Внутренний контроль и управление рисками

Внутренний контроль и управление рисками

Внутренний контроль и управление рисками в компании — полностью формализованный процесс. Его цель — дать собственнику достаточную уверенность в достоверности финансовой отчетности, оперативных показателей и сохранности активов в рамках действующего законодательства. Из этого следует, что инициатором процесса внутреннего контроля всегда выступает мажоритарный владелец бизнеса или Совет директоров, если пакет акций размыт между собственниками.

Нормативное регулирование внутреннего контроля

В 402-ФЗ от 06.12.11 «О бухгалтерском учете» п.1 ст. 19 указана обязанность всех предприятий организовать и осуществлять внутренний контроль в хозяйственной жизни.

Внутренний контроль определение
Рис.1. Определение внутреннего контроля

В нормах международной практики ориентируются на доклад некоммерческой организации «Комитет организаций — спонсоров комиссии Тредвея» (COSO), который вышел 1992 году в ответ на попытку навязать бизнесу тотальный контроль.

Цель внутреннего контроля
Рис.2. Цель внутреннего контроля

Концептуальные основы управления рисками (ERM COSO)

В 2001 году эта же некоммерческая организация поручила компании Pricewaterhouse Coopers разработать проект концептуальных основ управления рисками, который лег в основу закона Сарбейнса-Оксли. По сути это Международный Стандарт, ужесточающий ответственность высшего руководства за создание и поддержание внутреннего контроля компании. Ранее эта ответственность возлагалась в основном на внешних аудиторов, подписавших отчетность для внешнего потребления. С 2002 года по стандарту COSO ERM за искажение отчетности отвечает руководство корпорации.

Эту модель принято представлять, как Магический куб COSO ERM.

Магический куб COSO
Рис.2. Изображение «Магического куба COSO»

Первая ось этого куба — это компоненты контроля. Вторая ось этого куба — это уровни: корпоративный и уровень процессов. Третья ось — это перечисленные в определении цели, в том числе стратегические.

Компоненты COSO internal control framework и enterprise risk management (IC IF & ERM)

Отношение к компонентам COSO IC IF на западе и у нас.

Компонента
COSO IC IF
Публичная компания в западном мире Непубличная компания в России
Руководство компании Держатели акций (миноритарии) Руководство компании Собственник
Эффективность и экономичность Одинаково Не всегда одинаково
Если показатели как других компаний — все хорошо. Их интересует только текущая котировка акций Воровство и безразличие не совместимы с эффективностью и экономичностью Заинтересован больше всех
Достоверность отчетности Не совпадает Одинаково
Не заинтересован, мешают KPI, основанный на котировке акций Стали осторожнее смотреть на улучшение показателей после скандалов с искажениями в отчетности Налоговые оптимизации — плод совместного творчества руководства и собственника.
Инициатором для привлечения инвестиций (кредитов) выступает руководство, собственник поддерживает
Соответствие законодательству Не совпадает Одинаково
Не заинтересован, если compliance снижает финансовые показатели. Заинтересован, скандал обрушит котировки акций. Владелец знает, к чему приводит нарушение закона, даже если не он его спровоцировал. Даже если собственник не в курсе, ему все равно придется ответить перед законом

Таблица 1.

Консультанты, которых приглашают наши предприниматели в надежде повысить эффективность и экономичность, зацикливаются на достоверности. В этом причина невысокой востребованности их услуг.

Цели создания системы внутреннего контроля

Подчиняться стандартам международной отчетности в нашей стране обязано небольшое число компаний, чьи акции котируются на бирже. Для остальных же предприятий, которых в России большинство, внутренний контроль — обязательное, но пока частное дело их владельцев.

Но «плох тот солдат, что не желает стать генералом». В основе любого дела лежит идея, для масштабирования которой нужны средства. И здесь есть два пути: взять кредит или привлечь инвесторов (бесплатные деньги в обмен на обещание поделиться в дальнейшем прибылью). Первый — может привести к банкротству или продаже бизнеса, второй путь принесет бесконечную доходность владельцу.

Определение доходности
Рис. 4. Определение доходности

На пути повышения инвестиционной привлекательности понадобятся и эффективность, и достоверность, и сохранность активов, и законопослушность. Поэтому лучше сразу, с самого старта бизнеса своими силами закладывать в него систему внутреннего контроля. Это позволит сформировать корпоративную культуру, на первом этапе и приучить сотрудников соблюдать правила игры. А на более высоком уровне построить эффективною модель силами своих сотрудников. Если к этому процессу присоединятся программисты, например, сопровождающие 1С, процесс пойдет быстрее.

