Удовлетворительная система внутреннего контроля уменьшает вероятность ошибок

Алексей Тихомиров, at-ihom@yandex.ru
Институт внутренних аудиторов

Критерием эффективности внутреннего контроля финансовой организации не может являться только степень соблюдения требований регулирующих органов.

1. «Государство, бывшее веками органом угнетения и ограбления народа, оставило нам в наследство величайшую ненависть и недоверие масс ко всему государственному» 1

Финансовое сообщество готовится к переменам, ясный сигнал о которых подан Банком России: в начале июля 2003 года он разрешил своим территориальным подразделениям не применять меры воздействия к банкам-нарушителям положений Указания № 603-У от 7 июля 1999 г. «О порядке осуществления внутреннего контроля за соответствием деятельности на финансовых рынках законодательству о финансовых рынках в кредитных организациях», а в конце августа объявил о замене в ближайшие месяцы Положения № 509 от 28 августа 1997 г. «Об организации внутреннего контроля в банках» принципиально новым документом, основанном на рекомендациях Базельского комитета по банковскому надзору.

Не остаются в стороне и другие регулирующие органы: Федеральная комиссия по рынку ценных бумаг (ФКЦБ) активно занимается анализом и совершенствованием требований к системе внутреннего контроля в финансовых организациях, работающих на рынке ценных бумаг, вовлекая в проверки внутреннего контроля саморегулируемые организации. После принятия Закона «О противодействии легализации (отмыванию) доходов, полученных преступным путем» Правительство России, Банк России и ФКЦБ выпустили документы, в которых обязали все финансовые организации использовать внутренний контроль как инструмент в борьбе с легализацией преступных доходов.

Только вот понимание внутреннего контроля и способы оценки его эффективности у различных регулирующих органов, а часто и различных их подразделений «на местах» весьма различаются. Поэтому для финансовых организаций ключевым остается один вопрос: изменится ли на практике подход регулирующих органов к оценке эффективности внутреннего контроля, или по-прежнему отсутствие документа под названием «Инструкция о внутреннем контроле» (sic!), выявленное расхождение в две копейки или случайный сбой системы будут безапелляционно признаны свидетельством неэффективности работы системы внутреннего контроля в целом, и службы внутреннего контроля в частности?

Для такой постановки вопроса, к сожалению, есть основания. Все первоначальные редакции нормативных документов, регулирующих деятельность внутреннего контроля, имели нечто общее с мечтой основателя Советского государства о «…победоносном и беспощадном походе против нарушителей этого контроля или беззаботных насчет контроля». Основная причина, на наш взгляд, — концепция тотального контроля, глубоко пустившая корни в сознании многих людей, занятых в финансовом секторе экономики России, и уходящая этими корнями в ее далекую историю.

Эта концепция подразумевает в идеале установление всеобъемлющего свода правил, регулирующих все аспекты деятельности организации, и создание такого режима работы, который не позволял бы отклоняться от установленных стандартов (намеренно или случайно). Основным инструментом воздействия на управленческие процессы является демонстративное наказание нарушившего, а задачу соблюдения такого режима обычно возлагают на выделенное штатно и организационно подразделение (службу внутреннего контроля), имеющее статус «особо доверенного» и подчиняющееся «лично» самому высокому руководителю организации.

Сама по себе идея полного регулирования всех аспектов деятельности не несет негативного характера, и во многих случаях оправдана (вспомним, например, про воинские уставы, каждый параграф которых основан на реальных человеческих потерях). Более того, канонически контроль и представляет собой процесс управления, состоящий из трех элементов: определение стандартов деятельности системы, сравнение достигнутых ею результатов с установленными стандартами, и, в случае расхождений, корректировка процессов управления.

Одна беда — при воплощении этой концепции в жизнь, по крылатому выражению В.С. Черномырдина, постоянно «получается как всегда». Основными слабостями этой концепции является умозрительность при первоначальном определении стандартов, изумляющая простота и формальность проверок («… что противоречит п. x.x.x Инструкции №NNN»), а также, что более существенно, трудность своевременного и точного распознавания некорректного управленческого процесса, приведшего к отклонению от стандарта. К тому же детальная регламентация деятельности и сосредоточение функций контроля в одном подразделении, свойственное для концепции тотального контроля, неизбежно приводит к бюрократизации всего процесса внутреннего контроля. Такая система перестает реагировать на новые, актуальные вызовы и угрозы, поскольку основой для оценки деятельности внутреннего контроля (и службы внутреннего контроля как его главного воплощения) является формальное соответствие заданным правилам и регулирующим документам. Только два вида событий могут внести возмущение в такую систему: во-первых, смена руководителя и реорганизация, во-вторых — пересмотр внутренних правил вследствие кризиса управления системой, или, как частный случай, иное «толкование» старых правил в угоду новому руководству.

