PKF
English
Русский
Член PKF International Ltd
Версия для печати

Публикации по аудиту

Управление рисками и организация системы внутреннего контроля компании

Ведение бизнеса без адекватной его масштабу системы управления рисками снижает стоимость бизнеса в глазах внешних инвесторов, увеличивает неопределенность в достижении запланированных финансовых результатов и увеличивает издержки на компенсацию реализовавшихся рисков.


COSO Internal Control

Подходы к системному управлению рисками компании разработаны The Committee of Sponsoring Organizations of the Treadway Comission или сокращенно COSO в Концептуальных основах внутреннего контроля (COSO Internal Control) и Концептуальных основах управления рисками организаций (COSO Enterprise Risk Management или COSO ERM). Дальнейшее развитие основ внутреннего контроля произведено законом Сарбейнса-Оксли.


Эти отчеты стали стандартом, с которым компании могут сравнивать свои корпоративные системы контроля и управления рисками для дальнейшего их совершенствования. Стандарт COSO ERM основывается на 2 базовых принципах:

  • Каждый менеджер и сотрудник компании существует для получения/создания ценности для владельцев
  • Ценность получается/создается - разрушается усилиями менеджеров всех уровней

Несмотря на то, что данные подходы были разработаны для публичных компаний, они могут применяться компаниями любой организационно- правовой формы. Различные аспекты рисков, с которыми сталкивается бизнес, классифицируются применительно к целям:

  • Стратегическим и миссии компании
  • Операционным
  • В области подготовки отчетности
  • В области соблюдения применимого законодательства и нормативных актов

Основными правилами риск менеджмента являются:

  • Нельзя рисковать на величину большую величины собственного капитала
  • Нельзя рисковать многим ради малого
  • При наличие сомнений принимается отрицательное решение

1.1. Управление рисками

Управление рисками включает в себя управление неопределенностями, которые могут вести к рискам и новым возможностям ведения бизнеса:

  • Определение величины риск-аппетита компании, на который она готова пойти. Риск аппетит определяется при разработке стратегии (стратегических альтернатив) и утверждается акционерами (советом директоров)
  • Определение способов реагирования на различные риски. Возможно принятие риска на компанию, передача риска контрагенту, страховщику и пр., управление риском, включая ограничение последствий
  • Планирование своей деятельности так, чтобы сократить возможность реализации рисков и убытков от них
  • Классификация и управление совокупностью рисков компании
  • Использование благоприятных потенциальных возможностей
  • Эффективное использование капитала. Предполагается, что компания, управляющая своими возможностями, может оптимально распределять и использовать капитал
Магический куб ERM COSO

Управление рисками компании состоит из 8 компонентов:

  • Внутренняя среда (internal environment)
  • Постановка целей (objective setting)
  • Выявление событий и их определение как рисков и возможностей (event identification)
  • Оценка рисков (risk assessment)
  • Реагирование на риск (risk response)
  • Средства контроля (control activities)
  • Отчетность и документооборот (information and communication)
  • Мониторинг системы управления рисками и ее совершенствование (monitoring)

Оценка эффективности управления рисками производится на основании субъективных оценок достижения четырех целей компании по состоянию управления компонентами и контролю за принятыми на компанию рисками.


1.2. Внутренний контроль

Модель внутреннего контроля по модели COSO состоит из пяти компонентов:

  • Контрольной среды, состоящая из целостности, этических ценностей, процессов управления и развития персонала в компании
  • Оценки рисков, применительно к их влиянию на цели компании
  • Средств контроля, состоящих из документов и процедур по управлению рисками для всех уровней и функций (компания, подразделение, должностное лицо). Средства контроля работают, когда компания имеет описания бизнес-процессов получения согласований, разрешений, проверок, сверок, подготовки отчетности, произведено распределение обязанностей, полномочий и ответственности
  • Отчетности и документооборота, т.к. они обеспечивают координацию работы сотрудников, клиентов, поставщиков, регулирующих и контролирующих органов, акционеров и пр.
  • Мониторинга, т.е. процесс постоянной оценки системы внутреннего контроля компании и ее совершенствования

Внутренний контроль работает эффективно когда:

  • Обязанности, ответственность, полномочия ясно определены и понятны исполнителям
  • Политики, процедуры, обязанности задокументированы и регулярно пересматриваются
  • Персонал получает адекватное требованиям обучение
  • Транзакции авторизуются и записываются
  • Проводится адекватный надзор за действиями персонала
  • Доступ (физический и системный) контролируется
  • Налажен учет и периодическая сверка активов и пассивов

При создании и совершенствовании системы внутреннего контроля необходимо не допускать ситуации когда стоимость владения системой внутреннего контроля превышала пользу от нее.