Масштабы бизнеса

С момента становления предприятие забота собственника — рост выручки. На нее в первую очередь ориентируются компании, принимая решение пройти ежегодный внешний аудит.

Масштабы бизнеса и внутренний контроль
Рис. 5. Масштабы бизнеса и внутренний контроль

Бессмысленно тратить деньги на построение формальной системы. Если относится к СВК как, к примеру, бухгалтерии, от которой пытается избавиться не очень успешный собственник, в надежде сократить расходы, то можно и не начинать.

Напротив, если вспомнить, что «рубль сэкономленный равен двум заработанным», собственник, выстраивающий свою эффективную СВК, получит добавленную стоимость. И сотрудники, участвующие в этом, также значимы для бизнеса, как и руководство.

Внешние потребители системы внутреннего контроля. Главным интересантом, безусловно, является мажоритарный собственник, принимающий управленческие решения и назначающий топ-менеджеров. Но и миноритарные акционеры также заинтересованы в СВК, но по своему. Если владелец бизнеса заинтересован в дальнейшем росте выручки, то миноритарий заинтересован в краткосрочном росте стоимости акций. Отсюда вытекает отношение к достоверности отчетности. Владелец может быть заинтересован в искажении отчетности, чтобы прибыль направлять на развитие, а не на выплату дивидендов.

Не получится привлечь внешнее финансирование, если отсутствует система внутреннего контроля. Но и остальные конкуренты не станут связываться с компанией, у которой не регламентирован процесс договорной работы, это просто опасно не выполнением обязательств.

Также используют информацию, полученную от внутреннего контроля топ-менеджеры. Эта оперативная информация помогает принять правильные управленческие и кадровые решения.

В условиях конкурентной борьбы, эффективность бизнеса выходит на первый план. Время, когда можно было доверить ключевые посты в компании «своим людям», прошло. Сейчас экономия даже 1-2% от выручки может дать дополнительную финансовую устойчивость.

Жизненный цикл СВК

Можно выделить такие блоки:

Жизненный цикл СВК
Рис. 6. Жизненный цикл СВК

На этапе постановки задачи привлекают консультантов. Но обольщаться не стоит, никто не знает ваш бизнес лучше, чем вы и ваши сотрудники. Работа консультанта, как правило, сводится к интервью работников. Затем из рассказов и с опорой на «богатый жизненный опыт» создается многостраничный отчет в виде рекомендаций. В нем есть иллюстрации и блок-схемы, он сброшюрован на профессиональном оборудовании и судьба его печальна. Он потеряется в кабинете Генерального директора или главного бухгалтера. И у всех, включая владельца предприятия, сложится устойчиво негативное отношение такого рода мероприятиям. И негатив навсегда закрепит сумма счета от консалтинговой компании.

В отчетах консультантов есть один положительный момент: они отлично структурированы и оформлены в виде этапов. Как следует из рисунка жизненного цикла СВК, за этапом постановки задачи, внедрения и эксплуатации, указан этап внесения изменений. Для повышения ее эффективности система должна пересматриваться хотя бы раз в год, в нее должны вноситься изменения и дополнения. В случае присоединения новых производств, может изменится структура управления от единоначалия к управляющим. В конце концов, владелец может переключится на другие проекты.

Подход по стандарту COSO

В свое время наше правительство решило двигаться в сторону МСФО и обещало, что уже в 2016 году стандарты бухгалтерского учета будут переписаны в соответствии с международными стандартами. Пока «а воз и ныне там». Но это не значит, что они не будут двигаться в этом направлении.

Принципы, на которых строится международная отчетность, заслуживают уважения, и могут применяться в наших условиях.

№ пп Компонента Пример применения
1. Контрольная среда Кодекс корпоративного поведения;
Деятельность Совета директоров;
Рассмотрение жалоб работников;
Кадровая политика;
Дипломы, аттестаты, сертификаты.;
Организационно-функциональная структура;
Должностные инструкции;
2. Оценка рисков Наличие подразделений риск-менеджмента;
Периодическое формирование и рассмотрение карты рисков;
План действий в чрезвычайных ситуациях;
3 Информационная среда Каналы прохождения информации, в том числе информации о нарушениях;
Регламенты процессов;
Информационные и коммуникационные системы;
Стандарты отчетности;
4. Контрольные процедуры Регламенты процессов;
Порядок проведения внутреннего контроля;
Регламент контроля сохранности активов;
Регламент доступа к информационным базам;
5. Мониторинг контрольных процессов Анализ работы подразделений внутреннего контроля;
Выполнение рекомендаций по устранению недостатков;
Заседания комитета по внутреннему аудиту.