Ответом на несовершенство идеи тотального контроля стала концепция контроля, ориентированного на риск, известная в профессиональном мире как модель COSO. Пояснить эту модель можно на житейском примере. Задумываясь о последствиях происходящих с нами и вокруг нас событий, в большинстве бытовых ситуаций мы оперируем понятиями «повезло» — «не повезло», «судьба» и т.д. Разумный и ответственный человек часто может предотвратить нежелательные последствия, действуя в соответствии с нормами поведения, общепринятыми или выработанными им самим, в основном в целях личной безопасности и безопасность семьи, сохранения нажитого имущества и репутации: закрывает дверь, когда выходит из дома (потому что могут ограбить), ставит на сигнализацию машину (потому что могут угнать), интересуется у знакомых, где лучше отдохнуть (потому что можно сэкономить), и т.д. Но поступать так или нет — дело добровольное, и многим людям это, увы, не свойственно. Для российского менталитета, как это принято считать, свойственно прямо противоположное стремление полагаться на «русский авось».

В мире серьезного бизнеса «расчет на авось» противопоказан, особенно если предпринимателю дано право распоряжаться чужими деньгами или имуществом. Любые вероятные изменения (внутренние или внешние) должны быть идентифицированы заранее, и при их возникновении должны быть применены меры, смягчающие их воздействие на бизнес. Поэтому должен также существовать процесс мониторинга изменений, который позволит применить разработанные ранее меры тогда, когда «пациент скорее жив», а не при посмертном вскрытии. Причина очевидна: в худшем случае в бытовой ситуации пострадает конкретная семья, а результаты кризиса российской финансовой системы 1998 года почувствовали на себе миллионы людей…

Для того чтобы различать изменения по характеру их воздействия, предприниматели договорились вероятные события, которые могут оказать негативное воздействие называть «рисками», а события, которые могут оказать позитивное воздействие — «возможностями». Поскольку многие из рисков имеют одинаковый характер или одинаковую природу, им стали присваивать названия, которые условно выражали их характер (например, «кредитный риск», «операционный риск», «рыночный риск» и т.д.). В соответствии с концепцией контроля, ориентированного на риск, с каждым видом деятельности (предприятием2) изначально связаны специфические (свойственные, inherent) риски, и избежать их возможно только одним способом — в это предприятие не вступая. Однако можно и нужно, во-первых, своевременно идентифицировать эти риски, во-вторых, создать такие управленческие механизмы (процессы), которые при реализации риска смягчат последствия его воздействия до приемлемого уровня. Тогда внутренний контроль (или, следуя английской грамматике, контроли) – это те части бизнес-процесса, которые обеспечивают приемлемый для бизнеса уровень контролируемого (или остаточного,residual) риска.

Давайте вернемся к примеру с закрываемой перед уходом дверью и зададим себе ряд вполне риторических вопросов для оценки эффективности «бытовых» контролей:
— Уменьшится ли риск ограбления, если поставить в квартире металлическую дверь? 
— Неизвестно. Вроде бы с ней надежней…
— Переформулируем вопрос. Уменьшится ли риск, если металлическую дверь поставить, а на замок ее не закрывать? 
— Ответ очевиден — нет. 
— Может ли установка металлической двери уменьшить риск ограбления (другими словами — является ли контролем установка металлической двери)?
— Нет, если дверь останется открытой; да — если дверь закрыта. 
— Является ли контролем ежедневная проверка состояния двери перед уходом? 
— Да. 
— Усиливает ли установка металлической двери степень контроля, при условии ежедневной проверки перед уходом состояния двери?
— Конечно, да.

Этот пример, несмотря на его условность, показывает одну важную характеристику внутреннего контроля: только с точки зрения целей процесса становится важным, какие элементы контроля (в нашем примере — двери, замки, ежедневная проверка, сигнализация и т.д.) в него включены, и только с этой точки зрения можно оценить их эффективность. В концепции риск-ориентированного внутреннего контроля в роли стандарта выступает уровень риска, приемлемый для предприятия, проверка уровня остаточных рисков проходит постоянно и неотъемлемо от основной деятельности предприятия, а в случае выявления отклонений от стандартного уровня коррекции подлежит именно тот бизнес-процесс, контроли которого не обеспечивают смягчения воздействия риска.

При этом выбор наиболее эффективных методов и технологий внутреннего контроля определяется целями и видами деятельности предприятия, окружающей средой и соответствующим набором свойственных рисков. Не обязательно поручать осуществление всех видов контроля отдельному подразделению. Можно распределить ответственность между различными подразделениями, встраивая контроли в их текущую деятельность, и знать, где и какие контроли установлены. При этом основную ответственность за правильное функционирование системы внутреннего контроля несет руководство предприятия, а владельцы предприятия кровно заинтересованы в ее эффективности, так как она способствует снижению рискованности их вложений.

Тем не менее, без выделенного подразделения и в этом случае не обойтись. Одна функция в системе внутреннего контроля не может быть распределена или совмещена с другой деятельностью – это внутренний аудит. Независимо от его формального названия, должно быть создано независимое подразделение, осуществляющее мониторинг состояния системы внутреннего контроля и ее адекватности рискам в динамике. Согласно профессиональным стандартам3, выработанным международным Институтом внутренних аудиторов (IIA), профессиональные внутренние аудиторы играют ключевую роль в оценке и гарантировании эффективности систем управления рисками, контроля и корпоративного управления. В функцию внутреннего аудита входит оценка достоверности отчетности (как внешней, финансовой и регуляционной, так и внутренней, управленческой), проверка целесообразности и экономической эффективности операций, сохранности активов, и, безусловно, проверка соблюдения законодательства, требований нормативных документов регулирующих органов и контрактных обязательств предприятия.

