какие стадии бизнес процесса определяют технологию осуществления внутреннего контроля

Что касается методики проведения аудита СВК, то в настоящее время не существует единой методики проведения данного вида аудита. Это неудивительно, так как внутренний аудит, в первую очередь, направлен на совершенствование деятельности компании. То есть компания имеет возможность создать собственную методику аудита, которая будет наиболее полно соответствовать специфике деятельности компании.

С другой стороны, не стоит полагать, что не существует некой базы, на которой строятся методики компаний. В теории и на практике встречаются некоторые общие подходы к аудиту СВК. Например:

Проанализировав существующие методики проведения аудита, а также международные стандарты аудита, предлагаем выделить следующие основные этапы проведения аудита системы внутреннего контроля (рис. 2).

Рис.2. Схема проведения аудита системы внутреннего контроля бизнес-процесса.

Рассмотрим основные элементы методики проведения аудита СВК.

1. Планирование проверки

Планирование проверки является одним из основных этапов. Процесс планирования проверки включает в себя анализ информации, формирование задания на аудит (определение целей процесса, присущих рисков, целей проверки, объема работ, плана-графика проверки), направление уведомления, проведение совещания с владельцем процесса.

При проведении планирования следует обратить внимание на следующие моменты.

2. Выполнение проверки

Под выполнением проверки подразумевается описание бизнес-процесса, анализ целей процесса, определение рисков и контрольных процедур, оценка дизайна и тестирование операционной эффективности контрольных процедур.

Основные практические рекомендации по выполнению проверки заключаются в следующем.

Для оценки дизайна контроля необходимо установить связь между бизнес-целями и рисками, рисками и контрольными процедурами, отвечающими на соответствующий риск. Дизайн контрольной процедуры не эффективен, если контроль отсутствует, контроль не закрывает риск полностью (остаточный риск выше допустимого), присутствует конфликт разграничения полномочий.

Наличие контрольных процедур, для которых отсутствуют конкретные риски, целесообразно анализировать дополнительно. Возможно, контрольная процедура избыточна. Соотношение один риск – одна контрольная процедура не обязательно оптимально: одна контрольная процедура может покрывать несколько рисков.

Все ссылки должны быть проставлены правильно: документация должна позволять переходить по ссылкам от наблюдений к обосновывающим их рабочим бумагам и, если потребуется, к первичным документам.

3. Формирование отчета, завершение проверки

На данном этапе формируется вывод об эффективности системы внутреннего контроля. Для формирования вывода об эффективности СВК необходимо провести оценку каждого компонента модели COSO по всем целям.

Для оценки бизнес-процесса группы компаний требуется оценить бизнес-процесс в каждой компании и сделать общий вывод. Если же группа компаний поделена на дивизионы по продуктовому признаку, то достаточно оценить бизнес-процесс в одной компании дивизиона.

Основные практические рекомендации по написанию отчета:

Внутренний аудит системы внутреннего контроля в настоящее время является предметом дискуссий между учеными и практиками в данной сфере. Практическая значимость данной статьи заключается в том, чтобы показать, что наличие методики проведения проверки позволяет облегчить процесс аудита системы внутреннего контроля и повысить его эффективность. Разработанная и описанная в данной статье методика не обязательно является догмой, которой должны следовать все компании. Каждая компания вправе создавать и применять собственную методику.

Список литературы

1. Брайан Хок, Карл Берч. CIA. Дипломированный внутренний аудитор. Кн.: в 4 ч. М.: НОСК international, 2008.

2. Заварихина Н.М., Потехина Ю.В. Методология и методика внутреннего аудита в коммерческих банках // Аудит и финансовый анализ. 2005. № 4. С. 208.

3. Краснова И.А. Методика проведения внутренней аудиторской проверки эффективности системы внутреннего контроля бизнес-процессов// Акционерное общество: вопросы корпоративного управления. 2006. №7.

4. Крышкин О. Настольная книга по внутреннему аудиту: Риски и бизнес-процессы. М.: АЛЬПИНА ПАБЛИШЕР, 2013.

