Как оптимизировать пользу контрольных функций

Размещено на http://www.allbest.ru/

Размещено на http://www.allbest.ru/

Как оптимизировать пользу контрольных функций

Любая компания, выходя на рынок товаров и услуг, в первую очередь ставит перед собой задачу создания стоимости для сторон, заинтересованных в ее деятельности. В подобных условиях организации прежде всего сталкиваются с неопределенностью, в связи с чем задачей управленческого звена является принятие однозначного решения об уровне неопределенности, с которым компания готова работать, стремясь увеличить стоимость для заинтересованных сторон. Неопределенность в данном случае содержит в себе два противоположных свойства. С одной стороны -- существующий риск, с другой -- открытие перспектив, что соответственно приводит либо к уменьшению, либо к увеличению стоимости.

Последнее десятилетие кардинально изменило подход к сущности контрольных функций современных компаний, в частности -- внутреннего контроля и аудита, в том числе закрепленной в определении Института внутренних аудиторов (ПЛ). Произошедшие в конце XX -- начале XXI в. экономические реформы во многих странах мира, а также продолжающееся развитие глобального финансового кризиса, несколько волн которого оказали и продолжают оказывать значимое влияние на мировую экономику, потребовали от руководителей и владельцев предприятий различных государств усиления роли системы внутреннего контроля компаний как неотъемлемой части системы их корпоративного управления, непрерывно связанной с повышением эффективности бизнеса. Сегодня происходит трансформация внутренних контрольных функций в инструмент оценки эффективности системы управления рисками, наблюдается смещение акцентов от оценки рисков отдельных операций к оценке рисков в деятельности компании в целом. Требования и ожидания заинтересованных сторон от внутреннего контроля и аудита повышаются вследствие изменения среды и актуальных задач бизнеса.

Процесс управления рисками в компании в первую очередь должен оптимизироваться за счет повышения в нем роли контрольных функций. Его необходимо основывать на методологических разработках и исследованиях, как имеющих общий характер, так и сугубо специфических, имеющих отношение к определенному сегменту рынка, объему валовой продукции, территориальной принадлежности, основам законодательной базы и многим другим факторам, которые могут существенно изменить общую концепцию компании по разработке и внедрению стратегии оптимизации контрольных функций в системе управления рисками.

Одной из важнейших составляющих этой системы является культура управления рисками. В целом ее можно охарактеризовать как существующую в организации систему ценностей и способов поведения, которая определяет суть и форму решений, принимаемых в области управления рисками. Культура управления рисками оказывает влияние на принимаемые руководством и работниками решения. Она является тем самым инструментом, который гарантирует, что будут приняты именно необходимые, а не просто экстренные меры, которые, как правило, не всегда бывают тщательно продуманными и выверенными. С уверенностью можно говорить о том, что без всесторонне проработанной культуры управления рисками любая программа по управлению рисками в организации, какой бы продуманной и комплексной она ни была, может оказаться не в состоянии предотвратить принятие неверных решений.

В настоящее время методология управления риском, особенно в части его оценки, получает все более интенсивное развитие в практике организаций различного профиля. Происходящие во всем мире за последнее время события наглядно демонстрируют, что научные и деловые круги, принимающие решения на основе оценки рисков, продолжают сталкиваться с многочисленными трудностями в области менеджмента рисков и применяемых методик их оценки. С одной стороны, это обусловлено сложностью процессов оценки риска, с другой -- потерей доверия к существующим методическим решениям. Последствия мирового финансового кризиса в начале XXI в., волны которого до сих пор продолжают затрагивать деятельность хозяйствующих субъектов, продемонстрировали очевидную недостаточную научную разработанность и конечную эффективность существующих и наиболее часто применяемых организациями инструментов контрольных функций при оценке рисков либо их несостоятельность в конкретных условиях предупреждения реализации риска.

Фактически в настоящее время наблюдается дисбаланс между ожиданиями и результатами применения методических инструментов в части управления рисками, что в основном обусловлено неопределенностью и сложностью, с которыми приходится сталкиваться при оценке риска [10].

