Совершенствование управления с помощью системы внутреннего контроля

При исследовании вопросов, касающихся системы внутреннего контроля, автор столкнулся с достаточно парадоксальной ситуацией, сложившейся в настоящее время. С одной стороны, можно констатировать наличие повышенного интереса к данной экономической категории на протяжении последних десяти-пятнадцати лет. С другой стороны, общепризнанного однозначного определения СВК до сих пор не существует. 

Тем не менее, в рамках настоящего семинара автор трактует понятие системы внутреннего контроля как совокупность организационной структуры управления, мер, методик и процедур, принятых и постоянно осуществляемых Советом директоров, исполнительными и контрольными органами, должностными лицами и иными сотрудниками компании, направленных на:  

- совершенствование деятельности компании и органов его управления;  

- обеспечение результативности и эффективности финансово-хозяйственной деятельности компании;  

- сохранность активов;

- предотвращение внутренних и внешних рисков;  

- обеспечение надежности и достоверности всех видов отчетности Общества;  

- соблюдение требований законодательства и внутренних документов и регламентов Общества. 

Надежная СВК является ключевым элементом корпоративного управления компанией, который позволяет менеджменту принимать адекватные решения, направленные на:  

- совершенствование организации бизнеса,  

 - оперативное выявление, предотвращение и ограничение операционных, финансовых и других видов рисков;  

- обеспечение разумной уверенности в достижении стратегических целей компании и ее акционеров. 

Современные системы построения внутреннего контроля, формируемые в соответствии с требованиями как российских, так и зарубежных принципов корпоративного управления¹, акцентируют ответственность высшего руководства компании за формирование надежной СВК и поддержание надлежащего ее функционирования. При этом многие компании в настоящее время имеют в своей структуре Службу внутреннего аудита (далее - СВА). Внутренний аудит, являясь одним из незаменимых инструментом собственников компании и Совета директоров при организации корпоративного управления и контроля, представляет собой наиболее развитую форму внутреннего контроля в компании. 

Основными задачами, стоящими перед СВА, являются:  

 -обеспечение соответствия принципам корпоративного управления;  

 - оценка надежности и эффективности СВК в компании, а так же оказание консультационной поддержки менеджменту компании на этапе разработки систем и процедур СВК;  

- оценка системы управления рисками;  

 - оценка эффективности и экономичности управления бизнес-процессами. 

Схема взаимодействия Совета директоров, СВА и менеджмента компании в рамках организации СВК представлена на рисунке 1. 

Рис.1. Схема взаимодействия СВА и менеджмента компании 

 

 

Необходимо отметить, что в действующем законодательстве и современной методической литературе по вопросам организации внутреннего контроля и аудита не определена методика проведения внутренних аудиторских проверок эффективности СВК компании, результатами которых и должны быть объективная оценка и предложения по оптимизации действующей СВК компании. 

В ходе семинара предлагается рассмотреть методику организации данных проверок, успешно используемую Службами внутреннего аудита некоторых крупных промышленных компаний, реализующих процессный риск-ориентированный метод управления деятельностью. Особое внимание уделяется раскрытию технологии и порядка проведения проверок; подробно представлены основные инструменты и документы, используемые аудиторами; а также обозначены ключевые организационные мероприятия при поведении внутренней аудиторской проверки. 

Необходимо отметить, что в действующем законодательстве и современной методической литературе по вопросам организации внутреннего контроля и аудита не определена методика проведения внутренних аудиторских проверок эффективности СВК компании, результатами которых и должны быть объективная оценка и предложения по оптимизации действующей СВК компании. 

В ходе семинара предлагается рассмотреть методику организации данных проверок, успешно используемую Службами внутреннего аудита некоторых крупных промышленных компаний, реализующих процессный риск-ориентированный метод управления деятельностью. Особое внимание уделяется раскрытию технологии и порядка проведения проверок; подробно представлены основные инструменты и документы, используемые аудиторами; а также обозначены ключевые организационные мероприятия при поведении внутренней аудиторской проверки. 

Организация внутренней аудиторской проверки эффективности бизнес-процессов компании 

Следует определить, что аудиторская проверка в контексте данного семинара представляет собой мероприятие, заключающееся в сборе, оценке и анализе аудиторских доказательств, касающихся систем внутреннего контроля бизнес-процесса, подлежащего аудиту, и имеющее своим результатом выражение мнения аудитора о степени надежности этого бизнес-процесса. 

Проведение внутренней аудиторской проверки инициируется Руководителем службы внутреннего контроля компании на основе раннее утвержденного плана работы подразделения либо по отдельному внеплановому поручению уполномоченного лица.  

