Лекція 5. Генезис та характеристика видів, форм і суб’єктів контролю
4. Взаємодія компонентів внутрішнього контролю відповідно до концепції COSO
4. Взаємодія компонентів внутрішнього контролю відповідно до концепції COSO
Одним із варіантів організації системи внутрішнього контролю є використання ризик-орієнтованого підходу. Комітетом організацій-спонсорів Комісії Тредвея було запроваджено модель COSO (The Committee of Sponsoring Organizations of the Treadway Commission), яка може слугувати еталоном для порівняння суб’єктами господарювання власних систем внутрішнього контролю.
Комітет організацій-спонсорів Комісії Тредвея США (Комітет спонсорських організацій Комісії Тредвея – COSO) – є добровільною приватною організацією, яка була створена в Сполучених Штатах у 1985 році з метою розробки відповідних рекомендацій щодо корпоративного управління, фінансової звітності, внутрішнього контролю тощо.
Важливим результатом роботи організації COSO стало створення всеохопної концепції внутрішнього контролю. Структура внутрішнього контролю COSO стала міжнародною моделлю для опису та визначення внутрішнього контролю.
Модель COSO включає в себе основні поняття контролю:
- Контроль являє собою процес. Це засіб для досягнення мети, а не самоціль.
- Контроль залежить від людей. Він являє собою не тільки політики, керівництва і форми, а й людей на всіх рівнях організації.
- Контроль може забезпечити керівництву та Раді компанії лише достатню впевненість, але не абсолютні гарантії.
- Контроль спрямований на досягнення цілей в одній або декількох окремих, але пересічних категоріях.
Модель COSO визначає внутрішній контроль як процес, здійснюваний радою директорів, менеджментом та іншим персоналом компанії, призначений для забезпечення «розумної впевненості» щодо досягнення цілей у наступних категоріях:
ефективність і продуктивність операцій;
надійність фінансової звітності;
дотримання законів і правил.
Модель внутрішнього контролю складається з п’яти взаємопов’язаних компонентів, що виникли зі способів управління бізнесом. Згідно з COSO ці компоненти забезпечують ефективну основу для опису та аналізу системи внутрішнього контролю підприємства. П’ять компонентів інтегрованої моделі внутрішнього контролю COSO містять:
середовище контролю;
оцінку ризиків; засоби контролю;
інформацію та комунікації;
Взаємопов'язані компоненти (табл. 19) забезпечують ефективну основу для її опису і аналізу.
Компоненти моделі COSO
|
Компоненти моделі |
Пояснення |
|
Контрольне середовище |
задає атмосферу в організації, впливаючи на контрольну свідомість персоналу. Воно є основою для всіх інших компонентів внутрішнього контролю, забезпечуючи підтримання дисципліни і структури. Факторами контрольного середовища є: цілісність, етичні цінності, стиль роботи керівництва, система делегування повноважень, процеси управління і розвитку персоналу в організації |
|
Оцінка ризиків |
організація стикається з різними ризиками, що виникають у зовнішньому та внутрішньому середовищі, які повинні бути оцінені. Попередньою умовою для оцінки ризику є визначення цілей, тому оцінка ризику передбачає виявлення і аналіз відповідних ризиків, пов'язаних із досягненням поставлених цілей. Оцінка ризику є необхідною умовою для визначення того, як необхідно управляти ризиками |
|
Засоби контролю |
контроль здійснюються відповідно до внутрішніх документів суб’єктів господарювання, які допомагають менеджменту в реалізації їх рішень. Вони забезпечують можливість виконання необхідних дій, для запобігання виникнення ризиків, що можуть перешкоджати досягненню цілей організації. Засоби контролю застосовуються в межах всієї організації, на всіх її рівнях і всіма функціями. Вони включають в себе цілий ряд заходів: узгодження, дозволи, перевірки, звірки, звітування, забезпечення безпеки активів і розподілу обов'язків |
|
інформаційні системи відіграють ключову роль в системі внутрішнього контролю, оскільки вони формують звіти, що включають в себе не тільки фінансову інформацію, а також дані щодо операційної діяльності, дотримання процедур та норм чинних нормативно-правових актів, які дозволяють керувати та розвивати бізнес. У більш широкому сенсі, ефективна комунікація повинна забезпечувати формування інформаційних потоків знизу - вгору по усій організації. |
|
|
Моніторинг |
система внутрішнього контролю потребує моніторингу - процесу оцінки якості роботи системи протягом визначеного проміжку часу. Це досягається шляхом постійного спостереження за суб’єктом господарювання. Недоліки внутрішнього контролю, виявлені під час таких контрольних заходів слід доводити до відома керівництва та усувати з метою забезпечення безперервного вдосконалення керованої системи |
Концепція COSO являє собою:
• визначає цілі внутрішнього контролю;
• визначає компоненти внутрішнього контролю;
• ілюструє як ці компоненти допомагають досягненню цілей;
• розуміння, що на практиці не існує двох однакових систем внутрішнього контролю.