Современное развитие экономики, возросшая конкуренция, наличие негативных внешних и внутренних факторов стали серьезным стимулом к созданию в компаниях структурного подразделения для независимой оценки эффективности процессов компании, позволяющей определить ее текущие проблемы и построить стратегическую линию развития, позволяющую минимизировать возможные риски. Служба внутреннего контроля и/или аудита все увереннее занимает эту нишу в соответствии с возложенными на нее функциональными задачами и требованиями к уровню компетентности сотрудников. Полезность этой службы, ее вклад в сохранение стоимости бизнеса сложно рассчитать и обосновать по ряду объективных причин, представленных ниже [15]:

• «внутренние аудиторы прежде всего занимаются оценкой слабых сторон деятельности организации и предоставлением рекомендаций, а не расчетом ценности результатов своей работы;

• незаметное присутствие службы внутреннего аудита зачастую само по себе предотвращает нежелательные события (например, мошенничества);

• некоторые, а иногда -- большинство рекомендаций службы внутреннего аудита не поддаются количественному измерению (например, улучшение имиджа компании);

• результаты внутреннего аудита зачастую носят косвенный характер, либо между проведением аудита и появлением заметных результатов проходит большой период времени».

Учитывая эти обстоятельства, приходим к выводу, что оптимизации контрольных функций для целей сохранения стоимости бизнеса можно достичь только в результате взаимодействия двух и более подраз- делений/функций/уровней в организации. Так, например, управление в компании теоретически всегда должно быть разделено на управление стратегическими решениями (совет директоров) и управление оперативной деятельностью (топ-менеджмент, правление). Схема взаимодействия по контрольным функциям подразумевает симбиоз между советом директоров, который разрабатывает и утверждает общую парадигму управления рисками, исполнительными органами организации (топ-менеджмент, правление), чья роль заключается во внедрении в практику этой парадигмы, и службой внутреннего контроля и/или аудита, которая должна оценивать эффективность системы управления рисками, предлагая при необходимости пути ее оптимизации.

Введение нескольких уровней в процесс управления рисками для целей оптимизации системы контрольных функций необходимо для разграничения потоков информации, их упорядочения в разрезе задач, периодов, отчетности, а также и для регламентации во внутренних документах. Один из возможных подходов в разграничении уровней по управлению рисками представлен в табл.

контроль управление риск бизнес

Разграничение уровней управления рисками

На упрощенном примере представим возможный вариант взаимодействия между тремя упомянутыми уровнями организации (совет директоров, исполнительное руководство (топ-менеджмент), служба внутреннего контроля и/или аудита) в процессе оценки и управления рисками, ограничиваясь при этом только тремя методологическими инструментами (по одному для каждой функции/уровня контроля), а именно:

• определение советом директоров общей парадигмы, внедрение «Политики управления рисками» в организации;

• использование службой внутреннего контроля и/или аудита итогов самооценки подразделений организации в качестве ключевого тактического инструмента для определения матрицы рисков организации;

• анализ матрицы рисков со стороны топ-менеджмента для определения ключевых факторов риска и составления плана мероприятий с целью воплощения на практике эталонной модели совершенства, определенной советом директоров.

Первый шаг по оптимизации контрольных функций в нашем примере требует закрепления подходов и принципов системы управления рисками в «Политике управления рисками», которая может корректироваться с учетом развития организации. План разработки и внедрения системы управления рисками должен быть разработан детально, с разбивкой по составным частям каждого этапа и срокам их реализации.

Внедрение стандартизованных процедур имплементации метода самооценки для целей применения результатов службой внутреннего контроля и/или аудита важно начинать с разработки общей стратегии управления рисками и формализации системы управления ими в «Политике управления рисками», утверждаемой советом директоров. По своей сути она является опорным документом, описывающим общую концепцию управления рисками в организации.

Следующим шагом в нашем примере является применение метода самооценки как всестороннего и систематического анализа деятельности организации и ее результатов по сравнению с выбранным эталоном. Современной наукой и практикой самооценка признается результативным методом, способным оптимизировать пользу контрольных функций организации, но при этом инструментом, не заменяющим другие важные процедуры внутреннего контроля и аудита. Самооценка помогает менеджменту и собственникам бизнеса повысить эффективность систем контроля и управления рисками, управлять ими в рамках текущих процессов. Наличие инструмента самооценки внутреннего контроля не всегда является обязательным требованием в разных странах, как, например, в России. Тогда как на Западе самооценка необходима для соответствия требованиям Закона Сарбейнса-Оксли [11] для публичных компаний, размещающихся на американских биржах. Тем не менее использование этого инструмента даже на добровольных началах дает высокие результаты. Некоторые исследования [6] свидетельствуют, что внедрение эффективных методов самооценки позволяет:

• повысить действенность систем контроля и управления рисками в организации;

• осуществлять их менеджмент в рамках текущих процессов с более высокой степенью результативности, в том числе существенно снизить затраты на управление рисками с учетом имеющихся системных ограничений.

