© 2015 г.
Ю. Н. Болкунова С. А. Принцева
риски БИЗНЕСА В СИСТЕМЕ ВНУТРЕННЕГО КОНТРОЛЯ ОРГАНИЗАЦИИ
Болкунова Юлия Николаевна — руководитель отдела планирования и контроля Дирекции по эксплуатации ООО «Воздушные Ворота Северной Столицы»
(E-mail: [email protected])
Принцева Светлана Алексеевна — директор по аудиту ООО «Интерсистемаудит», профессор СПбГЭУ, канд. экон. наук
(E-mail: [email protected])
Успешность бизнеса в современных условиях во многом зависит от умения своевременно выявлять и эффективно контролировать риски, сопутствующие предпринимательской деятельности. Не случайно в рекомендациях Минфина России по организации внутреннего контроля в соответствии со ст. 19 действующего Закона «О бухгалтерском учете» контроль рисков бизнеса является одним из основных элементов внутреннего контроля. Под риском, как правило, подразумевается присущая предпринимательской деятельности возможность (вероятность) потерь и (или) ухудшения финансовых показателей деятельности организации вследствие наступления неблагоприятных событий, связанных с внутренними и (или) внешними факторами. Практически это означает необходимость организации риск-ориентированного внутреннего контроля и создания на этой основе эффективной системы управления рисками.
Следует отметить, что в научных исследованиях и на практике имеются самые различные классификации предпринимательских рисков и подходы к определению факторов, влияющих на их возникновение. Основой классификации предпринимательских рисков, по нашему мнению, должна быть эффективная система управления и контроля рисков, при этом акцент должен быть сделан на выявление приоритетности рисков с позиции существенности их влияния на бизнес-процессы.
Основными задачами управления рисками в системе внутреннего контроля являются:
- выявление и анализ рисков, связанных с достижением стратегических целей предприятия;
- обеспечение приемлемого уровня предпринимательских рисков, связанных с возможными потерями, влияющими на финансовую устойчивость предприятия и интересы клиентов, контрагентов, учредителей и других заинтересованных лиц;
- постоянное наблюдение с последующим принятием мер по поддержанию рисков на уровне, не угрожающем финансовой устойчивости предприятия.
Важная роль при осуществлении контроля рисков должна принадлежать внутреннему аудиту. За ежедневный мониторинг и текущее поддержание эффективности системы контроля должны отвечать руководители структурных подразделений, а внутренние аудиторы -за осуществление периодических проверок. При этом периодичность и объем проверок, осуществляемых службой внутреннего аудита, должны обеспечивать ее использование в качестве инструмента проверки менеджмента и контроля рисков.
По нашему мнению, на финансовую устойчивость организации существенное влияние оказывают стратегические, политические, финансовые, репутационные и производственные риски.
В целях минимизации стратегического риска особое место в системе внутреннего контроля принадлежит оценке и мониторингу стратегического плана, которые должны осуществляться в текущем режиме со стороны риск-менеджмента, а также при проверках, осуществляемых службой внутреннего аудита в соответствии с поставленной целью и решаемыми задачами.
Внутренний контроль в направлении политического риска призван обеспечить учет возможных опасностей, которые могут угрожать деятельности предприятия, в случае, если контрагенты будут неспособны выполнить свои обязательства по причинам неэкономического характера (масштабные социально-политические изменения, военные действия, конфликты и беспорядки, изменения в законодательстве и другие).
Основной задачей в сфере управления финансовыми рисками является выбор оптимального сочетания риска и дохода, основываясь на положении, что чем выше ожидания в отношении прибыли, тем выше риск. Финансовый риск с позиции внутреннего контроля рассматривается в направлении снижения рисков утраты активов (ресурсов), необоснованных расходов и неполученных доходов.