Процесс проведения внутренней аудиторской проверки бизнес-процессов компании включает в себя несколько этапов (рис.2.), а именно:  

- планирование аудиторской проверки, в том числе проведение предварительного обследования;  

- проведение аудиторских процедур:  

а) оценка дизайна контроля,  

б) оценка исполнения контрольных процедур (тестирование),  

в) анализ элементов СВК (в том числе оценка контрольной среды),  

г) общая оценка эффективности СВК; 

- формирование результатов аудиторской проверки;  

- работа СВА с материалами аудиторской проверки после утверждения окончательной редакции «Аудиторского отчета», в том числе мониторинг исполнения рекомендаций СВА. 

 

 

Рис.2. Этапы проведения внутренней аудиторской проверки эффективности бизнес-процессов компании 

Ключевые этапы проведения аудиторской проверки эффективности системы внутреннего контроля проиллюстрированы на примере внутренней аудиторской проверки бизнес-процесса «Поиск, оценка и выбор поставщика ТМЦ для основного производства». 

 

Обоснование организационной структуры, прав, ответственности  и полномочий сотрудников и подразделений внутреннего аудита. 

 

Для определения места внутреннего аудита в системе контроля необходимо определиться с его структурой. В системе внутреннего аудита можно выделить наиболее существенные элементы. 

1. Субъекты контроля, т.е. специалисты, осуществляющие внутренний аудит. Чем выше их профессиональная квалификация и объективность, тем качественнее результаты контроля. К требованиям, предъявляемым к знаниям и умениям работников внутреннего аудита, относятся знание особенностей функционирования предприятия и структуры управления, владение техникой и методикой проведения проверок, знание норм законодательства, умение правильно определить круг вопросов, подлежащих внутренней и внешней проверке, способность обобщать результаты отдельных проверок для выработки комплекса рекомендаций. 

2. Объект и предмет. Объект внутреннего аудита — это звено системы управления организацией, обеспечивающее контроль. Объекты выбираются в соответствии с целями деятельности организации. 

3. Метод внутреннего аудита организации. Таковым является способ достижения цели, который характеризуется использованием общенаучных методических приемов исследования объектов контроля (анализ, синтез, индукция, дедукция, аналогия, моделирование, абстрагирование, редукция, эксперимент и др.), собственных эмпирических методических приемов (инвентаризация, контрольные замеры работ, контрольные запуски оборудования, формальная и арифметическая проверки, встречная проверка, способ обратного счета, метод сопоставления однородных фактов, служебное расследование, экспертизы различных видов, логическая проверка, сканирование, письменный и устный опросы и др.), а также специфических приемов смежных экономических наук (приемы экономического анализа, экономико-математические методы, методы теории вероятностей и математической статистики). 

Создание отдела внутреннего аудита в компании — весьма сложный процесс, требующий решения ряда методологических и организаци­онно-технических проблем. В общих чертах организацию отдела внутреннего аудита можно рекомендовать проводить по следующим основным этапам: 

- выявление и четкое определение круга вопросов, для решения которых формируется отдел внутреннего аудита, построение системы целей создания отдела в соответствии с полити­кой предприятия; 

- определение основных функций, необхо­димых для достижения поставленных целей; 

 - объединение однотипных функций в группы и формирование на их основе структурных единиц (звеньев) отдела, специализирую­щихся на выполнении этих функций; 

- разработка схем взаимоотношений, определение обязанностей, прав и ответственности для каждой структурной единицы, документальное закрепление всего этого в должностных инструкциях и положениях о бюро (группе, секторе) отдела внутреннего аудита; 

- соединение вышеуказанных структурных единиц в единое целое — отдел внутреннего аудита, определение его оргстатуса и, в соответствии с установленным набором целей, задач и функций структурных единиц, разработка и документальное закрепление Положения об отделе внутреннего аудита; 

- интеграция отдела внутреннего аудита с другими звеньями структуры управления предприятием; 

- разработка внутрифирменных стандартов внутреннего аудита и внутрифирменного этического кодекса. 

Место отдела (сектора, бюро, группы и т.п.) внутреннего аудита в организационной структуре организации, его функциональная направленность, численность и квалификационные характеристики кадрового состава, материально-техническое, финансовое и информационное обеспечение отдела, особенности структуры взаимоотношений и порядка функциональной и административной подчиненности внутри этого подразделения, в том числе при наличии у него разнообразных отделений, структура взаимоотношений этого отдела с другими подразделениями организации зависят от многих факторов. Это, прежде всего, цели создания отдела; организационно-правовая форма, размеры, ресурсы, оргструктура, масштабы и виды деятельности организации; региональная неоднородность месторасположения ее обособленных подразделений или дочерних компаний. 