Для собственников и руководителей современных компаний преимущества метода самооценки заключаются в повышении эффективности корпоративного управления и оптимизации контрольных функций. Внедрение системы внутренней оценки способно оказать позитивное влияние на сотрудников компании, поскольку позволяет повысить эффективность выполнения текущих обязанностей, повышает уровень корпоративной культуры, а также уровень дисциплинированности и ответственности. На основе полученных результатов самооценки можно сделать агрегированный анализ ключевых рисков и представить их топ- менеджменту организации в виде матрицы риска для ознакомления, а также для составления плана мероприятий с целью воплощения на практике эталонной модели совершенства (бизнеса), определенной советом директоров и собственниками компании.

Матрица рисков является диагностическим инструментом оценки рисков, который предполагает некоторую форму их градации. Она имеет диапазон по осям последствий и вероятности. Матрица рисков наглядно демонстрирует аудитору, руководителю и другим заинтересованным лицам, принимающим решения, в чем заключается риск, его структуру (относительно затрат, изменений в процедурах и т.д.) и какой объем времени, других ресурсов может быть уделен для оптимизации уровня риска, принимая во внимание существенность его последствий и вероятность. Данный инструмент дает системное представление о рисках компании.

Ниже на рис. представлена матрица рисков, основанная на двух показателях: уровне вероятности возникновения риска и финансовых потерях (ущербе) в случае его реализации.

Модель матрицы рисков

Используя полученные результаты агрегированной оценки вероятности реализации и тяжести последствий для каждого риска, можно определить его значимость по выбранной шкале, которая определяется компанией в зависимости от ее склонности к риску (риск-аппетитов). Составление матрицы риска дает возможность топ-менеджменту получить наглядное представление о зонах концентрации риска, определить наиболее критичные факторы риска для компании и построить план мероприятий для управления ими.

В целях оптимизации контрольных функций особенно актуальным вопросом является автоматизация деятельности этих служб, в частности, используя информационные технологии и системы бизнес-интеллекта. Анализируя этот вопрос, мы неоднократно встречались с мнениями о возможности создания контрольных функций, включая и область проведения самооценки и управления рисками, без применения программного обеспечения или специальных модулей по оценке и мониторингу уровня риска. По нашему мнению, такой подход к проблеме является ошибочным вне зависимости от степени интеграции компании в рыночные процессы, величины валюты баланса, времени функционирования компании и иных причин, которые могут стать причиной отказа от внедрения информационных технологий и специальных программ.

Препятствием внедрения подобных решений является их высокая стоимость. Согласно данным аналитического агентства Gartner [5], среди 97 опрошенных американских банков около половины не интегрируют системы управления операционными рисками и инструменты оценки эффективности бизнеса. При выборе IT-системы для автоматизации целесообразно опираться на следующие требования:

1. Система представляет собой стандартную платформу, встроенную в основной процесс управления и обеспечивающую необходимую степень детализации и связность информации.

2. Система должна поддерживаться во всех отделениях и филиалах компании и охватывать все бизнес-направления и продукты.

3. Система должна быть открытой и иметь модульную структуру, поддерживающую приложения иных разработчиков. Это должно способствовать адаптации к специфическим потребностям компании.

4. Система должна быть гибка при поддержке требований национальных регулирующих органов.

Большой потенциал для построения эффективной технологической цепочки контрольных процессов в автоматической системе имеет концепция применения бизнес-интеллекта (Business Intelligence -- BI). Его главным назначением является сбор и анализ больших объемов данных с целью выявления общих тенденций в экономических процессах, выработка понимания ситуации и позиции предприятия для дальнейшего принятия эффективных решений. В широком смысле бизнес-интеллект означает:

— процесс преобразования экономических данных в структурированную информацию для использования ее при принятии дальнейших решений;

— информационные технологии (методы и средства) сбора данных, консолидации информации и обеспечения доступа бизнес-пользователей к информации.

Архитектура возможного решения в построении бизнес-интеллекта для целей управления рисками и оптимизации контрольных функций представлена на рис. 2.

Рис. 2. Архитектура бизнес-интеллекта в управлении рисками

При разработке методологических подходов к оценке риска организации целесообразно вспомнить законы диалектики (закон перехода количественных изменений в качественные, закон единства и борьбы противоположностей, закон отрицания отрицания), а также законы формальной логики (закон противоречия, закон исключенного третьего, закон тождества). При разработке конкретных методик и подходов, используемых контрольными функциями компании для оценки системы внутреннего контроля в целом или в части ее отдельных аспектов, в качестве лучшей практики можно применять подходы Международных стандартов внутреннего аудита, а также ряд других стандартов и концепций, например: COBIT, SAC, COSO и SAS 55/78.