Но в отличие от роли подобного подразделения в модели тотального контроля, внутреннему аудиту важнее не личная преданность руководителю, а независимость, не фиксирование нарушений пунктов инструкции, а квалифицированный анализ рисков, процессов и причин, приведших к таким нарушениям, не примерное наказание виновных, а установление и совершенствование контролей, смягчающих воздействие выявленных рисков.

Главные инструменты внутреннего аудитора – это концепция риск-ориентированного контроля и выстроенная на ее базе методология аудиторской деятельности. Именно эти инструменты позволяют приступить к анализу новой финансовой услуги, сформировать адекватный план проверки и распределить ресурсы. Именно эти инструменты позволяют отделить в ходе проверки случайную ошибку оператора от отсутствия или нарушения контролей и/или процессов. Именно эти инструменты дают возможность при обсуждении выявленных проблем противодействовать как упорству консерваторов («мы всегда так делали», «нас уже проверяли и ничего не нашли» и т.д.), так и оптимизму новаторов («да ничего не случится», «жутко выгодное дело» и т.д.), а при необходимости – эскалировать проблему до самого высокого уровня.

Гибкость и быстрота реакции на изменения среды и большая эффективность являются основными преимуществами риск-ориентированного контроля по сравнению с идеей тотального контроля. Но пришли специалисты, бизнесмены и регулирующие органы к такому взаимопониманию пониманию не сразу.

2. «…их ознакомлением также в области того, что сделала современная наука буржуазного государства в деле постановки наилучшей работы служащих всякого рода»4

Современный этап истории унификации требований к системе внутреннего контроля предприятий начался в 1985 году в США, когда при участии и на средства пяти профессиональных саморегулируемых организаций — AICPA (American Institute of Certified Public Accountants), Американская Ассоциация по учету и отчетности (American Accounting Association), FEI (Financial Executives Institute), Института внутренних аудиторов (Institute of Internal Auditors, IIA) и Института специалистов управленческого учета (Institute of Management Accountants) — была создана национальная комиссия по борьбе с недостоверной финансовой отчетностью, известная по имени первого своего председателя, Джеймса С. Тредуэя (James C. Treadway), как Комиссия Тредуэя. Выпущенный ими в 1987 году отчет, помимо других рекомендаций, содержал призыв к перечисленным организациям — спонсорам Комиссии Тредуэя объединить усилия по достижению договоренности об общих для всех основных понятиях внутреннего контроля. Основываясь на этом предложении, рабочая группа под покровительством Комитета спонсорских организаций Комиссии Тредуэя (Committee of Sponsoring Organizations of the Treadway Commission, COSO) провела анализ существовавшей на тот момент литературы по внутреннему контролю. Результат этой работы был представлен общественности в 1992 году под названием «Интегрированная концепция внутреннего контроля» (Internal Control — Integrated Framework). Кратко этот документ принято называть по наименованию комитета-организатора, концепцией COSO, моделью COSO, или просто COSO.

Модель COSO была особенно важна, поскольку акцент в ней был сделан на ответственности руководства предприятия за состояние контроля.В ней также были определены основные понятия и определения внутреннего контроля и его ключевые компоненты, исходя из следующих ключевых предпосылок:

• Внутренний контроль — это процесс, то есть средство достижения цели, а не самоцель.
• Внутренний контроль осуществляется людьми, поэтому для него важны не только (и не столько) правила, процедуры и другие руководящие документы, но люди на всех уровнях организации.
• От внутреннего контроля владельцы и руководство предприятия могут ожидать только обоснованного уровня обеспечения достижения поставленных целей, но ни как не абсолютной гарантии безошибочной работы.
• Внутренний контроль обеспечивает достижение поставленной цели, или нескольких целей в смежных областях деятельности. 5

Согласно COSO, внутренний контроль — это процесс, осуществляемый высшим органом предприятия, определяющим его политику (например, советом директоров, который представляет владельцев компании), его управленческим персоналом высшего уровня (менеджментом) и всеми другими сотрудниками, в достаточной и оправданной мере обеспечивающий достижение предприятием следующих целей:

1. Целесообразность и финансовая эффективность6 деятельности (включая сохранность активов).
2. Достоверность финансовой отчетности
3. Соблюдение применимого законодательства и требований регулирующих органов.

