Риск и контроль (модель COSO)


Печать	Рассылка

Инвестиции Зарубежный опыт Другие вопросы Отрывки из книг Практическое пособие по IPO (первоначальное публичное предложение) Оценка стоимости в венчурном инвестировании и при выходе на рынок IPO IPO: стратегия, перспективы и опыт российских компаний Прямые и венчурные частные инвестиции в России Инвестиционные проекты и предложения Личные финансы Российский опыт Информационный бюллетень Корпоративные финансы Финансовая математика/статистика Лизинг Базовый курс по информативности отчетов о движении денежных средств Рынок ценных бумаг. IPO, ICO, IEO Интервью, материалы прессы Сбалансированная система показателей Статьи Отрывки из книг Слияния и поглощения Коротко о главном Финансовый менеджмент Анализ финансовых отчетов Финансовый Анализ Международные стандарты оценки - International Valuation Standards (IVS) Оценка бизнеса Менеджмент Корпоративное управление Корпоративные рейтинги Стратегическое управление Кадровый менеджмент Практика Коротко о важном Корпоративное право Управление рисками Управление качеством GAAP & IAS Переход на МСФО в других странах мира Азиатская модель Расширенная корпоративная отчетность. Отчетность устойчивого развития Сравнительный учет: МСФО и Российский учет МСФО в некоммерческих организациях IAS 1 Представление финансовой отчетности IAS 37 Резервы, условные обязательства и условные активы IAS 16 Основные средства IAS 27 Консолидированная и отдельная финансовая отчетность IAS 38 Нематериальные активы IFRS 6 Разработка и оценка минеральных ресурсов Аудит. Управленческий учет. Статистика IAS 2 Запасы IFRS 4 / IFRS 17 Договоры страхования IAS 17 Аренда IAS 28 Инвестиции в ассоциированные и совместные предприятия IAS 39 Финансовые инструменты: признание и оценка IFRS 7 Финансовые инструменты: раскрытие информации IFRS 9 Финансовые инструменты IFRS 6 Разработка и оценка минеральных ресурсов Разъяснения и Интерпретации к МСФО IAS 18 Выручка IAS 29 Финансовая отчетность в гиперинфляционной экономике IAS 40 Инвестиционное имущество IFRS 8 Операционные сегменты IFRS 10 Консолидированная финансовая отчетность IAS 7 Отчеты о движении денежных средств IFRS 13 Оценка справедливой стоимости IAS 19 Вознаграждения работникам IAS 32 Финансовые инструменты: раскрытие и представление информации IAS 41 Сельское хозяйство МСФО для страхового сектора IFRS 11 Совместная деятельность IAS 8 Учетная политика, изменения в расчетных оценках и ошибки IAS 26 Учет и отчетность по пенсионным планам IAS 20 Учет государственных субсидий и раскрытие информации о государственной помощи IAS 33 Прибыль на акцию IFRS 1 Первое применение Международных Стандартов Финансовой Отчетности Трансформация отчетности по МСФО IAS 10 События после окончания отчетного периода IAS 11 Договоры на строительство IFRS 15 Выручка по договорам с клиентами IAS 21 Влияние изменений валютных курсов IAS 34 Промежуточная финансовая отчетность IFRS 2 Выплаты на основе долевых инструментов Обзор МСФО Подготовка международной отчетности IAS 16 Учет и отчетность по пенсионным планам IAS 12 Налоги на прибыль IFRS 16 Аренда IAS 23 Затраты по займам IAS 36 Обесценение активов IFRS 3 Объединения бизнесов Разработка законодательство по МСФО IAS 31 Участие в совместном предпринимательстве IAS 14 Сегментная отчетность IFRS 14 Счета отложенных тарифных разниц IAS 24 Раскрытие информации о связанных сторонах IAS 37 Оценочные обязательства, условные обязательства и условные активы IFRS 5 Долгосрочные активы, предназначенные для продажи, и прекращенная деятельность Активы Учебные пособия по МСФО Реформа бухгалтерского учета и отчетности II Экзамен DipIFR-Rus (2012) Работа с финансовыми отчетами по МСФО Системы профессионального образования в России, Великобритании и в мире Разработка стратегии поддержки российских предприятий при их переходе на МСФО Экзамен DipIFR-Rus (2013) МСФО, редакция 2001г. Курс по методике IAB/Основы бухгалтерского учета по МСФО Учебное пособие по МСФО и их использования в рамках проекта ТАСИС "Водные пути России" Руководство по трансформации на МСФО (новый план счетов РБ) Вводный курс по МСФО Особенности учета на постсоветском пространстве Идеологические статьи по МСФО IAS: искусство иллюзии Идеология МСФО и US GAAP Революция в корпоративной отчетности Учебные пособия по МСФО в рамках проекта "Реформа бухгалтерского учета и отчетности II" Особенности банковской отчетности Банковский бизнес в России и зарубежом Что такое ГААП США (US GAAP) ? Изучение GAAP: основы основ. Курс лекций Как я изучал GAAP Сравнительный учет: US GAAP & Российский учет US GAAP: Перевод отчетности в иностранной валюте Учетная политика Сравнительный учет: IAS & US GAAP МСФО по-украински: официальный перевод международных стандартов Нефтегазодобывающая отрасль МСФО для добывающей отрасли UK GAAP Что такое GERMAN GAAP (Немецкий учет)? Немецкое балансоведение IPSAS - международные стандарты для госорганов Налогообложение Практические советы Налоговый учет Статьи и аналитические материалы по Налогам Налоговые отношения с участием иностранных организаций в РФ, оффшоры Software Отрывки из книг Авторские разделы US GAAP, UK GAAP, IFRS (МСФО) - Татьяна и Сергей Максимовы Вареня Вячеслав Алексеевич Видеоинтервью и вебинары Анвар Алимжанович Бакиев Партнерам Ольга Овчаренко Эксперты Московской коллегии адвокатов «ГРАД» Андрей Лукашов Корпоративные финансы Инвестиции Станислав Воронин Вячеслав Колесов Теория и практика международного учёта и отчётности. Учебное пособие Игорь Аверчев Готовимся к экзамену «CFA - 1 уровень» вместе Российский бухучет Аудит Теория аудита, аналитические статьи, рейтинги Методические рекомендации в рамках проекта ТАСИС «Реформа Российского Аудита» Практические материалы с конференций по аудиту Аналитические материалы со III-й Конференции стран СНГ "Аудит и контроллинг в банках" - 2004 Международные стандарты аудита (ISA, SAS) Внутренний аудит и внутренний контроль Аудиторские компании СТЕК Ernst & Young Deloitte BDO Журнал «Аудитор» 2002 г. 2011 г. Управленческий учет Практика Предприятие как система создания ценности Зарубежный опыт Контроллинг Идеология Управленческий учет в контексте стратегического менеджмента Бюджетирование Статьи	Теория аудита, аналитические статьи, рейтинги Методические рекомендации в рамках проекта ТАСИС «Реформа Российского Аудита» Практические материалы с конференций по аудиту Аналитические материалы со III-й Конференции стран СНГ "Аудит и контроллинг в банках" - 2004 Международные стандарты аудита (ISA, SAS) Внутренний аудит и внутренний контроль Аудиторские компании СТЕК Ernst & Young Deloitte BDO Журнал «Аудитор» 2002 г. 2011 г. Аудит	Внутренний аудит и...

