Введение
Внутренний контроль и система управления рисками – два аспекта, обеспечивающие эффективное функционирование бизнеса.
Целью проводимого исследования является обозначение роли, функционала внутреннего контроля и системы управления рисками, а также актуальности их применения в организации.
Материалы и методы исследования
В ходе написания статьи использовались общенаучные методы познания, такие как системный подход, абстракция, дедукция и индукция и синтез, с использованием научных публикаций и справочных изданий в качестве информационной базы.
Результаты исследования и их обсуждение
Внутренний контроль – это система мероприятий, регламентирующих операции организации, направленные на обеспечение достижения целей, минимизацию рисков, сохранение активов, обеспечение достоверности финансовой отчётности и соблюдение законодательства. Система управления рисками – процесс выявления, классификации, оценки, мониторинга рисков и разработку мероприятий по минимизации влияния последствий их реализации на деятельность компании. Целью такой системы является управление рискам таким образом, чтобы создать условия для успешной деятельности компании [2].
Взаимосвязь вышеупомянутых понятий строится на том, что эффективности внутреннего контроля способствует снижению реализации рисков, а система управления рисками помогает определить наиболее важные области для реализации контрольных мероприятий.
При этом процедурами внутреннего контроля являются:
1. Разделение обязанностей, функций и задач между различными подразделениями и работниками для предотвращения возможности злоупотребления полномочиями.
2. Установление и соблюдение стандартов, а также разработка четких процедур деятельности организации для минимизации ошибок.
3. Поддержание документооборота, а именно веление актуальных и достоверных данных в документации по финансовой и управленческой отчетности.
4. Проверка и учет финансовых операций их законность, своевременность и точность исполнения.
5. Проведение периодической проверки деятельности организации внутренними специалистами компании или внешними экспертами.
6. Обучение сотрудников, повышение их квалификации для соблюдения внутренних стандартов деятельности.
7. Обеспечение конфиденциальности и целостности стратегически важной для деятельности компании информации, предотвращение утечек и несанкционированного доступа.
8. Мониторинг и анализ рисков присущих деятельности организации.
Беря во внимание содержание последнего пункта, можно говорить о системе управления рисками как об инструменте внутреннего контроля, позволяющему осуществлять надзор за рисковыми аспектами деятельности организации.
Одной из наиболее распространённых методик внутреннего контроля является модель COSO (Committee of Sponsoring Organizations of the Treadway Commission) [10]. Cуть данной методики базируется на трёх принципах:
− Внутренний контроль – это процесс, который является средством, а не целью, он не ограничивается набором процедур, а требует участия каждого на каждом уровне организации.
− Внутренний контроль должен обеспечивать разумную (но не абсолютную) уверенность в законопослушном управлении и руководстве.
− Внутренний контроль адаптирован к эффективному достижению целей.
Система COSO делит цели внутреннего контроля на три категории:
1. Операционные цели, такие как цели производительности и защита активов организации от мошенничества, сосредоточены на эффективности и результативности ваших деловых операций.
2. Цели отчетности, включая как внутреннюю и внешнюю финансовую отчетность, так и нефинансовую отчетность, относятся к прозрачности, своевременности и надежности отчетности организации.
3. Цели соответствия – это цели внутреннего контроля, основанные на соблюдении законов и нормативных актов, которые организация должна соблюдать [1].
В системе COSO также рассматривается куб COSO (ERM COSO), который основан на предпосылке, что каждая организация работает в первую очередь с целью создания добавленной стоимости для своих заинтересованных сторон. Зачастую, чем выше риск принятого решения, тем выше отдача. В быстро меняющейся среде часто возникает неопределенность, которая представляет собой как риск, так и возможность.
Изображение куба на рисунке 1 наглядно показывает взаимосвязь между всеми частями эффективной системы внутреннего контроля.
Система COSO ERM состоит из восьми компонентов, которые влияют друг на друга следующим образом: Окружающая среда и признание управленческих решений (УР) в компании создают основу для УР (внутренняя среда). Определение целей (постановка целей) необходимо для выявления тех событий, которые могут помешать или способствовать достижению целей (идентификация событий). На этой основе можно оценить риски (оценка рисков) и выбрать соответствующие меры по их контролю (обработка рисков).
Рис. 1. Модель COSO
С помощью мероприятий по управлению и контролю следует обеспечить выполнение этих мер (мероприятия по управлению и контролю). Документирование соответствующей информации и ее передача на все уровни компании, затронутой ОУР (информация и коммуникация), имеет важное значение для всего процесса. Для обеспечения функциональности и качества УР необходимо постоянно контролировать и регулярно пересматривать его (мониторинг). Столбцы – это три категории целей (операции, отчетность и соответствие). Строки состоят из пяти компонентов. Организационная структура компании вписывается в третье измерение куба.