Система внутреннего контроля, по оценке COSO, должна строиться из пяти взаимосвязанных компонентов:

1. контрольная среда и нравственный климат,
2. оценка риска,
3. мероприятия контроля,
4. сбор и анализ информации и передача ее по назначению,
5. мониторинг и исправление ошибок

Основанный Лондонской Фондовой Биржей комитет под председательством Эдриана Кэдбери (Adrian Cadbury) в своих рекомендациях по разработке требований к Кодексу корпоративного управления, изданных в 1992 году, принял в общем идентичные COSO определения контроля. С 1995 года высшие органы управления всех предприятий, акции которых официально значились в листингах на фондовом рынке Великобритании, были обязаны ежегодно проверять и анализировать эффективность внутреннего финансового контроля7 и сообщать результаты этой проверки в специальном Ежегодном отчете директората. В 1998 году Лондонской Фондовой Биржей был издан Объединенный Кодекс Корпоративного Управления(Combined Code), который объединял в себе принципы, изложенные комиссией Кэдбери и принципы, относящиеся к роли и ответственности руководства компаний, изданные в 1995 году Комитетом Гринбери. В Объединенный Кодекс было включено требование о проверке и подготовке отчета всех трех перечисленных COSO типов контроля, а не только финансового контроля. Документы по корпоративному управлению, действующие в Великобритании не добавили ничего существенного к понятийному аппарату внутреннего контроля, однако само признание данных рекомендаций обязательными для значительного количества компаний, акции которых торгуются на фондовом рынке этой страны, сыграло значительную роль для осознания их важности.

В 1995 году Совет по критериям контроля (CoCo) Канадского Института Дипломированных Бухгалтеров опубликовал Руководство по контролю. В полном соответствии с принципами COSO, в руководстве были детально разработаны 20 критериев эффективного контроля, разбитые на 4 категории: Назначение; Обязательства; Возможности; Наблюдение и Обучение. Руководство призывало органы управления компаний обосновывать оценку эффективности контроля по каждому из 20 критериев. В CoCo нашла отражение также мысль о том, что ошибки в распознавании и использовании возможностей должны рассматриваться как особый вид риска, который должен специально оцениваться.

В том же 1995 году была первая попытка создания официального нормативного документа по управлению рисками — Стандартов Австралии и Новой Зеландии по Управлению Рисками (ANZ Risk Management Standard). В основе его концепции лежали известные принципы оценки риска в таких областях как безопасность мореплавания, мостостроение и ядерная безопасность. Пересмотренные стандарты AS/NZS 4360 были изданы в апреле 1999 года.

«Цели контроля за информационными и связанными с ними технологиями» (CobiT, Control Objectives for Information and Related Technology), впервые опубликованные в 1996 году, были попыткой на международном уровне установить стандарты безопасности и контроля в сфере информационных технологий. Документ использовал интегрированную модель контроля за информационными технологиями для поддержки бизнес-процессов, предложенную Ассоциацией Аудита и Контроля Информационных Систем (Information Systems Audit and Control Association, ISACA). Последняя редакция этого документа была опубликована в июле 2000 года.

Пожалуй, одним из наиболее последовательных институтов в применении модели COSO является Базельский комитет по банковскому надзору, признанный законодатель моды в области банковского регулирования. В 1998 году он выпустил два документа («Основы оценки системы внутреннего контроля» и «Система внутреннего контроля в банках: основы организации», Публикации №33 и 40), посвященных оценке эффективности внутреннего контроля в банках.8 Базельский комитет предложил для всех органов надзора набор принципов, согласно которым должна строиться оценка адекватности систем внутреннего контроля банка за всеми балансовыми и внебалансовыми инструментами. Три основные цели, к достижению которых должна стремиться кредитная организация путем создания эффективной системы внутреннего контроля, совпадали с основными целями внутреннего контроля в модели COSO.

Комитет представил 13 принципов, соблюдение которых необходимо для достижения эффективного внутреннего контроля. Эти принципы были сгруппированы в пяти категориях, совпадающих с предложенными COSO, и одной специфической, характерной для сложившейся в мире стандартной двухуровневой банковской системы — Оценка состояния системы внутреннего контроля органами банковского надзора.

В июле 2000 года и августе 2001 были изданы также рекомендации «Внутренний аудит в кредитных организациях и отношения регулирующих органов с внутренними и внешними аудиторами» и «Внутренний аудит в банках и взаимоотношения регулирующих органов и аудиторов» (Публикации №72 и 84). Дальнейшее развитие концепция риск-ориентированного внутреннего контроля получила в документах Базельского комитета, посвященных управлению операционным риском. В этих документах частично нашли отражение и многие новые идеи, изложенные в последней разработке COSO – «Концепции управления рисками предприятия» (Enterprise Risk Management Framework).

Enterprise Risk Management Framework является дальнейшим развитием модели COSO, и в значительной мере — ответом профессионального сообщества на осложнение обстановки в связи с ростом угрозы терроризма и громкими банкротствами международных компаний последних лет, вызванными некорректностью их финансовой отчетности. В настоящее время Enterprise Risk Management Framework проходит этап публичного обсуждения и будет издана в окончательном виде в начале 2004 года.

