Система управления рисками и внутреннего контроля в обществе: организация системы и ее сущность

 В обществе должна быть создана эффективно функционирующая система управления рисками и внутреннего контроля, ^[1]направленная на обеспечение разумной уверенности в достижении поставленных перед обществом целей.

В качестве определения внутреннего контроля, прежде всего, обратимся к стандарту COSO^[2] – это признанный международный стандарт, на который ссылаются некоторые российские нормативные акты о корпоративном управлении:

Внутренний контроль – процесс, осуществляемый на всех уровнях деятельности организации, направленный на обеспечение разумной уверенности в том, что будут достигнуты цели организации в части:

1. Эффективности и экономичности операций;
2. Достоверности финансовой отчётности;
3. Соответствия деятельности действующему законодательству.

Внутренний контроль является не одним событием или обстоятельством, а динамическим и итеративным процессом – действиями, которые охватывают всю деятельность организации, и которые неразрывно связаны с тем, каким образом менеджмент управляет организацией.

Настоящее определение наиболее чётко даёт понимание, что контроль обязателен на каждом этапе управления (от самоконтроля работника до управления всей организацией). Система внутреннего контроля непросто координирует взаимодействие отдельных подразделений или работников, а чётко регулирует эти взаимодействия через локальные нормативные акты, обязательные для исполнения всеми работниками. Более подробно вопросу организации внутреннего контроля будет посвящена отдельная статья.

Кроме того, внедрение системы внутреннего контроля каждым экономическим субъектом в России в настоящее время закреплено в Законе 402-ФЗ «О бухгалтерском учёте». Статья 19 гласит: “Экономический субъект обязан организовать и осуществлять внутренний контроль совершаемых фактов хозяйственной жизни”.

В соответствии с законом, каждый субъект бизнеса в Российской Федерации обязан организовать, а именно систематизировать и регламентировать внутренний контроль в соответствии с рекомендациями государственных нормативных документов. При организации внутреннего контроля, безусловно, следует учесть все рекомендации регуляторов, но при этом надо адекватно понимать масштабы организации. Например, в крупных компаниях, одновременно с менеджментом, выполняющим функции по внутреннему контролю, имеется возможность создавать специализированные подразделения, такие как отдел контроля рисков или службу внутреннего аудита, которые формируют заключение о надежности системы ВК. В небольших компаниях, система также выстраивается на основании локальных нормативных актов (внутрифирменные документы – далее ЛНА), с применением риск-ориентированного подхода, с внедрением контрольных процедур, но только с меньшим количеством управленческой отчетности и всевозможных реестров. Хотя это зависит от специфики деятельности конкретно взятой организации. Внутренний контроль включает в себя разные стороны деятельности, связанные с бизнес-процессами. В том числе повышение квалификации персонала, и соблюдение профессиональных, этических и поведенческих стандартов, наличие автоматизированных контрольных процедур, выявление и оценку рисков, контроль показателей и многое другое. Более подробно в статье об элементах внутреннего контроля.

Причем для хозяйствующих субъектов, подлежащих обязательному аудиту, объектом внимания аудитора становится не только ведение бухгалтерского учета и составление финансовой отчетности, но и надежность системы внутреннего контроля. В соответствие с Международным стандартом аудита (МСА приняты в РФ 26.09.2017 N 147н) № 265 “Информирование лиц, отвечающих за корпоративное управление, и руководства о недостатках в системе внутреннего контроля”, аудитор обязан по итогам проверки информировать менеджмент о выявленных недостатках в системе внутреннего контроля. Исключением являются случаи, когда руководитель организации принял на себя обязанности по ведению бухгалтерского учета. Но, как известно, финансовая отчетность связана со всеми процессами и фактами, происходящими в жизни организации, поэтому смотрим п.3 Стандарта «Никакие положения настоящего стандарта не препятствуют аудитору сообщать лицам, отвечающим за корпоративное управление, и руководству о любых иных вопросах, связанных с внутренним контролем, которые аудитор выявил в ходе аудита».