Таблица 2. Пример, компоненты контроля.

Система слишком громоздка и подойдет только для очень большого бизнеса, в отсутствие мажоритарного собственника и с оборотами в миллиарды долларов.

Старая советская классика

В СССР собственником всех организаций было государство. И блюсти сохранность госсобственности поручалось Отделам по борьбе с хищениями социалистической собственности (ОБХСС) или контрольно-ревизионными управлениями (КРУ) при министерствах и ведомствах.

В начале 90-х роль контролеров возлагалась на Ревизионную комиссию Акционерного общества, подчиняющуюся Общему собранию акционеров. Но работали такие комиссии  формально, и люди, назначавшиеся в комиссию, обычно работали в бухгалтерии.

Затем бизнес стал остро нуждаться в инвестициях. А инвесторы требовали гарантий сохранности вложений. Скандалы с подтасовкой в отчетности в компании Enron привели к появлению новых стандартов COSO. Наши корпорации, чьи акции котируются на биржах, также были обязаны создать СВК.

С 2012 года все предприятия в РФ должны создать действующую систему внутреннего контроля, но как именно это сделать, они должны решить самостоятельно. Только банки и предприятия с иностранным участием в капитале имеют инструкции от Минфина и ЦБ РФ на эту тему.

Подходы к построению системы внутреннего контроля на предприятии

Крупный бизнес обязан проходить внешний аудит. Многие корпорации создают подразделение внутреннего аудита, которое затем выстраивает СВК на уровне всего холдинга на уровне регламентации существенных процессов, связанных с балансовыми счетами.

Схема построения регламента процессов.

Рис. 7.Схема построения регламента процессов.

Этот подход слишком формальный и не учитывает случаев манипулирования финансовым результатом. Простой пример: продажа прочих активов, например, автомашин, в компании, которая выпускает продукты питания, регулярна, но выручка от продажи подержанных машин несущественна. При таком формальном подходе регламента определения цены для подержанных машин не будет, а риск злоупотреблений велик.

Подход на основании типичных потерь на уровне подсистем

Подсистема управления Типичные потери
Защита бизнеса от поглощения Бизнес в целом
Работа с договорами Бизнес в целом
Финансы и бюджет до 1% от cash flow (финансового потока)
Продажи от 1 до 5% выручки
Снабжение и закупки От 5 до 10% от стоимости закупок
Производство От 3 до 5% производственных расходов
Капитальные вложения и ремонты От 8 до 20% от объема затрат
Управление персоналом до 25% от расходов на ФОТ

Таблица 3. Подсистемы и типичные потери.

В таком подходе придерживаются двух принципов: подсистема лечится целиком и начинают внедрение с участка, угрожающего потерей бизнеса целиком. Проверяется соответствие законодательству (налоговому, антимонопольному, отраслевому и так далее), выстраивается схема защиты от поглощения.

Следующий этап — наведение порядка в договорной работе. Пересматриваются полномочия топ-менеджеров на заключение договоров, утверждается порядок согласования договоров и условия проведения тендеров.

В остальных подсистемах очередность внедрения СВК зависит от степени влияния на потери, его количественным выражением.

На предприятии, создающем продукцию с высокой добавленной стоимостью, это может быть подсистема управления персоналом. В компании, инвестирующей в новые производства, выполнение строительно-ремонтных работ может стоить дороже, чем закладывалось в сметы. Но главное достоинство метода в том, что вся подсистема «лечится» целиком.

