Содержание к диссертации
Введение
ГЛАВА 1. Теоретические аспекты внутреннего аудита промышленного предприятия 8
1.1. Сущность и значение внутреннего аудита в системе корпоративного управления промышленного предприятия 8
1.2. Классификация видов внутреннего аудита 33
1.3. Анализ концептуальных подходов к проведению риск ориентированного внутреннего аудита на промышленном предприятии ...43
1.4. Выводы и результаты по 1-й главе 59!
ГЛАВА 2. Исследование методов и моделей оценки рисковав рамках концепции риск-ориентированного внутреннего аудита 61
2.1. Обоснование концепции риск-ориентированного внутреннего аудита на промышленном предприятии 61
2.2. Классификация рисковшнутреннегоаудита 67
2.3. Анализ моделей и методов оценки рисковгв рамках концепции риск-ориентированного внутреннего аудита 75
2.4. Выводы и результаты по 2-й главе 98
ГЛАВА 3. Разработка методического обеспечения (методов и моделей) для реализации концепции риск-ориентированного внутреннего аудита 100
3.1. Моделирование процессов внутреннего аудита и выявление присущих им рисков 100
3.2. Разработка методов и моделей оценки рисков при проведении внутреннего аудита 118
3.3. Разработка методов реагирования на риск и оценка эффективности риск-ориентированного внутреннего аудита 153
3.4. Выводы и результаты по 3-й главе 158
Заключение 161
Список использованной литературы
- Классификация видов внутреннего аудита
- Анализ концептуальных подходов к проведению риск ориентированного внутреннего аудита на промышленном предприятии
- Анализ моделей и методов оценки рисковгв рамках концепции риск-ориентированного внутреннего аудита
- Разработка методов и моделей оценки рисков при проведении внутреннего аудита
Введение к работе
1. Актуальность темы исследования. Экономическая рецессия, затронувшая Россию в 2008-2009 гг., помимо негативных последствий для экономики страны позволила руководителям ведущих российских промышленных предприятий пересмотреть свои взгляды на вопросы эффективности и устойчивости развития хозяйственной деятельности в долгосрочной перспективе, выявив в качестве главного инструмента решения данной задачи внутренний аудит. Данное обстоятельство усилило роль внутреннего аудита в системе корпоративного управления ведущих российских предприятий, а также обусловило процесс трансформации функций внутреннего аудита в сторону содействия руководству предприятия в решении задач в области управления рисками и повышения эффективности бизнес-процессов.
Усиление роли внутреннего аудита в системе корпоративного управления требует в свою очередь совершенствования методического обеспечения для его проведения. Однако, в отличие от зарубежных предприятий, активно использующих систему управления рисками для эффективного проведения внутреннего аудита, для большинства российских предприятий вопрос формализации самого процесса внутреннего аудита и использования методов и моделей управления рисками при его проведении находится в стадии разработки.
Растущий интерес к внутреннему аудиту среди руководителей российских предприятий гораздо в меньшей степени поддерживается в научных кругах. На сегодняшний день большая часть трудов российских авторов в области аудита посвящены внешнему аудиту, тема же внутреннего аудита в отечественной литературе освещена недостаточно. Среди российских ученых, труды которых посвящены теоретическим аспектам внутреннего аудита, можно назвать Андреева В.Д., Богомолова A.M., Бурцева В.В., Голощапова Н.А, Егорову Т.А., Жминько СИ., Краюхина Г.А., Лу-кичева Д.П., Лукичеву А.О., Любавского В.И., Макальскую А.К., Мельник М.В., Подольского В.А., Сидорова И.И., Соколова Б.Н., Сонина А., Сотникову Л.В. и др. Большая часть трудов по вопросам внутреннего аудита принадлежит зарубежным ученым. Впервые возможность использования системы управления рисками при проведении внутреннего аудита представили Evans John И., Lewis Barry L., Patton James M. Изучению концептуальных основ риск-ориентированного внутреннего аудита посвящены труды Griffiths D., McNamee D., Selim G M., Spencer Pickett K.H., Института внутренних аудиторов Великобритании и Ирландии, Комитета спонсорских организаций Комиссии Тредвея (США), Международного института внутренних аудиторов. Однако, отмечая вклад зарубежных ученых, необходимо заметить, что полученные ими результаты требуют определенной адаптации к специфике российских предприятий. Методические основы оценки аудиторского риска представлены в трудах Adams R., Gushing В. Е.,
Defliese P. L., Hatherly D. J., Holmes Arthur W.,Loebbecke J. K., Robertson J., Steele А., Американского общества сертифицированных бухгалтеров (AICPA), Канадского института зарегистрированных бухгалтеров (CICA), но в перечисленных источниках делается акцент на внешний аудит.
