Содержание к диссертации
Введение
Глава 1. Внутренний контроль в системе управления предприятием 11
1.1. Сущность и содержание внутреннего контроля 11
1.2. Концепция внутреннего контроля, ориентированного на риск (модель- COSO)... 35
1.3. Критерии эффективности внутреннего контроля 42
1.4. Обзор законодательства в области корпоративного управления и внутреннего контроля 47
Глава 2. Содержание контрольных мероприятий и инструментарий внутреннего контроля на примере предприятий связи 52
2.1. Разработка системы внутреннего контроля по ключевым бизнес-процессам 52
2.1.1. Типизация и оценка рисков 52
2.1.2.Контроль по бизнес-процессам 58
2.1.3. Регулирование внутреннего контроля: внутрифирменные стандарты и процедуры 70
2.2. Контроль бюджета как контроль достижения целей 72
2.3. Контроль достоверности и прозрачности отчетности 87
2.3.1. Аналитические процедуры 87
2.3.2. Информационные технологии как фактор повышения эффективности процедур контроля и самостоятельный объект контроля 103
Глава 3. Авторская модель организации внутреннего контроля на предприятии связи.. 108
Заключение 125
Библиография 131
Приложения 139
- Сущность и содержание внутреннего контроля
- Разработка системы внутреннего контроля по ключевым бизнес-процессам
- Контроль достоверности и прозрачности отчетности
Введение к работе
Актуальность темы исследования
Стимулирование привлечения ресурсов и развитие производства российскими предпринимателями, а так же импорт международного капитала представляют собой наиболее эффективные пути оживления инвестиционного процесса и, соответственно, роста валового внутреннего продукта Российской Федерации. Приток капитала в страну может существенно изменить отраслевую структуру экономики в пользу развития не сырьевого сектора и привести к значительному экономическому подъему. Очевидно, что инвесторы преследуют в первую очередь цели сохранения и приумножения своих финансовых ресурсов, поэтому для роста экономики, за счет повышения инвестиционной активности в стране, необходимо создавать как внешние, так и внутренние гарантии сохранения инвестируемого капитала. Отсутствие полноценной системы внутреннего контроля, как одной из внутренних гарантий сохранения капитала, не дает возможности инвесторам ощущать себя комфортно при вложении средств в те или иные российские проекты, менеджменту - общаться с акционерами на одном языке, акционерам - иметь попятные взаимоотношения с государством. Поэтому без повышения качества систем внутреннего контроля российских предприятий в стране не будет устойчивых и высоких темпов экономического роста. Следует отметить, что речь в данном случае идет о российских компаниях, зарабатывающих не па продаже сырьевых запасов зарубеж, а о производственных компаниях, достаточно конкурентоспособных сфер деятельности, таких как целлюлозно-бумажная, пищевая промышленность, машиностроение, связь и т.д., имеющих все возможности для расширения бизнеса, но упускающих их ввиду некачественного корпоративного управления.
По оценкам, представленным в докладе Конференции ООП по торговле и развитию (ЮНКТАД), объем прямых иностранных инвестиций в экономику России увеличился в 2005 году в два раза и достиг $26,1 млрд. по сравнению с $12,5 млрд. и $6,8 млрд. в 2004 и 2003 годах соответственно. Рост прямых иностранных инвестиций, безусловно, отражает позитивные изменения в инвестиционном климате России, но вместе с тем, по оценкам аналитиков, нынешний уровень притока капитала для экономики недостаточен. Для сравнения, Китай, привлек в 2005 году $60 млрд. прямых иностранных инвестиций. При снижении рисков инвестирования и создания благоприятной правовой базы Россия могла бы привлекать до $40-50 млрд. прямых инвестиций в год.