Объектами контроля операционного риска должны выступать внутренние процессы и процедуры, а также деятельность персонала предприятия и применяемых систем (технологических, автоматизированных, информационных и т. п.). Операционный риск, включая информационный и юридический, должен контролироваться на основе надлежаще оформленных управленческих процедур. В части информационного риска необходимо сделать акцент на обеспечение информационной безопасности, являющейся одним из направлений системы внутреннего контроля предприятия. В этой связи предприятию целесообразно разработать внутреннее положение, определяющее его политику в области информационной безопасности. Одной из важных мер, направленных на минимизацию и контроль возникновения убытков в результате юридического риска, должна стать организация работы предприятия по созданию и поддержанию надлежащего состояния внутренних нормативных документов, которое должно стать объектом проверки со стороны службы внутреннего аудита.
Контроль репутационного риска должен быть ориентирован на:
- определение во внутренних нормативных документах предприятия процедур управления репутационным риском во взаимосвязи с другими видами рисков, включая методы оценки, мониторинга, контроля;
- формирование внутренней отчетности о реагировании предприятия на отзывы, жалобы, предложения и рассмотрение их исполнительной дирекцией и советом директоров;
- проверку соблюдения требований внутренних нормативных документов по управлению и контролю репутационного риска службой внутреннего аудита.
Важная роль в деле минимизации и контроля производственного риска, в частности, риска выпуска некачественной либо опасной для потребителей продукции (услуги), создания предприятием экологических проблем, нанесения вреда профессиональному здоровью и безопасности работников принадлежит наличию на предприятии внутренних стандартов, разработанных с учетом требований национальных и международных организаций по стандартизации.
Построение системы внутреннего контроля должно быть основано на оценке рисков с учетом организации административного, хозяйственного, технического, экономического и финансового контроля на всех уровнях управления в условиях осуществления предварительного, текущего и последующего контроля. При этом, организация системы внутреннего контроля должна выстраиваться с позиции корпоративной ответственности на уровнях управления, связанных с рисками, которые могут возникнуть вследствие неисполнения своих должностных обязанностей сотрудниками и рисками, возникающими в процессе управления организацией. К ним можно отнести все основные предпринимательские риски.
Разработанные нами рекомендации по организации внутреннего контроля в разрезе отдельных видов рисков с указанием источников информации, выполняемых процедур и определением функций, выполняемых внутренним аудитом, представлены в нижеприведенной таблице:
Виды рисков Источники информации и процедуры внутреннего контроля Функции, выполняемые службой внутреннего аудита
Стратегический риск 1. Источники информации: - стратегический план, определяющий стратегию бизнеса предприятия на определенный период времени; - порядок внесения изменений в стратегический план при наличии факторов, оказывающих существенное влияние на достижение целей и задач предприятия; - определение в стратегическом плане целей внутреннего контроля, рисков и установление контрольных параметров; - план действий на случай непредвиденных обстоятельств. 2. Процедуры выделения в организационной структуре предприятия функции управления рисками. 1. Проверка: - наличия системы управления рисками, ее соответствие стратегическим целям и текущим задачам деятельности организации; - наличия технологического и информационного обеспечения процедур управления рисками; - соблюдения контрольных параметров; - наличия системы информации совету директоров по рискам и факторам, влияющим на достижение стратегических целей и текущих задач; - наличия системы текущего контроля и мониторинга рисков; - наличия перспективного плана возобновления бизнеса. 2. Оценка эффективности управления рисками, контроля и мониторинга рисков. 3. Представление информации о всех вновь выявленных рисках и/или факторах, которые влияют или могут оказать негативное воздействие на результаты деятельности организации.
Политический риск 1. Источники информации: положения о порядке оценки, мониторинга и контроля риска, выборе модели оценки политического риска и внесение изменений в случае выявления новых факторов риска. 2. Процедуры выбора новой формы управления риском (страхование, гарантии и др.). 1. Проверка: - соответствия применяемых методов при оценке политического риска мерам, установленным политикой управления рисками. 2. Выявление факторов, неучтенных при оценке политического риска.
