Практикум

Практическое задание

Познакомившись с ОГЛАВЛЕНИЕм кейса "Использование системы внутреннего контроля в американских компаниях", сформулируйте принципы построения системы внутреннего контроля (СВК) в соответствии с методологией COSO и определите роль СВК в системе управленческой кризис-диагностики.

Использование системы внутреннего контроля в американских компаниях

После череды корпоративных скандалов в США был принят закон Сарбейнса – Оксли (2006), в соответствии с которым американская публичная компания не может существовать без системы внутреннего контроля. Это способ борьбы акционеров со злоупотреблениями менеджмента и управленческой анархией.

По закону Сарбейнса – Оксли директора, виновные в недосмотре или злоупотреблениях, рискуют на несколько десятков лет угодить за решетку. Немудрено, что закон стимулировал бурный прогресс внутреннего аудита в компаниях, акции которых котируются на американских биржах.

Закон Сарбейнса – Оксли ссылается на модель внутреннего контроля, разработанную Комитетом организаций-спонсоров Комиссии Тредвея в Конгрессе США (The Committee of Sponsoring Organizations of the Treadway Commission, COSO). Согласно методологии COSO, существует три основные цели внутреннего контроля: проверка эффективности хозяйственных операций, соответствия операций и учета требованиям законов, а также обеспечения достоверности финансовой отчетности. Соответственно задача построения эффективной системы внутреннего контроля в том, чтобы структурировать все контрольные процедуры для всех важных бизнес-процессов, дабы выполнить три этих "сверхзадачи".

Модель COSO состоит из пяти ключевых компонентов: контрольной среды, оценки рисков, контролирующих мероприятий, внутренних коммуникаций и мониторинга.

1. Формирование эффективной внутренней среды (controlenvironment). Это фундамент системы внутреннего контроля. Корпоративная культура, управленческий стиль высшего менеджмента, кадровая политика, корпоративный кодекс, организационная форма и полномочия службы внутреннего аудита, ОГЛАВЛЕНИЕ программ по противодействию внутреннему мошенничеству, система бюджетирования, политика в сфере ИТ, закупок, сбыта – весь этот свод внутренних писаных и неписаных правил формирует контрольную среду и в конечном счете предопределяет качество отчетности и эффективность хозяйственных процессов.

2. Рациональный риск-менеджмент (risk assessment). Система контроля должна начинаться с зон повышенного риска, с тех участков деятельности компании, где существует наибольшая угроза финансовых потерь: хищения, порча сырья или готовой продукции, нерациональное расходование средств, значительные убытки из-за налоговых штрафов и т.д. Поэтому важной составляющей систем внутреннего контроля является риск-менеджмент. Его задача – идентифицировать риски и составить карту рисков, выделить наиболее критичные риски с точки зрения потенциального ущерба (при отсутствии должного контроля), разработать пути их минимизации и, наконец, проводить ежегодную переоценку рисков. Процесс анализа должен быть осмысленным, например, риск хищений в столовой путем подписания фальшивых платежек имеет высокую вероятность наступления, но небольшой ущерб. Если затраты на устранение риска превышают размер потенциального ущерба, не имеет смысла им заниматься.

3. Разработка контрольных процедур на все случаи жизни (control activities). Когда приоритеты системы внутреннего контроля благодаря риск-менеджменту расставлены и выявлены бреши в системе контроля, наступает черед конкретных мер по усилению контроля. Модель COSO предусматривает девять видов контролирующих воздействий, т.е. способов реагирования на недостатки. Вот несколько примеров. Неясно, кто за что отвечает – нужно четко разграничить сферы ответственности; трудно определить виновников ущерба – нужно придумать способы авторизации операций, контрактов, изменений в документах. Если слишком много лиц имеют доступ к конфиденциальным данным или ценным активам, следует ограничить доступ; а когда намечаются расхождения между реальными и отчетными запасами на складах – провести инвентаризацию складских остатков.

4. Беспрепятственная внутренняя коммуникация (information & communications). Речь идет о том, чтобы в компании были созданы условия для получения полных и достоверных данных, их хранения и обработки, а главное – для полноценного информационного обмена между подразделениями и различными уровнями руководства.

5. Мониторинг (monitoring). Сюда относятся способы надзора высших уровней управления за работой низших. Это различные виды аудита, в том числе аудит качества, техники безопасности, внутренний аудит. Часто мониторинг проводится для того, чтобы найти какие-либо отклонения от стандартных показателей или правил. Поэтому основой мониторинга являются различные корпоративные нормативы, например по складским остаткам или же срокам закрытия бухгалтерских книг.