Как построить эффективную систему внутреннего контроля (А. Коптелов, В. Беркович, "Риск-менеджмент", N 5-6, май-июнь 2007 г.)

Как построить эффективную систему внутреннего контроля

Закон Sarbanes-oxley был принят после ряда крупных банкротств в США, когда выяснилось, что причина краха компаний - корпоративная коррупция и мошенничество. Эти проблемы возникли из-за отсутствия полноценной системы внутреннего контроля (СВК), принципы эффективной работы которой содержатся в законе SOX. Неукоснительное следование этим принципам обязательно не только для компаний, чьи акции обращаются на американском фондовом рынке, но и для всех их партнеров по бизнесу.

Попасть под статью

Уголовная ответственность за нарушение ключевых статей 302 и 404 закона Сарбейнса-Оксли стала хорошим стимулом для внедрения систем внутреннего контроля. Данные статьи не содержат конкретной методики по совершенствованию систем внутреннего контроля. Основные разъяснения можно получить у регулирующих органов - американских Комиссии по ценным бумагам и биржам (Securities and Exchange Commission - SEC) и Комиссии по надзору за аудитом публичных компаний (Public Company Accounting Oversight Board -PCAOB).

Внутренний контроль финансовой отчетности - процесс, инициируемый советом директоров, руководством и иными сотрудниками, желающими убедиться в том, что отчетность достоверная. Все операции и сделки компании должны быть авторизованы, активы защищены от несанкционированного использования, все операции отражены в учетных регистрах и финансовой отчетности.

Проект построения системы внутреннего контроля можно представить в виде следующих этапов.

Этап 0. Определение уровня материальности существенных счетов

На данном этапе проводится анализ и ранжирование счетов финансовой отчетности для определения тех из них, ошибки в которых могут негативно влиять на состояние компании. Это позволит сузить объем проекта и не контролировать риски, не существенные с точки зрения SOX.

Счета ранжируются по остаткам либо по оборотам на них. Выбираются счета с превышенным уровнем существенности, который рассчитывается по специальной методике. Помимо этого, проводится качественная проверка счетов, основанием для которой служит любая из следующих оценок: ожидания пользователя; структура счета; вероятность ошибки или мошенничества; количество действий по счету; субъективные оценки; тип счета; сложность расчета и отчетности; сделки с лицами, связанными с банком; изменения в характеристиках счета.

Этап 1. Описание бизнес-процессов

Производится формализация связи между существенными счетами, хозяйственными операциями и процессами. Процессы уже ясно обозначены, можно понять, где изменяются существенные счета. Делается описание детальных функций процесса, последовательности их выполнения. Чтобы представить бизнес-процессы в удобном виде для анализа их полноты и "рискованности", используются специализированные системы.

Этап 2. Идентификация рисков SOX

Определяются риски, которые могут реализоваться при исполнении каждой функции процесса. Также устанавливаются опасности, могущие влиять на достоверность финансовой отчетности.

Процедура идентификация рисков наиболее сложная и требует участия экспертов, владеющих специальными методиками оценки. Одна из таких методик - верификация рисков со следующими утверждениями руководства.

Существование: все признанные доходы / расходы / активы и обязательства существуют.

Полнота: все доходы / расходы / активы и обязательства отражены в отчетности в полном объеме.

Оценка: доходы / расходы / активы и обязательства отражены в отчетности в точной сумме.

Компания может в судебном порядке ограничить размер своих обязательств до сумм, указанных в отчетности, и таким же образом доказать свои права на активы и физически ограничить доступ третьих лиц к своим активам.

Все элементы финансовой отчетности должным образом классифицированы и раскрыты в финансовой отчетности и в приложениях.

Сохранность активов: все расходы производятся только для достижения целей компании и после соответствующей авторизации руководства.

Использование утверждений руководства позволяет проверить процесс на полноту определения рисков, причем на этапе определения рисков одна из главных задач - отделение бизнес-рисков от рисков SOX. Фактически главная задача на этой стадии - создание перечня рисков, для которых необходима дальнейшая оценка.

Таблица 1. Матрица оценки рисков

Вероятность	Уровень последствий
	Низкий	Средний	Высокий
Высокая	Низкий	Высокий	Высокий
Средняя	Низкий	Высокий	Высокий
Низкая	Низкий	Низкий	Низкий

Этап 3. Оценка значимости рисков

На этом этапе риски оцениваются с точки зрения их значимости, например по величине наносимого ущерба и по вероятности. Незначительные риски не учитываются в проекте, однако их нельзя отбрасывать, поскольку в следующем цикле оценки они снова будут переоцениваться. Примером оценки рисков может служить матрица "3x3" (табл. 1).