Актуальность темы, таким образом, обусловлена, с одной стороны, рассмотрением внутреннего аудита в качестве потенциального инструмента повышения эффективности деятельности предприятия, а с другой стороны - недостаточным уровнем разработанности в трудах российских ученых темы формализации методов и моделей управления рисками, необходимых для организации эффективной работы внутреннего аудита.
Целью диссертационной работы является развитие методов и моделей внутреннего аудита на базе риск-ориентированного подхода для повышения эффективности хозяйственной деятельности промышленного предприятия.
Для достижения поставленной цели в рамках диссертационной работы поставлены и решены следующие задачи:
Определить особенности риск-ориентированного подхода к проведению внутреннего аудита и обосновать преимущества данного подхода в системе менеджмента промышленного предприятия.
Разработать концепцию проведения риск-ориентированного внутреннего аудита на промышленном предприятии.
Структурировать риски, актуальные для управления в ходе проведения внутреннего аудита.
Разработать инструмент предварительного анализа потенциальных объектов внутреннего аудита с целью выявления присущих им рисков.
Разработать методы и модели комплексной оценки рисков в зависимости от их структурной принадлежности на промышленном предприятии.
Обосновать критерии выбора методов управления рисками и оценки эффективности риск-ориентированного подхода при проведении внутреннего аудита на промышленном предприятии.
Объектом исследования является промышленное предприятие.
Предметом исследования являются методы управления рисками в процессе проведения внутреннего аудита на промышленном предприятии.
Теоретической и методологической основой диссертационной ра
боты послужили труды зарубежных и российских ученых, специализи
рующихся в области внутреннего и внешнего аудита, теории управления
рисками, корпоративного управления, внутреннего контроля, теории опи
сания бизнес-процессов. Кроме того, при написании диссертации исполь
зовались результаты исследований по проблемам внутреннего ауди
та, проведенным консалтинговыми компаниями «большой четверки»
(PricewaterhouseCoopers, KPMG, Ernst&Young, Deloitte), также использо-
вались статьи членов российского Института внутренних аудиторов и зарубежных комитетов и ассоциаций по изучению проблем внутреннего аудита (Committee of Sponsoring Organizations of the Treadway Commission, Institute of Internal Auditors, Institute of chartered accountants in England & Wales).
В процессе исследования использовались методы моделирования бизнес-процессов, картографирования рисков, корреляционно-регрессионного анализа, экспертной оценки, математического и факторного анализа.
Научная новизна диссертационной работы состоит в следующем:
Предложено определение понятия «риск-ориентированный внутренний аудит», отражающее изменение его роли в системе корпоративного управления предприятием в сторону решения задач в области управления рисками бизнес-процессов предприятия. Данная трактовка определения позволяет рассматривать внутренний аудит в качестве современного инструмента управления рисками, что дает основание для разработки новой концепции его проведения.
Разработана концепция внутреннего аудита на базе риск-ориентированного подхода, описывающая структуру построения процесса управления рисками в рамках процесса проведения внутреннего аудита. Новый подход, используемый в концепции, позволяет повысить эффективность проведения самого внутреннего аудита, акцентировать внимание на бизнес-процессах предприятия в зависимости от уровня присущего им риска.
