Что такое внутренний контроль и для чего он нужен в компании — говорили в статье «Внутренний контроль: какую роль выполняет и что учесть при создании СВК». В этом материале разберем:
- Основные этапы создания системы внутреннего контроля в компании
- Этап 1. Анализ текущего состояния СВК
- Как определить модель и уровень зрелости текущей СВК
- Этап 2. Формирование целевой модели СВК
- Создание правил для эффективной работы СВК
- Как распределить задачи между участниками процессов внутреннего контроля
Основные этапы создания и развития СВК
Система внутреннего контроля в том или ином виде существует в каждой компании. Помимо подразделений внутреннего контроля и внутреннего аудита, практически каждый руководитель и сотрудник выполняет определенные контрольные процедуры в своей работе. Как же создать эффективную СВК, чтобы она была действенной и рациональной?
Выделим 3 основных этапа создания и развития СВК в компании.
- Анализ текущего состояния системы внутреннего контроля в компании, по результатам которого определяется текущая модель СВК и уровень ее зрелости.
-
Формирование целевой модели СВК, в том числе:
- создание правил для эффективной работы системы;
- распределение задач в сфере СВК между участниками процессов внутреннего контроля.
- Разработка и реализация мероприятий, необходимых для перехода к целевой модели СВК с более высоким уровнем зрелости.
Первые два этапа — подготовительные, а третий — это этап внедрения целевой модели СВК в управленческую и операционную деятельности компании.
Ниже разберем подробнее каждый этап создания эффективной СВК.
Этап 1. Анализ текущего состояния СВК
Чтобы двигаться в правильном направлении, с учетом имеющихся ресурсов, необходимо проанализировать текущую модель СВК.
Определение текущей модели СВК
С точки зрения эволюции подходов к организации СВК, можно выделить 3 основные модели внутреннего контроля.
- Подтверждающая модель — ориентирована на оценку соответствия работы проверяемых объектов контроля требованиям законодательства и внутренних документов компании.
- Процессно-ориентированная модель — нацелена на анализ эффективности системы управления и базируется на процессном подходе. Согласно этой модели, каждое функциональное подразделение организации воспроизводит некий закрепленный за ним процесс, а компания рассматривается как цепочка или сеть таких процессов.
- Риск-ориентированная модель внутреннего контроля появилась в 1985 году в США, когда национальная комиссия по борьбе с недостоверной финансовой отчетностью (комиссия Тредуэя) представила Интегрированную концепцию внутреннего контроля (COSO IC) и Концепцию управления рисками предприятия (COSO ERM).
Риск-ориентированная модель рассматривает внутренний контроль и риски как неотъемлемую часть самого бизнеса. И позволяют совету директоров, топ-менеджменту и остальному персоналу организации проверить:
- эффективность и продуктивность операционной деятельности;
- надежность отчетности;
- соблюдение законов и внутренних регламентов.
Риск-ориентированный подход (РОП) к организации внутреннего контроля выглядит так:
- вначале необходимо поставить цели (стратегические и тактические);
- затем определить и оценить риски (угрозы достижения цели);
- разработать меры, как их предотвратить;
- постоянно проверять работоспособность и эффективность этих мер.
Согласно РОП, в любой деятельности есть риск не достичь ожидаемого результата из-за разных внешних и внутренних факторов: ошибок персонала, технических сбоев, неверных решений, изменений на рынках и пр. Если определить, где возникают риски, можно спрогнозировать реакцию на них и своевременно их предотвратить.
Именно поэтому контрольная деятельность во многих компаниях последние десятилетия переориентируется на работу с рисками. Затраты на такой превентивный контроль окупаются в полной мере за счет предотвращения более существенных потерь.
Компания может сочетать элементы трех моделей внутреннего контроля, исходя из специфики и масштабов деятельности
Моя практика работы в крупных холдингах подтверждает описанную эволюцию подходов к организации внутреннего контроля: от фокуса на последующий контроль после наступления негативных последствий — к фокусу на выявление рисков до стадии принятия решений и разработки адекватных контрольных мер.
Важно! В компаниях, как правило, присутствуют элементы всех трех моделей внутреннего контроля, что обеспечивает принцип независимости контроля при проведении его разными специалистами. Необходимо найти оптимальное сочетание моделей с точки зрения эффективности и затрачиваемых ресурсов.
Как определить уровень зрелости СВК
Согласно исследованию PWC, направления развития системы внутреннего контроля зависят от уровня зрелости СВК. Каждая компания проходит через несколько этапов развития СВК: от начального до совершенствуемого. И через промежуточные уровни: неформальный, формализованный и управляемый.
Таблица 1. Уровни зрелости системы внутреннего контроля
Уровень зрелости СВК | Краткая характеристика |
---|---|
Начальный | Контрольные процедуры отсутствуют или выполняются частично, но не формализованы. |
Неформальный | Процессы СВК формализованы частично, выполняются отдельные контрольные процедуры. |
Формализованный | Контрольная деятельность формализована и надлежащим образом документирована, но не стандартизирована. Отклонения могут быть не обнаружены своевременно. |
Управляемый |
Внедрены как унифицированные контрольные процедуры, так и процедура их периодического тестирования. Могут использоваться средства автоматизации для выполнения, тестирования или мониторинга эффективности контрольных процедур. |
Совершенствуемый |
Процессы СВК соответствуют лучшим практикам, а также периодически оптимизируются за счет новых подходов. Могут быть автоматизированы выполнение, тестирование и мониторинг эффективности контрольных процедур. |
По данным PWC, 34% компаний оценивают уровень зрелости своей СВК как формализованный, 26% как управляемый. И всего 2% компаний достигло совершенствуемого уровня системы внутреннего контроля.