Кроме привлечения прямых инвестиций в страну, одним из важных факторов роста экономики является рост портфельных инвестиций и повышение капитализации рос-
сийских компаний, уже вышедших или только планирующих выход на фондовые рынки. Этот вопрос также находится в прямой 'зависимости от качественного корпоративного управления, прозрачной структуры собственности, информационной прозрачности и надежности систем внутреннего контроля компаний. Выстраивание систем внутреннего контроля приобретает все большую значимость в крупных российских компаниях, котирующихся на западных биржах, как одна из внутренних гарантий сохранения и обеспечения требуемой доходности капитала для инвесторов и собственников. Современный подход к организации внутреннего контроля довольно широк и предполагает не только контроль, гарантирующий обеспечение плановых показателей, соблюдения законодательства, отсутствие отклонений и нецелевого использования средств, но и систему выявления резервов повышения эффективности деятельности экономических субъектов и контроль соблюдения интересов собственников и инвесторов. Качественное корпоративное управление предполагает обязательное наличие системы внутреннего контроля деятельности организации для достижения целей компании и повышения ее стоимости.
Па западе вопросы повышения уровня корпоративного управления и организации надежных систем внутреннего контроля, катализатором которых явились серии громких банкротств крупных корпораций, разрабатывались на протяжении длительного периода времени. У российских компаний имеется реальная возможность избежать многих ошибок, воспользовавшись этим и собственным опытом организации внутреннего контроля. Во многом в связи с объективным процессом интеграции России в мировую экономику, а так же по причине постепенного дистанцирования собственников от оперативного управления, для российских предприятий отчетливо обозначилась необходимость приведения систем корпоративного управления в соответствие с общепринятой практикой стран с развитой рыночной экономикой. Разумеется, прямое копирование западных наработок в современную отечественную практику невозможно. При использовании этого опыта необходима адаптация к российским условиям, учет специфики предприятий, работавших еще во времена плановой экономики, либо созданных уже в условиях рыночных отношений, и понимание российского менталитета.
Сказанное обуславливает актуальность исследования методологии, методики и организации внутреннего контроля как одного из основных направлений совершенствования корпоративного управления на основе изучения теории и обобщения практики его организации на отечественных и зарубежных предприятиях.
Состояние изученности проблемы
В отечественной литературе и хозяйственной практике периода плановой экономики вопросы контроля, в том числе внутреннего контроля, получили широкую разработку. Многие приемы методики контроля заслуживают применения и в современных ус-
ловиях. Между тем, становление в России рыночной экономики, имевшее место в конце XX века - начале XXI веков, привело к формированию качественно новых отношений, оказавших существенное влияние на такую функцию управления как контроль. Во-первых, появился новый вид контроля - аудит. Это потребовало разработки его методологии и методики аудита, увязки его с другими видами контроля в рамках общей системы контроля предприятия. Во-вторых, появление частной собственности, формирование акционерных предприятий, на которых собственник отстранен от непосредственного управления капиталом повысило роль внутреннего контроля в корпоративном управлении.
Новые экономические условия создали стимул для разработки проблем внутреннего контроля в коммерческих организациях. Наиболее интересными исследованиями являются работы В.В. Бурцева, С.Брега, О.Н.Волковой, Н.Г.Данилочкиной, М.В. Мельник, О. Николаевой, В.В. Скобара, Л.В. Сотниковой, В.П. Суйц, А.Д. Шеремета, Х.И.Фольмут, П.Хорват. В них получил разработку качественно новый вид внутреннего контроля- внутренний аудит, его взаимодействие с другими видами внутреннего контроля, а также методический аппарат внутреннего контроля с учетом специфики рыночной экономики. Однако, принцип подхода к внутреннему контролю хозяйственной деятельности организаций остался тот же, что сложился в условиях плановой экономики, а именно сплошной контроль всех хозяйственных операций без его ориентации на области рисков по бизнес-процессам. Принимая во внимание, что в условиях рыночной экономики резко возрастает разнообразие хозяйственных операций, а также усложняются хозяйственные связи внутри корпораций, такой подход к организации внутреннего контроля становится излишне трудоемким и дорогостоящим. Особенно это актуально для крупных предприятий со сложной административной и производственной структурой, к которым относятся предприятия связи, являющиеся объектом настоящего исследования.