Финансовый риск (рыночный, ликвидности, кредитный, процентный, валютный, инвестиционный риски) 1. Источники информации. Методики: - управления финансовыми рисками в соответствии со стратегическим планом; - установления порядка определения всех видов финансовых рисков и факторов, оказывающих на них влияние; - определения процедур внесения изменений в состав факторов финансового риска; - выбора метода идентификации, способа нейтрализации и способа финансирования рисков. 2. Контрольные процедуры и мониторинг финансовых рисков. 3. Внутренние документы, устанавливающие процедуры и полномочия лиц, принимающих решения. 4. Разработка системы сбора информации для подготовки финансовой отчетности. 1. Проверка: - наличия процедур в области управления финансовыми рисками; - соответствия применяемых подразделениями методов оценки финансовых рисков порядку, установленному политикой управления рисками; - распределения полномочий и ответственности по управлению финансовыми рисками; - наличия и соблюдения процедур идентификации, измерения и воздействия финансовых рисков; - действенности применяемых средств контроля, включая эффективность процедур текущего контроля, осуществляемого ответственными за управление рисками; - управленческой отчетности на предмет корректности и достаточности содержащейся в ней информации; - выявление рисковых операций, не учтенных при оценке финансовых рисков. 2. Оценка: - эффективности управления и контроля финансовых рисков; - вероятности риска искажений бухгалтерской отчетности (внешней и внутренней).
Операционный риск (информационный, юридический риски) 1. Источники информации: - положение о деятельности подразделений организации; - функциональные обязанности сотрудников, их полномочия и ответственность; - квалификационные требования, предъявляемые к работникам; - порядок назначения и увольнения. - планы обучения и повышения квалификации сотрудников организации. 2. Процедуры: - разработки внутренних нормативных документов; - документального оформления правового обеспечения деятельности; - правила обеспечения безопасности информации и неразглашения коммерческой тайны; - методы минимизации информационных рисков в соответствии с политикой управления рисками и стратегическими целями; - порядка информирования соответствующих управленческих структур о всех внештатных ситуациях; - контроля эффективности средств защиты информации; - контроля эксплуатации программного обеспечения, включая разработку, модификацию, обслуживание и мониторинг компьютерных и телекоммуникационных систем, мероприятия по восстановлению информационных систем в случае непредвиденных обстоятельств. 1. Проверка: - наличия и соблюдения требований внутренних нормативных документов, предъявляемых к подразделениям и должностным инструкциям сотрудников; - соблюдения требований по правовому обеспечению деятельности организации;. - соблюдения требований о неразглашении коммерческой тайны; - применяемых методов минимизации информационных рисков в соответствии с политикой управления рисками; - соблюдения требований, предъявляемых: а) к доступу к информации; б) вводу и изменению информации; в) корректности обработки данных; г) организации работы и изменение программного обеспечения; д) физической безопасность данных. 2. Организация систематических проверок соблюдения подразделениями и его сотрудниками требований по осуществлению должностных функций. 3. Оценка: - эффективности контроля операционного (информационного, юридического) риска; - достаточности установленных средств контроля.
Репутационный риск 1. Источники информации: - правила профессиональной этики и стимулирования сотрудников; - план распространения информации в области корпоративной социальной ответственности в соответствии с принятыми организацией принципами формирования отчета об устойчивом развитии; - положения о процедурах управления репутационным риском. 2. Процедуры: - выявления внешних и внутренних факторов риска; - сбора информации, анализ и оценка влияния на уровень риска, относительно: • жалоб (претензий), положительных отзывов от заинтересованных сторон (потребителей, контрагентов и др.); • негативных и позитивных сообщений о предприятии в средствах массовой информации; • результатов рекламной деятельности организации; • установленных фактов хищения, мошенничества в организации; • случаев разглашения сотрудниками конфиденциальной информации; • выявленных фактов использования в личных целях информации, полученной от клиентов и/или контрагентов. - мониторинга риска и реагирование на предложения учредителей, клиентов, контрагентов и других заинтересованных лиц; - контроля выполнения договорных обязательств; - участия предприятия в инвестиционных и других проектах с учетом деловой репутации контрагентов. 1. Проверка: - соблюдения установленных процедур управления репутацион-ным риском; - достаточности контроля договорных обязательств; 2. Оценка: - эффективности распространения информации по установленным каналам (интернет, пресса, конференции и т. п.); - достаточности и объективности информации для формирования отчетности в области устойчивого развития; - эффективности процедур управления репутационным риском.
Производственный риск Источники информации: - формализованные системы менеджмента, основанные на международно-признанных стандартах; - система менеджмента, основанная на использовании стандартов безопасности и качества продукции, профессиональной безопасности, окружающей среды (ИСО серии 9000, 14000; 22000, ОШАБ др.). 1. Проверка: - системы качества и безопасности продукции; - системы охраны окружающей среды; - требований к профессиональной безопасности. 2. Оценка (подтверждение) соответствия системы менеджмента требованиям стандартов.
Учитывая, что элементы внутреннего контроля содержатся во многих внутренних регламентных документах, предлагается утвердить целостную структуру внутреннего контроля в обобщающем документе, который должен содержать информацию по всем уровням управления и контрольным службам, об уровне и формах контроля, а также организационных процедурах его выполнения.
В качестве примера решения поставленных задач может служить представленный ниже порядок закрепления контрольных функций по уровням и формам контроля за руководителями подразделений организации, которые в меру своих должностных полномочий, обязанностей и ответственности должны выполнять определенные контрольные функции.
1. В порядке индивидуального предварительного контроля осуществлять:
- контроль за подбором и расстановкой кадров;
- разработку и контроль соблюдения критериев квалификационных и личностных характеристик сотрудников;
- распределение должностных обязанностей с обеспечением исключения конфликта интересов;
- предоставление одному и тому же подразделению или сотруднику права:
- санкционирование совершения хозяйственных операций;
- измерение, мониторинг и контроль рисков тех операций (основного бизнеса), в которых он может возникнуть;
- действия в любых других областях, где может возникнуть конфликт интересов.
2. В порядке индивидуального текущего контроля обеспечивать:
- соблюдение подчиненным сотрудником установленных должностных обязанностей;
- проверку отчетов о работе подчиненных им сотрудников, осуществляемых на постоянной основе;
- наличие процедур и механизмов, направленных на исключение выхода работника за пределы установленного ему объема и состава производственно-хозяйственных, финансово-экономических операций;
- соответствие условий осуществляемых работником операций нормативным документам, регулирующим производство продукции (услуг); контроль рисков по следующим параметрам:
• соблюдение приемлемого размера потерь, который предприятие может себе позволить (лимит потерь) для основных видов деятельности и(или) продуктов;
• уровень риска по осуществленным операциям;
• соблюдение установленных операций и их объемов, выше которых решения о проведении операции принимаются вышестоящим руководителем или органом управления (например, коллегиальным органом) и их надлежащее отражение в бухгалтерском учете;
• своевременное информирование руководителей предприятия (его подразделений) обо всех операциях, превышающих установленные лимиты (пределы).
3. В порядке индивидуального последующего контроля организовывать:
- физический контроль;
- разделение ответственности за хранение и использование материальных ценностей;
- охрану помещений для хранения материальных ценностей;
- контроль соблюдения порядка оформления первичных и бухгалтерских документов, платежных обязательств и расчетов;
- проведение процедур сверки, согласования и визирования;
- контроль проведения учетных операций с депозитными/кредитными договорами, ценными бумагами;
- процедуры формирования на основании первичных документов балансовых данных;
- контроль законности списания с бухгалтерского баланса недостач, дебиторской задолженности и прочих потерь;
- регулярное рассмотрение результатов проведенных работником операций вышестоящим руководителем;
- контроль соблюдения финансовой и кассовой дисциплин;
- контроль за доступом работников к информации, установленный внутренними регламентирующими документами организации.
