Эффективная система внутреннего контроля: как победить риски
Олег Байков, Руководитель департамента по внутреннему конролю и управлению рисками группы компаний ДТЭК
В условиях финансовой нестабильности необходима надежная система внутреннего контроля. Ее основная задача - минимизировать существующие у предприятия риски.
Создание системы внутреннего контроля в группе компаний ДТЭК продиктовано необходимостью повышения эффективности процессов принятия управленческих решений и достижения поставленных стратегических целей. В качестве дополнительного аргумента к уже сказанному можно добавить интерес партнеров и инвесторов. Для них система внутреннего контроля - гарант надежности и стабильности бизнеса.
Создание системы внутреннего контроля
Прежде чем подробнее остановиться на том, как в ДТЭК функционирует система внутреннего контроля, надо заметить, что единственного правильного подхода не существует. Есть рекомендации COSO, наработанная практика «большой четверки», тем не менее то, какой будет система внутреннего контроля конкретной компании, во многом зависит от ее целей и задач.
ШАГ 1. Формирование карты стратегических рисков
Для ДТЭК отправной точкой создания системы внутреннего контроля стала оценка рисков стратегического уровня и формирование классической карты рисков. Чтобы не упустить какие-либо важные риски стратегического уровня, до того, как к этой работе был привлечен топ-менеджмент, была сформирована модель рисков ДТЭК, включающая более семидесяти различных угроз. После чего проведен мозговой штурм с участием топ-менеджеров компании. Они дополнили перечень стратегически важных рисков и экспертно (по пятибалльной шкале) оценили вероятность и ущерб в случае их реализации, а также степень управления рисками (насколько эффективно контролируется риск).
|
ШАГ 2. Построение матрицы рисков и бизнес-процессов
По завершении первого этапа идентифицированные и оцененные стратегические риски были соотнесены с ключевыми бизнес-процессами компании в «матрице рисков и бизнес-процессов» (см. табл. 1). В ней же отражена оценка их существенности.
Поскольку в условиях ограниченных ресурсов невозможно совершенствовать систему внутреннего контроля сразу по всем направлениям деятельности компании, необходимо было определить приоритеты. В первую очередь совершенствуется внутренний контроль в тех процессах, где количество существенных рисков, для которых показатель «оценка» превышает восемь баллов, наибольшее.
ШАГ 3. Описание приоритетных бизнес-процессов
Эта работа должна начинаться с определения цели процесса, ознакомления со всеми регламентами, относящимися к процессу. После чего проводится ряд интервью с непосредственными участниками процесса. И уже на основе собранной информации составляется описание бизнес-процесса, как графическое (см. схему), так и текстовое. Причем графическое описание проще для восприятия и позволяет получить представление о процессе в целом, а также визуально отразить контрольные процедуры и риски.
ШАГ 4. Построение матрицы рисков и контролей
Итак, процесс описан, дальше предстоит идентифицировать и оценить риски, но уже не стратегического уровня, а процессные, документировать существующие контрольные процедуры и понять, насколько они эффективны. Вся перечисленная информация собирается в «матрице рисков и контролей» (см. табл. 2). Вкратце остановимся на ключевых работах, которые предстоит выполнить:
|
- выявление и оценку процессных рисков осуществляет рабочая группа, в которую помимо сотрудников подразделения внутреннего контроля могут входить участники процесса и другие эксперты. Определение рисков, присущих тому или иному процессу, выполняется как за счет декомпозиции рисков стратегического уровня и посредством анализа созданного описания бизнес-процесса. Для удобства визуального восприятия выявленные риски отражаются на диаграмме процесса. После этого рабочая группа организует интервью среди выбранных экспертов, в ходе которого проверяется полнота и корректность формулировок рисков. Эксперты дают оценку рискам (экспертная оценка по пятибалльной шкале вероятности и ущерба от реализации риска), а также указывают соответствующие контрольные процедуры.