Отмеченный недостаток отсутствует в современной концепции внутреннего контроля, разработанной американским Комитетом спонсорских организаций Комиссии Тредвея (COSO), и принятой за основу построения внутреннего контроля во многих странах мира, в том числе и при разработке российского банковского законодательства в области внутреннего контроля. Основные моменты концепции COSO будут освещены в работе, однако в пей тоже присутствует некоторый минус- отсутствие обоснованных методологических и практических рекомендаций по организации ряда важных вопросов внутреннего контроля. Суть концепции COSO - это риск-ориентированный контроль по бизнес-процессам.
В настоящее время в российском деловом сообществе наблюдается постепенное принятие концепции риск-ориентированного контроля и адаптирование ее к имеющимся бизнес-реалиям. Большую роль в этом играет деятельность Российского филиала Инсти-
тута Внутренних аудиторов, членом которого автор работы является с 2002 года. В основном, вопросы построения эффективной и современной системіл внутреннего контроля обсуждаются либо па специально организуемых конференциях и тренингах, либо на страницах профессиональных журналов и газет. Однако, в самой концепции COSO, а также в доступной методической литературе по системе риск-ориентированного внутреннего контроля COSO слабо разработан механизм его внедрения в организациях, что затрудняет применение этой концепции на практике.
Цели и задачи диссертационного исследования
Целью диссертационного исследования является разработка модели упреждающего риск-ориентированного контроля по бизнес-процессам на примере телекоммуникационной организации, позволяющей своевременно выявлять возникающие риски и минимизировать вызываемый ими ущерб.
Цель исследования определила необходимость решения следующих задач:
Определить сущность, цели и задачи внутреннего контроля как одной из функций управления и уточнить место внутреннего контроля в системе корпоративного управления организацией;
Обобщить виды внутреннего контроля и уточнить выполняемые ими функции и их взаимосвязи;
Исследовать российское и зарубежное законодательство в области корпоративного управления и внутреннего контроля;
Обобщить опыт организации внутреннего контроля в коммерческих организациях, в том числе на предприятиях связи, и проанализировать выполняемые контрольными подразделениями функции;
- Исследовать бизнес-процессы предприятий связи, выявить и описать присущие им риски и возможные процедуры контроля для минимизации возможных негативных последствий;
Изучить и обобщить методику внутреннего контроля на предприятиях связи, в том числе контроля бюджета и контроля достоверности отчетности;
Разработать информационное обеспечение упреждающей риск-ориентированной системы внутреннего контроля и исследовать роль и функции информационных технологий в процессе осуществления внутреннего контроля телекоммуникационной организации;
Разработать рекомендации по внедрению риск-ориентированной системы внутреннего контроля в телекоммуникационной организации;
Предмет и объект исследования
Предметом исследования является совокупность теоретических, методических и практических вопросов организации и функционирования внутреннего контроля на коммерческих предприятиях.
Объектом исследования являются типовые бизнес-процессы, организация внутреннего контроля и контрольные процедуры в телекоммуникационных организациях, рас-
смотренные на примере крупных сотовых операторов (МегаФон-Москва и МЛТ-Таджикистан).
Телекоммуникационные организации имеют определенную отраслевую специфику, в том числе и в вопросах организации внутреннего контроля. Отраслевая специфика телекоммуникационных организаций обусловлена незаконченностью основного производственного процесса в рамках одного предприятия, пропуском трафика через сети других операторов связи, необходимостью взаиморасчетов за взаимно оказанные услуги, а также порядком оказания услуг абонентам и формирования доходов посредством биллин-говой тарификации оказываемых услуг.