Автор: Руслан Гиниятов, CIA
Источник: Финансовый Директор ISSN 1680 – 1148
Опубликовано: 26 Июля 2010

Cтатья адресована управленцам, заинтересованным в использовании западного опыта в области корпоративного управления и организационного (т. н. «внутреннего») контроля.

Каждый человек так или иначе использует контроль в своей работе и жизни. Но не каждый делает это сознательно. Наша беседа будет посвящена тому, как научиться компетентно подходить к вопросам организационного контроля. Теория организационного контроля проста, в ней нет трюков и сложных мест. Это очевидные вещи, продиктованные здравым смыслом. Мы лишь представим их в организованном виде.

Рассматриваемые здесь модели риска и контроля были разработаны The Committee of Sponsoring Organizations of the Treadway Commission (COSO) в США. Конец 80-х был тяжёлым для США. Крах сотен финансовых институтов принёс миллиардные убытки инвесторам, дебиторам и правительству. The Treadway Commission была создана присяжными бухгалтерами, внутренними аудиторами, финансовыми менеджерами и двумя другими группами для изучения ситуации. Среди прочего комиссия рекомендовала спонсирующим организациям разработать интегрированное руководство по внутреннему контролю. Для реализации этой рекомендации был создан COSO комитет. Модели риска и контроля, предложенные COSO, послужили основой для ряда других моделей риска и контроля, разработанных в других странах организациями, аналогичными COSO, и различными консультационными фирмами.

