Тема 11. Внутренний контроль и управление рисками
В самом узком толковании термин «внутренний контроль» означает всего лишь сбор информации об объекте контроля. Такого рода контроль осуществляется всеми менеджерами компании (субъектами контроля) в рамках выполняемых ими функций. В широком понимании контроль - это непрерывный процесс управления деятельностью компании, включающий сбор информации, анализ ее, принятие на основе данного анализа решений регулирующего характера, обеспечение процедур обратной связи.
Внутренний контроль — это система мер, организованных руководством общества и осуществляемых на нем с целью наиболее эффективного выполнения всеми работниками своих обязанностей при совершении хозяйственных операций. Внутренний контроль определяет законность этих операций и их экономическую целесообразность для общества.
Внутренний контроль — это процесс, осуществляемый совместно советом директоров, руководством и иными работниками общества и призванный обеспечить разумную гарантию достижения следующих целей общества: достоверность финансовой отчетности, эффективность деятельности и соблюдение обществом требований законодательства.
В Кодексе корпоративного поведения, разработанным ФКЦБ (ныне - ФСФР), внутренний контроль определяется как контроль над осуществлением финансово-хозяйственной деятельности общества (в том числе за исполнением его финансово-хозяйственного плана) структурными подразделениями и органами общества.
Составляющими полноценной системы внутреннего контроля в организации могут являться: Совет Директоров, Комитет совета директоров по аудиту, внутренний аудитор общества и (или) контрольно-ревизионная служба, ревизионная комиссия и (или) другие уполномоченные подразделения. Следует учитывать что, во избежание дублирования и противоречий между органами контроля необходимо четко определить их роли и функции.
Совет Директоров – наблюдательный совет, осуществляющие общее руководство деятельность обществом, здесь важно отметить, что общее руководство осуществляется Советом Директоров за исключением полномочий, которые отнесены к компетенции Общего собрания акционеров. Совет Директоров акционерного общества является органом, отвечающим как за стратегическое развитие, так и за контроль над деятельностью менеджмента
Комитет совета директоров по аудиту защищает интересы общества, задавая исполнительным органам, вопросы о том, как выполняются обязанности в сфере финансовой отчетности, добиваясь принятия мер по исправлению ситуации. Комитет по аудиту осуществляет контроль, как за внутренним аудитором, так и за отношениями с внешним аудитором общества. Комитет может рассматривать вопрос о назначении аудитора общества, проверять план внутреннего аудита, анализировать эффективность систем внутреннего контроля, рассматривать основные факты, выявленные в ходе внутренних аудиторских расследований, и ответные меры со стороны руководства общества, содействовать сотрудничеству между внутренним аудитором и аудитором общества. Наконец, комитет по аудиту может рассматривать проекты годовой отчетности общества и анализировать заключение аудитора. Комитет является частью совета директоров и призван вырабатывать для него рекомендации, но не вправе принимать решения от имени общества. Работа комитета по аудиту обычно проводится по трем основным направлениям: финансовая отчетность, управление рисками, а также внутренний и внешний аудит. Российское законодательство не предусматривает создания комитета по аудиту, тогда как в других странах данный комитет во все большей мере рассматривается как важный элемент структуры корпоративного управления. В частности Кодекс корпоративного поведения и Международная финансовая корпорация рекомендует создание комитета.
Важно также отметить, что в состав Комитета совета директоров по аудиту должны входить только независимые директора, а если это не возможно, то председателем Комитета должен являться независимый директор, а члены Комитета – не исполнительные директора.
Наличие Комитета по аудиту и эффективной системы внутреннего контроля удовлетворяет требованиям западных инвесторов, что соответственно способствует повышению доверия к компании и притоку инвестиций, следовательно, к росту стоимости компании, т. е. ее капитализации.
В законе Сарбейнса-Оксли указаны дополнительные обязанности комитета по аудиту – В соответствии с Законом, комитет по аудиту обязан:
1) ввести порядок приема и рассмотрения жалоб по вопросам бухгалтерского учета, внутреннего контроля и аудита;
2) предоставить сотрудникам компании возможность выражать свои сомнения по вопросам бухгалтерского учета и аудита на конфиденциальной и анонимной основе;
3) располагать полномочиями для привлечения по мере необходимости независимых юридических и иных консультантов для содействия комитету в выполнении его функций;
4) иметь адекватное финансирование в качестве одного из комитетов совета директоров в определенном комитетом по аудиту размере для оплаты услуг аудитора и любых иных консультантов, привлекаемых комитетом.
Внутренний аудитор и (или) контрольно-ревизионная служба отвечает за ежедневную оценку того, насколько деятельность общества обоснована с финансовой точки зрения. В ходе проверок внутренний аудитор оценивает и контролирует применяемые в обществе методы управления рисками, практику подготовки отчетности и контроля, а также предлагает меры по улучшению работы в названных областях. Внутренний аудит охватывает не только финансовые аспекты деятельности общества, но и внутренние операционные системы. Внутренний аудитор функционально подотчетен совету директоров (в идеальном варианте — через комитет по аудиту), а административно — генеральному директору.
Основная задача ревизионной комиссии — осуществлять контроль над финансово-хозяйственной деятельностью общества и соблюдением законов и нормативных актов. Задачи и сфера действия ревизионной комиссии более узкие, чем у комитета по аудиту. Ревизионная комиссия может: осуществлять мониторинг за соблюдением нормативных актов, регулирующих финансово-хозяйственную деятельность общества; выражать свое мнение по вопросу о том, дает ли финансовая отчетность объективное представление о существующем положении дел; проверять правильность отражения в отчетности коммерческих и финансовых операций. Член ревизионной комиссии должен быть независимым от руководства общества и не может быть: членом совета директоров, генеральным директором, членом коллегиального исполнительного органа, членом счетной комиссии. Ревизионная комиссия подотчетна акционерам.
Опыт российских компаний заставляет более пристально взглянуть на проблему реализации права акционеров на информацию, в том числе посредством усиления роли независимых директором в системе внутреннего контроля в компании. В российской системе корпоративного управления это может быть реализовано лишь через работу независимых директоров в совете директоров, в том числе в его комитетах.
К сожалению, законодатель, обеспечивая независимость такого важного органа внутреннего контроля, как ревизионная комиссия от совета директоров и исполнительных органов, установил запрет на занятие должности члена ревизионной комиссии для любого члена сонета директоров, включая независимого.
Неотъемлемой частью внутреннего контроля является управления рисками (риск менеджмент) – это процесс направленный на снижение неопределенности и рисков, путем провидения анализа, предупреждения и снижения уровня потенциальных и текущих корпоративных рисков: рыночных, финансовых, налоговых, политических, инфраструктурных, кредитных, маркетинговых, производственных, промышленных и экологических, рисков персонала, юридических, проектных, рисков сделок слияния – поглощения, природных, операционных. Риск – обобщенный эффект от неопределенности реализации будущего события в виде влияния на репутацию компании или потерь в денежном выражении. Под риском также понимается неопределенность значений какого-либо параметра (финансового, производственного и др.). Также риск – это поддающаяся измерению вероятность понести убыток или упустить выгоду.
Функция управления рисками может быть возложена на отдельное лицо (менеджер риска) и (или) на структурное подразделение.
Менеджер риска – лицо, ответственное за мониторинг, контроль и выполнение мероприятий по снижению рисков в сфере его функциональных обязанностей.
Экспертная комиссия Национальной ассоциации корпоративных директоров США (НАКД, или NACD), занимающаяся вопросами комитетов по аудиту, установила следующие признаки рисков, которые должен отслеживать и контролировать комитет по аудиту:
1) сложные коммерческие договоренности, которые, по всей видимости, имеют малую практическую ценность;
2) крупные сделки, которые заключаются в последнюю минуту и имеют своим результатом значительную выручку, отраженную в квартальной или годовой отчетности; смена аудиторов в связи с разногласиями по вопросам бухгалтерского учета или аудита;
3) чрезмерно оптимистические пресс-релизы, в которых главный исполнительный директор убеждает инвесторов в хороших перспективах будущего роста общества;
4) финансовые результаты, которые слишком хороши, чтобы быть достоверными, или которые значительно лучше результатов конкурентов общества, работающих в аналогичных условиях;
5) несоответствия между документами с изложением позиций и оценок руководства, письмами президента компании и исходной финансовой отчетностью;
6) настойчивое желание главного исполнительного директора или финансового директора присутствовать на всех заседаниях комитета по аудиту, отдела внутреннего аудита и независимых аудиторов;
7) частые расхождения во мнениях между руководством общества и независимыми аудиторами; ограничения, касающиеся сферы деятельности отдела внутреннего аудита (например, когда у сотрудника такого отдела нет прямого выхода на комитет по аудиту);
8) необычные изменения в балансе общества или изменения тенденций или важных соотношений, отражаемых в финансовой отчетности (например, когда объем дебиторской задолженности растет более быстрыми темпами, чем объем выручки, или когда возникают постоянные задержки в погашении кредиторской задолженности);
9) принципы и практические методы учета, которые расходятся с принятыми в отрасли;
10) многочисленные и (или) повторные корректировки, которые не отражаются или отклоняются и были предложены в связи с ежегодной аудиторской проверкой.
Необходим контроль за состоянием системы внутреннего контроля, который заключается в оценке качества работы системы с течением времени. Этот процесс осуществляется посредством выполнения постоянных мер контроля и (или) проведения отдельных оценок. Сведения о недостатках, выявленных в системе внутреннего контроля, сообщаются руководству общества, при этом о серьезных сбоях в системе ставятся в известность члены высшего руководства общества.
Не следует забывать и о таком важном компоненте системы внутреннего контроля, как контрольная среда и нравственный климат. Среда контроля задает тон работы всего общества, оказывая влияние на контроль сознания ее работников. Она является основой всех других компонентов внутреннего контроля, обеспечивая при этом дисциплину труда и сохраняя структуру общества. Факторы среды контроля включают деловую порядочность, этические ценности и профессиональную компетенцию кадров общества, а также концепцию деятельности руководства и стиль работы, порядок передачи руководством функций и обязанностей, расстановку кадров и обеспечение их профессионального роста, и учета указаний и инструкций Совета Директоров.
Цель создания системы внутреннего контроля и управлении корпоративными рисками - обеспечение успешного функционирования компании в целом.
Эта цель может быт достигнута за счет решения следующих основных задач:
1) Выявление, описание и оценка возможных рисков;
2) Выполнение мероприятий и процедур по снижению до приемлемого уровня потенциальных рисков (финансовых, натуральных, снижения репутации), связанных с реализацией идентифицированных рисков;
3) Управление неопределенностью финансовых, производственных, маркетинговых и геологических параметров;
4) Оптимизация существующих бизнес-процессов;
5) Обеспечение необходимого уровня качества внутренней и внешней отчетности;
6) Соблюдение требований действующего законодательства и регулирующих положений;
7) Контроль выполнения внутренних процедур;
8) Участие всех сотрудников компаний в выявлении и управлении рисками, присущими деятельности компании.
Принципы системы внутреннего контроля и риск менеджмента:
1) Единообразие подходов при идентификации и оценки рисков, при проведении анализа бизнес процессов и выполнении мероприятий по внедрению и функционированию системы внутреннего контроля и управления рисками.
2) Координация действия системы внутреннего контроля и управления рисками из единого центра – Комитет совета директоров по аудиту (Департамента внутреннего контроля).
3) Система внутреннего контроля и риск менеджмента должна быть в состоянии предвидеть и оперативно реагировать на изменения в деятельности компании, вызванные как внешними, так и внутренними факторами.
4) Система внутреннего контроля и риск менеджмента должна быть «встроена» в операции, осуществляемые компанией, и должна быть составной частью ее деловой культуры.
5) Система внутреннего контроля и риск менеджмента сопровождает, но не заменяет ведение бизнеса.
6) Для каждого риска существует владелец риска.
7) В процессе формирования реестра рисков и риск профилей отдельных компаний учитываются наиболее значимые риски.