Теоретической и методологический основой диссертационного исследования послужили труды ведущих российских и зарубежных специалистов в области менеджмента, управленческого учета, аудита и контроля; нормативные акты Российской Федерации и некоторых зарубежных стран; отечественные и международные стандарты аудита; аналитические материалы Российского филиала Института внутренних аудиторов и Комитета спонсорских организаций США (COSO), а также информационные материалы, опубликованные в периодической печати и представленные в компьютерной сети Интернет. Эмпирическую базу исследования составили данные оперативного, бухгалтерского и статистического учета и отчетности, внутренние регламенты предприятия связи, используемые для поддержания системы контроля, заключения внутреннего аудитора и ревизионной комиссии и другая информация, полученная автором в результате непосредственного исследования состояния и организации внутреннего контроля на предприятиях связи. В качестве инструментария исследования применялись общенаучные методы познания: экстраполяция и логический анализ, наблюдение, конкретизация и абстрагирование, дедукция и индукция. В процессе исследования использовались системный, комплексный и процессный подходы, методы сравнительного анализа, группировки данных, обобщения теоретического и практического материала.
Научная новизна диссертационного исследования обусловлена тем, что в нем впервые комплексно реализован подход к организации и методике системы упреждающего внутреннего контроля по точкам риска на примере телекоммуникационных организаций, которым присущи специфические отраслевые особенности, воздействующие на корпоративное управление, в целом, и внутренний контроль, как его подсистему, в частности.
Научные результаты, содержащие новизну, полученные лично автором, заключаются в следующем:
разработана методика составления карты рисков для выявления наиболее критических мест, требующих первоочередных усилий по внедрению процедур внутреннего контроля для телекоммуникационных организаций;
предложен алгоритм анализа целесообразности контрольных процедур;
предложена оптимальная организационная структура системы внутреннего контроля для телекоммуникационных организаций;
предложены рекомендации поэтапной организации риск-ориентированной системы внутреннего контроля, основанные на использовании передовой мировой практики, лучших отечественных наработок и практическом опыте работы автора в контрольном подразделении компании сотовой связи Мегафон-Москва;
разработана методика оценки состояния внутреннего контроля и предложен формат периодического отчета о состоянии внутреннего контроля организации;
предложена методика контроля бюджета структурных подразделений и методика контроля достоверности отчетности в телекоммуникационных организациях.
Практическая значимость исследования заключается в том, что полученные в
ходе исследования выводы и предложения могут быть использованы в организационно-методической работе подразделений системы внутреннего контроля предприятий, в научно-исследовательском и учебном процессах.
В работе проанализирована и адаптирована к российским условиям современная модель организации внутреннего контроля, ориентированного на риск, предложены методики, которые могут быть использованы в практической деятельности российских компаний, решающих задачи повышения эффективности и экономичности операций, повышения качества и прозрачности отчетности и в перспективе планирующих публичное размещение акций на фондовом рынке.
В практической деятельности компаниями связи могут быть использованы предложенные автором:
модель оценки рисков и методика построения карты рисков;
описание бизнес-процессов телекоммуникационной организации, в том числе подробное описание специфичного для телекоммуникационных организаций биллин-гового бизнес-процесса, с выявлением наиболее "узких мест" и предложенными процедурами контроля;
алгоритм анализа финансовой отчетности и краткий перечень контрольных процедур отчетности, готовый к применению в телекоммуникационных организациях;
предложения по организации децентрализованного контроля бюджета и финансового документооборота по сделкам по Центрам ответственности;
форма периодического отчета о состоянии внутреннего контроля на предприятии;
вариант организации системы внутреннего контроля предприятия с приведенным, достаточно подробным перечнем функций каждого подразделения.
Результаты проведенного в работе исследования могут быть полезны высшему менеджменту крупных коммерческих организаций, руководителям и специалистам подразделений внутреннего контроля и управления рисками при организации и совершенствовании системы внутреннего контроля и разработке процедур контроля.
Апробация и внедрение результатов исследования.
Основные результаты диссертационного исследования были успешно внедрены автором в практическую деятельность предприятий сотовой связи Мегафон-Москва и i\ ШТ-Тадж и кистаї і.
Результаты диссертационного исследования докладывались и обсуждались па заседаниях Российского филиала Института Внутренних аудиторов и па научно-практических конференциях 'Татуровские чтения" в МГУ им.М.В. Ломоносова.