Попробуйте самостоятельно ответить на вопросы «что такое контроль?» и «какие типы контроля бывают»? Что первое пришло вам нам на ум? Инспекции, процедуры, подписи, файлы… Как правило, не более того. Модели, которые мы рассмотрим, инструмен-тальны. Используя эти модели, вы сможете более широко и системно смотреть на вопросы контроля в своей ежедневной практике, замечать то, что прежде ускользало от вашего внимания в этой связи.

Зачастую мы говорим о контроле ради контроля. Контроль не самоцель. Он связан с рисками и целями организации. Грамотное обсуждение вопросов контроля требует постоянного видения этой перспективы. Поэтому мы начнём разговор о контроле с разговора о риске.

Модель риска

Попробуйте ответить на следующие вопросы. Что такое риск? Какие типы рисков существуют? Как измерить риск? Потратьте несколько минут и запишите свои ответы. Модель риска предлагает ответы на эти вопросы.

Определение риска

The Economist Intelligence Unit в своём исследовании определяет риск как «угрозу того, что некое событие или действие негативно повлияет на способность организации успешно достичь своих целей или реализовать свои стратегии». Заметим, что в соответствии с этим определением говорить о риске можно только в контексте специфических целей.

Теперь посмотрим, как можно классифицировать риски. Можно классифициро вать риски по их источникам.

Источники риска

Начнём с внутренних источников риска.

Работники. Человек – самое высокоразвитое существо и поэтому самое непредсказуемое. Человеку свойственно ошибаться, недоделывать, задерживаться, халат но относиться к работе. Люди периодически врут и воруют, мошенничают самыми раз ными способами. Человек может заболеть и не выйти на работу.
Оборудование может дать сбой или выйти из строя. С меньшей вероятностью чем человек, но все же.
Неверно поставленные цели. Например, нереалистичный план продаж может привести к отгрузкам некредитоспособным клиентам. Задача увеличить долю рынка любой ценой может привести к серьёзным убыткам.

Теперь обратимся к внешним источникам риска. Некоторые из них персонифи цированы.

Конкуренты представляют постоянную угрозу потери бизнеса.
Поставщики могут недопоставить или затребовать неоправданно высокую цену или слишком жёсткие условия контракта. Они могут давать взятки работникам вашей организации для получения выгодных заказов.
Клиенты могут не оплатить товары в срок или вовсе не оплатить. Могут не исполнять условия контракта.

Другие внешние источники риска не персонифицируются.

Законодательство (налоговое, экологическое, трудовое и пр.). Например, таможенные правила, несоблюдение которых грозит штрафами для предприятия нарушителя.
Политические события. Например, война может вынудить свернуть продажи.
Общественное мнение. Например, потребители могут отказаться от приоб ретения брэнда американской компании вследствие негативного отношения к текущей политике США в данном государстве.
Состояние экономики и финансов. Например, угроза резкой девальвации валюты.

И наконец, природные факторы.

Явления природы также являются источниками риска. Молния может привести к пожару здания. Дождь может протечь через крышу и залить сервер. Снегопад может завалить въезд на склад.

Взгляните теперь на типы рисков, которые вы записали перед началом обсужде ния этой классификации рисков. Многие ли из источников риска попали в ваш список? Теперь посмотрим на риск с другой стороны.

Цели, подверженные риску

Вспомним как мы определяли риск.

Мы определяли его через цели организации. Следовательно, мы можем классифи цировать риски по тому, каким целям они угрожают. Заметим, что кроме целей, которые организация устанавливает перед собой, мы должны принять во внимание обязанности, накладываемые на организацию государством и инвесторами.