Предложена классификация рисков внутреннего аудита, структурирующая риски по источнику возникновения и их принадлежности к бизнес-процессам самого предприятия и процессам внутреннего аудита. Классификация позволяет определить методы и модели оценки рисков в зависимости от их структурной принадлежности.
Разработаны графические модели процессов внутреннего аудита с помощью использования принципа процессных цепочек, позволяющие детально представить каждый из процессов внутреннего аудита в виде совокупности выполняемых работ и провести их предварительный анализ с целью выявления рисков, актуальных для управления при проведении внутреннего аудита.
Предложены методы и модели оценки рисков внутреннего аудита в зависимости от их структурной принадлежности. Разработаны модель оценки рисков бизнес-процессов предприятия на основе использования метода риск-факторов, а также методики проведения качественной и количественной оценок рисков процессов внутреннего аудита с использованием метода рейтинговых оценок, модифицированной карты рисков и метода интерпретации качественных оценок риска в количественные. Разработанные методы и модели оценки рисков позволяют определить уро-
вень риска, присущего бизнес-процессам предприятия и самого внутреннего аудита, и определить выбор методов управления рисками.
6. Разработаны критерии выбора методов реагирования на риск на основе проведенной оценки уровня риска и предложен практический подход к оценке эффективности управления рисками в ходе проведения внутреннего аудита, что позволяет в целом оценить эффективность реализации разработанной концепции риск-ориентированного внутреннего аудита на предприятии.
Практическая значимость диссертационной работы состоит в том, что полученные результаты исследования могут использоваться в практической деятельности крупных предприятий в процессе разработки и совершенствования методического обеспечения проведения внутреннего аудита с целью повышения эффективности управления предприятием в целом.
Апробация результатов диссертации. Основные положения диссертационной работы докладывались автором и обсуждались на VI Международной научно-практической конференции «Современный менеджмент: проблемы и перспективы» (Санкт-Петербург, 2011 г.), научно-практических конференциях факультета менеджмента: втором, третьем, четвертом научных конгрессах студентов и аспирантов ИНЖЭКОН-2009, 2010, 2011 (Санкт-Петербург, 2009-2011 гг.). Результаты исследования использовались в профессиональной деятельности автора при проведении аудита на крупных промышленных предприятиях, а также в процессе совершенствования системы внутреннего контроля лесопромышленного предприятия ОАО «ЛПК Лесной профиль», что подтверждается справкой о внедрении.
Публикации. По теме диссертации опубликовано 8 научных статей, общим объемом 1,3 п.л. (в том числе 1 работа в издании, рекомендованном ВАК), в которых вклад автора - 1,2 п.л.
Структура диссертационной работы сформирована с учетом соблюдения логической последовательности изложения и состоит из введения, трех глав, заключения, списка использованной литературы и приложений.
Классификация видов внутреннего аудита
Однако наиболее распространенным является подход, при котором под аудитом понимается проверка достоверности финансовой, отчетности. При этом, как правило, используются термины «external audit» (внешний аудит), «independent audit» (независимый аудит), что отражает сущность аудита финансовой отчетности как проверки, осуществляемой независимыми «внешними» экспертами, не являющимися сотрудниками проверяе мой организации. В то же время необходимо отметить, что данные термины используются- в. противопоставлении с понятием внутреннего аудита, под которым в общем понимается контрольная деятельность, проводимая внутри хозяйствующего субъекта силами его собственных сотрудников.
Для работ российских авторов [12, 16, 17, 21], посвященных вопросам внутреннего аудита, характерно наличие диаметрально противоположных взглядов на сущность внутреннего аудита. В качестве объяснения этому можно рассматривать тот факт, что такие понятия- как «аудит» и «аудиторская деятельность» лишь.относительно, недавно вошли в практику финансово-хозяйственной жизни России; Причем; необходимое отметить, что в отечественной экономической: литературе аудит и аудиторская деятельность зачастую отождествляются с более узким понятием внешнего аудитам в- силу, прежде всего, установленной в законодательном порядке обязательности проведения внешнего аудита для широкого круга экономических субъектов [1].