Нельзя не сказать об определении внутреннего контроля, указанного Минфином России в ПЗ-11/2013 “Организация и осуществление экономическим субъектом внутреннего контроля совершаемых фактов хозяйственной жизни, ведения бухгалтерского учета и составления бухгалтерской (финансовой) отчетности”

Внутренний контроль^[3] – процесс, направленный на получение достаточной уверенности в том, что экономический субъект обеспечивает:

• эффективность и результативность своей деятельности, в том числе достижение финансовых и операционных показателей, сохранность активов;
• достоверность и своевременность бухгалтерской (финансовой) и иной отчетности;
• соблюдение применимого законодательства, в том числе при совершении фактов хозяйственной жизни и ведении бухгалтерского учета.

Необходимо более подробно разобрать значение трех указанных целей. Во многих организациях будут свои миссия, стратегии, планы по их достижению. Цели могут быть поставлены для организации в целом или быть ориентированы на отдельные виды деятельности. Некоторые цели являются общими у всех организаций. Так каждый экономический субъект стремится иметь устойчивое положение на рынке, развиваться и поддерживать успех, подбирать и удерживать мотивированных и компетентных сотрудников, создавать положительную репутацию, сохранять и приумножать активы, функционировать в рамках закона и качественно вести финансовый учет.

Не всегда цели подконтрольны организации, случаются форс-мажоры, когда запланированные события невозможно реализовать в полном объеме или к определенному сроку. За счет внутреннего контроля организация снижает последствия событий до определенного уровня и контролирует само событие. Постановка целей является обязательным условием для осуществления внутреннего контроля и ключевой частью для стратегического планирования. Внутренний контроль, осуществляемый на всех уровнях управления, способствует достижению этих целей.

Основная предпосылка при управлении рисками заключается в том, что каждая организация существует, чтобы создавать стоимость для сторон, заинтересованных в ее деятельности. Все организации сталкиваются с неопределенностью, и задачей руководства является принятие решения об уровне неопределенности, с которым организация готова смириться, стремясь увеличить стоимость для заинтересованных сторон. Неопределенность, с одной стороны, таит в себе риск, а с другой, открывает возможности, поэтому она может привести как к снижению, так и к увеличению стоимости. Управление рисками позволяет руководству эффективно действовать в условиях неопределенности и связанных с ней

рисков и использовать возможности, увеличивая потенциал для роста стоимости компании.

Управление рисками организации направлено на управление рисками и

возможностями, влияющими на создание или сохранение стоимости.

Управление рисками организации – это процесс, осуществляемый советом

директоров, менеджерами и другими сотрудниками, который начинается

при разработке стратегии и затрагивает всю деятельность организации.

Он направлен на определение событий, которые могут влиять на организацию, и управление связанным с этими событиями риском, а также

контроль того, чтобы не был превышен риск-аппетит организации и предоставлялась разумная гарантия достижения целей организации.

Данное определение отражает важные фундаментальные концепции.

Управление рисками организации:

• представляет собой непрерывный процесс, охватывающий всю организацию;
• осуществляется сотрудниками на всех уровнях организации;
• используется при разработке и формировании стратегии;
• применяется во всей организации, на каждом ее уровне и в каждом подразделении и включает анализ портфеля рисков на уровне организации;
• нацелено на определение событий, которые могут влиять на организацию и управление рисками таким образом, чтобы они не превышали готовности организации идти на риск (риск-аппетит);
• дает руководству и совету директоров организации разумную гарантию достижения целей;
• связан с достижением целей по одной или нескольким пересекающимся категориям.

Процесс управления рисками организации состоит из восьми взаимосвязанных компонентов. Так как они являются составной частью процесса управления, их содержание определяется тем, как руководство управляет организацией.

Определение

событий

Постановка целей

Внутренняя среда

Оценка рисков

Мониторинг.

Реагирование на риск

Средства контроля

Информация и коммуникации

Управление рисками организации не является линейным процессом, в котором один компонент оказывает влияние на следующий. Он является многонаправленным, циклическим процессом, в котором почти все компоненты могут воздействовать и воздействуют друг на друга.

Советом директоров общества должны быть определены принципы и подходы к организации системы управления рисками и внутреннего контроля в обществе.

Ответственность за определение принципов и подходов к организации системы управления рисками и внутреннего контроля в обществе несет совет директоров общества.

При создании системы управления рисками и внутреннего контроля рекомендуется применять общепринятые концепции и практики работы в области управления рисками и внутреннего контроля.