Если говорить конкретно о мониторинге рисков, то данный процесс можно представить как идентификация, постоянное наблюдение, оценка и управление потенциальными угрозами и возможностями, которые могут повлиять на достижение целей организации. Его цель заключается в своевременном выявлении изменений в рисках, их анализе и принятии соответствующих мер по снижению или устранению угроз [6].
Классификация рисков – процесс систематизации и разделения рисков на категории с целью их эффективного анализа. Наиболее распространённым подходов к классификации рисков является разделение их на следующие типы:
− Финансовые риски – связаны с финансовыми потерями, убытками, просроченными платежами.
− Операционные риски – возникают в результате сбоев и недостатков в бизнес-процессах компании, которые могут привести к простоям, ущербу и иным проблемам.
− Стратегические риски – касаются ситуаций, связанных с неспособностью компании приспособиться к изменениям внешней среды.
− Управленческие риски – связаны с принятием ошибочных или неправильных решений руководства, недостаточным контролем и управление внутренними процессами организации.
− Правовые риски – связаны с возможностью нарушения законодательства, несоответствием стандартам, внутренним правилам, политике компании.
− Репутационные риски – возникают из-за негативного восприятия организации со стороны клиентов, партнёров, общественности и других заинтересованных сторон [3].
Значимость уровня риска и необходимость воздействия
|
Наименование значимости |
Уровень |
Цветовое обозначение |
Необходимость воздействия |
|
Критический 1 уровня |
9-10 |
Обязательна |
|
|
Критический 2 уровня |
8 |
||
|
Существенный |
5-7 |
По решению владельца риска |
|
|
Малосущественный |
4 |
Отсутствует |
|
|
Несущественный |
2-3 |
Не менее важную роль играет определение значимости уровня риска, согласно которой риски подразделяются на:
– Критические
– Существенные
– Несущественные.
Для определения значимости уровня риска применяется формула:
R = S × P, (1)
где S – средняя степень тяжести по негативным отклонениям факта от плана за период (варьируется от 0 до 5);
P – оценка возможности возникновения негативных отклонений (варьируется от 0 до 5).
Таблица иллюстрирует ранжирование уровней риска и необходимость применения корректирующих мероприятий.
Для классификации и мониторинга рисков каждая компания разрабатывает собственный документ, который содержит основную информацию о рисках, присущих её деятельности. Данный регистр носит название классификатор рисков и содержит типовые риски, которые необходимо учитывать в процессе выявления рисков. Он делит угрозы на несколько основных областей, где могут проявляться риски компании. Следует отметить, что фактически выявленные риски могут отличаться от указанных в классификаторе. Информация в классификаторе рисков не является исчерпывающей и не может применяться вместо процесса идентификации рисков.
Помимо классификатора компания может применять:
1. Паспорт рисков – документ, в котором содержатся такие характеристики определённого риска в отдельном подразделении или бизнес-процессе организации, как:
– Наименование подразделения или бизнес-процесса.
– Владелец риска – лицо, ответственное за его идентификацию, оценку и прямое влияние на риск.
– Категория риска – сфера, к которой относится риск.
– Наименование риска.
– Цель, показатель, на которые влияет риск – ключевые показатели деятельности организации (чистая прибыль, выручка, затраты, EBITDA) и стратегические цели компании.
– Ключевые индикаторы риска – показатели, помогающие спрогнозировать и оценить вероятность реализации риска.
– Последствия реализации риска – события, наступающие после реализации риска, выражающиеся во влиянии на факторы достижения стратегических и операционных целей компании.
2. Реестр рисков – отчетный регистр, используемый владельцами рисков компании для ежеквартального или ежегодного отслеживания и мониторинга рисков, содержащий следующую информацию:
– Наименование подразделения или бизнес-процесса.
– Владелец риска.
– Категория риска.
– Наименование риска.
– Оценка риска – сравнение фактически реализовавшегося риска с установленными в компании критериями приемлемости (допустимости) риска.
– Информация о реализации риска.
– Корректирующие мероприятия – процедуры направленные на снижение вероятности реализации риска в будущем [4].
Ниже приведены примеры заполнения форм рисков на рисунках 2 и 3.
Ранее упомянутый процесс оценки рисков, а именно идентификации угроз, определения её уровня (значимости риска) и разработку корректирующих мероприятий, подразделяется на:
1. Качественную оценку, включающую следующие этапы:
– Идентификация и оценка потенциальных потерь и вероятности реализации существенных рисков;
– Разработка и введение в действие мероприятий по минимизации рисков;
– Оценка эффективности существующего контроля.
2. Количественную оценку, основанную на среднем арифметическом значений «Вероятность», «Влияние» и «Текущее влияние», оцениваемые по трёхбалльной шкале, как «Низкий», «Средний» и «Высокий» соответственно [11]. Далее приведена типовая формула (2) и расчет количественной оценки риска на рисунке 4.
Матрица рисков – инструмент управления, помогающий визуализировать и анализировать риски, состоит из 5 столбцов с категориями вероятности возникновения и реализации риска и 5 строк с различными категориями тяжести последствий реализации риска ил степенями его влияния на деятельность организации (рис. 5) [7].
Рис. 2. Типовая форма паспорта рисков
Рис. 3. Типовая форма реестра рисков
Оценка риска = ((Вероятность + Влияние + Текущее влияние) / 3) × 2 – 1 (2)
|
Вероятность |
Влияние |
Текущее влияние |
Значение |
Оценка риска |
|
Средний (2) |
Средний (2) |
Высокий (3) |
3 |
Высокий |
Рис. 4. Пример расчета количественной оценки риска
Рис. 5. Пример матрицы рисков
При реализации рисков организации необходимо иметь четкие процедуры по реагированию на данные события [9]. Чаще всего под реагированием на реализацию рисков подразумеваются следующие процедуры:
1. Корректирующие действия какие
– устранение системных ошибок, которые могут привести к потенциальным угрозам;
– обучение персонала.
2. Пересмотр стратегий ведения бизнеса:
– прямое вмешательство в систему управления;
– изменение бизнес-процессов компании;
– внедрение процедур контроля для оперативного выявления потенциальных ошибок;
– модернизация механизмов отчетности.
3. Предупреждающие действия:
– усиление процессов проверки и подтверждения корректности внутренних операций;
– разработка типовых планов действий в случае возникновения критических ситуаций.
Применение внутреннего контроля и системы управления рисками является актуальным аспектом в современной бизнес-среде. Система внутреннего контроля направлена обеспечение достоверности, целостности и актуальности финансовой информации, а также эффективности и результативности операционной деятельности компании. Управление рисками в свою очередь направлено на идентификацию, анализ и управление критическими ситуациями, с которыми может столкнуться организация в процессе реализации своих целей и стратегий. Применение внутреннего контроля и системы управления рисками является необходимым условием для успешной и эффективной работы компании в современной динамичной и конкурентной среде [8].
Среди последних трендов в области внутреннего контроля, основанного на системе управления рисками, можно выделить следующие технологии:
– digital (цифровой анализ) – универсальное использование всех каналов обработки документов коммерческой организации с целью случайной выборочной проверки документов. Данная технология позволяет автоматизировать процессы управления рисками.
– Big Data (базы данных) – это технология работы с системой, содержащей информацию о финансовых операциях, клиентских базах, бухгалтерии, контрактах и других аспектах, для выявления уязвимостей в системе.
– blockchain (блокчейн) – это технология, которая позволяет создавать хронологические цепочки передвижения денежных средств с их первой транзакции, предотвращая возможность изменения или «корректирования» информации о сделках с этими денежными средствами и т.д [5].
Заключение
Внутренний контроль и система управления рисками являются важной основой бизнеса. Эффективное внедрение данных инструментов является важным фактором для успешного функционирования любого бизнеса. Внутренний контроль позволяет снизить возможность финансовых потерь, связанных с рисками и повысить прозрачность бизнес-процессов. Система управления рисками позволяет выявлять, анализировать и минимизировать возможные угрозы и опасные случаи, что способствует стабильности и устойчивости развития организации. Важно понимать, что внедрение этих систем требует не только финансовых вложению, но и постоянного мониторинга и анализа результатов их деятельности. Правильно построенные процессы управления рисками способствуют улучшению принятия управленческих решений и повышению эффективности бизнеса. Необходимость внедрения внутреннего контроля и системы управления рисками связаны с современными требованиями к корпоративному управлению и гарантии финансовой устойчивости. Обучение персонала и поддержка со стороны руководства играет ключевую роль в их успешной реализации. В конечном итоге внутренний контроль и система управления рисками являются неотъемлемой частью современной организации, а их взаимосвязь и эффективная реализация способствуют улучшению управления бизнесом, минимизации рисков и обеспечению стабильного развития компании.