Вісилу данных причин сегоднЯїбольшая?часть,трудов российских.авторов? в области аудита [12, 16; 17, .21]: посвященьїї именно аудиту внешнему, темаже внутреннего аудита в отечественной литературе освещена".недостаточно; Более того, можно с. уверенностью констатировать факт острой нехватки концептуальных трудов посвященных аудиту внутреннему.
И все же нельзя сказать, что тема внутреннего аудита в отечественной экономической литературе остается-; совсем: без внимания.. В определенной! степени проблематику этого специфического вида аудита стараются затронутьфоссийские авторы классифицируя в своих работах аудит на; внешний и внутренний. Однако смысл, вкладываемый ими в. рамках этой, классификации в понятие «внутренний; аудит зачастую бывает весьма различен.
Так, Романов А.Н., ПодольскишВ.А., Сотникова Л.В; напрямую связывают понятия «внутренний аудит» и «финансово-промышленная груп па» [53]. По их мнению, внутренний аудит присущ именно крупным финансово-промышленным образованиям. Внутренний аудит является частью их инфраструктуры, частью так называемого холдинг-менеджмента, и проводится он именно для собственника - головной компании группы. Исходя из этого, Романов А.Н. понимает под внутренним аудитом «...систему контрольных действий, осуществляемых по-поручению совета управляющих финансово-промышленной группы (холдинга) специальным структурным подразделением, подчиняющимся только совету управляющих, за деятельностью предприятий, входящих в холдинг, при которой устанавливаются законность, достоверность и экономическая целесообразность совершенных хозяйственных операций, а также правильность действий должностных лиц, участвующих в их осуществлении» [53].
Макальская А.К. так же, как и Романов5 А.Н1, Подольский В.А. и Сотникова Л.В. говорит о том, что внутренний аудит характерен для крупных экономических субъектов, имеющих сложную управленческую структуру [30; с. 3]. Соответственно, целями функционирования ,службы внутреннего аудита является предоставление информации высшему звену управления всей организацией о ее финансово-хозяйственной деятельности, повышение эффективность системы внутреннего контроля, препятствующей возникновению нарушений, и подтверждение достоверности отчетов ее обособленных структурных подразделений. Кроме того, Макальская А.К., определяя место службы внутреннего аудита в структуре организации, порядок ее взаимодействия с руководством и другими подразделениями, а также цели, задачи, стоящие перед службой, исходит из того, что внутренний аудит в организации не может строиться на принципах предпринимательской деятельности.
Для более мелких экономических субъектов, по мнению Романова А.Н., Подольского В.А. и Сотниковой Л.В. характерен управленческий аудит, который осуществляется именно для руководства, а не для собствен ников организации [53]. Причем для управленческого аудита, по мнению российских ученых, характерно осуществление не только последующего контроля, как при внешнем и внутреннем аудите, а также и текущего и даже предварительного. Для этого работники службы аудита экономического субъекта наделяются полномочиями, позволяющими им предотвратить или прекратить хозяйственную операцию; если имеются сомнения в ее законности или экономической целесообразности для предприятия..
Также для Романова А.Н., наряду с Одинцовым Б.Б. характерна точка зрения, согласно которой практически отождествляются.понятие и задачи внутреннего аудита и контроллинга [52, с. 270]. Данные авторы исходят из того, что внутренний аудит (контроллинг) выполняет, функцию «обратной связи» для менеджмента, предоставляя ему необходимую информацию для принятия управленческих решений. По мнению Романова А.Н. и-Одинцова Б.Е. внутренний аудит проводится-для «...внутрихозяйственного контроля финансового состояния, диагностирования системы управления, выявленияфезервов и обеспечения администрации рекомендациями по повышению эффективности экономики организации» [52, с. 11-13].