Публикации результатов исследования
По проблеме диссертационного исследования опубликовано пять статей общим объемом 1,7 п.л.
Структура и объем диссертационной работы.
Диссертационная работа состоит из введения, трех глав и заключения. Работа содержит аналитические таблицы, схемы, диаграммы, список использованной литературы и приложения.
Во введении обоснована актуальность темы исследования, его научная новизна, теоретическая и практическая значимость, отражены итоги апробации результатов исследования, представлена общая структура работы.
Первая глава освещает теоретические основы организации внутреннего контроля в коммерческих организациях, в ней уточнено понятие и содержание внутреннего контроля, проанализированы роль и место контрольных подразделений в организации, предложен обзор законодательства в области внутреннего контроля, и обзор современной концепции внутреннего контроля, ориентированной на риск, больше известной под названием модель -COSO.
Во второй главе изложены вопросы практической организации работы по управлению рисками и внедрению контрольных мероприятий, рассмотрен процесс контроля бюджета в качестве инструмента контроля достижения целей организации и процедуры контроля, направленные на достижение целей повышения качества отчетности.
В этой главе работы представлена методика построения карты рисков для выбора бизнес-процессов, наиболее важных с точки зрения усиления контроля, представлен вариант организации контроля бюджета по Центрам отвественности, приведен список рабочих процедур контроля финансовой отчетности реального предприятия связи.
Также освещен вопрос применения информационных технологий как фактора повышения эффективности внутреннего контроля и одновременно самостоятельного объекта контроля на предприятиях связи. В качестве приложения к этой части работы приведен пример описания бизнес-процесса "Предоставление скидок абонентам", с описанием процесса до и после введения контрольных процедур, а также приведен пример реально работающего регламента по тендерам, призванного минимизировать риски бизнес-
процесса Закупки.
В третьей главе представлена ангорская модель организации внутреннего контроля на предприятии связи. В этой главе предложен вариант организационного позиционирования контролирующих подразделений компании, с четким разделением целей, задач и функций каждого из них, представлены практические рекомендации по внедрению системы контроля, с описанием и приложением образцов регламентов, формирующих внутреннюю среду контроля организации. Так же в этой части работы предложен формат периодического отчета Руководителя службы внутреннего контроля менеджменту компании, для информирования о состоянии системы внутреннего контроля организации и своевременного принятия мер по минимизации рисков операционной деятельности предприятия.
В заключении диссертации представлены основные теоретические выводы и практические результаты исследования.
Сущность и содержание внутреннего контроля
В условиях рыночной конкуренции успешная деятельность коммерческой организации определяется достижением поставленных перед ней целей, следованием принятой стратегии, финансовой стабильностью и устойчивостью ее положения среди конкурентов на рынке. Обеспечение всего вышеперечисленного - задача менеджмента организации, нанимаемого собственниками для максимизации собственного благосостояния и обеспечения требуемой доходности на вложенный капитал.
После определения акционерами основного направления формирования стоимости компании, формулирования целей бизнеса, его соответствующей организации и укрепления конкурентных преимуществ, задачами менеджмента становится осуществление управления бизнесом и его отдельными операциями для достижения поставленных акционерами стратегических целей.
Управление, или умение добиваться поставленных целей, используя труд, интеллект, мотивы поведения других людей, рассматривается во многих научных источниках как творческий процесс, повторяющийся во времени. Объясняется это тем, что работа по достижению целей с помощью других - это серия непрерывных взаимосвязанных управленческих функций: планирования, организации, мотивации и контроля, чередуемых с процессами обмена информацией и принятия решений. Схематично процесс управления можно представить так:
Па первом этапе управления формулируется цель управления, разрабатываются прогнозы и планы ее достижения. На втором этапе выполняются все действия, которые обеспечивают возможность достижения цели: организация, стимулирование, мотивация персонала. Па третьем этапе, этапе контроля, состояние объекта управления сравнивается с поставленной целью, оцениваются и апапизируются отклонения и на основе этого принимается решение о новой цели и управленческий цикл повторяется снова.
