каким вопросам оно не допустимо.
Законом прописано каким образом составляется список лиц, которым предоставляется право на участие в общем собрании акционеров. А каким образом и за какое время эти лица информируются о проведении общего собрания акционеров, а также какая информация им предоставляется, включая: отчетность, заключения по ней аудитов, сведения о кандидатах в избираемые органы, проекты документов.
Закон регламентирует право акционеров, имеющих не менее, чем два процента голосующих акций на внесение предложений в повестку дня общего собрания акционеров, с предлагаемым вариантом решения, а также кандидатур на избрание. Подробно регламентируется какие решения должен принять совет директоров для подготовки к проведению общего собрания акционеров. Регламентируется и созыв внеочередного общего собрания акционеров, которое может быть созвано по требованию совета директоров, аудитора, ревизионной комиссии или владельцев не менее десяти процентов голосующих акций.
Регламентируется также порядок создания и деятельности счетной комиссии, создание которой обязательно, если число владельцев голосующих акций более ста. Функции счетной комиссии выполняет регистратор, если число владельцев голосующих акций более пятисот. Регламентируется и порядок участия (личный или через представителя) акционеров в общем собрании акционеров.
Регламентируется кворум общего собрания акционеров - участие владельцев более половины голосующих акций. А также, каким образом осуществляется голосование на общем собрании акционеров. Определено, что бюллетень для голосования является обязательным для обществ с числом владельцев голосующих акций пятьдесят и более лиц. Регламентируется подсчет голосов при голосовании. А также формирование протокола и отчета об итогах голосования и протокола общего собрания акционеров. Также подробно регламентируется и деятельность совета директоров, ревизионной комиссии и аудитора
Тем не менее, даже такая подробная регламентация деятельности высших органов управления корпорации сама по себе не способна обеспечить достаточный уровень экономической безопасности собственника. И связано это с тем, что корпорация функционирует непрерывно и, как правило, очень велика, а эти органы собираются время от времени и численный состав их органичен. В связи с чем, мировой корпоративный опыт пришел к выводу о необходимости построения постоянно функционирующей системы обеспечения экономической безопасности собственника -системы внутреннего контроля (СВК), являющейся неотъемлемой частью организации.
Прежде чем принять существующий вид, подходы к построению СВК концепции контроля прошли долгий эволюционный путь. Эволюционное развитие концепций контроля
рассматриваются нами в соответствии с теорией трансформации систем Первоначально (до Великой депрессии) это была концепция тотального
подтверждающего контроля [4]. Основными особенностями этой концепции была сплошная документальная проверка, подтверждающая как учетные операции, так и правильность их группировки в отчетах, но осуществлялся контроль не внутри организации, а внешним аудитором.
Рост корпораций, развитие транснациональных компаний, привело к тому, что в практику вошел и получил развитие внутренний контроль. Первоначально, в форме реализации
концепции тотального системно-ориентированного контроля J51. В условиях системно-ориентированного контроля аудитор должен оценивать, прежде всего, надежность функционирования системы внутреннего контроля. В силу предположения, что эффективное функционирование СВК снижает вероятность как случайных, так и преднамеренных ошибок.
Информационная революция привела к лавинообразному росту объемов информации, и осознанию того, что интерес представляет не вся, а имеющая отношение к делу существенная информация. Применительно к внутреннему контролю это означает, что контрольные процедуры должны осуществляться не везде, а там, где с существенной вероятностью могут реализоваться риски, ведущие к существенным убыткам. Так
появилась концепция риск-ориентированного контроля [6, С-16"". Институтом, внесшим наибольший вклад в развитие риск-ориентированной концепции внутреннего контроля, является американская некоммерческая организация - Комитет спонсорских организаций Комиссии Тредвея (COSO). COSO образовался в 1985 году при Национальной комиссии по вопросам мошенничества в финансовой отчетности (комиссия Тредвея).
В 1992 г. COSO был выпущен стандарт в области построения системы внутреннего контроля (документ «Внутренний контроль. Интегрированная модель») t71. Документ стал краеугольным камнем в области развития категориального аппарата и методологии внутреннего контроля. Прежде всего, в нем было дано определение внутреннего контроля. В определении четко выделены три элемента.
Первый - сформулировано, что такое внутренний контроль - процесс достижения разумной уверенности в том, что будут достигнуты цели организации.