3. «Возможное возражение против этого плана: слишком много ревизоров, слишком много надзора, слишком много начальства, имеющего право требовать немедленного ответа и отрывающего служащих от своей прямой работы»9

Постепенный отход российских регулирующих органов и финансовых учреждений от использования концепции тотального контроля, происходящий на наших глазах, пока не завершился выработкой общепринятой концепции внутреннего контроля, близкой к модели COSO. Для Банка России и ФКЦБ среди всех целей внутреннего контроля наиболее значимой остается цель обеспечения соответствия деятельности кредитных организаций его нормативным актам и достоверность отчетности. Для работающего финансового института более важным является достижение поставленных им самим целей и оптимизация связанных с этим затрат, то есть оба аспекта эффективности деятельности. Значит, и существующий внутренний контроль будет, прежде всего, ориентироваться на эти цели, тем более что несоответствие регулирующим документам может рассматриваться как один из видов рисков – важный, но не единственный.

Согласованное принятие регуляторами и их подопечными концепции COSO могло бы разрешить такое противоречие. С точки зрения модели COSO, главной целью выпуска регулирующими органами нормативных документов должно являться снижение уровня системных рисков в финансовой системе страны, путем проецирования смягчающих риски контролей на уровень каждого конкретного финансового института. Никто не может гарантировать, что однажды придуманный финансовыми властями контроль реально смягчит воздействие риска в современных, весьма изменчивых условиях, если система не будет получать сигналы об уровне риска по каналам обратной связи.

С другой стороны, внедрение компонентов системы внутреннего контроля, необходимых по модели COSO для ее эффективного функционирования, может оказать на деятельность финансовой организации существенное позитивное влияние, поскольку предоставляют и менеджменту, и владельцам возможность сконцентрироваться на постановке и достижении целей предприятия (куда развиваться, какие и кому финансовые услуги предлагать с учетом присущих им рисков, и т.д.), а не на текущем процессе банковской деятельности.

Однако для формирования эффективного внутреннего контроля необходима воля и согласованная работа менеджеров и владельцев банка. Естественной реакцией персонала банка на усиление системы внутреннего контроля будет определенное противодействие, явное или скрытое. Во-первых, в силу инерции. Во-вторых, в силу свойственного значительной части россиян отношения к контролируемому как к потенциальному объекту присвоения («что охраняешь, то и имеешь»). В-третьих, в силу не забытого еще опыта по подмене самого строгого контроля формальными отписками. В четвертых, из-за отсутствия опыта распознавания рисков и возможностей, и т.д. К тому же, как представляется, любой контроль просто невыносимо мешает работе.

В этом есть своя правда – ориентированный на риск внутренний контроль мешает работать по-старому, поскольку при встраивании контролей в повседневную деятельность существенно изменяется как сам процесс работы, так и критерии оценки персонала. Нельзя забывать и совет Никколо Макиавелли о том, что «должно быть твердо усвоено, что нет ничего более сложного для осуществления, более сомнительного для успеха и более угрожающего для ведения дел, чем инициировать изменения».

Разумеется, концепция ориентированного на риск внутреннего контроля описывает идеал, к которому нужно стремиться. Как же менеджерам и регулирующим органам оценить эффективность и адекватность системы внутреннего контроля?

Учитывая, что одним из основных постулатов COSO является прямая ответственность как совета директоров (т.е. органа, представляющего интересы владельцев и устанавливающего исходя из этого общие принципы деятельности предприятия), так и менеджмента (т.е. исполнительного органа предприятия и его руководителей) за создание и обеспечение эффективного осуществления внутреннего контроля, можно сказать, что система внутреннего контроля может быть признана эффективной только когда:

• Утверждены и периодически пересматривается владельцами (Советом директоров) документы, устанавливающий стратегию и политику финансовой организации в области внутреннего контроля:
  • установлены основные виды деятельности организации
  • идентифицированы основные неотъемлемые риски, связанные с основными видами деятельности
  • установлены приемлемые уровни риска, который может (должен) принимать на себя организация и его подразделения для достижения поставленных целей
  • определены основные методы контроля и структура контроля, не позволяющие превысить установленные уровни риска
• Утвержденная стратегия и политика внедряется менеджментом в практику на базе оценки рисков:
  • проводится идентификация, оценка и контроль внутренних и внешних факторов, которые могут неблагоприятно повлиять на достижение организацией поставленных целей (идентификация, мониторинг и контроль за рисками)
  • утверждена организационная структура и распределение полномочий
  • разрабатываются необходимые процедуры и процессы, направленные на выявление, отслеживание изменений и контроль за рисками
  • планируется и контролируется деятельность по мониторингу эффективности системы внутреннего контроля
  • в организации создана контрольная среда, которая выражает и демонстрирует персоналу всех уровней важность внутреннего контроля и соблюдения этических норм
• Создана необходимая инфраструктура, позволяющая обеспечить эффективность контролей:
  • процедуры контроля реализуются на всех уровнях управления
  • осуществляются периодические проверки обеспечения соответствия всех областей деятельности установленным политикам и процедурам
  • обеспечивается встроенность мероприятий контроля в ежедневные операции
  • обеспечено разделение обязанностей и отсутствие конфликтов интересов при выполнении персоналом своих обязанностей
  • обеспечена адекватность, полнота и достоверность внешних рыночных данных о событиях, которые могут повлиять на принятие решений
  • обеспечена адекватность, полнота и достоверность финансовой и управленческой отчетности
  • обеспечено соответствие операций действующему законодательству
• Созданы эффективные и безопасные каналы доведения информации :
  • весь персонал предупрежден о существующих политиках и процедурах, касающихся их обязанностей и ответственности
  • обеспечена адресация и быстрота доведения необходимой информацией до соответствующего персонала
  • обеспечено соответствие уровня информационных систем и всех видов деятельности организации
  • обеспечена безопасность информационных систем, осуществляется их периодическая проверка
• Проводится независимый мониторинг эффективности системы внутреннего контроля:
  • проводится на ежедневной основе мониторинг наиболее рискованных операций
  • проводится оценка влияния на операции организации каждого вида риска по отдельности, и всеобъемлющая оценка риска с учетом существующих методов и мер контроля
  • обеспечено проведение эффективного и всеобъемлющего внутреннего аудита системы внутреннего контроля независимыми в функциональном отношении, адекватно подготовленными и компетентными сотрудниками
  • обеспечено своевременное доведение информации о недостатках внутреннего контроля до управляющих соответствующего уровня и ее правильная адресация,
  • обеспечено доведение до менеджмента и Совета директоров информации о существенных недостатках внутреннего контроля и оценка ее эффективности.