Надёжность и интегрированность информации. Разве это цель, а не сред ство для принятия обоснованных управленческих решений? В данном случае мы гово рим о другом. Организация обязана предоставлять информацию различным заинтере сованным лицам (инвесторам, государству, дебиторам) для принятия решений в отно шении организации. Примером такого рода информации является квартальный отчёт о прибыли и убытках. Предприятие ответственно за надёжность и непротиворечи вость этой информации. Отметим, что для получения надёжных периодических обоб щённых данных необходимо, чтобы текущая информация, генерируемая на всех рабо чих местах, была надежной и не противоречила друг другу. Примером риска для этого типа целей является случайное или преднамеренное искажение информации вследствие неоправданно широкого доступа к информационной системе организации.
Исполнение внутренних политик, планов, процедур, а также внеш них законов и норм. Очевидно, что соблюдение государственных законов является обязанностью организации. Сверх того, организация может установить свои внутрен ние нормы, например код делового поведения или политику в отношении работаю щих матерей, предусматривающая определённые льготы, не установленные трудо вым законодательством. Установив свои внутренние нормы, предприятие тем самым обязуется исполнять их. Сюда же можно отнести законодательные и внутренние тре бования к безопасности производства. Примером риска для этого типа целей являет ся нарушение налогового законодательства в результате неправильного оформления счетов к оплате.
Защита активов. Опять, как и с первой группой целей: разве это цель, а не средство для получения прибыли?… И опять мы в данном случае говорим об обязатель ствах перед внешними для организации лицами. Инвесторы предоставляют организа ции свои активы для использования в целях получения прибыли (или других целей в слу чае неприбыльных организаций). Организация, со своей стороны, обязана защищать эти активы. Примером риска для этого типа целей являются убытки на рынке ценных бумаг вследствие несбалансированных инвестиций.
Экономичное и эффективное использование ресурсов. С точки зре ния классической теории рыночного капитализма это является единственной целью капиталистического предприятия. Примером риска для этого типа целей является уни чтожение готовой продукции вследствие ошибочного прогнозирования объёма про даж. Другой пример: дополнительный персонал на заводах, корректирующий ошибки мастер данных в центральной базе данных.
И наконец, наиболее очевидный тип целей, стоящих перед организацией. Достижение целей, установленных для текущей деятельности и специаль ных программ. Какие примеры такого рода целей вы можете привести из своей прак тики? Задания по продажам и производству. Обеспечение качества продукции и услуг. Внедрение нового программного обеспечения. Примером риска для этого типа целей является увеличение количества претензий от клиентов вследствие принятия заказов на товар, не имеющийся в наличии.

Взгляните ещё раз на те типы рисков, что вы указали в начале нашего разгово ра. Какие типы рисков по этой, второй, классификации попали туда? Какие не попали? Используя эту модель риска, вы могли бы существенно удлинить свой первоначальный список. Не правда ли?

Измерение риска

Общепринято измерять риск вероятностью угрозы и степенью негативного влияния последствий:

опустим, что все работники завода, работающие с компьютерной программой по бухучёту, имеют системный ID и пароль, позволяющий производить критические дей ствия в системе, к примеру, создавать в системе заказ на закупку. Последствия неавто ризованных закупок могут нанести серьёзный ущерб экономичному и эффективному использованию ресурсов.

Предположим, что только работники отдела закупок были обучены созданию системного заказа на закупку, остальные же работники, хотя и имеют доступ теоретиче ски, но практически никогда им не пользуются. Уровень их компьютерной грамотности недостаточен, чтобы разобраться в этом самостоятельно. В этой ситуации последствия серьёзны, но вероятность угрозы не столь велика. Соответственно, суммарный риск имеет среднее значение (квадрант 1).

Если же мы не можем быть столь уверены в компьютерной безграмотности поль зователей, вероятность угрозы возрастает. И наконец, если в числе этих работников есть продвинутые пользователи, хорошо знающие бизнес процесс, мы попадаем в область высокой вероятности с серьёзными последствиями. Суммарный риск максимален (ква дрант 2). Вернитесь опять к своим записям и сравните, как близки вы были к методу изме рения риска, предлагаемого этой моделью.

На этом мы закончим рассмотрение модели риска и перейдём к модели контроля.

Модель контроля

Попробуйте ответить на такие вопросы. Что такое контроль? Какие существуют типы контроля? Как измерить уровень контроля?

Определение контроля

Существуют различные определения контроля. Воспользуемся определением, данным Институтом Внутренних аудиторов (США). «Контролем является всякое дей ствие, предпринятое органом управления для повышения вероятности того, что установ ленные цели будут достигнуты».

Как видите, контроль, как и риск, определяется через цели организации. И если риск представляет угрозу этим целям, то контроль предназначен ее смягчить. Мы опре деляем контроль как всякое действие, что позволяет нам не ограничивать рассмотрение традиционными методами контроля.