Подход на основании карты рисков

В основе метода — построение карты рисков и выявление наиболее существенных для компании. Метод основан на графической визуализации полученных фактических и прогнозных данных. Последовательностей действий для получения такой карты следующая:

  1. Выявление рисков. В работе участвуют все топ-менеджеры. Анализируются все возможные потери, на которые может оказать влияние СВК. Выявленные значения сводятся в таблицу.
  2. Оценка проводится на основе вероятности количественного или качественного ущерба. Составляется первая карта рисков. (Рис. 8.1.).
  3. Выбирается приемлемый ущерб для бизнеса, формируется линия толерантности (Рис. 8.2.) .
  4. Вырабатывается программа по управлению рисками выше линии толерантности. (Рис. 8.3.).
  5. На карту наносятся вероятностные значения вероятности ущерба после проведения предложенной программы мероприятий (Рис. 8.4).
Постановка СВК по технологии риск-менеджмента
Рис.8.
Постановка СВК по технологии риск-менеджмента

Цикл мероприятий повторяется снова и снова, пока все риски, выявленные в п.1 не уйдут за линию толерантности.

Такой подход позволяет довольно быстро добиться максимального эффекта от борьбы с потерями. Однако полноценной системы внутреннего контроля таким методом не построить.

В СВК, построенной по методу COSO, управление рисками присутствует в обязательном порядке, поэтому предложенный метод необходимо использовать хотя бы в целом по предприятию.

Комбинированный подход

Совмещение двух методов позволит построить систему внутреннего контроля в довольно короткие сроки. При этом не стоит забывать про первоначальную мотивацию решения построить СВК.

В случае формального подхода, достаточно ограничиться требованием COSO и выстроить ее на основе анализа карты рисков. Для построения эффективной системы, позволяющей принимать управленческие решения для ускоренного расширения бизнеса, рекомендуется использовать оба подхода одновременно. С помощью значений вероятности ущерба определить наиболее уязвимые места, а с помощью анализа типичных потерь подсистем выстроить бизнес-процессы и настроить контрольные процедуры.

Служба внутреннего контроля

Публичные и непубличные общества имеют разную организационную структуру управления согласно действующему законодательству.

Так управление публичным общество описывает рис.5., где служба внутреннего контроля подчиняется подразделению внутреннего аудита (а зачастую входит в службу внутреннего аудита), который, в свою очередь, подчиняется Совету директоров общества.

Структура публичного общества
Рис. 9. Структура публичного общества.

В случае непубличного общества, такая служба подчиняется непосредственно владельцу или совету акционеров (рис.10.), а в подчинении генерального директора общества остается только служба физической охраны предприятия.

Структура непубличного общества
Рис. 10. Структура непубличного общества

Организация процесса СВК

Представители всех подразделений должны быть вовлечены в работу службы внутреннего контроля. Если в начале становления компании некоторые из них представлены лишь одним сотрудником, в дальнейшем, в результате роста организации и наполнения ее персоналом, все больше сотрудников будут вовлечены в процесс. За работу еще не сформированных служб отвечает собственник. Он либо сам выполняет их функцию, либо привлекает для этого внешнюю организации.

Есть разные подходы к созданию этого подразделения. Кто-то считает, что в него должны входить специалисты всех служб, работающих на предприятии. Но где найти такое количество специалистов, например юристов, которые откажутся выполнять свою работу, полностью переключившись на проверку договоров?

С другой стороны, найти универсала, хорошо разбирающегося во всех бизнес-процессах компании, тоже проблема.

Можно построить ERP-систему на основе бухгалтерского и налогового учета, а также управленческого учета. Ведь в системе появляются документы, которые, строго говоря, не бухгалтерские: заказы, журналы взвешивания, маршрутные листы, заявки на закупку, заявки на оплату. А при формировании бухгалтерских документов на основе таких заявок и согласований, ошибки будут сведены к минимуму. И контрольные измерения можно будет делать регулярно.

Принципы построения службы внутреннего контроля

Принцип двух потоков

Каким образом информация поступает на самый верх с учетом принятой иерархии в организации, где нет СВК, показано на рис. 7. Люди, участвующие в передаче информации, даже не общаются друг с другом. Выяснить достоверную причину, например, недостачи в цехе в таком потоке информации не удастся.

Поток информации в отсутствие СВК
Рис. 11. Поток информации в отсутствие СВК

Если к этому потоку информации на самый верх добавить второй (рис. 12) искажений и злоупотреблений станет меньше, со временем они и вовсе сойдут на нет.

Поток информации с СВК
Рис. 12. Поток информации с СВК, принцип двух потоков.

Всего лишь добавлено еще одно направление движения информации, и результат инвентаризации спрятать не удастся. А значит, появляется шанс в будущем такие нарушения предотвратить.

Вместо цеха на картинке может быть маркетолог, служба главного инженера или отдел продаж. Принятие решений на основе информации, исходящей от заинтересованного лица, чревата не только злоупотреблениями, но и не эффективностью принятых решений.