При определении принципов и подходов ^[4]к организации системы управления рисками и внутреннего контроля рекомендуется исходить из задач этой системы, которыми являются:

1) обеспечение разумной уверенности в достижении целей общества;

2) обеспечение эффективности финансово-хозяйственной деятельности и экономичного использования ресурсов;

3) выявление рисков и управление такими рисками;

4) обеспечение сохранности активов общества;

5) обеспечение полноты и достоверности бухгалтерской (финансовой), статистической, управленческой и другой отчетности;

6) контроль соблюдения законодательства, а также внутренних политик, регламентов и процедур общества.

Организация системы управления рисками и внутреннего контроля требует формализации во внутренних документах общества роли и задач совета директоров, исполнительных органов, ревизионной комиссии, подразделения внутреннего аудита и иных подразделений общества, а также порядка их взаимодействия.

Исполнительные органы обеспечивают создание и поддержание функционирования эффективной системы управления рисками и внутреннего контроля в обществе, отвечают за выполнение решений совета директоров в области организации системы управления рисками и внутреннего контроля.

Так же они распределяют полномочия, обязанности и ответственность между находящимися в их ведении или курируемыми руководителями подразделений общества за конкретные процедуры управления рисками и внутреннего контроля. Руководители подразделений общества в соответствии со своими функциональными обязанностями несут ответственность за разработку, документирование, внедрение, мониторинг и развитие системы управления рисками и внутреннего контроля во вверенных им функциональных областях деятельности общества.

Для эффективного функционирования системы управления рисками и внутреннего контроля рекомендуется создавать (определить) отдельное структурное подразделение (подразделения) по управлению рисками и внутреннему контролю, к задачам которого относятся:

1. общая координация процессов управления рисками;
2. разработка методологических документов в области обеспечения процесса управления рисками;
3. организация обучения работников общества в области управления рисками и внутреннего контроля;
4. анализ портфеля рисков общества и выработка предложений по стратегии реагирования и перераспределению ресурсов в отношении управления соответствующими рисками;
5. формирование сводной отчетности по рискам;
6. осуществление оперативного контроля за процессом управления рисками подразделениями общества и в установленном порядке подконтрольными обществами;
7. подготовка и информирование совета директоров и исполнительных органов общества об эффективности процесса управления рисками, а также по иным вопросам, предусмотренным политикой в области управления рисками и внутреннего контроля.

Заключение

Процесс внутреннего контроля является составной частью процесса управления рисками.

Исходя из видения организации, руководство устанавливает стратегические цели, выбирает стратегию деятельности и устанавливает соответствующие им тактические цели в деятельности организации.

При создании системы управления рисками и внутреннего контроля рекомендуется применять общепринятые концепции и практики работы в области управления рисками и внутреннего контроля:

• Интегрированная концепция построения системы внутреннего контроля COSO;
• Концепция (COSO) “Управление рисками организаций. Интегрированная модель” Комитета спонсорских организаций Комиссии Трэдвэй (The Committee of Sponsoring Organizations of the Treadway Commission);
• Международный стандарт ИСО 31000 “Менеджмент риска. Принципы и руководящие указания”;
• Международный стандарт ИСО 31010 “Менеджмент риска. Техники оценки рисков” и др.

Система управления рисками – направлена на прогнозирование и предотвращение наступления рисковых событий. Стратегическая направленность.

Система внутреннего контроля – выявление рисков, связанных с возможными негативными последствиями уже свершившихся событий и разработка мероприятий, предотвращающих указанные последствия.

Используемая литература

1. Кодекс корпоративного управления;
2. Письмо Банка России от 10.04.2014 N 06-52/2463 "О Кодексе корпоративного управления";
3. «Концептуальные основы управления рисками организаций»;
4. ПЗ-11/2013 Минфин России;
5. Статья «Построение систем внутреннего контроля», https://blog.iteam.ru/postroenie-sistem-vnutrennego-kontrolya/.

1. Письмо Банка России от 10.04.2014 N 06-52/2463 "О Кодексе корпоративного управления", глава 5, п.5.1 ↑

2. «Концептуальные основы управления рисками организаций» ↑

3. ПЗ-11/2013 Минфин России ↑

4. Письмо Банка России от 10.04.2014 N 06-52/2463 "О Кодексе корпоративного управления", глава 5, 253 ↑