Інтегрована модель управління ризиками підприємства COSOERM (Enterprise Risk Management) була розроблена, щоб створити послідовну систему для визначення та контролю ризиків.
Управління ризиками підприємства (riskmanagement) – це процес здійснюваний радою директорів, менеджерами та іншими працівниками, який починається при розробці стратегії підприємства і стосується всієї діяльності. Він спрямований на визначення подій, які можуть впливати на підприємство та управління, пов'язаних з цими подіями ризиком, а також контроль того, щоб не був перевищений ризик-апетит підприємства та забезпечувалась розумна гарантія досягнення цілей підприємства.
Ця модель засновується на певних фундаментальних парадигмах, що забезпечують дієвість інтегрованої моделі COSOERM:
управління ризиками підприємства (ERM) - це процес, тобто сукупність дій, спрямованих на досягнення певного результату;
процес управління ризиками підприємства здійснюється всіма його працівниками;
процес ERM використовується при розробці та формуванні стратегії всього підприємства;
має бути дотримана концепція ризик-апетиту, де ризик-апетит - це той обсяг ризику, який підприємство готове взяти на себе задля досягнення своїх цілей;
процес ERM дає його керівництву «розумну» гарантію досягнення цілей та розроблений, щоб сприяти досягненню цілей.
Таким чином, інтегрована модель COSOERM надає декілька загальних визначень управління ризиками і сприяє досягненню цілей внутрішнього контролю, а також процесам управління в межах усього підприємства. Концептуальна основа управління ризиками підприємства, як і раніше, спрямована на досягнення його цілей, однак тепер містить чотири категорії:
стратегічні цілі (strategic) – цілі високого рівня, співвіднесені з місією/баченням підприємства;
операційні цілі (operations) – ефективне і результативне використання ресурсів; цілі щодо підготовки звітності (reporting) – достовірність звітності;
цілі у сфері дотримання законодавства (compliance) – дотримання законодавчих і нормативних актів.
|
Компоненти ризику |
|
Цілі |
|
Підприємство та його елементи |
||
|
Внутрішнє середовище |
|
Стратегічні цілі |
|
Підприємство |
||
|
Постановка цілей |
|
Операційні цілі |
|
Підрозділ |
||
|
Визначення подій |
|
Цілі підготовки звітності |
|
Господарська одиниця |
||
|
Оцінка ризиків |
|
Цілі дотримання законодавства |
|
Дочірне підприємство |
||
|
Реагування на ризик |
|
|
|
|
||
|
Засоби контролю |
|
|
|
|
||
|
Інформація і комунікація |
|
|
|
|
||
|
Моніторинг |
|
|
|
|
||
Рис. 8. Інтегрована модель COSOERM
Система внутрішнього контролю COSO, що відображена на рис. 8, стала моделлю, яка використовується у всьому світі для опису та визначення внутрішнього контролю.
1. Чотири вертикальні колонки зображають цілі та завдання відповідно до об’єкта управління ризиками.
2. Вісім горизонтальних рядів стосуються основних елементів внутрішнього контролю. Декілька рівнів для того, щоб описати структуру будь-якого підприємства, від головної «штаб-квартири» до рівня окремої господарської одиниці в окремих дочірніх підприємствах.
3. Вісім компонентів управління ризиками COSOERM містять попередні п’ять компонентів Концептуальних засад внутрішнього контролю COSO, розширених для задоволення зростаючого попиту щодо управління ризиками.
Внутрішнє середовище (англ. Internal environment) визначає атмосферу на підприємстві, яким чином ризик сприймається керівниками та менеджерами підприємства і як вони на нього реагують. Внутрішнє середовище об’єднує філософію управління ризиками і ризик-апетит, чесність і етичні цінності, а також те середовище, в якому вони існують. Цілі мають бути визначені (англ. Objective setting) до того, як керівництво почне виявляти події, які потенційно можуть вплинути на їх досягнення. Внутрішні і зовнішні події (англ. Event identification) мають вплив на досягнення цілей підприємства, мають визначатися з урахуванням їх поділу на ризики та можливості, при цьому можливості мають ураховуватися керівництвом у процесі формування стратегії і постановки цілей. Ризики оцінюються (англ. Riskassessment) з урахуванням ймовірності їх виникнення та впливу з метою визначення того, які дії стосовно них необхідно вжити. Ризики оцінюються з погляду притаманного й залишкового ризику. Керівництво вибирає метод реагування на ризик (англ. Risk response) – ухилення від ризику, прийняття, зменшення або перерозподіл ризику, розробляючи заходи, які дадуть можливість звести виявлений ризик відповідно до його припустимого рівня і ризик-апетиту підприємства. Засоби контролю (англ. Control activities), політика і процедури мають бути розроблені і встановлені таким чином, щоб забезпечувати «розумну» гарантію того, що реагування на ризики, які виникають, відбувається ефективно і своєчасно.