Каждая управленческая функция тоже представляет собой процесс, потому что также состоит из серии взаимосвязанных действий, включающих контроль как фундаментальный элемент процесса управления. Ни планирование, ни создание организационных структур, ни мотивацию нельзя рассматривать полностью в отрыве от контроля, поскольку в каждоіі функции управления присутствует элемент контроля и фактически все они являются неотъемлемыми частями общей системі,! контроля организации.
Небольшой экскурс в теорию управления не случаен. Множество компаний по всему миру страдает от неэффективного управления и использования разного рода ресурсов, от недостатка необходимой для принятия правильных решений информации, непреднамеренного и преднамеренного искажения отчетности, прямого мошенничества со стороны персонала и управляющих. Подобных проблем можно попытаться избежать путем усиления функции внутреннего контроля в организации. Прежде чем перейти к определению роли и места внутреннего контроля в структуре предприятия, будет логично дать определение контролю в более широком толковании этого понятия.
Аспект контроля в менеджменте рассматривался многими российскими и западными авторами. Типичные, наиболее встречаемые определения контроля, предложенные различными авторами, приведены в табл. 1:
Разработка системы внутреннего контроля по ключевым бизнес-процессам
Как уже было подробно рассмотрено в п.1.2, основой современной концепции риск-ориентированного внутреннего контроля является процесс управления рисками. Разнообразие и опасность рисков операционной деятельности известны во всем мире, и порой бывает достаточно непросто соориентироваться в их огромном количестве и суметь выделить действительно важные и существенные. Поскольку вопрос управления рисками является необходимым и разумным требованием организации внутреннего контроля компании, в этом параграфе хотелось бы более подробно остановиться па вопросах типизации рисков, практических методах их оценки и способах реагирования на них.
Одним из важнейших аспектов организации системы риск-ориентированного внутреннего контроля является обнаружение и анализ потенциальных внешних и внутренних рисков, присущих операционной деятельности, а также выработка рекомендаций и процедур, позволяющих снизить уровень риска и минимизировать возможные потери. Реализация стратегии и достижение поставленных целей, зависят от множества внешних и внутренних событий, способных обернуться для компании как возможностями, так и рисками достижения целей. В рамках процесса управления рисками руководство организации должно признать важность изучения природы и характера рисков, которые могут произойти.
Поскольку внешними рискахми довольно сложно управлять, в российском бизнесе выработаны практические способы минимизации внешних рисков, в частности используемые для защиты в конкуренции с неравными соперниками — крупными международными компаниями:
Диверсификация, предоставляющая возможность маневра, позволяющая опираться на несколько бизнесов, инвестировать из одного в другой.
Специализация, позволяющая сосредоточить ресурсы для развития основного бизнеса.
Союзы с сильными партнерами и инвесторами.
Поиск новых технологий управления/ведения бизнеса и снижение себестоимости услуг
Инвестиции в развитие
Развитие компании, захват большой доли рынка, создание разветвленной сети филиалов, магазинов и т.п.
Перепрофилирование бизнеса, поиск ниши
Использование собственных преимуществ (знание российского потребителя, быстрое реагирование на изменение требований; знание местного рынка, быстрота реакции на изменения).
Создание сильного брэнда.
Как видно из табл.5, количество рисков, которым подвергается срсднестатисти ческое предприятие в процессе операционной деятельности, достаточно велико. Чтобы использовать усилия и ресурсы компании наиболее эффективным образом необходимо уметь оценивать риски и выделять среди них самые существенные. Для относительной оценки рисков, присущих различным бизнес-процессам, можно рекомендовать составлять на предприятиях карту рисков. Карта рисков позволяет сводить воедино и оценивать риски организации на сіратегическом и операционном уровнях. Это наиболее простой и, в то же время, эффективный способ быстрого выявления, оценки и принятия мер реагирования на наиболее существенные риски организации. Предлагаемый автором алгоритм опенки рисков содержит элемент субъективизма. Однако, при сравнительном анализе возможных воздействий риска па операционную деятельность компании и принятии за единицу существенности уровень существенности искажений отчетности, можно достаточно просто построить карту рисков организации, на которой будут наглядно видны риски, требующие пристального внимания и первостепенных усилий для их снижения.
Способы реагирования на риски можно разделить наследующие категории:
Уклонение от риска, предполагающее прекращение деятельности, ведущей к риску (например, закрытие бизнес направления, отказ от покупки нового предприятия, поправки в договорах]
Сокращение риска путем принятия мер контроля по уменьшению вероятности и/или воздействия риска (например, организация тендеров, проведение тестирований системы, аттестация сотрудников, адекватное планирование ресурсов)
Перераспределение риска Уменьшение вероятности и/или влияния риска за счет переноса или иного распределения части риска. Распространенными способами перераспределения риска является приобретение страховых полисов, проведение операций хеджирования и передача соответствующего вида деятельности сторонней организации.
Принятие риска. 11ри этом не предпринимается никаких действий для того, чтобы снизить вероятность или влияние события. Не всех рисков можно избежать, так же как не всех рисков следует избегать в силу целесообразное (например, описать нее риски на этапе написания технического задания невозможно, соответственно обе стороны принимают на себя некоторый риск).
При принятии решения о реагировании на риск необходимо учитывать воздействие потенциальных мер контроля на вероятность и степень влияния рисков, соотношение затрат и выгод и выбирать вариант реагирования, обеспечивающий остаточный риск, не выходящий за пределы допустимого уровня риска. Остаточный риск - это риск, остающийся после принятия мер по реагированию па риск.
Остаточный риск = Присущий риск - Контроль
Уровень остаточного риска сравнивается с допустимым уровнем, т.е. тем, который готовы принять па себя акционеры. Уровень остаточного риска выше оптимального является неприемлемым. Уровень остаточного риска ниже оптимального соответствуют избыточному контролю.
Карта рисков подлежит обязательному утверждению менеджментом и согласованию с Советом директоров организации. Каждый руководитель структурного подразделения, ответственного за подпроцесс, должен знать о прис гцих деятельности его подразделения рисках и осознавать ответственность за управление ими.
Помимо построения карты рисков, в организации может быть разработана методика соотнесение рисков и целей процессов с помощью матрицы рисков. Матрица рисков позволяет увидеть все риски, влияющие на достижение отдельной цели каждого подпроцесса и увидеть все цели и подпроцессы, на которые влияет каждый отдельный риск.
Построение карты рисков является очень хорошим инструментом для определения бизнес-процессов организации, которые могут оказать сильное влияние на достижение целей, и требующих первостепенного сосредоточения усилий и выстраивания системы внутреннего контроля. Следующая глава продолжит рассмотрение вопроса организации внутреннего контроля по ключевым бизнес-процессам, попадающим в категорию " немедленного реагирования".
Контроль достоверности и прозрачности отчетности
Разумеется, исполнение бюджета - датеко не единственная гарантия благополучия в компании. Достаточно важной задачей организации внутреннего контроля в Компании является необходимость подтверждения полноты и достоверности бухгалтерской (финансовой), статистической и управленческой отчетности. Очевидно, что и эффективность управленческих решений во многом зависит от достоверности бухгалтерской и управленческой отчетности. Искажение данных в отчетности может быть связано с ошибками обработки первичных документов, неверно выстроенными бизнес-процессами компании, недобросовестным поведением персонала. Российский стандарт аудиторской деятельности №13, приводит критерий преднамеренности действий для разграничения ошибок в отчетности и недобросовестных действий по ее искажению. Так, по определениям, предложенным в стандарте:
"Ошибка - непреднамеренное искажение в финансовой отчетности, в том числе неотражепис какого-либо числового показателя или нераскрытие какой-либо информации. Примерами ошибок являются:
ошибочные действия, допущенные при сборе и обработке данных, на основании которых составлялась финансовая отчетность;
неправильные оценочные значения, возникающие в результате неверного учета или неверной интерпретации фактов;
ошибки в применении принципов учета, относящихся к точному измерению, классификации, представлению или раскрытию." Под недобросовестными действиями в этом же стандарте понимаются "преднамеренные действия, совершенные одним или несколькими лицами из числа представителей собственника, руководства и сотрудников аудируемого лица или третьих лиц с помощью незаконных действий (бездействия) для извлечения незаконных выгод. К преднамеренным искажениям в результате недобросовестных действий относятся искажения, возникающие в процессе недобросовестного составления финансовой отчетности и искажения, возникающие в результате присвоения активов".
Американский институт дипломированных бухгалтеров определяет мошенничество с финансовой отчетностью как "преднамеренное действие, приводящее к существенному искажению информации в финансовой отчетности".
Российский аудиторский стандарт трактует недобросовестное составление финансовой отчетности как "искажения или неотражение числовых показателей либо нераскрытие информации в финансовой отчетности с целью введения в заблуждение пользователей финансовой отчетности".
Примерами недобросовестного составления финансовой отчетности являются:
фальсификация, изменение учетных записей и документов, на основании которых составляется финансовая отчетность;
преднамеренное неверное отражение событий, хозяйственных операций или другой важной информации в финансовой отчетности или их преднамеренное исключение из данной отчетности;
преднамеренное нарушение применения принципов бухгалтерского учета.
Совершенно очевидно, что недобросовестные действия, подразумевая наличие мотивирующих факторов и осознаваемых возможностей для их совершения, провоцируются желанием приукрасить результаты деятельности (особенно, если от них зависит материальное вознаграждение), и слабостями определенных элементов системы внутреннего контроля процесса составления отчетности. Внедрение контрольных аналитических процедур позволяет повысить надежность финансовой информации, а также снизить риск ошибок, мошенничества и принятия ошибочных решений. Одновременно с подчеркиванием важности контрольных аналитических процедур в процессе составления достоверной отчетности, необходимости установления надлежащих средств контроля для предотвращения и своевременного обнаружения ошибок и недобросовестных действий, хочется еще раз обратить внимание на важность внутренней среды в компании и необходимость поддержания в компании культуры честности и высоких моральных принципов.
Для эффективного выполнения обязанностей по контролю достоверности и прозрачности отчетности, в соответствии с принципами разделения обязанностей и припци пом ответственности, предложенными В.В. Бурцевым [29, с.58], в организации необходимо выделить ответственное подразделение, непосредственно не участвующее в регистрации бухгалтерских/управленческих операций и формировании отчетности. На практике обычно таким подразделением является подразделение Финансовой службы (например, Отдел финансового контроля), не вовлеченное в процесс подготовки отчетности и потому способное осуществлять независимый контроль отчетности наиболее эффективным способом.
Процесс контроля достоверности и прозрачности отчетности, по анатогии с любым другим процессом в системе риск-ориентированного контроля (см. II. 1.1), можно разбить на несколько стадий:
установка приемлемого для компании стандарта в виде достоверной, своевременной, понятной пользователям отчетности
анализ рисков бизнес-процесса "Отчетность", оценка и выявление наиболее существенных рисков
принятие решения о реагировании на выявленные риски и разработка необходимых контрольных процедур
анализ фактической отчетности, в сравнении с установленным стандартом, текущий контроль эффективности контрольных процедур
проведение корректировок в том случае, если фактическая отчетность существенно не достоверна, не своевременна, не понятна пользователям
Рассмотрим более подробно предлагаемые стадии процесса контроля достоверности и прозрачности отчетности.
Анализ рисков бизнес-процесса "Отчетность " и разработка необходимых контрольных процедур:
При финансовом контроле, так же как и при реализации остальных элементов внутреннего контроля, для каждого процесса, связанного с подготовкой финансовой отчетности, определяются соответствующие риски и процедуры их минимизации с учетом специфики организации. Для процесса составления финансовой отчетности они приведены в табл.7.