Компания может взять для оценки и другую градацию уровней зрелости СВК, в частности, определенную в рекомендациях различных регуляторов или в нормативных актах. Для успешного создания эффективной СВК необходимо прежде всего оценить и зафиксировать ее исходное состояние, а затем определить целевое видение СВК.
Этап 2. Формирование целевой модели СВК
Если рассматривать СВК с точки зрения системного подхода, то можно сказать, что внутренний контроль функционирует как эффективная система только когда:
- существуют основные элементы системы: цели, составные части, объекты, субъекты;
- определены принципы функционирования, задачи и функции субъектов;
- определены и скоординированы связи и влияние друг на друга всех элементов системы.
Работа СВК базируется на применении набора правил и принципов, соблюдение которых обеспечивает ее эффективность.
Создание правил для эффективной работы СВК
Есть базовые принципы внутреннего контроля для всех моделей СВК. Если они не соблюдаются, то система внутреннего контроля компании функционирует на низком уровне.
Таблица 2. Базовые принципы СВК
Принцип | Характеристика |
---|---|
Законность | Построение и функционирование СВК в соответствии с действующим законодательством и внутренними нормативными документами компании. |
Регламентация |
СВК должна быть формализована на уровне, достаточном для корректного и однозначного понимания всеми сотрудниками компании Регламентация бизнес-процессов, в т.ч. процессов внутреннего контроля и управления рисками, обеспечивает:
|
Распределение полномочий, обязанностей и установление ответственности | Должна быть определена организационная структура с уровнями подчиненности, распределенными полномочиями, обязанностями, в т.ч. связанные с функционированием СВК и управления рисками. |
Независимость |
Чтобы контроль был объективным, а проверяющие и проверяемые были относительно независимы друг от друга, одно должностное лицо не может выполнять функции исполнения и
контроля.
Для этого необходимо правильно организовать подчиненность соответствующих подразделений (организационную структуру). |
Непрерывность | Внутренний контроль должен проводиться постоянно в силу непрерывности процесса управления. Для этого нужно организовать все функции управленческого цикла. |
Действенность (принцип действенной «обратной связи») |
Необходимо устранить выявленные нарушения, определить виновных и разработать меры для предотвращения подобного в будущем. Руководитель должен принимать соответствующее управленческое решение. А исправлением заниматься соответствующий уровень линейных руководителей. |
Помимо базового набора правил, для создания эффективного внутреннего контроля с риск-ориентированным подходом необходимо внедрить в компании дополнительные принципы СВК.
- Объективность. СВК должна предоставлять как можно более объективную информацию руководству для принятия оптимальных и рациональных решений.
- Простота. Эффективный контроль должен состоять из простых процедур. Чтобы специалисты, отвечающие за него, могли их легко понять и выполнить. Если механизмы контроля сложные, есть риск, что их проигнорируют.
- Эффективность по затратам. Затраты на внедрение СВК не должны превышать выгоды, которые она дает компании.
- Интеграция. Необходима интеграция СВК с системой управления, в том числе, с системой планирования и принятия решений.
- Целостность и комплексность. СВК должна охватывать все направления деятельности компании и бизнес-процессы на всех уровнях управления.
- Самоконтроль. СВК должна, где это возможно, в лице линейных руководителей своевременно справляться с проблемами по мере их возникновения и предупреждать их. Не зависеть от последующей проверки или аудита.
- Ориентированность на риски. СВК в компании тесно взаимодействует с системой управления рисками. При анализе контрольных процедур следует оценивать величину и вероятность возникновения рисков, степень их влияния на результаты финансово-хозяйственной деятельности и достижение целей компании. Это позволяет увидеть, достаточно ли существующих контрольных процедур, или нужно разработать новые.
Важно! Чтобы создать эффективную систему внутреннего контроля, нужно не только формализовать основные принципы функционирования СВК и зарегламентировать их, но и воплотить на практике. А также регулярно тестировать СВК, соответствует ли она установленным принципам.
Как распределить задачи между участниками процессов внутреннего контроля
К субъектам СВК относятся практически все причастные к деятельности компании: Совет Директоров, внутренний аудит, исполнительное и линейное руководство, сотрудники подразделений (в том числе внутренние контролеры).
Институт внутренних аудиторов в 2013 году официально признал, так называемую, модель «Три линии защиты». Она описывает то, как распределять и координировать функции контроля и управления рисками между субъектами СВК, независимо от размера и сложности организации.
Эффективную СВК можно выстроить, когда в компании функционируют все три линии защиты с четко определенными обязанностями
Считается, что модель «Три линии защиты» обеспечивает более устойчивое и эффективное функционирование СВК. Но на практике, она далеко не всегда реализуется оптимальным образом.
Вместо конструктивного взаимодействия, часто в компаниях:
- дублируются функции участников СВК — пересекаются роли первой и второй или второй и третьей линий;
- возникают конфликты между первой и второй линиями из-за сопротивления бизнеса новым мониторинговым и контрольным процедурам;
- конфликты между второй и третьей линиями бывают, когда внутренний аудит становится «внешним» — только фиксирует недостатки (играет роль ревизора, забывая, что он — третья линия именно защиты, а значит, член команды).
Важно! Чтобы выстроить партнерские взаимодействия с эффектом синергии, участникам СВК стоит договориться о взаимодействии и зонах ответственности. Распределить и закрепить в соответствующих внутренних документах функционал подразделений так, чтобы скоординированная работа всех «трех линий защиты»:
- действительно защищала компанию от препятствий на пути к поставленным целям;
- способствовала выявлению не только угроз, но и возможностей для повышения эффективности деятельности компании в целом.
В следующей статье рассмотрим третий этап создания и развития СВК — внедрение целевой модели СВК в управленческую и операционную деятельности компании.