Принцип разделения полномочий

Без этого принципа внедрение СВК на предприятии невозможно. Если полномочия принимать решения, исполнять и контролировать исполнение находятся в одних руках, бизнесу наносится существенный вред.

Пример. В разных городах работают производственные цеха, входящие в один холдинг. В «обособленных подразделениях» (такими их считает налоговая) принята следующая иерархия:

Неконтролируемое обособленное подразделение
Рис. 13.
Неконтролируемое обособленное подразделение

В результате директор филиала — сам заключает договоры, принимает решения о скидках и отсрочках, собирает дебиторскую задолженность. Эффективность таких решений сомнительна, так как может не соответствовать общей маркетинговой политике холдинга.

Правильной была бы следующая иерархия:

Контролируемый филиал
Рис. 14. Контролируемый филиал

Принцип разделения полномочий контроля и исполнения закрепляется на всех уровнях компании.

Принцип регламентации

Часто при увольнении сотрудника пропадает часть наработанной информации. Наличие регламентов позволяет не потерять ценную информацию при смене персонала. Также регламент обозначит всех участников процесса принятия решения, исполнения и контроля той или иной процедуры и поиски виновного в потерях прекратятся.

Если в компании заведен порядок ознакомления сотрудников с вводимыми регламентами под подпись, количество злоупотреблений резко снижается, так как невыполнение регламента может привести к снижению мотивационной составляющей. Если же регламентации процессов на предприятии нет — нет и виноватых в потерях. Доказать что-либо становится просто невозможно.

Нет смысла расписывать многостраничные инструкции, которые никто не читает, поэтому никто и не выполняет. На одном заводе инструкции для персонала выпускают в форме «инструкций по сборке табуретки».

Инструкция по сборке табуретки
Рис. 15. Инструкция по сборке табуретки

Заламинированные инструкции висят около каждого рабочего места. Рядом заламинированный лист с телефонами экстренных служб: начальника подразделения, программистов, IT-специалистов, охраны, генерального директора. Трудно сказать, что «меня не поставили в известность», если подпись под таким регламентом входит в первичный инструктаж, а потом в течение каждого рабочего дня висит перед глазами.

Принцип разумной достаточности

Окупается внедряемая СВК довольно быстро. Когда же контрольные процедуры слишком дороги, можно использовать подход к инвестпроекту.

Доход в таком случае — математический риск от ожидаемых потерь. А расходы делятся на инвестиционные (на закупку измерительного оборудования, установку весового оборудования, оборудования проходной сканером СКУД и т.д.) и операционные (зарплата контролеров, канцтовары и прочее). В качестве срока окупаемости можно установить 1 год. В случае, если затраты на внедрение СВК превышают ожидаемый ущерб или равны ему, следует поискать другие методы контроля. Стоимость ее внедрения не должна превышать потери.

Внутренний контроль и анализ рисков на предприятии, построенный силами собственника и работников компании, позволяет бизнесу устойчиво развиваться, гарантирует права сотрудникам и сохранность активов собственнику.

Если вы нашли ошибку, пожалуйста, выделите фрагмент текста и нажмите Ctrl+Enter.

Comments

19.04.2019 at 21:20

Спасибо за ваш труд. Не просто статья, а практическое руководство к действию!



19.04.2019 at 21:28

Огромный труд виден в Вашей статье. И таблицы и пример с инструкцией. Все разложено и доступно для понимания. Большой респект!



19.04.2019 at 21:35

Очень грамотно изложен материал. Отличная статья. Полезно. Спасибо



Алена
21.04.2019 at 10:12

Очень содержательная статья. Все понятным языком. Скажите, вы проводите Консультации онлайн?



    21.04.2019 at 10:30

    Добрый день. В будущем собираюсь консультировать бесплатно. Пока готовлю материалы. Также хочу записать видеоуроки. Пока тренируюсь. Спасибо, что спросили.



Victoria
21.04.2019 at 23:59

С нетерпением буду ждать ваши видеоуроки. Таких специалистов еще поискать! Более толковой статьи еще не встречала.



22.04.2019 at 07:02

Почитал с интересом. Спасибо за новые знания. Виден серьезный труд создания.



Добавить комментарий

Ваш адрес email не будет опубликован.

Сообщить об опечатке

Текст, который будет отправлен нашим редакторам: