Эффективная система внутреннего контроля: как победить риски

18754
Бйков Олег
Руководитель департамента по внутреннему конролю и управлению рисками группы компаний ДТЭК
В условиях финансовой нестабильности надежная система внутреннего контроля в компании необходима как никогда. Ее основная задача - минимизировать существующие у предприятия риски. Понять, какая документация необходима для создания и функционирования системы внутреннего контроля, можно, опираясь на образцы рабочих материалов коллег.

Создание системы внутреннего контроля в группе компаний ДТЭК продиктовано необходимостью повышения эффективности процессов принятия управленческих решений и достижения поставленных стратегических целей. В качестве дополнительного аргумента к уже сказанному можно добавить интерес партнеров и инвесторов. Для них система внутреннего контроля - гарант надежности и стабильности бизнеса.

Создание системы внутреннего контроля

Прежде чем подробнее остановиться на том, как в ДТЭК функционирует система внутреннего контроля, надо заметить, что единственного правильного подхода не существует. Есть рекомендации COSO, наработанная практика «большой четверки», тем не менее то, какой будет система внутреннего контроля конкретной компании, во многом зависит от ее целей и задач.

ШАГ 1. Формирование карты стратегических рисков

Для ДТЭК отправной точкой создания системы внутреннего контроля стала оценка рисков стратегического уровня и формирование классической карты рисков. Чтобы не упустить какие-либо важные риски стратегического уровня, до того как к этой работе был привлечен топ-менеджмент, была сформирована модель рисков ДТЭК, включающая более семидесяти различных угроз. После чего проведен мозговой штурм с участием топ-менеджеров компании. Они дополнили перечень стратегически важных рисков и экспертно (по пятибалльной шкале) оценили вероятность и ущерб в случае их реализации, а также степень управления рисками (насколько эффективно контролируется риск).

ШАГ 2. Построение матрицы рисков и бизнес-процессов

По завершении первого этапа идентифицированные и оцененные стратегические риски были соотнесены с ключевыми бизнес-процессами компании в «матрице рисков и бизнес-процессов» (см. табл. 1). В ней же отражена оценка их существенности.

Поскольку в условиях ограниченных ресурсов невозможно совершенствовать систему внутреннего контроля сразу по всем направлениям деятельности компании, необходимо было определить приоритеты. В первую очередь совершенствуется внутренний контроль в тех процессах, где количество существенных рисков, для которых показатель «оценка» превышает восемь баллов, наибольшее.

ШАГ 3. Описание приоритетных бизнес-процессов

Эта работа должна начинаться с определения цели процесса, ознакомления со всеми регламентами, относящимися к процессу. После чего проводится ряд интервью с непосредственными участниками процесса. И уже на основе собранной информации составляется описание бизнес-процесса, как графическое (см. схему), так и текстовое. Причем графическое описание проще для восприятия и позволяет получить представление о процессе в целом, а также визуально отразить контрольные процедуры и риски.

ШАГ 4. Построение матрицы рисков и контролей

Итак, процесс описан, дальше предстоит идентифицировать и оценить риски, но уже не стратегического уровня, а процессные, документировать существующие контрольные процедуры и понять, насколько они эффективны. Вся перечисленная информация собирается в «матрице рисков и контролей» (см. табл. 2).

Вкратце остановимся на ключевых работах, которые предстоит выполнить:

  • выявление и оценку процессных рисков осуществляет рабочая группа, в которую помимо сотрудников подразделения внутреннего контроля могут входить участники процесса и другие эксперты. Определение рисков, присущих тому или иному процессу, выполняется как за счет декомпозиции рисков стратегического уровня и посредством анализа созданного описания бизнес-процесса. Для удобства визуального восприятия выявленные риски отражаются на диаграмме процесса. После этого рабочая группа организует интервью среди выбранных экспертов, в ходе которого проверяется полнота и корректность формулировок рисков. Эксперты дают оценку рискам (экспертная оценка по пятибалльной шкале вероятности и ущерба от реализации риска), а также указывают соответствующие контрольные процедуры;
  • документирование и оценка контрольных процедур. Для определения перечня и характеристик контрольных процедур, направленных на управление существенными рисками, рабочая группа составляет их описание с учетом информации, полученной на предыдущем этапе (оценка рисков). Главная задача – определить, какие шаги процесса служат контрольными процедурами и какие риски они «закрывают».

Точки контроля для удобства отражаются на схеме процесса. В дополнение к процессным контрольным процедурам выявляются и документируются контроли корпоративного уровня, влияющие на весь процесс. Следующее действие - оценка эффективности контрольных процедур. И в завершение формируются наблюдения относительно текущего состояния системы внутреннего контроля процесса: указываются риски, с которыми связаны наблюдения, детально описываются недостатки системы внутреннего контроля.

Полезный материал? Добавьте страницу в закладки, сохраните, распечатайте ее или переадресуйте. 

ШАГ 5. Разработка рекомендаций и плана совершенствования системы внутреннего контроля

На основании выводов об эффективности контролей в «Матрице рисков и контролей» и наблюдений рабочей группой разрабатываются рекомендации по совершенствованию системы внутреннего контроля в процессе. Рекомендации утверждаются коллегиальным органом, выполняющим функции комитета по рискам. На основе утвержденных рекомендаций владелец процесса в установленный срок разрабатывает план по совершенствованию системы внутреннего контроля процесса. Выполнение плана подлежит последующему периодическому мониторингу со стороны службы внутреннего аудита.

ТАБЛИЦА 1. МАТРИЦЫ РИСКОВ И БИЗНЕС-ПРОЦЕССОВ

Эффективная система внутреннего контроля: как победить риски

Графа «Управление» - довольно нестандартное решение. Как правило, при оценке риска используется только оценка вероятности и последствий его реализации. Под управлением подразумевается, насколько тот или иной риск стратегического уровня «закрыт» контрольными процедурами. Оценка «управления» проводилась по аналогии с оценкой вероятности - экспертное мнение топ-менеджеров, пятибалльная шкала.

Существенность - самый важный показатель риска. В 2007 году в ДТЭК было принято все риски, которые получили «оценку» выше восьми баллов считать существенными. А значение показателя «оценка» определяется как произведение «вероятности» на «последствия», говоря профессиональным языком, оценка – это математическое ожидание.

В этом поле «Матрицы рисков и процессов» закрашивается пересечение строки, содержащей существенный риск и процесса, которому он соответствует. В первую очередь описываются и анализируется на наличие рисков и качество контрольных процедур тот бизнес-процесс, который набрал максимальное количество

«черных меток».

ТАБЛИЦА 2. МАТРИЦА РИСКОВ И КОНТРОЛЕЙ

Эффективная система внутреннего контроля: как победить риски

Первые две колонки «Ссылка на шаг процесса» и «Код риска» - навигатор, который поможет отыскать на «Диаграмме бизнес-процесса» тот риск, о котором идет речь. Код риска складывается из буквы R и порядкового номера внутри одного процесса. Другими словами, в каждом процессе нумерация рисков своя. По аналогии, номеруются и контрольные процедуры. Код контрольной процедуры указан в графе 9.

В следующей графе содержится описание типа используемой контрольной процедуры. Она может быть предупреждающей или корректирующей, ручной или IT и т. д. Это крайне полезные сведения для внутреннего аудитора и любого другого менеджера, анализирующего существующую систему внутреннего контроля. Даже без объяснений ясно, что опережающий контроль, который, например. не выпустит без должного на то решения машину с грузом за ворота компании, лучше корректирующего, при котором машина выедет с территории, но еще будет возможность ее перехватить.

«Контроль общий для нескольких рисков» и «Риск управляется несколькими контролями» – сведения из этих колонок нужны тогда, когда возникает необходимость скорректировать контрольные процедуры. Может случиться так, что, работая над усовершенствованием контроля, из поля зрения выпадет другой риск, который раньше закрывался при старом дизайне контрольной процедуры. И наоборот.

«Релевантность» (соответствует ли контрольная процедура риску, который должна минимизировать) и «Дизайн» (эффективность) - главные выводы всей проделанной работы. Именно на основании этой информации принимается решение о доработке системы внутреннего контроля. Усовершенствование системы внутреннего контроля дальше уже выполняется владельцами процесса, а работа подразделения внутреннего аудита – проконтролировать, что изменилось и выполняются ли созданные контрольные процедуры в реальности.

Методические рекомендации по управлению финансами компании



Подписка на статьи

Чтобы не пропустить ни одной важной или интересной статьи, подпишитесь на рассылку. Это бесплатно.

Школа

Школа

Проверь свои знания и приобрети новые

Записаться

Самое выгодное предложение

Самое выгодное предложение

Воспользуйтесь самым выгодным предложением на подписку и станьте читателем уже сейчас

Живое общение с редакцией

А еще...


Опрос

Вы планируете менять работу в новом году?

  • Да, планирую 36%
  • Подумываю об этом 26.4%
  • Нет, пока никаких перемен 28%
  • Это секрет! 9.6%
Другие опросы

Рассылка



© 2007–2016 ООО «Актион управление и финансы»

«Финансовый директор» — практический журнал по управлению финансами компании

Зарегистрировано Федеральной службой по надзору в сфере связи,
информационных технологий и массовых коммуникаций (Роскомнадзор)
Свидетельство о регистрации Эл №ФС77-43625 от 18.01.2011
Все права защищены. email: fd@fd.ru


  • Мы в соцсетях
×
Чтобы скачать файл, пожалуйста, зарегистрируйтесь

Сайт журнала «Финансовый директор» - это профессиональный ресурс для сотрудников финансовых служб и профессиональных управленцев.

Вы получите доступ не только к этому файлу, но и к другим статьям, рекомендациям, образцам регламентов и положений для управления финансами компании.

У меня есть пароль
напомнить
Пароль отправлен на почту
Ввести
Я тут впервые
И получить доступ на сайт
Займет минуту!
Введите эл. почту или логин
Неверный логин или пароль
Неверный пароль
Введите пароль
Зарегистрируйтесь на сайте,
чтобы продолжить чтение статьи

Еще Вы сможете бесплатно:
Скачать надстройку для Excel. Узнайте риск налоговой проверки в вашей компании
Прочитать книгу «Я – финансовый директор. Секреты профессии» (раздел «Книги»)

У меня есть пароль
напомнить
Пароль отправлен на почту
Ввести
Я тут впервые
И получить доступ на сайт
Займет минуту!
Введите эл. почту или логин
Неверный логин или пароль
Неверный пароль
Введите пароль