Современный менеджмент в любой сфере бизнеса выделяет важную составляющую управленческой деятельности -- это работа по совершенствованию и оптимизации. Успешное развитие компании в текущих экономических условиях возможно только при выполнении условия, что функционал каждого ее работника, кроме осуществления основной деятельности (непосредственных должностных обязанностей), включает в себя также непрерывное осуществление функции совершенствования бизнес-процессов, в которых он участвует, а также бизнеса компании в целом. В этой связи оптимизация пользы контрольных функций в организации должна включать:

1) четкое разграничение уровней управления рисками;

2) определение ключевой роли службы внутреннего контроля и аудита с учетом различий между предоставлением гарантий и консультированием как процессами, составляющими сущность внутреннего аудита;

3) создание технического решения для поддержки контрольных функций и управления рисками (программное обеспечение, бизнес-интеллект);

4) последовательность в применении нормативно-методологических критериев, использование научного подхода;

5) непрерывное информирование всех уровней организации о важности контрольных функций, контроль плана мероприятий.

Хотя предложенная в данной статье модель связи между несколькими функциями организации в целях оптимизации бизнес-процессов не претендует на универсальность, очевиден вывод, что сохранение стоимости компании достигается только при их взаимодействии. В этом смысле повышение эффективности бизнеса компании, сохранение ее стоимости возможны только в случае, если деятельность всех контрольных подразделений согласована между собой и направлена исключительно в качестве конкретной помощи бизнесу для оптимизации деятельности компании, а не организована как отдельный, абстрактный и независимый от управленческого аспекта процесс.

Литература

1. Шихвердиев А. П. Внутренний контроль и управление рисками в системе корпоративного управления // Вестник Научно-исследовательского центра корпоративного права, управления и венчурного инвестирования Сыктывкарского государственного университета. -- 2012.

2. Control Objectives for Information and Related Technology -- COBIT 1996. Retrieved from the ISACA: http://www.isaca.org/Knowledge-Center/cobit/ Documents/COBIT4.pdf

3. Colbert J. L., Bowen P. L. Comparison of Internal Controls: COBIT, SAC, COSO and SAS 55/78 // Audit and Control Journal. -- 1996. -- № IV. -- 26-35.

4. The COSO Financial Controls Framework 1992. Retrieved from the Committee of Sponsoring Organizations of the Treadway Commission's Internal Control: http://www.sox-online.com/coso_cobit_coso_framework.html

5. Gartner Technology Research and Insight (2009-2010): Strategic Technologies. Orlando: Gartner.

6. Hubbard L. Control Self-Assessment: A Practical Guide by Larry Hubbard. Altamonte Hull, J. C. (1995). Options, Futures and Other Derivatives. -- New Jersey. Prentice Hall, 2000.

7. International Auditing and Assurance Standards Board (IAASB). Web site: http://ru.ifac.org/IAASB/

8. Internal Audit in Banks and the Supervisor's Relationship with Auditors (BCBS 84, 2001). Retrieved from the BCBS: http://www.bis.org/publ/bcbs84.htm

9. Juravlev I. B. Об одном способе проверки качества собираемых данных по операционным потерям // Управление финансовыми рисками. -- 2009. -- № 3. -- 245-252.

10. PwC Internal Audit Leader: Jason Pett on Sarbanes-Oxley compliance (2012). PwC.

11. Sarbanes-Oxley Act of 2002. Corporate responsibility. Public Law 107-204-- July 30, 2002 (107th Congress). 15 USC 7201 note. Retrieved from the US Securities and Exchange Commission web site: http://sec.gov/about/laws/soa2002.pdf

12. Sound Practices for the Management and Supervision of Operational Risk (BCBS 96, 2003, 2010). Retrieved from the BCBS: http://www.bis.org/publ/ bcbs195.pdf

13. Systems Auditability and Control Report (SAC 1994). The Institute of Internal Auditors Research Foundation, Price Waterhouse (Firm).

14. Statement on Auditing Standards No. 55 (SAS 55, 1988). Retrieved from the AICPA: http://www.aicpa.org/

15. Wiela J. (2009) Внутренний аудит: уйти или остаться? // FCCA. Translation retrieved from: http://www.audit-it.ru/articles/audit/a104/197071.html

Размещено на Allbest.ru