8) Управление рисками проводится на базе анализа экономической эффективности проведения соответствующих мероприятий. Ожидаемый положительный эффект от проведения мероприятий должен превышать стоимость таких мероприятий для компании.
Система внутреннего контроля и риск менеджмента состоит из следующих компонентов:
1) Совета Директоров, как высшего органа, определяющего корпоративную стратегию, отвечающего за наличие и функционирование корпоративной системы внутреннего контроля и риск менеджмента.
2) Комитет совета директоров по аудиту (Департамента внутреннего контроля), ответственного за разработку, корпоративной политики в области внутреннего контроля и риск менеджмента, методологическую поддержку и координацию действий в рамках мероприятий по созданию и функционированию системы внутреннего контроля и риск менеджмента;
3) Руководителя компании, как владельца рисков, отвечающего за состояние внутреннего контроля и риск менеджмента в компании;
4) Ответственного лица, как представителя компании, координирующего процесс создания и функционирования системы внутреннего контроля и риск менеджмента в данной компании.
5) Менеджера риска, как представителя компании Группы, непосредственно выполняющего идентификацию, анализ и управление рисками в рамках своей специализации.
6) Корпоративной электронной отчетно-аналитической системы.
В компетенцию Совета Директоров входит:
1) Утверждение стратегии и политики компании;
2) Понимание основных рисков, принимаемых на себя компанией, установление для них приемлемых уровней и обеспечение принятия руководителями компаний мер, необходимых для их выявления, отслеживания и контроля;
3) Утверждение списка владельцев рисков;
4) Обеспечение надлежащего контроля со стороны руководителей компаний за эффективностью функционирования системы внутреннего контроля и риск менеджмента.
В компетенцию Отдела внутреннего контроля входит:
1) Координация действий по созданию единой системы внутреннего контроля во всех компаниях;
2) Разработка соответствующей политики и регламентной базы по вопросам внутреннего контроля в компании;
3) Анализ эффективности процессов управления с точки зрения структуры, функционирования и мониторинга существующих процедур внутреннего контроля;
4) Анализ бизнес процессов, существующих в компании;
5) Выявление неэффективных, а также дублирующих функций внутри бизнес процессов;
6) Выявление процессов, требующих оптимизации;
7) Взаимодействие и координация работы с ответственными исполнителями компании;
8) Анализ отчетов о состоянии внутреннего контроля, получаемых на регулярной основе от ответственных исполнителей компании;
9) Предоставление на регулярной основе в составе управленческой отчетности отчета о функционировании системы внутреннего контроля в компании;
10) Представление информации относительно процедур внутреннего контроля в компании для внешних и внутренних пользователей;
11) Обучение управленческого персонала.
В компетенцию Группы управления рисками входит:
1) Создание центра по анализу и координации процесса управления рисками на базе Группы управления рисками;
2) Координация действий по созданию корпоративной системы управления рисками во всех компании;
3) Разработка соответствующей политики и регламентной базы по вопросам риск менеджмента в компании;
4) Идентификация, описание и анализ рисков (совместно с ответственными исполнителями);
5) Оценка рисков;
6) Формирование предложений по управлению рисками;
7) Методическая поддержке и координация действий ответственных исполнителей по выявлению и анализу рисков в компании;
8) Формирование корпоративного и индивидуальных риск-профилей;
9) Управление рисками;
10) Анализ рисков новых проектов;
11) Предоставление на регулярной основе в составе управленческой отчетности отчета о функционировании системы риск менеджмента в компании;
12) Анализ эффективности предпринимаемых мер по управлению рисками (методическая поддержка для Отдела внутреннего контроля);
13) Представление информации относительно управления рисками в компании для внешних и внутренних пользователей;
14) Обучение управленческого персонала;
15) Поддержание электронной базы данных по рискам.