Так же, как и Макальская А.К., МакоевЮ. и Сотникова Л.В:, подчеркивая прежде всего информационную функцию внутреннего аудита, рассматривают его как «... систему оперативного, периодического или разового обеспечения информацией руководства или собственников экономического субъекта путем организации независимого контроля:и подготовки управленческих решений силами штатных сотрудников либо«привлеченной на основе.договора сторонней специализированной аудиторской организацией или независимым- аудитором для достижения главной цели функционирования экономического субъекта - получения максимальной прибыли» [31, с. 10-15]. Более широко, в качестве важной функции управления, охватывающей учет, финансовый анализ и контроль, а также сравнивающей и оцени вающей фактически достигнутый результат с поставленными целями и задачами предприятия, рассматривают внутренний аудит Копылова Л. и Андреев В.Д. [12, с. 30].
Необходимо отметить, что с точки зрения автора, наиболее всесторонне сущность внутреннего аудита в российской экономической литературе раскрывается именно Андреевым В.Д., который рассматривает внутренний аудит не только в качестве функции управления и независимой компетентной оценки финансово-хозяйственной и управленческой деятельности, а также характеризует его как «способ контроля», как «продолжение контроля», как элемент системы внутреннего контроля, необходимый для крупных негосударственных хозяйствующих субъектов в целях обеспечения конкурентного преимущества на рынке, а также как один из способов контроля эффективности деятельности звеньев экономического субъекта, и инструмент оценки надежности системы бухгалтерского учета и внутреннего контроля [12, с. 18-30].
Анализ концептуальных подходов к проведению риск ориентированного внутреннего аудита на промышленном предприятии
Получив на стадии оценки приемлемости клиента первичное знание о его бизнесе, аудитор определяет значения допустимого (АР! ) и достижимого (АРі) аудиторских рисков. Значение допустимого аудиторского риска оценивается на основе ожидаемого доверия потенциальных пользователей к отчётности предприятия. Для оценки значения достижимого аудиторского риска на уровне отчётности собираются свидетельства в отношении внутреннего риска, рисков контроля и необнаружения.
Решение о принятии/сохранении или отказе клиенту производится на основе сопоставления полученных значений допустимого и достижимого аудиторских рисков на уровне отчётности. Если АР і больше или равен АРІ5 то в случае отсутствия данных об останавливающих факторах (на пример, ограничение объёма аудита, политические последствия назначения на проведение аудита и т. д.) клиент может быть, принят/сохранён. В противном) случае: клиенту должно быть, отказано, если нет каких-либо особых обстоятельств.
Если; клиент принят 7 сохранён, аудитор приступает к тактическому планированию. После получения детального знания о бизнесе: клиента определяются значения допустимого аудиторского риска- (АР2 ) на уровне конкретных счетов (чем больше ожидаемое доверие. потенциальных пользователей отчётности; к конкретному счёту, тем ниже; значение допустимого: аудиторского риска),значения внутреннего риска (ВР2) и рискаконтроля (РК2) в отношении счётов: Затем аудитор оценивает значения достижимого: аудиторского риска на уровне конкретных счетов (АР2); Они должны быть, меньше; илш равны: соответствующим; значениям допустимого аудит торского риска; После этого аудитор определяет значения: риска необна-ружения:вотношенииконкретных счетов:: Єледующимі шагом? является выбор подхода к аудиту конкретных счетов; который; делается на?, основе: сопоставления полученных, значений РК2иРН2.
Далее; согласно?подходу Холмса;,планируются:и выполняются:проверки: на соответствие;, по результатам5 которых, могут быть, переоценены значения РК2: РК2 РК3. Если значения РК3 меньше и ли равны значениям РК2, то аудитор может сохранить своё доверие контрольным процедурам. В противном случае доверие должно: быть снижено или вообще утрачено;, что, в свою очередь, скажется на планировании швыполнении проверок по существу. На стадии планирования и выполнения проверок по существу снова определяются значения допустимого (АР4 ) и достижимого (АР4) аудитор-ских рисков на уровне конкретных счетов. Для определения значений АР4 собираются свидетельства в отношении того, не возросло ли ожидаемое доверие потенциальных пользователей отчётности к конкретным счетам. Значения АР4 определяются с учётом возможных размеров ошибок по кон-кретным счетам. Если значения АР4 меньше или равны значениям. АР4 , то аудитор может заключить, что-риск существенного искажения счёта.является приемлемым. В,противном случае он может прийти к выводу о существовании неприемлемого риска, и тогда это повлияет на значение достижимого аудиторского риска (АР5), оцениваемое аудитором- на стадии формулировки мнения.