Второй - выделены и классифицированы цели организации с точки зрения внутреннего контроля - операционные цели: а именно цели деятельности, включая достижение плановых показателей и сохранность активов; цели в области достоверности и своевременности формирования отчетности; комплаенс-цели - цели в области соблюдения законодательства и регуляторных норм.
Третий - определено, кто осуществляет внутренний контроль - совет директоров, менеджмент, другие сотрудники организации.
Также в документе были даны определения пяти взаимосвязанных элементов внутреннего контроля: контрольной среды, оценки рисков, контрольных процедур, обмена информацией, мониторинга.
В Российское правовое пространство эти определения инкорпорированы сразу несколькими отраслями права, включая корпоративное и бухгалтерское право. Корпоративное право и регулирование в лице регулятора финансового рынка -Центрального банка Российской Федерации рекомендует использовать стандарты COSO в системе внутреннего контроля. Само наличие системы внутреннего контроля -
обязательное требование законодательства о публичных акционерных обществах i81. Кроме того, наличие системы внутреннего контроля требует Федеральный закон от 06.12.2011 № 402-ФЗ «О бухгалтерском учете» (в ред. от 26.07.2019). А регулятор бухгалтерских норм - Минфин, в своем письме дает определение внутреннего контроля и его элементов, являющиеся практически переводом определения COSO
Появление концепции риск-ориентированного контроля, не смогло предотвратить того, что в начале 2000-х годов произошел целый ряд корпоративных крахов в США, напрямую связанных с недостоверностью отчетности и ненадлежащей организацией
аудита [6, С 1011, банкротства крупнейших американских компаний Enron и WorldCom послужили импульсом к дальнейшему развитию модели COSO.
В сентябре 2004 г. COSO был издан новый документ - «Концепция управления рисками
организации», часто называемый - модель COSO-ERM-^101. Эта модель выстраивала связь риск-менеджмента с внутренним контролем. Сердцевина COSO-ERM - это риск-ориентированный контроль по бизнес-процессам. Этот подход к организации внутреннего контроля и сейчас является общепризнанным как для частных, так и для государственных хозяйствующих субъектов, и активно применяется, адаптируется и развивается регулирующими, фискальными и правоохранительными органами различных стран, включая Россию. В документе 2004 года появился куб COSO, визуализирующий взаимосвязи целей, элементов управления рисками и уровней управления. В систему законодательства и права России связь риск-менеджмента с внутренним контролем инкорпорирована, в частности, нормой закона об акционерных обществах, требующей организовать в публичном обществе управление рисками и внутренний контроль.
Мировой финансовый кризис 2007 - 2008 годов начался с ипотечного кризиса в США, переросшего в банковский кризис. Его наиболее заметным событием стало банкротство американского инвестиционного банка Lehman Brothers. Одним из ответов на банковский кризис стало появление международного стандарта финансовой отчетности МСФО (IFRS) 9 «Финансовые инструменты». Данный документ, исходит из того, что принятие риска -основной способ управления рисками финансовых активов, и требует сформировать резерв для покрытия убытков в размере ожидаемого убытка. То есть, математического ожидания убытков, рассчитанного на основе суммы, находящейся под возможностью потерь, умноженную на вероятность потерь, взятую из матрицы дефолтов. В российскую
систему эта норма введена приказом Минфина сделавшим обязательным для
применения российскими корпорациями МСФО (IFRS) 9 «Финансовые инструменты».
В COSO в ответ на кризис в рамках риск-ориентированного контроля в 2013 году появилась концепция «Три линии защиты» Ü^I. Это концепция разграничила контрольные функции владельцев бизнес-процессов, подразделений управления рисками и внутреннего контроля, а также подразделений внутреннего аудита. Первой линией защиты является исполнительная линия - владельцы бизнес-процессов, все работники, которые осуществляет контрольные процедуры. Второй линией защиты является методологическая линия - это подразделения управления рисками и внутренего контроля. Третье контрольной линией защиты являются подразделения внутреннего аудита. В российской системе права концепция трех линий защиты реализована, в частности, положением закона об акционерных обществах, требующим создания подразделения внутреннего аудита для проверки надежности и эффективности функционирования системы управления рисками и внутреннего контроля. Дальнейшим развитием COSO в 2017 стала интеграция управления рисками со стратегией -U-31.