Таким образом, при определении эффективности и адекватности системы внутреннего контроля должны в первую очередь учитываться не конкретные формы, методы и технологии контроля, не количество людей, занятых контролем, количество проведенных ими проверок или выявленных ошибок, а действия (или бездействие) менеджмента и владельцев предприятия, направленные на встраивание внутреннего контроля во все бизнес-процессы, своевременную оценку рисков и эффективности мер контроля, применяемых для смягчения их воздействия. В этом смысле выявление недостатков или нарушений может являться сигналом о возможной проблеме, связанной с отсутствием или неправильной работой контроля, и этот сигнал требует глубокого анализа причин и понимания бизнес-процесса. А если после каждого выявленного нарушения требований нормативных документов, даже незначительного с точки зрения реального риска, упоминать о плохой работе службы внутреннего контроля, она лучше не заработает: согласно восточной пословице, «сколько не говори «халва» — во рту слаще не станет».

Для владельцев и менеджмента важно установить такие правила разработки процедур, которые не позволят выпустить на рынок новые услуги без учета всех неотъемлемых рисков и встраивания в процессы адекватных рискам мер контроля. Необходимо определить, будет ли персонал, осуществляющий функции независимого повседневного контроля, организационно входить в штат операционных подразделений, или должен быть выделен в отдельную структуру. Нужно определить такую линию подчинения внутреннего аудита, порядок и периодичность проведения им проверок и информирования о полученных результатах, чтобы обеспечить в рамках конкретной организации приемлемый уровень ее независимости, и при необходимости поддержать ее действия своим авторитетом.

И, в идеале, получить после проверки от регулирующего органа не перечень нарушенных пунктов инструкций и предписание о «приведении в соответствие», а квалифицированную оценку как специфических, относящихся к конкретной финансовой организации, так и системных рисков. Тогда и наказание может быть оправданным.

К сожалению, путь к идеалу еще далек. Поэтому и остается главным один вопрос: как скоро регулирующие органы смогут отойти от концепции тотального контроля и будут на практике применять к оценке эффективности внутреннего контроля финансовых организаций модель COSO и рекомендации Базельского комитета.

1. В.И.Ленин (ПСС, т.36, с.178). Заголовки разделов являются цитатами из произведений и материалов В.И.Ленина, посвященных вопросам создания системы управления и контроля в Советской республике в 20-е годы прошлого столетия («Очередные задачи Советской власти», «Как нам реорганизовать Рабкрин», «Лучше меньше да лучше»). История развивается по спирали…
2. Под «предприятием» здесь и далее понимается не завод или фабрика, а, согласно Далю, «…что предпринимается, самое дело», т.е. смысловой аналог англоязычного понятия business.
3. см. русский перевод стандартов на сайте Российского отделения IIA: Стандарты
4. В.И.Ленин (ПСС, т.45, с.447)
5. Предпосылки, принятые во внимание COSO при разработке модели внутреннего контроля, цитируются по разделу «Key Concepts» на сайте www.coso.org в неофициальном переводе.
6. Понятие «эффективность» в английском языке выражается двумя разными понятиями – «effectiveness» и «efficiency», причем первое относится более к целесообразности процесса, т.е. к способности достигать ожидаемых результатов, а второе – к способности оптимизировать затраты (ресурсы, денежные средства, время) т.е. к финансовой эффективности. COSO употребляет для описания эффективности оба понятия.
7. Под финансовым контролем обычно понимается контроль финансовых и связанных с ними аспектов деятельности и управления компании с применением таких специфических форм и методов, как ведение главной бухгалтерской книги, открытие и использование счетов, подготовка финансовой и управленческой отчетности, подготовка бюджета и политики расходов компании или его подразделений и т.д. Возглавляет это направление деятельности компании Финансовый контролер, роль которого существенно отличается от роли Главного бухгалтера российских предприятий.
8. Неофициальные переводы публикаций Базельского комитета №40 и 84 были рекомендованы Банком России кредитным организациям для использования в работе Письмами № 87-Т от 10.07.2001 и №59-Т от 13.05.2002 соответственно.
9. В.И.Ленин (ПСС, т.45, с.442)

08.08.2017

Все ли операционные риски следует контролировать и предотвращать? Как оценить, что контрольные процедуры выполнены должным образом? Разбираемся с Андреем Коптеловым.