Необхідна інформація визначається, фіксується і передається в такій формі і в такі строки, які дають можливість працівникам підприємства виконувати їх функціональні обов’язки. Також здійснюється ефективний обмін інформацією (англ. Information and communication) у межах підприємства як вертикально, зверху вниз і знизу вгору, так і горизонтально. Весь процес управління ризиками підприємства відстежується і за необхідності коригується. Моніторинг здійснюється в межах поточної діяльності керівництва або шляхом проведення періодичних оцінок.
Процес управління ризиками підприємства COSOERM може бути ефективним тільки в тому випадку, якщо він є безперервним, здійснюється та контролюється керівниками усіх рівнів управління та всі вісім наведених елементів існують і функціонують задля досягнення ефективних та результативних операцій, надійної фінансової звітності й відповідно до встановлених законів і правил.
Слід зазначити, що процес управління ризиками підприємства COSOERM може бути ефективним тільки в тому випадку, якщо він є безперервним, здійснюється та контролюється керівниками усіх рівнів управління та всі вісім наведених елементів існують і функціонують задля досягнення ефективних та результативних операцій, надійної фінансової звітності й відповідно до встановлених законів і правил.
Обмеження внутрішнього контролю:
• недосконалість прийняття рішень
• відповідність затрат до вигоди (costs vs. benefits)
• обмеженість ресурсів
• зрив через прості помилки
• змова
• недбалість керівництва (management override).
Кроки по впровадженню COSO
|
Кроки |
Впровадження |
|
Розподіл повноважень та відповідальності |
• керівник - проектування та відповідальність за функціонування; • заступники керівника та керівники структурних підрозділів - організація контролю та відповідальність за дотримання принципів та за стан внутрішнього контролю в підпорядкованих сферах управління; • працівники - дотримання встановлених правил, регламентів, процедур та відповідають за їх виконання |
|
Правило документування |
Якщо відповідні правила і процедури контролю не задокументовані, то вважається, що в цьому сегменті контроль відсутній |
|
Визначення внутрішнього середовища: |
|
|
Оцінка елементів внутрішнього середовища |
• Філософія управління ризиками • Культура сприйняття ризику • Єдність та етичні принципи • Прагнення до компетенції • Філософія управління та стиль роботи • Ризик-апетит • Організаційна структура • Призначення повноважень та відповідальності • Кадрова політика і практика |
|
Мета проведення оцінки внутрішнього середовища |
• Оцінювання якості середовища внутрішнього контролю • Розуміння підходів керівництва до управління ризиками • Визначення сильних та слабких сторін внутрішньої діяльності • Визначення потенційних ризикових сфер діяльності |
|
Етапи оцінки внутрішнього середовища |
• Інвентаризація процесів • Створення регламентів та описів для процесів та операцій • Розробка і затвердження інструкції з внутрішнього контролю • Гармонізація внутрішнього середовища |
|
Опис процесів |
розкриває його функціонування, забезпечуючи керівництву інструмент для оцінки та перевірки діяльності структурного підрозділу, що несе за нього відповідальність. Вимоги до опису процесів: • Графічне відображення з використанням нотації BPMN • Рекомендоване програмне забезпечення Bizagi Modeler (безкоштовне) • Текстовий опис • Зберігання інформації в оригінальному форматі та PDF |
|
Заключні положення щодо оцінки внутрішнього середовища |
• Кожна організація має власні сфери діяльності, процеси, операції, які потрібно ідентифікувати та описати, із визначенням відповідальності • Відповідно, кожна організація має своє внутрішнє середовище • Під час його аналізу важливо не лише дивитися на те, що прописано в документах, а як це реалізується на практиці • Кінцевий результат - оцінка сильних та слабких сторін діяльності організації як передумова для оцінки ризиків |
|
Формулювання цілей: |
|
|
Критерії цілей: SMART |
Specific - конкретність Measurable - вимірність Achiavable - досяжність Relevant - актуальність Time bound - визначені у часі |
|
Категорії цілей |
• стратегічні • операційні • звітність • відповідність |
|
Порядок визначення цілей |
Місія Стратегічні цілі Стратегія Пов’язані цілі: операції, звітність, відповідність |
Шрифти
Розмір шрифта
Колір тексту
Колір тла
Кернінг шрифтів
Видимість картинок
Інтервал між літерами
Висота рядка
Виділити посилання