Таким образом, ключевым элементом современной российской системы обеспечения экономической безопасности собственников корпораций является риск-ориентированный внутренний контроль, построенный на принципах стандартов COSO, внесенных в российское правовое поле. Тем не менее, открытым остается вопрос при помощи каких инструментов целесообразно реализовывать концепцию риск-ориентированного
внутреннего контроля в россииских корпорациях.
Собственные исследования авторов показали, что наиболее действенным инструментом достижения полноты при формировании реестра рисков корпораций, для целей формирования системы процедур внутреннего контроля является построение карты рисков бизнес-процессов. Сам по себе это не новый инструмент, позволяющий добиться полноты перечня рисков —сЛ25], за счет визуализации процесса идентификации рисков. На карте рисков (рисунок 1 - условный пример такой карты) по горизонтали откладывают исследуемые бизнес-процессы, а по вертикали классы (категории) рисков. И заполняют все ячейки на пересечении, что позволяет снизить вероятность исключения из рассмотрения какого-либо риска. Затем проводится оценка важнейших рисков и только они остаются для дальнейшего рассмотрения. На рисунке 1 оставлено три заполненных ячейки в каждой из которых может находится один или несколько ключевых рисков.
Катеторлн дорой
Пдвюцннжк
Реализация профлим л проекты)
ЛйППКрО'тОО
I
СОТ^Ч-срочное
^Гииогораиддка у/"
Гр«а^1НТЕ1Н1е активов
| Внуфенмле
Взаимодействия (финансовые)
В+даилие
Рисунок 1 - Карта рисков
Для решения задач выделения рисков с целью реализации «закрывающих» их контрольных процедур в системе внутреннего контроля авторами была предложена адаптированная для решения этой задачи карта рисков бизнес-процессов для целей внутреннего контроля. При формировании карты рисков бизнес-процессов для целей внутреннего контроля (рисунок 2) по вертикали рационально отразить цели внутреннего контроля: достижение основных финансовых показателей, сохранность активов; достоверность отчетности; комплаенс, рассматривая эти цели контроля как ориентиры для выделения рисков. А по горизонтали в карте рисков рационально отражать бизнес-процессы. При этом, бизнес-процессы здесь выделены по функциональным признакам, что может быть, не вполне методически чистая идея выделения бизнес-процессов, но позволяющая существенно упростить организационные аспекты построения действенной системы внутреннего контроля, из-за возможности напрямую работать с соответствующем руководителем направления деятельности или подразделения высокого ранга.
^ч Бшик- ■ ОСНОВНЫЕ И ОБЕСПЕЧИВАЮЩИЕ ПРОЦЕССЫ
процессы Цели Улрнмьм* пшреа ни» ¥4« ИТ-паддошш №м6пмш1я Овсся нн н Ье и>п м св оси, к.1. II Т.Д. пиздиринл н л фо] 1 млцваа пук
Эффект* и ость м риуЛиППяЫвеГь £шМй дмпыьиопм, ШирЛмнвег» шнаи I. Риск 3. Рыск 4, Р»кн З.Рнп
Дмчем^нвсть и аднбттип буШЫМрСжйЗ (финансовой] и иной
Са4ллд*мнй
41РИ¥ИИИИ;КР т. Риск ¡8- РкК*
МиМйАИМь?)*«
Рисунок 2 - Карта рисков бизнес-процессов для целей внутреннего контроля
Практическое применение авторами таких подходов показало, что выбранный способ построения карты рисков позволяет решить непростую проблему взаимодействия владельцев бизнес-процессов и специалистов по управлению рисками в процессе идентификации рисков.
После идентификации рисков решается задача их оценки и выделения главных, которые и остаются в конечном варианте карты. На рисунке 2 цвет, отличный от белого, имеют только ячейки с существенными рисками и пронумерованы только оставленные в карте существенные риски. Цвета ячеек на рисунке 2 отражают существенность рисков. Красная ячейка с более существенными для организации рисками, чем желтая. Изображен условный пример, с уловной приоритезацией рисков.
Следующей задачей (а точнее задачами) является разработка и внедрение контрольных процедур рисков бизнес-процессов. В этом процессе может потребоваться дальнейшая детализация процессов. Когда любая из ячеек может сама стать картой для выделения ключевых рисков, требующих контрольных процедур.
ОСНОВНЫЕ И ОБЕС ЛЕЧ И ВАЮШ ИЕ ПРОЦЕССЫ
Х^риц*«« Цели Проим-одпво С Яыт Финишем УПрМАЬийв мрсонвлом Уч«т ИТ' поддчмк» ЯОЫм£11«ММ »Т.Д.