5. Международные профессиональные стандарты внутреннего аудита (ред. от 01.01.2013).

6. Институт внутренних аудиторов.

7. COSO Internal Control 2013. Integrated Framework.

1 Международные стандарты аудита подлежат применению на территории Российской Федерации согласно Постановлению Правительства Российской Федерации от 11.06.2015 № 576.

2 Комитет по надзору за отчетностью открытых акционерных компаний (орган по надзору за правильностью учета и отчетности в компаниях, чьи акции торгуются на бирже; должен следить за тем, чтобы не было манипулирования информацией и инвесторов не вводили в заблуждение; создан после принятия Закона Сарбейнса-Оксли). – Прим. авт.

© Интернет-проект «Корпоративный менеджмент», 1998–2021

Источник

Как создать систему внутреннего контроля в компании: основные этапы и правила

Что такое внутренний контроль и для чего он нужен в компании — говорили в статье «Внутренний контроль: какую роль выполняет и что учесть при создании СВК». В этом материале разберем:

Основные этапы создания и развития СВК

Система внутреннего контроля в том или ином виде существует в каждой компании. Помимо подразделений внутреннего контроля и внутреннего аудита, практически каждый руководитель и сотрудник выполняет определенные контрольные процедуры в своей работе. Как же создать эффективную СВК, чтобы она была действенной и рациональной?

Выделим 3 основных этапа создания и развития СВК в компании.

Первые два этапа — подготовительные, а третий — это этап внедрения целевой модели СВК в управленческую и операционную деятельности компании.

Ниже разберем подробнее каждый этап создания эффективной СВК.

Этап 1. Анализ текущего состояния СВК

Чтобы двигаться в правильном направлении, с учетом имеющихся ресурсов, необходимо проанализировать текущую модель СВК.

Определение текущей модели СВК

С точки зрения эволюции подходов к организации СВК, можно выделить 3 основные модели внутреннего контроля.

Риск-ориентированная модель рассматривает внутренний контроль и риски как неотъемлемую часть самого бизнеса. И позволяют совету директоров, топ-менеджменту и остальному персоналу организации проверить:

Риск-ориентированный подход (РОП) к организации внутреннего контроля выглядит так:

Согласно РОП, в любой деятельности есть риск не достичь ожидаемого результата из-за разных внешних и внутренних факторов: ошибок персонала, технических сбоев, неверных решений, изменений на рынках и пр. Если определить, где возникают риски, можно спрогнозировать реакцию на них и своевременно их предотвратить.

Именно поэтому контрольная деятельность во многих компаниях последние десятилетия переориентируется на работу с рисками. Затраты на такой превентивный контроль окупаются в полной мере за счет предотвращения более существенных потерь.

Компания может сочетать элементы трех моделей внутреннего контроля, исходя из специфики и масштабов деятельности

Моя практика работы в крупных холдингах подтверждает описанную эволюцию подходов к организации внутреннего контроля: от фокуса на последующий контроль после наступления негативных последствий — к фокусу на выявление рисков до стадии принятия решений и разработки адекватных контрольных мер.

Важно! В компаниях, как правило, присутствуют элементы всех трех моделей внутреннего контроля, что обеспечивает принцип независимости контроля при проведении его разными специалистами. Необходимо найти оптимальное сочетание моделей с точки зрения эффективности и затрачиваемых ресурсов.

Как определить уровень зрелости СВК

Согласно исследованию PWC, направления развития системы внутреннего контроля зависят от уровня зрелости СВК. Каждая компания проходит через несколько этапов развития СВК: от начального до совершенствуемого. И через промежуточные уровни: неформальный, формализованный и управляемый.

Таблица 1. Уровни зрелости системы внутреннего контроля

По данным PWC, 34% компаний оценивают уровень зрелости своей СВК как формализованный, 26% как управляемый. И всего 2% компаний достигло совершенствуемого уровня системы внутреннего контроля.