Структура и иерархический ранг отдела внутреннего аудита во многом зависят от позиции руководства организации по отношению к внутреннему контролю (то есть от того, насколько правильно понимает высший менеджмент роль внутреннего контроля в управлении организацией). Позиция отдела в организационной структуре фирмы определяется также по мере организационного развития управления, накопления финансового, кадрового, интеллектуального потенциала. 

Отдел внутреннего аудита может вначале формироваться как штабное звено с чисто консультативными функциями. По мере возрастания его влияния на деятельность организации в его функции будут передаваться непосредст­венно реализация контрольных задач и разработка рекомендаций по совершенствованию всех уровней управления в компании. 

Несмотря на всю кажущуюся простоту изложенного подхода к организации службы внутреннего аудита, внедрение его в практику окажется несколько затруднительным. К трудностям, с которыми столкнутся участник и как частного, так и государственного секторов экономики при формировании системы внутреннего аудита , можно отнести следующие:  

Во-первых, недостаточная регламентация деятельности. То есть практическое отсутствие административных и иных видов регламентов в силу неопределенности функционально-процессной модели организации деятельности участников.  

Во-вторых, не нацеленность систем планирования, а подчас и управления на результат; отсутствие обоснованных показателей для оценки эффективности и результативности деятельности; несовершенство или полное отсутствие управленческого учета, позволяющего осуществлять, а вернее обеспечивать , контроль достижения результатов.  

В-третьих, отсутствие стройной системы внутреннего контроля, подмена понятия «внутренний контроль» – ревизией, контроллингом и т.д.; игнорирование объективной необходимости наличия эффективных процедур внутреннего контроля, направленных на обеспечение , в первую очередь , сохранности активов, проверку достоверности информации , формируемой системой бухгалтерского учета , и повышение результативности деятельности, для того чтобы внутренний контроль стал инструментом контроля рисков.  

То есть фактическое отсутствие процесса, направленного на достижение целей организации и являющегося результатом действий руководства по планированию, организации, мониторингу деятельности для наиболее эффективного выполнения всеми работниками своих обязанностей при совершении операций и выполнении процедур, предотвращения потерь имущества, предупреждения и обнаружения возможных ошибок.  

В-четвертых, ориентированность участников на последующий контроль и недостаточность , в свою очередь , предварительного и текущего контроля приводят к ограничению возможности выявления на наиболее ранних стадиях возможных нарушений, недостатков и неэффективного использования ресурсов при осуществлении деятельности. То есть ограниченность или полное отсутствие системы (системы управления рисками), позволяющей заблаговременно определить вероятность наступления событий, которые могут негативно отразиться на процессах, процедурах и операциях и препятствовать достижению намеченных целей.  

Однако каковы бы ни были трудности, их рано или поздно придется преодолевать, так как внутренний аудит действительно является наиболее действенным инструментом выявления возможностей повышения эффективности деятельности, так как формируется субъектом самостоятельно, внутри субъекта и позволяет получить информацию, необходимую для достижения целей и решения задач , стоящих перед субъектом , наиболее эффективным способом.  

Задачи внутреннего аудита по обеспечению деятельности системы управления хозрисками предприятия. 

 

Попробуем ответить на вопросы. Что такое риск? Какие типы рисков существуют? Как измерить риск?  

Определение риска 

The Economist Intelligence Unit в своём исследовании определяет риск как «угрозу того, что некое событие или действие негативно повлияет на способность организации успешно достичь своих целей или реализовать свои стратегии». Заметим, что в соответствии с этим определением, говорить о риске можно только в контексте специфических целей.
Теперь посмотрим, как можно классифицировать риски. Можно классифицировать риски по их источникам.  

Источники риска 

Начнём с внутренних источников риска.  

     Работники. Человек самое высокоразвитое существо и поэтому самое непредсказуемое. Человеку свойственно ошибаться, недоделывать, задерживаться, халатно относится к работе. Люди периодически врут и воруют, мошенничают самыми разными способами. Человек может заболеть и не выйти на работу.  

     Оборудование может дать сбой или выйти из строя. С меньшей вероятностью чем человек, но все же.  

     Неверно поставленные цели. Например, нереалистичный план продаж может привести к отгрузкам некредитоспособным клиентам. Задача увеличить долю рынка любой ценой может привести к серьёзным убыткам. 