Ьффашинопъ н рмуль ■ * п* кнап ь 1аа*н дмтвльносш, «тар« тест» шиш 1 1 1 1
Дк>н«$н<мб н ООН |ИМ4 |«ОСТЪ бучЬлгшреизй1 |фнмвни»ой|^ и «мой
тчв-тиостн
Соб.пюдмм-е |ЫКОМОДИ*ЛЬ£ТЫ
Рисунок 3 - Карта степени адекватности реализации процедур внутреннего контроля
В любой момент времени оценить состояние системы внутреннего контроля способна помочь карта степени адекватности реализации процедур внутреннего контроля, где белым цветом отображены ячейки с бизнес-процессами, не требующими контрольных процедур. Красными, где они отсутствуют или неадекватны. Желтыми, где отсутствует достаточная степень регламентации. Зелеными, где степень регламентации достаточна. Голубым - где имеются автоматизированные процедуры внутреннего контроля.
Таким образом, авторами предложены и апробированы на практике действенные инструменты формирования эффективного риск-ориентированного дизайна системы
внутреннего контроля современной организации. Библиография
1. Кириченко Т.В. Финансовый менеджмент: Учебник - Москва: Дашков и К, 2018. -484 с. - ISBN: 978-5-394-01996-8
2. Зайцева Т.Л., Кириченко Т.В., Колядов Л.В. Бухгалтерский учет в нефтегазовых компаниях: Учебник - Москва: Российский государственный университет нефти и газа (национальный исследовательский университет) имени И.М. Губкина, 2011. -351 с. - ISBN: 978-5-91961-035-9
3. Land G. Grow or Die: The Unifying Principle of Transformation. New York: John Wiley & Sons, 1973
4. Пашков, Р.В. Внутренний контроль как модель и система. Серия «Банковское дело: монография / Пашков Р.В. и др. — Москва: Русайнс, 2016. — 312 с. — ISBN: 978-54365-0791-0
5. Галкина Е.В. Современная модель внутреннего контроля в корпоративном менеджменте // Российское предпринимательство. - 2013. - Том 14. - № 1. - С. 5560.
6. Кириченко Т.В., Дашков Л.П., Комзолов А.А. Риск-ориентированная система финансового менеджмента в условиях финансовой глобализации и трансформации международных стандартов финансовой отчетности: Монография - Москва: Информационно-внедренческий центр "Маркетинг", 2009. - 239 с. - ISBN: 978-57856-0696-8
7. Internal Control - Integrated Framework. The Committee of Sponsoring Organizations of the Treadway Commission (COSO), New York, AICPA, 1992. URL: http://www.coso.org/IC.htm
8. Федеральный закон от 26.12.1995 № 208-ФЗ (ред. от 15.04.2019) «Об акционерных обществах» // Консультант Плюс // http://www.consultant.ru/ document/cons_doc_LAW_8743/
9. Информация Минфина России № ПЗ-11/2013 «Организация и осуществление экономическим субъектом внутреннего контроля совершаемых фактов хозяйственной жизни, ведения бухгалтерского учета и составления бухгалтерской (финансовой) отчетности». URL: http://www.minfin.ru
10. Enterprise Risk Management — Integrated Framework. The Committee of Sponsoring Organizations of the Treadway Commission (COSO), New York, AICPA, 2004. URL: https ://www.coso.org/news/Pages/newsroom.aspx#k= #s = 51
11. Международный стандарт финансовой отчетности (IFRS) 9 «Финансовые инструменты» (введен в действие на территории Российской Федерации приказом Минфина России от 27.06.2016 № 98н; с учетом поправок документов МСФО, введенных в действие на территории Российской Федерации приказами Минфина России от 11.07.2016 № 111н; от 27.03.2018 № 56н; от 04.06.2018 № 125н) URL: https ://www.minfin.ru/ru/perfomance/accounting/mej_standart_fo/kons _msfo/
12. Internal Control - Integrated Framework. The Committee of Sponsoring Organizations of the Treadway Commission (COSO), New York, AICPA, 2013. URL:
https ://www.coso.org/Pages/ic.aspx
13. Enterprise Risk Management - Integrated Framework. The Committee of Sponsoring Organizations of the Treadway Commission (COSO), New York, AICPA, 2017. URL: http://www.coso.org/IC.htm