Если вам кажется, что у вас все под контролем, вы просто еще не набрали скорость.

Марио Андретти, участник гонок «Формула 1»

Пока гром не грянет, мужик не перекрестится, — эта пословица прекрасно описывает российскую специфику управления операционными рисками. К сожалению, наши компании нередко отличаются слабым уровнем работы с операционными рисками и полным отсутствием системы внутреннего контроля. Исправить данный недостаток можно, применяя к бизнес-процессам компании методологию американского законодательства SOX (Sarbanes-Oxley Act)

Что такое операционный риск

Операционный риск, можно определить как риск прямых или косвенных убытков в результате неверного исполнения бизнес-процессов, неэффективности процедур внутреннего контроля, технологических сбоев, мошенничества, несанкционированных действий персонала или внешнего воздействия.

Ключевой идеей системы управления операционными рисками является определение наиболее вероятных и серьезных в части ущерба рисков и последующее изменение существующих бизнес-процессов с целью недопущения реализации данных рисков или минимизации последствий в случае, если риск все-таки реализовался.

По статистике среднестатистическая компания теряет 5% прибыли только из-за мошенничества, тогда как потери из-за других видов операционных рисков в разы больше. Смысл системы управления операционными рисками хорошо иллюстрирует следующее определение: управление операционными рисками – это возможность не терять значительные деньги по незначительным поводам.

Многие операционные риски отличает от финансовых и кредитных рисков тот факт, что их источник лежит внутри самой организации. А, значит, вероятность реализации операционных рисков может быть снижена за счет устранения причин, их порождающих. Операционные риски в основном приводят к неоправданным потерям. Поэтому, в случае их обнаружения и устранения, компания получает ощутимую выгоду с точки зрения повышения качества внутренних бизнес-процессов и снижения неоправданных потерь.

Формализация операционных рисков

Формализация операционных рисков необходима для превентивного определения тех точек в бизнес-процессах, где с высокой вероятностью может произойти нештатное событие. Однако на практике некоторые российские компании даже в случае многократной реализации операционного риска так и не предпринимают никаких мер для исключения его в будущем.

Тут можно привести известный афоризм, что грабли бывают двух видов: первые чему-то учат, и вторые — мои любимые. Именно поэтому в рамках управления операционными рисками, помимо формализации операционных рисков в специальном реестре или даже в специализированной информационной системе, рекомендуется создавать базу убытков, чтобы заносить в нее случаи реализации рисков в компании, а также понесенный ущерб. Такая практика позволяет анализировать причины рисков и специальными мероприятиями снижать вероятность их реализации в будущем.

Первый шаг — создание реестра операционных рисков, вести который следует поручить экспертам из подразделений компании или внутренним аудиторам. А после того, как ключевые риски собраны, можно начать накапливать статистику по случаям их реализации, чтобы определить первоочередные мероприятия по их предотвращению.

Сложным вопросом в части выявления операционных рисков является доказательство полноты выявленных рисков, и тут наиболее просто использовать отраслевые реестры рисков, которые, как правило, собираются аудиторами. Использование отраслевых реестров операционных рисков позволяет выполнить формализацию операционных рисков в бизнес-процессах на порядок быстрее, чем использование экспертных методов сбора операционных рисков от своих сотрудников и руководителей.

Оценка операционных рисков

Учитывая, что в крупной компании количество операционных рисков может смело перевалить за тысячу, то нужен простой способ их оценки и ранжирования для определения наиболее критичных рисков, с которыми придется бороться в первую очередь.

Управление всеми найденными операционными рисками экономически невыгодно для компании. Проще смириться с убытками, которые вызывают риски с небольшим ущербом и низкой вероятностью реализации, чем проектировать и внедрять мероприятия по их предотвращению. Именно поэтому ключевой задачей оценки операционных рисков является отсечение тех рисков, которые с высокой степенью вероятности не оправдают дальнейших затрат на их предотвращение.

Существует множество подходов к оценке рисков, однако самым простым является экспертное ранжирование рисков по двум критериям: вероятность реализации риска и объем ущерба от случая реализации. Данная оценка производится на основании мнений экспертов, которые анализируют вероятность и ущерб для всех операционных рисков, актуальных для компании.

После того как оценка проведена, можно использовать четыре стратегии управления операционными рисками. Первая, самая применяемая в России, называется «принимать»: риски принимаются к сведению, но действия по их минимизации не планируются. Вторая стратегия — «страховать»: особенно часто эту стратегию используют для маловероятных рисков с серьезным ущербом. Третья стратегия называется «избегать»: в этому случае компания отказывается от рискованных бизнес-процессов, либо сосредоточивает максимальные усилия на оптимизации данных процессов в части снижения ущерба и его вероятности. Четвертая стратегия называется «предотвращать» и требует построения контрольных процедур для минимизации высоко вероятных рисков со средним или малым ущербом.