На стадии формулировки мнения аудитор оценивает значения допус-тимого (APs ) и достижимого (APs) аудиторских рисков на уровне отчёт-ности. Для определения значения АР5 собираются свидетельства в отношении того, не-возросло ли ожидаемое доверие потенциальных пользователей к отчётности как целому. Оценка АР5 основывается на степени; в которой отчётность согласуется со знаниями аудитора о бизнесе клиента. Ее-ли значение APs меньше или, равно значению- АР5 , то аудитор" может сформулировать мнение,, что-риск существенного искажения проаудированной отчётности является приемлемым, в противном случае — что этот риск является-неприемлемым.
Когда риск существенного искажения, проаудированной- отчётности является приемлемым, аудитор составляет аудиторское заключение без оговорок. Если он оценен как неприемлемый, аудитор составляет аудиторское заключение с оговорками. В«случае-невозможности собрать аудиторские свидетельства соответствующего качества в достаточном» количестве, аудитор выражает отказ от мнения.
Анализ моделей и методов оценки рисковгв рамках концепции риск-ориентированного внутреннего аудита
Количественная (экспертная) оценка рисков проводится с целью получения стоимостных характеристик, необходимых, как. для определения самых существенных (значимых) рисков, так и для анализа эффективности контрольных мероприятий и системы управления рисками компании в целом.
Проведение количественной оценки рисков является продолжением качественной оценки внутренних рисков бизнес-процессов, проведенной с использованием экспертных оценок. Для-формулы, в качестве результата рискового события будет выступать определенная .существенность наступ-ленияфисского события, а в качестве вероятности получения .результата — вероятность наступления рисского события; определенные по результатам качественной оценки рисков.
Важной задачей для проведения качественной оценки является пересчет (интерпретация) определенных в результате качественной оценки значений существенности возможных рисковых событий и вероятности их наступления, выраженных в рейтинговых значениях по шкале от ноля до пяти, в значения вероятности, в процентах и существенности в стоимостном (денежном) выражении.
При проведении расчетов автор предлагает использовать следующую методологию: Вероятность: Необходимо установить шкалу пересчета экспертных (рейтинговых) качественных оценок вероятности наступления рисковых событий в соответствующие количественные значения в процентах. Пред 147 полагается, что этот процесс имеет вид линейной функции и шаг пересчета рейтингового значения вероятности наступления рискового события в. процентной значение равен 20 при условии, что рейтингу один соответствует вероятность 20%, а рейтингу 5 — максимальная в 100%.
Таким образом, качественные (рейтинговые) оценки вероятности соответствуют следующей количественной шкале {табл. 18): Таблица 18 Количественная шкала интерпретация вероятности Уровень вероятности 1 2 3 4 5 % вероятности 20% 40% 60% 80% 100% Для применения данной шкалы к рейтинговым средневзвешенным оценкам вероятности наступления рискового события, определенным по результатам качественного анализа, используется формула: Р = 20% Хвер, (20) где Р — количественная оценка вероятности наступления рискового события в единичном цикле процесса, выраженная в процентах;
Хвер — средневзвешенная (качественная) оценка вероятности соответствующего риска, определенная по результатам, анкетирования {Приложение 9). Существенность: Необходимо установить шкалу пересчета экспертных (рейтинговых) качественных оценок существенности наступления рисковых событий в соответствующие количественные значения в стоимостном (денежном) выражении. Для этого предлагается использовать линейную зависимость вида: х = ао + а, у , (21) гдеХ— количественная (стоимостная) оценка существенности (в денежных единицах); а0 — стоимостная оценка для начального значения интервала; аи у — приращение стоимостной оценки показателя а, где а, разница между стоимостными оценками начального и конечного значений интервала, у — факторный показатель, являющийся разницей между показателем рейтинговой оценки в интервале и рейтинговой оценкой начального значения интервала.