Компания может взять для оценки и другую градацию уровней зрелости СВК, в частности, определенную в рекомендациях различных регуляторов или в нормативных актах. Для успешного создания эффективной СВК необходимо прежде всего оценить и зафиксировать ее исходное состояние, а затем определить целевое видение СВК.

Этап 2. Формирование целевой модели СВК

Если рассматривать СВК с точки зрения системного подхода, то можно сказать, что внутренний контроль функционирует как эффективная система только когда:

Работа СВК базируется на применении набора правил и принципов, соблюдение которых обеспечивает ее эффективность.

Создание правил для эффективной работы СВК

Есть базовые принципы внутреннего контроля для всех моделей СВК. Если они не соблюдаются, то система внутреннего контроля компании функционирует на низком уровне.

Таблица 2. Базовые принципы СВК

Помимо базового набора правил, для создания эффективного внутреннего контроля с риск-ориентированным подходом необходимо внедрить в компании дополнительные принципы СВК.

Важно! Чтобы создать эффективную систему внутреннего контроля, нужно не только формализовать основные принципы функционирования СВК и зарегламентировать их, но и воплотить на практике. А также регулярно тестировать СВК, соответствует ли она установленным принципам.

Как распределить задачи между участниками процессов внутреннего контроля

К субъектам СВК относятся практически все причастные к деятельности компании: Совет Директоров, внутренний аудит, исполнительное и линейное руководство, сотрудники подразделений (в том числе внутренние контролеры).

Институт внутренних аудиторов в 2013 году официально признал, так называемую, модель «Три линии защиты». Она описывает то, как распределять и координировать функции контроля и управления рисками между субъектами СВК, независимо от размера и сложности организации.

Эффективную СВК можно выстроить, когда в компании функционируют все три линии защиты с четко определенными обязанностями

Считается, что модель «Три линии защиты» обеспечивает более устойчивое и эффективное функционирование СВК. Но на практике, она далеко не всегда реализуется оптимальным образом.

Вместо конструктивного взаимодействия, часто в компаниях:

Важно! Чтобы выстроить партнерские взаимодействия с эффектом синергии, участникам СВК стоит договориться о взаимодействии и зонах ответственности. Распределить и закрепить в соответствующих внутренних документах функционал подразделений так, чтобы скоординированная работа всех «трех линий защиты»:

В следующей статье рассмотрим третий этап создания и развития СВК — внедрение целевой модели СВК в управленческую и операционную деятельности компании.

Источник

Как построить в компании систему внутреннего контроля

Вице-президент ABPMP Russia, Директор департамента по оптимизации бизнес-процессов Университета Синергия, Эксперт по процессному управлению и моделированию бизнес-процессов, преподаватель программы Операционная эффективность бизнеса и совершенствование бизнес-процессов

Все ли операционные риски следует контролировать и предотвращать? Как оценить, что контрольные процедуры выполнены должным образом? Разбираемся с Андреем Коптеловым.

Если вам кажется, что у вас все под контролем, вы просто еще не набрали скорость.

Марио Андретти, участник гонок «Формула 1»

Пока гром не грянет, мужик не перекрестится, — эта пословица прекрасно описывает российскую специфику управления операционными рисками. К сожалению, наши компании нередко отличаются слабым уровнем работы с операционными рисками и полным отсутствием системы внутреннего контроля. Исправить данный недостаток можно, применяя к бизнес-процессам компании методологию американского законодательства SOX (Sarbanes-Oxley Act)

Что такое операционный риск

Операционный риск, можно определить как риск прямых или косвенных убытков в результате неверного исполнения бизнес-процессов, неэффективности процедур внутреннего контроля, технологических сбоев, мошенничества, несанкционированных действий персонала или внешнего воздействия.

Ключевой идеей системы управления операционными рисками является определение наиболее вероятных и серьезных в части ущерба рисков и последующее изменение существующих бизнес-процессов с целью недопущения реализации данных рисков или минимизации последствий в случае, если риск все-таки реализовался.

По статистике среднестатистическая компания теряет 5% прибыли только из-за мошенничества, тогда как потери из-за других видов операционных рисков в разы больше. Смысл системы управления операционными рисками хорошо иллюстрирует следующее определение: управление операционными рисками – это возможность не терять значительные деньги по незначительным поводам.

