1365
Давид Тетруашвили: Организация системы внутреннего контроля на предприятии (часть 2)
— Фондовый рынок
В первой части мы рассматривали систему внутреннего контроля на предприятии.
Разобравшись с понятием эффективной системы внутреннего контроля и оценки рисков, перейдем непосредственно к внедрению.
При переходе от ручного управления к системе корпоративного управления важной задачей является внедрение системы управления рисками на предприятии таким образом, чтобы все основные бизнес-риски покрывались контрольными процедурами.
Финансовый и бизнес-контроль, комплаенс
Когда речь заходит о контрольных процедурах, необходимо выделить два основных уровня – уровень операционный (материальные и информационные потоки на предприятии: входящие, внутренние и исходящие) и уровень финансовый (финансовые потоки на предприятии и подготовка отчетности).
Первый тип контрольных процедур осуществляется в рамках т.н. бизнес-контроля, второй – в рамках финансового контроля.
Сейчас на крупных украинских предприятиях часто создают службу финансового контроля или контроллинга, задача которой обеспечить качественное выполнение финансовой функции, в первую очередь в части организацию планирования/бюджетирования, контроль исполнения бюджета, своевременная подготовка финансовой бухгалтерской и корпоративной отчетности для принятия правильных управленческих решений на базе этой отчетности и другое.
Но финансовая отчетность – это лишь корректное отображение операционно-хозяйственных процессов, которые происходят на предприятии. Если же в основной деятельности генерируются какие-то ошибки, которые попадают в финансовую отчетность, то возникает ситуация Garbage In, Garbage Out. Например, бухгалтерия может оприходовать и оплатить товар, качество которого не было проверено должным образом. В результате предприятие будет нести финансовые потери и не достигнет поставленных бизнес-целей. Значит, на таком предприятии нет качественной системы внутреннего контроля.
Поэтому информация перед попаданием в финансовый документ должна быть верифицирована системой бизнес-контроллинга.
Помимо классических финансового и бизнес-контроллинга на предприятии с высоким уровнем развития системы внутреннего контроля является внедрение т.н. комплаенс-контроля. Целью комплаенс-контроля является минимизация риска вовлечения предприятия в процессы, которые могут иметь финансовые, правовые и/или репутационные последствия.
Таким образом, предприятие, внедрившее комплаенс-контроль, в первую очередь пытается добиться устойчивого развития. Обычно, комплаенс-контроль осуществляется на предприятии совместными усилиями юридического подразделения, службы внутренней безопасности и службой внутреннего аудита.
Контрольная среда
Безусловно, создание контрольных функций – это крайне важная составляющая при внедрении системы внутреннего контроля. Но основополагающим тут должно быть создание контрольной среды или культуры, которая станет неотъемлемой частью деятельности каждого из сотрудников.
Иногда кажется, что это само собой разумеющийся факт, однако тут очень важно создать коллектив из людей, не только знающих правила, но и разделяющих взгляды руководства предприятия. И при этом постоянно формировать у них ощущение, что контроль осуществляется не только на словах.
Для ее формирования необходимо:
1. Предупредить работника, что «Не воруй» – это принцип организации. Под этим принципом подразумевается нулевая толерантность к любому проявлению мошенничества на предприятии;
2. На этапе приема на работу нужно отбирать только тех кандидатов, которые действительно разделяют этот принцип;
3. Уведомить работника, кто его непосредственный начальник, за что он отвечает, а за что не отвечает, четко обозначить круг его обязанностей и меру ответственности;
4. Довести до его сведения, с помощью каких контрольных процедур и мероприятий будет осуществляться контроль выполнения его обязанностей.
Разъяснить, что если работник что-то сделает не в соответствии со стандартами внутренней контрольной среды, то об этом обязательно станет известно, и он может понести наказание.
То есть процессы и регламенты, которые показывают детализацию контрольной среды, должны не просто существовать на бумаге, а выполняться и реально контролироваться.
Все это позволяет контролировать и уменьшить воздействие на предприятие возможных рисков, которые делятся по источнику (внешний и внутренний); вероятности наступления (высокая или низкая) и последствиям.
Довериться машине
Существует два основных типа контроля: осуществляемый человеком, и при помощи внедренной информационной системы (системный контроль).
Сейчас IT-системы позволяют контролировать процессы, выявлять ошибки, обеспечивать определенный уровень безопасности, уменьшать несознательные ошибки или сознательное мошенничество. IT-системы осуществляют более эффективный превентивный контроль, то есть не позволяют ошибке быть допущенной, тогда как человек чаще всего выявляет уже допущенную ошибку.
В современной компании должна быть создана информационная среда, которая включает в себя IT-системы, обеспечивающие принятие качественных решений менеджментом. Их можно разделить на две больших группы:
- IT-безопасность: система, которая позволяет обеспечить сохранность активов предприятия;
- Management information system, совокупность информационных и учетных систем, которые обеспечивают получение менеджментом оперативной и качественно подготовленной документации для принятия управленческих решений.
Эти IT-системы обязательно должны быть элементом единой системы внутреннего контроля, и запрограммированы таким образом, чтобы выявлять несоответствия, ошибки, максимально повысить доверие менеджмента к подготовленной информации для принятия управленческих решений и обеспечения качественного корпоративного управления.
Внутренний аудит
Эффективность внедренной системы внутреннего контроля должна оцениваться, с установленной периодичностью проходить процедуру внутреннего аудита (ВА). Внутренние аудиторы анализируют систему корпоративного управления, систему управления рисками и систему внедренного внутреннего контроля. Их задача понять, какие из внедренных процессов работают с заданной эффективностью, а какие — нет.
Если выясняется, что в компании какой-то процесс не работает, то задача внутреннего аудита указать на это, выявить потенциальный риск, и сделать конкретные рекомендации, какие контрольные процедуры необходимо ввести, чтобы существенно понизить бизнес-риски для предприятия или минимизировать возможные негативные последствия.
Ключевая задача внутреннего аудитора – провести оценку по трем основным направлениям:
1. Система управления предприятием. Насколько она зрелая и соответствует принципу распределению полномочий, насколько соответствует процедуры соответствуют законодательству, и внутренней нормативно-регламентной документации и т.д.;
2. Какие есть риски у предприятия, связанные с его деятельностью, и как предприятие ими управляет;
3. Оценка контрольных процедур, которые внедрены на предприятии.
Служба внутреннего аудита, как правило, находится в подчинении либо наблюдательного совета, либо собственника. Потому информация о выявленных нарушениях процедур, неэффективном контроле или рисках предоставляется непосредственно собственнику или совету. Где и принимается решение о реорганизации высокорискового или низкоэффективного процесса самостоятельно или с привлечением внешних консультантов. По итогу внесения изменения или формализации процедуры, риск должен быть существенно снижен.
Для подавляющего большинства украинских предприятий создание системы внутреннего контроля и внутреннего аудита – добровольный процесс. Но он позволяет их инвесторам и партнерам быть более уверенными, что информация, которая им дается, является правдивой. Кроме того, корректно организованный внутренний контроль становится базисом для внешнего аудита. Особенно если его проводят компании «большой четверки».
Давид Тетруашвили, Руководитель отдела управленческого консалтинга EBS
По материалам: Finance.ua
Поделиться новостью