Теперь обратимся к внешним источникам риска. Некоторые из них персонифицированы.  

     Конкуренты представляют постоянную угрозу потери бизнеса.  

     Поставщики могут недопоставить или затребовать неоправданно высокую цену или слишком жёсткие условия контракта. Они могут давать взятки работникам вашей организации для получения выгодных заказов.  

     Клиенты могут не оплатить товары в срок или вовсе не оплатить. Могут не исполнять условия контракта. 

 

Другие внешние источники риска не персонифицируются.  

     Законодательство (налоговое, экологическое, трудовое и пр.). Например, таможенные правила, несоблюдение которых грозит штрафами для предприятия-нарушителя.  

     Политические события. Например, война, может вынудить свернуть продажи.  

     Общественное мнение. Например, потребители могут отказаться от приобретения брэнда американской компании в следствие негативного отношения к текущей политике США в данном государстве.  

     Состояние экономики и финансов. Например, угроза резкой девальвации валюты. 

 

И наконец, природные факторы.  

     Явления природы – также являются источниками риска. Молния может привести к пожару здания. Дождь может протечь через крышу и залить сервер. Снегопад может завалить въезд на склад. 

Взгляните теперь на типы рисков, которые вы записали перед началом обсуждения этой классификации рисков. Многие ли из источников риска попали в ваш список? Теперь посмотрим на риск с другой стороны. 

 

Цели, подверженные риску  

Вспомним как мы определяли риск.
Мы определяли его через цели организации. Следовательно, мы можем классифицировать риски по тому, каким целям они угрожают. Заметим, что кроме целей, которое организация устанавливает перед собой, мы должны принять во внимание обязанности, накладываемые на организацию государством и инвесторами. 

1. Надёжность и интегрированность информации. Разве это цель, а не средство для принятия обоснованных управленческих решений? В данном случае мы говорим о другом. Организация обязана предоставлять информацию различным заинтересованным лицам (инвесторами, государством, дебиторами) для принятия решений в отношении организации. Примером такого рода информации является квартальный отчёт о прибыли и убытках. Предприятие ответственно за надёжность и непротиворечивость этой информация. Отметим, что для получения надёжных периодических обобщённых данных необходимо, чтобы текущая информация, генерируемая на всех рабочих местах, была надежной и не противоречила друг другу. Примером риска для этого типа целей является случайное или преднамеренное искажение информации вследствие неоправданно-широкого доступа к информационной системам организации. 

2. Исполнение внутренних политик, планов, процедур, а также внешних законов и норм. Очевидно, что соблюдение государственных законов является обязанностью организации. Сверх того организация может установить свои внутренние нормы, например, код делового поведения или политика в отношении работающих матерей, предусматривающая определённые льготы, не установленные трудовым законодательством. Установив свои внутренние нормы, предприятие тем самым обязуется исполнять их. Сюда же можно отнести законодательные и внутренние требования к безопасности производства. Примером риска для этого типа целей является нарушение налогового законодательства в результате неправильного оформления счетов к оплате.  

3. Защита активов. Опять, как и с первой группой целей: разве это цель, а не средство для получения прибыли?... И опять мы в данном случае говорим об обязательствах перед внешними для организации лицами. Инвесторы предоставляют организации свои активы для использования в целях получения прибыли (или других целей в случае неприбыльных организаций). Организация, со своей стороны, обязано защищать эти активы. Примером риска для этого типа целей являются убытки на рынке ценных бумаг вследствие несбалансированных инвестиций.  

4. Экономичное и эффективное использование ресурсов. С точки зрения классической теории рыночного капитализма, это является единственной целью капиталистического предприятия. Примером риска для этого типа целей является уничтожение готовой продукции вследствие ошибочного прогнозирования объёма продаж. Другой пример: дополнительный персонал на заводах, корректирующий ошибки мастер-данных с центральной базе данных. 

5. И наконец, наиболее очевидный тип целей, стоящих перед организацией. Достижение целей, установленных для текущей деятельности и специальных программ. Какие примеры такого рода целей вы можете привести из своей практики? Задания по продажам и производству. Обеспечение качества продукции и услуг. Внедрение нового программного обеспечения. Примером риска для этого типа целей является увеличение количества претензий от клиентов вследствие принятия заказов на товар, не имеющийся в наличии. 

Взгляните ещё раз на те типы рисков, что вы указали в начале нашего разговора. Какие типы рисков по этой, второй, классификации попали туда? А какие не попали? Используя эту модель риска, вы могли бы существенно удлинить свой первоначальный список. Не правда ли?  

 

Продолжение следует