- документирование и оценка контрольных процедур. Для определения перечня и характеристик контрольных процедур, направленных на управление существенными рисками, рабочая группа составляет их описание с учетом информации, полученной на предыдущем этапе (оценка рисков). Главная задача – определить, какие шаги процесса служат контрольными процедурами и какие риски они «закрывают».
Точки контроля для удобства отражаются на схеме процесса. В дополнение к процессным контрольным процедурам выявляются и документируются контроли корпоративного уровня, влияющие на весь процесс. Следующее действие - оценка эффективности контрольных процедур. И в завершение формируются наблюдения относительно текущего состояния системы внутреннего контроля процесса: указываются риски, с которыми связаны наблюдения, детально описываются недостатки системы внутреннего контроля.
|
ШАГ 5. Разработка рекомендаций и плана совершенствования системы внутреннего контроля
На основании выводов об эффективности контролей в «Матрице рисков и контролей» и наблюдений рабочей группой разрабатываются рекомендации по совершенствованию системы внутреннего контроля в процессе. Рекомендации утверждаются коллегиальным органом, выполняющим функции комитета по рискам. На основе утвержденных рекомендаций владелец процесса в установленный срок разрабатывает план по совершенствованию системы внутреннего контроля процесса. Выполнение плана подлежит последующему периодическому мониторингу со стороны службы внутреннего аудита.
ТАБЛИЦА 1. Матрицы рисков и бизнес процессов
Графа «Управление» - довольно нестандартное решение. Как правило, при оценке риска используется только оценка вероятности и последствий его реализации. Под управлением подразумевается, насколько тот или иной риск стратегического уровня «закрыт» контрольными процедурами. Оценка «управления» проводилась по аналогии с оценкой вероятности - экспертное мнение топ-менеджеров, пятибалльная шкала.
Существенность - самый важный показатель риска. В 2007 году в ДТЭК было принято все риски, которые получили «оценку» выше восьми баллов считать существенными. А значение показателя «оценка» определяется как произведение «вероятности» на «последствия», говоря профессиональным языком, оценка – это математическое ожидание.
В этом поле «Матрицы рисков и процессов» закрашивается пересечение строки, содержащей существенный риск и процесса, которому он соответствует. В первую очередь описываются и анализируется на наличие рисков и качество контрольных процедур тот бизнес-процесс, который набрал максимальное количество
«черных меток».
ТАБЛИЦА 2. Матрица рисков и контролей
Первые две колонки «Ссылка на шаг процесса» и «Код риска» - навигатор, который поможет отыскать на «Диаграмме бизнес-процесса» тот риск, о котором идет речь. Код риска складывается из буквы R и порядкового номера внутри одного процесса. Другими словами, в каждом процессе нумерация рисков своя. По аналогии, номеруются и контрольные процедуры. Код контрольной процедуры указан в графе 9.
В следующей графе содержится описание типа используемой контрольной процедуры. Она может быть предупреждающей или корректирующей, ручной или IT и т. д. Это крайне полезные сведения для внутреннего аудитора и любого другого менеджера, анализирующего существующую систему внутреннего контроля. Даже без объяснений ясно, что опережающий контроль, который, например, не выпустит без должного на то решения машину с грузом за ворота компании, лучше корректирующего, при котором машина выедет с территории, но еще будет возможность ее перехватить.
«Контроль общий для нескольких рисков» и «Риск управляется несколькими контролями» – сведения из этих колонок нужны тогда, когда возникает необходимость скорректировать контрольные процедуры. Может случиться так, что, работая над усовершенствованием контроля, из поля зрения выпадет другой риск, который раньше закрывался при старом дизайне контрольной процедуры. И наоборот.
«Релевантность» (соответствует ли контрольная процедура риску, который должна минимизировать) и «Дизайн» (эффективность) - главные выводы всей проделанной работы. Именно на основании этой информации принимается решение о доработке системы внутреннего контроля. Усовершенствование системы внутреннего контроля дальше уже выполняется владельцами процесса, а работа подразделения внутреннего аудита – проконтролировать, что изменилось и выполняются ли созданные контрольные процедуры в реальности.