4. В порядке управленческого предварительного контроля обеспечивать:
- подготовку и представление вышестоящему руководству организации предложений о системе внутренних организационных решений, которые необходимо принять для достижения поставленных стратегических целей;
- разработку мер, необходимых для эффективного управления и мониторинга рисков;
- оценку, постоянное наблюдение и своевременное информирование вышестоящего руководства о внешних факторах, влияющих на прогноз ситуации (технической, экономической, социальной) в соответствующем секторе экономики;
- подготовку и представление для рассмотрения и утверждения процедур оптимизации принимаемых рисков;
- определение и документальное оформление перечня непредвиденных обстоятельств в отношении которых разрабатываются планы действий и процедуры их проверки.
5. В порядке текущего управленческого контроля обеспечивать:
- количественные и качественные значения рисков;
- оперативность и достоверность информации для руководителей организации о текущем состоянии показателей риска и всех фактах, которые могут оказать негативное влияние на бизнес-процессы;
- соблюдение принятых от имени предприятия обязательств и проведения расчетов по ним;
- соответствие практики проведения операций нормам действующего законодательства и обычаями делового оборота;
- соблюдение на практике принципа коллегиальности принятия решений в случаях, когда такой подход принят в организации;
- соблюдение юридической правомерности и экономической целесообразности совершаемых операций;
- контроль информации для формирования финансовой (бухгалтерской) и другой управленческой отчетности;
- наличие системы контроля конкурентоспособности качества и стоимости предлагаемых предприятием продуктов (услуг) на рынке, сравнения их с аналогичными продуктами (услугами) других предприятий;
- оценку своевременности реагирования на действия конкурентов, а также на изменения хозяйственной конъюнктуры в соответствующем секторе экономики.
6. В порядке управленческого последующего контроля обеспечивать:
- контроль компьютерных систем с целью обеспечения бесперебойной и непрерывной работы и контроль обработки хозяйственно-финансовых операций и др.;
- защиту от несанкционированного доступа и распространения конфиденциальной информации;
- осуществление проверок выполнения сотрудниками установленных процедур на различных участках деятельности с учетом объема и характера осуществляемых операций, присущих им рисков, частоты и характера изменений, происходящих в направлениях деятельности подразделения;
- документирование фактов отклонений от установленных параметров, порядка осуществления операций и внутреннего контроля;
- своевременное доведение информации о каждом отклонении и/или результатов проверок до сведения высшего руководства предприятия и руководителей подразделений;
- разработку и контроль мероприятий, направленных на устранение выявленных проверками недостатков (нарушений, несоответствий).
Использование на практике предлагаемых подходов к организации внутреннего контроля и аудита позволит:
- улучшить организационную структуру хозяйствующего субъекта и функций управления по осуществлению внутреннего контроля, включая контроль рисков;
- повысить эффективность планирования и осуществления внутреннего контроля с учетом рисков, присущих подразделениям организации;
- обеспечить качественный контроль формирования информационного обеспечения контрольных процедур и отчетности по результатам проверки.
Библиографический список:
1. Маккарти Мэри Пэт, Флинн Тимоти П. Риск. Управление риском на уровне топ-менеджеров и советов директоров. При участии Роба Браунштейна / Пер. с англ. - М.: Альпина Бизнес Букс, 2005. - 215 с.
2. Резяпова А.М. Теоретические основы риск - ориентированного внутреннего контроля // Аудитор, 2011, -№8, с. 21 - 25.
3. Сонин А.М. Внутренний аудит: Современный подход. - М.: Финансы и статистика, 2007. -64 с.
4. Энциклопедия финансового риск-менеджмента / Под ред. А.А. Лобанова и А.В. Чугунова. -4-е изд. - М.: Альпина Бизнес Букс, 2009. - 932 с.