Построение системы внутреннего контроля

Для недопущения реализации рисков или минимизации последствий используется система внутреннего контроля, в рамках которой не только определяется ответственный за операционный риск, но и создается контрольная процедура, которая внедряется в существующий бизнес-процесс.

Контрольная процедура — это действие, которое помогает удостовериться, что все необходимые меры в отношении предотвращения случаев реализации операционных рисков приняты. При этом, чтобы проверить работоспособности контрольной процедуры, важно также получить свидетельство контроля — документальное подтверждение факта ее исполнения.

Наиболее результативными считаются превентивные контрольные процедуры, которые позволяют минимизировать саму вероятность наступления рискового события. Однако для повышения надежности бизнес-процесса их часто применяют одновременно с детективными процедурами. Например, наряду с процедурой изъятия карточки-пропуска при увольнении сотрудника должна существовать контрольная процедура сверки списка сотрудников, которым закрыт доступ по их карточкам-пропускам, со списком уволенных за определенный период.

Для создания контрольной процедуры в бизнес-процессе нужно ответить на следующие вопросы:

• Когда и как часто выполняются процедуры контроля?
• Кто выполняет контрольную процедуру?
• Что необходимо выполнить в процедуре контроля?
• Как понять, что процедура контроля выполнена правильно?
• Как процедура контроля документирована?
• Какие свидетельства выполнения процедуры контроля существуют?
• Где расположены контрольные точки в бизнес-процессах?

При проектировании контрольной процедуры в обязательном порядке необходимо предусмотреть необходимость создания свидетельств контроля, подтверждающих факт правильного выполнения контрольной процедуры. На практике свидетельством контроля может являться акт сверки, log-файл информационной системы, — все то, что подтвердит факт успешного выполнения контрольной процедуры сотрудником или информационной системой.

При этом нужно учитывать, что ручной контроль требует серьезных трудозатрат, и поэтому автоматизация контрольных процедур является ключевым направлением развития системы внутреннего контроля в последнее время. Чем больше в компании автоматизированных контрольных процедур, результаты выполнения которых видны в log-файлах информационных систем, тем эффективнее и, главное, дешевле, система внутреннего контроля.

Тестирование эффективности системы внутреннего контроля

Чтобы быть уверенным в том, что система внутреннего контроля эффективна, необходимо с определенной периодичностью проверять, как на практике выполняются контрольные процедуры. Данная проверка осуществляется с помощью специализированных тестов, которые состоят из следующих шагов:

Сначала устанавливается наличие регламента, где определяется порядок, правила выполнения данного бизнес-процесса и соответствующих контрольных процедур.

Далее проверяется выполнение на практике требований, описанных в документе, и документируются конкретные примеры выполнения.

По результатам проведенного теста принимается решение об эффективности или неэффективности анализируемых контрольных процедур.

Дополнительной сложностью в тестировании является требование, чтобы тестирование выполнялось сотрудниками, не участвующими в проверяемых бизнес-процессах. Тысяча тестов, которые необходимо выполнить в течение месяца, — это нормальная ситуация для системы внутреннего контроля крупной компании. При этом количество проводимых тестов зависит от количества экземпляров бизнес-процессов, проходящих через проверяемую контрольную процедуру. Таким образом, периодичность проведения тестирования устанавливается в зависимости от критичности операционных рисков и частоты исполнения бизнес-процесса и может варьироваться.

В существующих условиях количество трансакций в деятельности крупной компании достигает сотен тысяч в день, а число операционных рисков превышает несколько сотен. При этом достаточно сложно отследить эффективность выполнения контрольных процедур на ручном уровне, поэтому единственным эффективным путем является максимальная автоматизация как контрольных процедур, так и проверочных тестов.

Почему нужно равняться на методологию SOX

Анализ разных подходов к построению систем внутреннего контроля показал, что максимально жесткой и проработанной в части внедрения является именно методология закона SOX, которая предназначена для минимизации нарушений, связанных с финансовой отчетностью. Только в системе внутреннего контроля, построенной по требованиям SOX, можно обнаружить не только контрольные процедуры и свидетельства контроля, но и специализированные тесты, с помощью которых в регулярном режиме проверяют эффективность работы контрольных процедур.

При этом вся система, помимо внутренних тестов, дополнительно контролируется внешним аудитором. Его задача — выборочно проверять не только качество оценки операционных рисков, но и правильность работы контрольных процедур, существование свидетельств контроля, а также регулярность внутреннего тестирования системы.

И хотя внедрение такого объема контрольных процедур и тестов часто слишком дорого для компании, в тех бизнес-процессах, над которыми нужно установить максимальный контроль, можно использовать методологию SOX в полном объеме.

Статья  http://www.e-xecutive.ru/management/practices/1985953-kak-postroit-sistemu-vnutrennego-kontrolya

Приглашаем вас на обучение по программе профессиональной переподготовки «Операционная эффективность бизнеса и совершенствование бизнес-процессов». ← Назад к списку