В компетенцию Руководителя компании входит:
1) Реализация стратегии, утвержденной Советом Директоров;
2) Проведение политики надлежащего внутреннего контроля;
3) Создание корпоративной культуры, подчеркивающей и демонстрирующей персоналу на всех уровнях важность внутреннего контроля;
4) Обеспечение понимания персоналом своей роли в системе внутреннего контроля и его полное вовлечение в процесс внутреннего контроля;
5) Поддержание надежного и эффективного функционирования системы внутреннего контроля и риск менеджмента в компании;
6) Обеспечение своевременного выявления и оценки внешних и внутренних факторов, которые могут помешать достижению компанией своих целей;
7) Своевременное и в полном объеме внедрение процедур внутреннего контроля в структурных подразделениях компании;
8) Своевременная идентификация и описание рисков в структурных подразделениях компании, разработка плана мероприятий по снижению рисков до заданного приемлемого уровня;
9) Своевременное выполнение в полном объеме запланированных мероприятий по снижению рисков;
10) Адаптация системы внутреннего контроля к изменениям в состоянии рисков, установление надлежащих мер контроля для новых и ранее неконтролируемых рисков;
11) Определение/назначение ответственного лица из числе менеджеров среднего звена с учетом примерной загрузки в течение 12 рабочих часов в неделю по вопросам, связанным с внутренним контролем, и 12 рабочих часов в неделю по вопросам, связанным с риск менеджментом;
12) Обеспечение взаимодействия ответственного лица с Комитетом совета директоров по аудиту (Департаментом внутреннего контроля) и менеджерами рисков;
13) Решение вопроса о создании структурного подразделения или расширении функций уже существующих подразделений в целях внедрения и эффективного функционирования системы внутреннего контроля и риск менеджмента в компании.
В компетенцию ответственного лица входит:
1) Взаимодействие с Отделом внутреннего контроля и Группой управления рисками по вопросам, свезенным с созданием системы внутреннего контроля и риск менеджмента;
2) Взаимодействие с различными структурными подразделениями компании по вопросам, связанным с функционированием системы внутреннего контроля и риск менеджмента, определение менеджеров рисков из числа менеджеров функциональных подразделений;
3) Координация текущих мероприятий по внутреннему контролю и риск менеджменту внутри компании;
4) Организация документирования существующих в компании бизнес-процессов;
5) Организация сбора информации в процессе создание и функционирования системы внутреннего контроля и риск менеджмента;
6) Предоставление Отделу внутреннего контроля информация о состоянии (наличии и эффективности) процедур внутреннего контроля в компании;
7) Предоставление Группе управления рисками информации о текущих и вновь идентифицированных рисках, полученной от структурных подразделений компании.
Компетенция менеджера риска:
1) Совместно с Группой управления рисками идентификация, анализ и оценка рисков, относящихся к функциональному подразделению менеджера риска.
2) Предоставление информации по рискам ответственному лицу;
3) Мониторинг действующих и выявление новых рисков;
4) Выполнение запланированных мероприятий по снижению рисков.
Создание системы внутреннего контроля и риск менеджмента в компании делится на четыре этапа.
Первый этап.
Действия, осуществляемые Комитетом совета директоров по аудиту (Департаментом внутреннего контроля):
1) Разработка регламентной базы;
2) Направление запросов ответственным лицам в компании;
3) Подготовка и проведение семинара для ответственных лиц по вопросам создания системы внутреннего контроля и риск менеджмента в компании.
4) Действия, проводимые в компании;
5) Назначение ответственного лица;
6) Создание структурного подразделения / расширение функции уже существующих подразделений для осуществления необходимых мероприятий по созданию и функционированию системы внутреннего контроля и риск менеджмента.
Результатом деятельности будет являться создание организационной структуры, которая позволит разработать и внедрить корпоративную систему внутреннего контроля и риск менеджмента в компании, и в дальнейшем, осуществлять мониторинг функционирования данной системы.
Второй этап.
Действия, осуществляемые Комитетом совета директоров по аудиту (Департаментом внутреннего контроля):
1) Сбор, обобщение и анализ информации, предоставленной ответственными лицами;
2) Проведение встреч с внешними консультантами по страхованию и внутреннему контролю;
3) Определение мер по снижению операционных, среднесрочных и стратегических рисков по бизнес-процессам;
4) Составление карты рисков верхнего уровня в разрезе компании;
5) Стандартизация контрольных процедур компании;
6) Доведение до сведения ответственных лиц информации, необходимой для построения корпоративной системы внутреннего контроля и риск менеджмента (например, карты рисков, перечня стандартных контрольных процедур и т.п.).
