1365
Давид Тетруашвілі: Організація системи внутрішнього контролю на підприємстві (частина 2)
— Фондовий ринок
У першій частині ми розглядали систему внутрішнього контролю на підприємстві.
Розібравшись з поняттям ефективної системи внутрішнього контролю і оцінки ризиків, перейдемо безпосередньо до впровадження.
При переході від ручного управління до системи корпоративного управління важливим завданням є впровадження системи управління ризиками на підприємстві таким чином, щоб всі основні бізнес-ризики покривалися контрольними процедурами.
Фінансовий та бізнес-контроль, комплаєнс
Коли мова заходить про контрольні процедури, необхідно виділити два основні рівні – рівень операційний (матеріальні і інформаційні потоки на підприємстві: вхідні, внутрішні та вихідні) і рівень фінансовий (фінансові потоки на підприємстві та підготовка звітності).
Перший тип контрольних процедур здійснюється в рамках т.зв. бізнес-контролю, другий – в рамках фінансового контролю.
Зараз на великих українських підприємствах часто створюють службу фінансового контролю або контролінгу, завдання якої забезпечити якісне виконання фінансової функції, в першу чергу в частині організацію планування/бюджетування, контроль виконання бюджету, своєчасна підготовка фінансової бухгалтерської і корпоративної звітності для прийняття правильних управлінських рішень на базі цієї звітності та інше.
Але фінансова звітність – це лише коректне відображення операційно-господарських процесів, які відбуваються на підприємстві. Якщо ж в основній діяльності генеруються якісь помилки, які потрапляють у фінансову звітність, то виникає ситуація Garbage In, Garbage Out. Наприклад, бухгалтерія може оприбуткувати і оплатити товар, якість якого не було перевірено належним чином. В результаті підприємство буде нести фінансові втрати і не досягне поставлених бізнес-цілей. Значить, на такому підприємстві немає якісної системи внутрішнього контролю.
Тому інформація перед попаданням в фінансовий документ має бути верифікована системою бізнес-контролінгу.
Крім класичних фінансового і бізнес-контролінгу на підприємстві з високим рівнем розвитку системи внутрішнього контролю є впровадження т.зв. комплаєнс-контролю. Метою комплаєнс-контролю є мінімізація ризику залучення підприємства в процеси, які можуть мати фінансові, правові та/або репутаційні наслідки.
Таким чином, підприємство, що впровадило комплаєнс-контроль, в першу чергу намагається домогтися сталого розвитку. Зазвичай, комплаєнс-контроль здійснюється на підприємстві спільними зусиллями юридичного підрозділу, служби внутрішньої безпеки та службою внутрішнього аудиту.
Контрольне середовище
Безумовно, створення контрольних функцій – це вкрай важлива складова при впровадженні системи внутрішнього контролю. Але основним тут має бути створення контрольного середовища або культури, яка стане невід’ємною частиною діяльності кожного співробітника.
Іноді здається, що це само собою зрозумілий факт, однак тут дуже важливо створити колектив з людей, які не тільки знають правила, але і розділяють погляди керівництва підприємства. І при цьому постійно формувати у них відчуття, що контроль здійснюється не тільки на словах.
Для її формування необхідно:
1. Попередити працівника, що «Не кради» – це принцип організації. Під цим принципом мається на увазі нульова толерантність до будь-якого прояву шахрайства на підприємстві;
2. На етапі прийому на роботу потрібно відбирати тільки тих кандидатів, які дійсно розділяють цей принцип;
3. Повідомити працівника, хто його безпосередній начальник, за що він відповідає, а за що не відповідає, чітко визначити коло його обов’язків і міру відповідальності;
4. Довести до його відома, за допомогою яких контрольних процедур і заходів буде здійснюватися контроль виконання його обов’язків.
Роз’яснити, що якщо працівник щось зробить не у відповідності зі стандартами внутрішнього контрольного середовища, то про це обов’язково стане відомо, і він може понести покарання.
Тобто процеси і регламенти, які показують деталізацію контрольного середовища, повинні не просто існувати на папері, а виконуватися і реально контролюватися.
Все це дозволяє контролювати і зменшити вплив на підприємство можливих ризиків, які діляться за джерелом (зовнішнє і внутрішнє); ймовірністю настання (висока або низька) і наслідками.
Довіритися машині
Існує два основні типи контролю: той, що здійснює людина, і за допомогою впровадженої інформаційної системи (системний контроль).
Зараз IT-системи дозволяють контролювати процеси, виявляти помилки, забезпечувати певний рівень безпеки, зменшувати несвідомі помилки або свідоме шахрайство. IT-системи здійснюють більш ефективний превентивний контроль, тобто не дозволяють помилц ібути допущеною, тоді як людина найчастіше виявляє вже допущену помилку.
У сучасной компанії має бути створено інформаційне середовище, яке включає в себе IT-системи, щоб забезпечити прийняття якісних рішень менеджментом. Їх можна розділити на дві великі групи:
- IT-безпека: система, яка дозволяє забезпечити збереження активів підприємства;
- Management information system, сукупність інформаційних та облікових систем, які забезпечують отримання менеджментом оперативної і якісно підготовленої документації для прийняття управлінських рішень.
Ці IT-системи обов’язково повинні бути елементом єдиної системи внутрішнього контролю, і запрограмовані таким чином, щоб виявляти невідповідності, помилки, максимально підвищити довіру менеджменту до підготовленої інформації для прийняття управлінських рішень і забезпечення якісного корпоративного управління.
Внутрішній аудит
Ефективність впровадженої системи внутрішнього контролю має оцінюватися, з встановленою періодичністю проходити процедуру внутрішнього аудиту (ВА). Внутрішні аудитори аналізують систему корпоративного управління, систему управління ризиками і систему впровадженого внутрішнього контролю. Їхнє завдання зрозуміти, які з впроваджених процесів працюють із заданою ефективністю, а які – ні.
Якщо з’ясовується, що в компанії якийсь процес не працює, то завдання внутрішнього аудиту вказати на це, виявити потенційний ризик, і зробити конкретні рекомендації, які контрольні процедури необхідно запровадити, щоб істотно знизити бізнес-ризики для підприємства або мінімізувати можливі негативні наслідки.
Ключове завдання внутрішнього аудитора – провести оцінку за трьома основними напрямками:
1. Система управління підприємством. Наскільки вона зріла і відповідає принципу розподілу повноважень, наскільки відповідає процедури відповідають законодавству, і внутрішньої нормативно-регламентної документації тощо;
2. Які є ризики у підприємства, пов’язані з його діяльністю, і як підприємство ними керує;
3. Оцінка контрольних процедур, які впроваджені на підприємстві.
Служба внутрішнього аудиту, як правило, перебуває в підпорядкуванні або наглядової ради, або власника. Тому інформація про виявлені порушення процедур, неефективний контроль або ризики надається безпосередньо власнику або раді. Де і приймається рішення про реорганізацію високоризикового або низькоефективного процесу самостійно або із залученням зовнішніх консультантів. За підсумком внесення зміни або формалізації процедури, ризик повинен бути істотно знижений.
Для переважної більшості українських підприємств створення системи внутрішнього контролю та внутрішнього аудиту – добровільний процес. Але він дозволяє їхнім інвесторам і партнерам бути більш впевненими, що інформація, яка їм дається, є правдивою. Крім того, коректно організований внутрішній контроль стає базисом для зовнішнього аудиту. Особливо якщо його проводять компанії «великої четвірки».
Давид Тетруашвілі, Керівник відділу управлінського консалтингу EBS
За матеріалами: Finance.ua
Поділитися новиною