Многие операционные риски отличает от финансовых и кредитных рисков тот факт, что их источник лежит внутри самой организации. А, значит, вероятность реализации операционных рисков может быть снижена за счет устранения причин, их порождающих. Операционные риски в основном приводят к неоправданным потерям. Поэтому, в случае их обнаружения и устранения, компания получает ощутимую выгоду с точки зрения повышения качества внутренних бизнес-процессов и снижения неоправданных потерь.

Формализация операционных рисков

Формализация операционных рисков необходима для превентивного определения тех точек в бизнес-процессах, где с высокой вероятностью может произойти нештатное событие. Однако на практике некоторые российские компании даже в случае многократной реализации операционного риска так и не предпринимают никаких мер для исключения его в будущем.

Тут можно привести известный афоризм, что грабли бывают двух видов: первые чему-то учат, и вторые — мои любимые. Именно поэтому в рамках управления операционными рисками, помимо формализации операционных рисков в специальном реестре или даже в специализированной информационной системе, рекомендуется создавать базу убытков, чтобы заносить в нее случаи реализации рисков в компании, а также понесенный ущерб. Такая практика позволяет анализировать причины рисков и специальными мероприятиями снижать вероятность их реализации в будущем.

Первый шаг — создание реестра операционных рисков, вести который следует поручить экспертам из подразделений компании или внутренним аудиторам. А после того, как ключевые риски собраны, можно начать накапливать статистику по случаям их реализации, чтобы определить первоочередные мероприятия по их предотвращению.

Сложным вопросом в части выявления операционных рисков является доказательство полноты выявленных рисков, и тут наиболее просто использовать отраслевые реестры рисков, которые, как правило, собираются аудиторами. Использование отраслевых реестров операционных рисков позволяет выполнить формализацию операционных рисков в бизнес-процессах на порядок быстрее, чем использование экспертных методов сбора операционных рисков от своих сотрудников и руководителей.

Оценка операционных рисков

Учитывая, что в крупной компании количество операционных рисков может смело перевалить за тысячу, то нужен простой способ их оценки и ранжирования для определения наиболее критичных рисков, с которыми придется бороться в первую очередь.

Управление всеми найденными операционными рисками экономически невыгодно для компании. Проще смириться с убытками, которые вызывают риски с небольшим ущербом и низкой вероятностью реализации, чем проектировать и внедрять мероприятия по их предотвращению. Именно поэтому ключевой задачей оценки операционных рисков является отсечение тех рисков, которые с высокой степенью вероятности не оправдают дальнейших затрат на их предотвращение.

Существует множество подходов к оценке рисков, однако самым простым является экспертное ранжирование рисков по двум критериям: вероятность реализации риска и объем ущерба от случая реализации. Данная оценка производится на основании мнений экспертов, которые анализируют вероятность и ущерб для всех операционных рисков, актуальных для компании.

После того как оценка проведена, можно использовать четыре стратегии управления операционными рисками. Первая, самая применяемая в России, называется «принимать»: риски принимаются к сведению, но действия по их минимизации не планируются. Вторая стратегия — «страховать»: особенно часто эту стратегию используют для маловероятных рисков с серьезным ущербом. Третья стратегия называется «избегать»: в этому случае компания отказывается от рискованных бизнес-процессов, либо сосредоточивает максимальные усилия на оптимизации данных процессов в части снижения ущерба и его вероятности. Четвертая стратегия называется «предотвращать» и требует построения контрольных процедур для минимизации высоко вероятных рисков со средним или малым ущербом.

Построение системы внутреннего контроля

Для недопущения реализации рисков или минимизации последствий используется система внутреннего контроля, в рамках которой не только определяется ответственный за операционный риск, но и создается контрольная процедура, которая внедряется в существующий бизнес-процесс.

Контрольная процедура — это действие, которое помогает удостовериться, что все необходимые меры в отношении предотвращения случаев реализации операционных рисков приняты. При этом, чтобы проверить работоспособности контрольной процедуры, важно также получить свидетельство контроля — документальное подтверждение факта ее исполнения.