Для пересчета экспертных качественных оценок существенности предлагается использовать следующую количественную шкалу {табл. 19).
В качестве предельных значений я, могут приниматься различные значения, определяемые на основе количественных показателей, характеризующих результаты финансово-хозяйственной деятельности предприятия и его имущественное состояние. В качестве таких показателей могут применяться планируемые показатели бюджетов компании или системы сбалансированных показателей.
В качестве примера примем следующие количественные показатели: 1. Значение а5 (максимальная оценка) — стоимость имущества предприятия10 или стоимость бизнеса предприятия (оценивается лицензированными оценщиками). 2. Значение а4 — величина выручки предприятия (по форме №2 финансовой отчетности). 3. Значение а3 — величина прибыли до налогообложения (по форме №2 финансовой отчетности). Имущество компании включает внеоборотные (основные средства, нематериальные активы, капитальные вложения, долгосрочные финансовые вложения) и оборотные (материальные оборотные средства, денежные средства, краткосрочные финансовые вложения, средства в расчетах) активы.
Применение данной стоимостной шкалы позволяет при попадании риска в определенный интервал стоимостных значений оценить значительность ущерба при наступлении рисковогої события, а таюке сделать достоверные выводы о вероятной значимости отдельного риска (в стоимостной оценке) и степени влияния его последствий на результаты финансово-хозяйственной деятельности предприятия.
Итоговые значения количественной оценки- каждого риска отражаются в матрице рисков, оформленной по такому же шаблону, что и таблица рисков, содержащая качественную оценку (Приложение 10), только в столбцах «существенность», «вероятность» и «значимость» отражается стоимостная характеристика риска с использованием данных табл. 20. Расчетные данные (с учетом методологии пересчета) по средним количественным оценкам рисков процессов приведены в табл. 21.
Совету директоров и руководству компании следует установить предельный уровень допустимого для компании риска. При попадании риска (группы рисков) по количественному показателю существенности в определенный диапазон стоимостных значений можно судить о его (их) опасности для компании. Следует учитывать и то обстоятельство, что возможно одновременное наступление различных рисковых событий с большой существенностью. Информация такого рода используется при разработке контрольных мероприятий для минимизации рисков.
Данные табл. 21 показывают значимость рисков процессов бизнес-процесса «Внутренний аудит» в стоимостных показателях.
При применяемых стоимостных оценках процесс «Оказание внутренним аудитом сопутствующих услуг» оказался в стоимостном выражении значимее процесса «Организация взаимодействия СВА с внешним аудитом», что вполне естественно, так как оценка инвестиционных проектов или эффективное выполнение проверок (работ) по специальным заданиям интуитивно должны иметь большую цену ошибок внутреннего аудита, и, соответственно, большее внимание к управлению рисками процесса.
Разработка методов и моделей оценки рисков при проведении внутреннего аудита
Перечень рисков процессов, а также качественно и количественно проранжированные внутренние риски процессов передаются в Отдел управления рисками компании для разработки перечня контрольных мероприятий и порядка их реализации. С учетом- имеющейся- информации об источниках риска и последствиях возможных рисковых событий, используя классификацию стандартных контрольных мероприятий, Отделом управления рисками разрабатываются конкретные контрольные мероприятия по минимизации рисков процессов бизнес-процесса «Внутренний аудит». На данном этапе разработки контрольных мероприятий специалисты службы внутреннего аудита могут оказывать консультационную помощь для правильного понимания риск-менеджерами отдельных специальных вопросов.
Отделом управления рисками компании формируется предварительный перечень контрольных процедур с привязкой к конкретному риску. При формировании перечня контрольных мероприятий необходимо учитывать тот факт, что контрольные мероприятия по управлению рисками должны согласовываться друг с другом и отражать единую политику компании в отношении управления рисками бизнес-процессов. Описание разработки средств контроля (стандартов и методик внутреннего аудита), а также организация процессов информации и коммуникации не являются целями данной диссертационной работы. Важной задачей является разработка методологии оценки эффективности внутреннего аудита, в том числе оценки эффективности управления рисками внутреннего аудита.