Этап 4. Определение системы контроля

Производится детальное описание контрольных процедур, целей контроля, обозначается частота выполнения контроля для каждой функции процесса, где присутствует тот или иной значимый с точки зрения SOX риск. Риски выявляют с помощью контроля за теми или иными бизнес-процессами. На стадии планирования и осуществления контрольных процедур может быть допущен ряд ошибок, что впоследствии не позволит своевременно обнаружить искажения в финансовой отчетности. В числе таких ошибок - низкое качество планирования и осуществления контрольных мероприятий. Одна из основных причин плохо исполненного контроля - недостаточная квалификация и/или небрежность ответственных сотрудников.

На данном этапе проверяется эффективность и тип контроля (превентивный или детектирующий), а также формируются новые контрольные процедуры по минимизации рисков SOX.

Этап 5. Оценка эффективности полученных результатов

На этом этапе формируется и выполняется система тестов, подтверждающих правильность исполнения контрольных процедур в компании. Полученные результаты помогают совершенствовать контрольные процедуры и систему внутреннего контроля в целом. В крупной компании может проводиться более тысячи контрольных процедур и столько же тестов, поэтому процесс тестирования автоматизируется с помощью специализированного IТ-решения.

Примерный подход

Рассмотрим пример построения системы внутреннего контроля для процесса "Подготовка документов на оплату товаров и услуг". В этом случае, если нет должного контроля, сотрудники могут попытаться использовать денежные средства компании в собственных целях.

Этап 0. В нашем примере принимаем во внимание только существенные счета

Таблица 2. Описание процесса "Подготовка документов на оплату
товаров и услуг"

Шаг процесса	Исполнитель	Комментарий
Создание заявки на оплату	Ответственный сотрудник подразделения - инициа- тора платежа	При поступлении счета от контрагента на оплату товара или услуги ответственный сотрудник подразделения вводит в систему заявку на опла- ту данного счета
Регистрация счета на оплату товаров и услуг	Бухгалтерия	Ответственный сотрудник бухгалтерии регистри- рует счет в системе
Рассмотрение заявок на оп- лату	Руководитель департаме- нта	Ответственный руководитель департамента входит в систему и рассматривает все заявки на оплату в рамках подразделения. Руководитель департа- мента принимает решение об оплате заявок или об отказе в оплате
Создание платежного поруче- ния	Бухгалтерия	Ответственный сотрудник бухгалтерии авторизу- ется в системе "банк-клиент", открывает форму создания платежей и на основании первичного документа (счета, счет-фактуры) и данных, ко- торые ввел в систему ответственный сотрудник подразделения, создает платежное поручение
Подтверждение платежа в электронном виде	Генеральный директор, главный бухгалтер	После того как ответственный сотрудник бухгал- терии создал платежные поручения в электрон- ном виде в системе "банк-клиент", главный бух- галтер и генеральный директор подписывают эле- ктронной подписью платежные поручения в систе- ме "банк-клиент" и отправляют их в банк

Таблица 3. Риски процесса

Шаг процесса	Утверждения руководства	Риск	Описание риска
Создание заявки на оплату	Сохранность активов	Оплата не заказанных товаров и услуг	Есть риск, что сотрудник создаст (возможно, совместно с руководи- телем) заявку на оплату товара для личных уелей
Создано платежное поручение на оплату дополнительных товаров и услуг	Сохранность активов	Могут быть не оплаче- ны дополнительные то- вары и услуги	Есть риск, что сотрудник допол- нит сумму электронного платежа на оплату товара для личных це- целей

Этап 1. Описание процесса

Модель данного процесса представлена на схеме 1 в нотации еЕРС (extended Event Process Chain) модуля ARIS Toolset и в табличном виде, который был получен автоматически на основе модели ARIS (табл. 2).

Этап 2. Идентификация рисков, влияющих на достоверность финансовой отчетности

Модель процесса представлена на схеме 2. Риски обозначены красными квадратами с восклицательными знаками. Подробное описание рисков приведено в табл. 3.