Элементы контроля

1. Контрольная среда. Она включает так называемые «опоры контроля»: «тон наверху» и «способность организации». Для обеспечения правильного «тона наверху» руководство должно служить образцом корпоративной культуры, подчёркивать важ ность эффективного организационного контроля, поощрять деятельность по усовер шенствованию систем контроля. Необходимый уровень «способности организации» достигается посредством обучения персонала. Работник, не способный понять смыс ла элементов процесса, в котором он участвует, является слабой гарантией контроля в современных сложных организациях. Контрольная среда включает и другие «почвообразующие» элементы, например принципы организации, систему вознаграждения, процесс согласования стратегии всех подразделений организации и прочее. Контрольная среда – это элемент №1, поскольку она является условием жизнеспособности всех остальных элементов.

2. Оценка риска. Поскольку контроль устанавливается для смягчения риска, эффективная система контроля требует знания текущей «карты рисков». Оценка риска в разных областях проводится с разной степенью формальности. Отдел внутреннего аудита проводит ежегодную переоценку риска, т. н. «универсума аудита», который является списком аудируемых областей. Обычно «универсум аудита» охватывает широкий спектр процессов, существующих в организации. Но он не является всеохватывающим, т. е. в организации существуют риски, не «охваченные» «универсумом аудита».

Например, процесс подготовки отчётов о финансовых результатах обычно наличествует в универсуме. А процесс анализа финансовых результатов и их прогнозирования – нет. Причиной этого является сложность аудита нерутинных процессов.

3. Действия контроля. Наконец мы подошли к тем самым инструментам «прямого» контроля, которые составляли основу традиционных подходов к контролю и нашли отражение в девяти «действиях контроля».

Ответственность ясно определена и понята.
Доступ (физический и системный) контролируется.
Адекватный надзор.
Транзакции авторизуются.
Транзакции записываются.
Политики, процедуры, обязанности документируются.
Адекватное обучение.
Адекватное разделение обязанностей.
Учтённые активы сравниваются с имеющимися в наличии.

Эти действия контроля ясны из их названий. Приведём пример последствий неэффективной авторизации транзакций. Менеджер, не имеющий полномочий продавать оборудование, поручил инженеру найти потенциальных покупателей на вышедшую из эксплуатации производственную линию. Чрезвычайно дорогая линия была продана за половину её рыночной стоимости.

4. Информация и коммуникация. Ещё один «мягкий» элемент контроля. Приведём пример. Руководитель торгового отдела решил усилить контроль за отгрузками консигнационных товаров, хранящихся на складе регионального дистрибьютора, введением дополнительного элемента контроля. Региональный торговый представитель компании должен письменно авторизовывать каждую отгрузку («транзакции авторизуются»). Через некоторое время в налоговый отдел организации случайно попала копия такого документа. Специалист по налогам потребовал немедленно отменить эту процедуру, поскольку законодательство требовало в данном случае существенного усложнения процесса расчёта налога с продаж. Несоблюдение же законодательства могло привести к существенным штрафам. Правильно организованная коммуникация между торговым и юридическим отделами могла бы предотвратить этот риск с самого начала.

5. Мониторинг. Эта группа включает в себя различные виды надзора высших уровней управления за работой низших. Сюда относятся и различные виды аудита, включая аудит качества, техники безопасности, внутренний аудит. Мониторинг часто предполагает сравнение текущих результатов с ожидаемыми. Поэтому нормативы относятся к этой группе элементов контроля. Например, нормативы соответствия результатов инвентаризации данным складского учёта, норматив времени для «закрытия» бухгалтерских книг.

Взгляните на список типов контроля, предложенный вами в начале. Какие элементы контроля вошли в него, а какие не вошли?

Остаточный риск

Перейдём к вопросу измерения контроля.

После нашего предыдущего обсуждения для вас не должно быть сюрпризом, что я предлагаю вам измерять уровень контроля через уровень риска. Общепринятой формулой является

присущий риск – контроль = остаточный риск.

Уровень остаточного риска сравнивается с оптимальным уровнем. Уровень остаточного риска выше оптимального является неприемлемым. Уровень остаточного риска ниже оптимального соответствуют избыточному контролю.

Суждения об оптимальности уровня остаточного риска субъективны. На основании результатов оценки уровня остаточного риска ответственное лицо может решить либо скорректировать цели, либо изменить (усилить или ослабить) систему контроля, либо продолжать слепо двигаться вперёд.

Итоги

Итак, кратко суммируем итоги. Контроль является ответственностью отдела внутреннего аудита. Контроль не имеет ничего общего с целями бизнеса. Контроль необходим тогда, когда нет взаимного доверия. Согласны? Если нет, то мы не зря потратили время.

Автор: Руслан Гиниятов, CIA