Руководствошредприятияі должно утвердить перечень контрольных мероприятий по управлению рисками внутреннего аудита иплан их реализации. Предварительная оценка эффективности контрольных мероприятий до принятия, управленческих решений затруднена,, но очевидно, что применение предлагаемых контрольных мероприятий организационного характера должно привести к снижению рисков внутреннего, аудита. Для оценки фактической эффективности применяемых контрольных мероприятий по управлению рисками процессов бизнес-процесса «Внутренний аудит» необходимо проводить оценку эффективности деятельности СВА после разработки и внедрения контрольных мероприятий.
Общая оценка эффективности применения (внедрения) программы управления рисками в целом выполняется исходя из суммарных значений количественных характеристик рисковых последствий до и после выполнения контрольных мероприятий. Показатели исходных значений (значений до) рассчитываются после диагностики бизнес-процессов и проведения количественной оценки рисков.
Показатели итоговых значений (значений после) определяются в ходе прогнозного анализа и оценки возможного эффекта от применения контрольных мероприятий (прогнозная величина), выполняемых с привлечением экспертов компании или на основании фактических данных о величине полученного суммарного ущерба (фактическая величина). В общем виде определение показателя эффективности программы управления рисками (отдельного риска или группы рисков) можно провести с использованием формулы: эп = (ВУг-ВУ2)-с (21) где ЭП — количественный (стоимостной) показатель эффективности программы управления рисками (в денежных единицах), ВУ\ " рассчитанный вероятный ущерб (исходное значение) до внедрения контрольных мероприятий (в денежных единицах); ВУ2 прогнозная или фактическая величина ущерба (итоговое значение) после внедрения контрольных мероприятий (в денежных единицах); С — стоимость затрат на разработку и внедрение контрольных мероприятий по управлению рисками (в денежных единицах).
Следует отметить, сто показатель С при разработке и внедрении контрольных мероприятий по управлению рисками внутреннего аудита будет включать лишь заработную плату сотрудников внутреннего аудита и некоторых других сотрудников компании (например, сотрудников отдела управления рисками), а также возможные командировочные расходы (при наличии отдаленных филиалов и дочерних компаний), что не приведет к значительным финансовым затратам для компании.
Как правило, если показатель ЭП больше нуля, то применяемые контрольные мероприятия для снижения риска (группы рисков) оправданы. Если же ЭП оказывается отрицательным, то это фактически означает, что меры по снижению риска (группы рисков), хотя и позволяют снизить веро 156 ятный ущерб, но не могут быть оправданы из-за сравнительно высоких издержек на их реализацию.
Данную формулу внутренний аудит может применять для оценки эффективности своей работы с конкретным объектом, проводя такую оценку с учетом управления своими рисками. В качестве показателя $у, в данном случае будет выступать сумма ущерба для.компании, выявленная при первичной проверке объекта, в качестве показателя ВУ2 будет приниматься сумма ущерба, установленная при повторных проверках (при условии, что ущерб ВУХ возмещен виновными лицами), а в качестве показателя С будут приниматься затраты, связанныес проверкой внутренним аудитом объекта (заработная плата внутренних аудиторов за период планирования, проведения проверки, подготовки отчета, проведения контроля за устранением нарушений; внесения дополнений в классификатор нарушений, командировочные расходы и т.п.), а также затраты на управление своими рисками при работе с данным объектом (заработная плата сотрудников компании, занимающихся разработкой и внедрением конкретных контрольных мероприятий). Положительное1 значение показателя ЭП должно свидетельствовать об эффективной работе внутреннего аудитора, в том числе предупредительного характера. Конечно, при этом должны отсутствовать финансовые претензии со стороны государственных контролирующих органов.
Положительный эффект (положительная динамика показателей) при реализации комплексной программы управления рисками будет судить об эффективности управления рисками внутреннего аудита и о повышении эффективностивнутреннего аудита.