Этап 3. Оценка значимости рисков

Риски можно оценивать по достаточно простой и удобной методике, суть которой заключается в выработке оценок двух наиболее часто используемых параметров каждого из рисков - влияния (impact) и вероятности (probability). Результат произведения этих двух величин -ожидаемая величина (exposure) - становится единой метрикой риска. Пример оценки рисков приведен в табл. 4.

Таблица 4. Значимость рисков процесса

Существенный процесс / Шаг	Утверждения руково- дства	Риск	Преднаме- ренность	Вероятность	Влияние	Ожидае- мая ве- личина
Создание заявки на оплату	Сохранность активов	Оплата не за- казанных то- варов и услуг	Да	Средняя	Высокое	Значите- льная

Таблица 5. Процедуры контроля рисков

Наименование риска	Процедура контроля	Контролируется ли риск	Вид контроля		Существенный счет
			Превентивный	Детектирующий
Оплата не заказан- ных товаров и ус- луг	Согласование заяв- ки на оплату в си- стеме	Да	Да	Нет	Денежные средства

"Рис. 1 "Схема 1. Пример процесса "Подготовка документов на оплату товаров и услуг"

"Рис. 2 "Схема 2. Пример процесса "Подготовка документов на оплату товаров и услуг" с выявленными рисками

"Рис. 3 "Схема 3. Шаг процесса "Создание заявки на оплату"

В колонке "Преднамеренность" ставится "Да", если риск преднамеренный, и "Нет", если риск вызван случайными обстоятельствами или является следствием ошибок. В графе "Вероятность" могут быть записаны значения: "Малая", "Средняя" или "Высокая". В колонке "Влияние" может значиться: "Малое", "Среднее" или "Высокое". В столбце "Ожидаемая величина" могут быть указаны значения: "Незначительная" или "Значительная". Например, при использовании шкалы вероятности и влияния, состоящей из трех показателей, возможные значения ожидаемой величины могут быть представлены в виде матрицы (табл. 1).

Этап 4. Определение системы контроля

Для риска "Оплата не заказанных товаров и услуг" на шаге "Создание требования на оплату и передача документов в бухгалтерию" (схема 3, табл. 5) контроль осуществляется в виде согласования заявки на оплату в системе. Цель контроля данной функции - не допустить потери активов.

Контрольная процедура проводится по следующей схеме. Как только заявка введена в систему, она становится доступной для просмотра и должна быть проверена всеми начальниками структурных подразделений вплоть до генерального директора. При этом заявка переходит на следующий уровень согласования, только если одобрена на всех предыдущих стадиях.

Такой контроль может быть предусмотрен для всех заявок или только для тех из них, сумма по которым превышает установленную. Входящий документ для контроля - заявка на оплату в системе.

Осуществление контроля подтверждается отметкой о согласовании в заявке на оплату по каждому сотруднику, проводящему согласование. За контроль отвечают начальники отделов, управлений, финансовый или генеральный директор.

Этап 5. Оценка эффективности полученных результатов

На заключительном этапе проводится оценка эффективности СВК, что позволит впоследствии повысить эффективность контрольных процедур. Данная оценка формируется через систему тестов, которые показывают эффективность той или иной контрольной процедуры. Процесс тестирования и совершенствования системы внутреннего контроля должен происходить непрерывно. Пересмотр системы должен производиться постоянно, а не только по результатам ежегодного аудита.

Законно и выгодно

Как показало исследование, есть ряд типичных ошибок, которые допускают компании при внедрении СВК в соответствии с SOX. Это недооценка объемов работы, невнимание к процессам и их описанию, внедрение неэффективной СВК "для галочки", попытка ограничиться только контрольными процедурами без анализа рисков, отсутствие обучения. Кроме того, зачастую компании пренебрегают IT-решениями, воспринимают создание СВК как разовый проект, а не как постоянную деятельность. Использование процессо-ориентированного подхода, методологии управления операционными рисками, принципов построения системы внутреннего контроля (COSO, РСАОВ 2) в совокупности позволяет построить эффективную СВК. Такая система будет не только соответствовать закону SOX, но и принесет значительную пользу компании, выведет ее на новый уровень развития.

А. Коптелов,

директор департамента 11-консалтинга консалтинговой

компании "IDS Scheer Россия и страны СНГ"

В. Беркович,

старший консультант департамента 11-консалтинга

"IDS Scheer Россия и страны СНГ"

"Риск-менеджмент", N 5-6, май-июнь 2007 г.