Наиболее результативными считаются превентивные контрольные процедуры, которые позволяют минимизировать саму вероятность наступления рискового события. Однако для повышения надежности бизнес-процесса их часто применяют одновременно с детективными процедурами. Например, наряду с процедурой изъятия карточки-пропуска при увольнении сотрудника должна существовать контрольная процедура сверки списка сотрудников, которым закрыт доступ по их карточкам-пропускам, со списком уволенных за определенный период.

Для создания контрольной процедуры в бизнес-процессе нужно ответить на следующие вопросы:

При проектировании контрольной процедуры в обязательном порядке необходимо предусмотреть необходимость создания свидетельств контроля, подтверждающих факт правильного выполнения контрольной процедуры. На практике свидетельством контроля может являться акт сверки, log-файл информационной системы, — все то, что подтвердит факт успешного выполнения контрольной процедуры сотрудником или информационной системой.

При этом нужно учитывать, что ручной контроль требует серьезных трудозатрат, и поэтому автоматизация контрольных процедур является ключевым направлением развития системы внутреннего контроля в последнее время. Чем больше в компании автоматизированных контрольных процедур, результаты выполнения которых видны в log-файлах информационных систем, тем эффективнее и, главное, дешевле, система внутреннего контроля.

Тестирование эффективности системы внутреннего контроля

Чтобы быть уверенным в том, что система внутреннего контроля эффективна, необходимо с определенной периодичностью проверять, как на практике выполняются контрольные процедуры. Данная проверка осуществляется с помощью специализированных тестов, которые состоят из следующих шагов:

Сначала устанавливается наличие регламента, где определяется порядок, правила выполнения данного бизнес-процесса и соответствующих контрольных процедур.

Далее проверяется выполнение на практике требований, описанных в документе, и документируются конкретные примеры выполнения.

По результатам проведенного теста принимается решение об эффективности или неэффективности анализируемых контрольных процедур.

Дополнительной сложностью в тестировании является требование, чтобы тестирование выполнялось сотрудниками, не участвующими в проверяемых бизнес-процессах. Тысяча тестов, которые необходимо выполнить в течение месяца, — это нормальная ситуация для системы внутреннего контроля крупной компании. При этом количество проводимых тестов зависит от количества экземпляров бизнес-процессов, проходящих через проверяемую контрольную процедуру. Таким образом, периодичность проведения тестирования устанавливается в зависимости от критичности операционных рисков и частоты исполнения бизнес-процесса и может варьироваться.

В существующих условиях количество трансакций в деятельности крупной компании достигает сотен тысяч в день, а число операционных рисков превышает несколько сотен. При этом достаточно сложно отследить эффективность выполнения контрольных процедур на ручном уровне, поэтому единственным эффективным путем является максимальная автоматизация как контрольных процедур, так и проверочных тестов.

Почему нужно равняться на методологию SOX

Анализ разных подходов к построению систем внутреннего контроля показал, что максимально жесткой и проработанной в части внедрения является именно методология закона SOX, которая предназначена для минимизации нарушений, связанных с финансовой отчетностью. Только в системе внутреннего контроля, построенной по требованиям SOX, можно обнаружить не только контрольные процедуры и свидетельства контроля, но и специализированные тесты, с помощью которых в регулярном режиме проверяют эффективность работы контрольных процедур.

При этом вся система, помимо внутренних тестов, дополнительно контролируется внешним аудитором. Его задача — выборочно проверять не только качество оценки операционных рисков, но и правильность работы контрольных процедур, существование свидетельств контроля, а также регулярность внутреннего тестирования системы.

И хотя внедрение такого объема контрольных процедур и тестов часто слишком дорого для компании, в тех бизнес-процессах, над которыми нужно установить максимальный контроль, можно использовать методологию SOX в полном объеме.

Источник

• ← антхилл в мобайл легенд что
• Разбираемся с понятием развал схождения в автомобильном мире →