7) Выбор программного продукта для корпоративной отчетно-аналитичоской системы.
Действия, проводимые в компании:
1) Сбор, предварительный анализ и систематизация информации, предоставляемой структурными подразделениями компании в рамках выполнения мероприятий по разработке системы внутреннего контроля;
2) Идентификация и оценка рисков;
3) Предоставление Комитету совета директоров по аудиту (Департаменту внутреннего контроля) информации о состоянии (наличии и эффективности) процедур внутреннего контроля в компании; идентифицированных рисках.
Результатом деятельности будет являться создание корпоративной системы внутреннего контроля и риск менеджмента в компании.
Третий этап.
Действия, осуществляемые Комитетом совета директоров по аудиту (Департаментом внутреннего контроля):
1) Контроль своевременности и полноты внедрения процедур внутреннего контроля и риск менеджмента компании;
2) Презентация и внедрение корпоративной электронной отчетно-аналитической системы.
3) Подготовка и предоставление информации в части внутреннего контроля и риск менеджмента для управленческой отчетности.
Действия, проводимые в компании:
1) Внедрение процедур внутреннего контроля в структурных подразделениях компании;
2) Выполнение в полном объеме запланированных мероприятий по снижению рисков.
Результатом будет являться внедрение корпоративной системы внутреннего контроля и риск менеджмента в компании.
Четвертый этап.
Действия, осуществляемые Комитетом совета директоров по аудиту (Департаментом внутреннего контроля):
1) Координация текущих мероприятий по внутреннему контролю и риск менеджменту;
2) Разработка и внесение изменений в процедуры внутреннего контроля в связи с изменением деятельности / организационной структуры компании.
Действия, проводимые в компании:
1) Поддержание надежного и эффективного функционирования системы внутреннего контроля и риск менеджмента в компании;
2) Текущее управление рисками;
3) Мониторинг и анализ изменения бизнес-процессов;
4) Адаптацию системы внутреннего контроля к изменениям в состоянии рисков, установление надлежащих мер контроля для новых и ранее неконтролируемых рисков.
Результатом деятельности будет являться автоматизация системы внутреннего контроля и риск менеджмента в компании, и мониторинг функционирования данной системы.
Вышеперечисленные принципы и этапы сформированы на основе российской и зарубежной практики и в полной мере внедрены в Группу компаний ОАО «СУАЛ-Холдинг».
Подводя итог, следует отметить что, при формировании системы внутреннего контроля в компании необходимо помнить и учитывать тот факт что, службы создаваемые в компании не должны дублировать функции друг друга. Не обходимо четко понимать разницу между Контрольно ревизионным управлением, Службой внутреннего аудита, Комитетом совета директоров по аудиту. Главной отличительной чертой между Контрольно ревизионным управлением (КРУ) и Службой внутреннего аудита (СВА) является то что, КРУ призвана выявлять факты которые уже случились и не ориентирована на бедующие, а СВА направлена на перспективу и устранение возможных фактов, т.е. анализ и снижение (а в идеале - устранение) рисков связанных с деятельностью компании. Комитет совета директоров по аудиту можно признать высшим органом системы внутреннего контроля, здесь также не следует забывать о важности независимости этого органа, это независимость можно достичь, если все члены, входящие в состав Комитета будут независимые директора.
Вопросы для самопроверки.
1. Каковы составляющие полноценной системы внутреннего контроля?
2. Каковы функции комитета Совета директоров по аудиту?
3. Каковы основные задачи ревизионной комиссии?
4. На кого может быть возложена функция управления рисками?
5. Каковы основные принципы внутреннего контроля и риск-менеджмента?
6. Каковы основные этапы создания системы внутреннего контроля?
Дата добавления: 2021-12-14; просмотров: 399;