|
Прежде чем говорить непосредственно о проекте, стоит заметить, что внутренний контроль в том или ином варианте уже присутствует в компаниях, просто может не выделяться в отдельную систему. С другой стороны, тотальность внутреннего контроля невозможна, да в ней и нет необходимости — не стоит на отдельные элементы внутреннего контроля тратить больше средств и усилий, чем они способны принести прибыль компании.
Таким образом, при развитии системы внутреннего контроля компания должна определиться с тем, в каком объеме ей необходимо это делать.
Западный опыт показывает, что в погоне за лидером компании-последователи часто ему подражают, тщательно копируя даже его внутренние системы информации. История неоднократно доказывала ущербность такой практики. Наибольший эффект, в том числе и в отношении системы внутреннего контроля, достигается именно при развитии систем управления на основе собственной стратегии компании.
Соответственно систему внутреннего контроля необходимо развивать, отталкиваясь от рисков, которые сопутствуют принятой корпоративной стратегии, затем опускаясь на нижние уровни процессов.
Исследования показывают, что сочетание системы внутреннего контроля и системы управления эффективностью способно повысить эффективность обеих систем, поэтому предпочтительно уже на концептуальном уровне определить их взаимосвязи. Например, дерево целей, стратегическая карта или сбалансированная система показателей способны упростить выявление ключевых рисков по разным уровням, а принципы развития системы управления эффективностью для какого-то подпроцесса — привести к определению наиболее существенных контрольных процедур.
Иногда в практике может встретиться такой подход, в соответствии с которым берутся по отдельности задачи, которые ставятся перед системой внутреннего контроля, и они уже раскладываются на подзадачи. В этом случае компания существенно рискует упустить из виду множество важных рисков, а потому системный подход к развитию внутреннего контроля следует считать предпочтительным. В этом как раз может помочь грамотно построенная система управления эффективностью, которая позволит не просто увязать задачи системы внутреннего контроля со стратегией, но и обнаружить новые сферы, которые также необходимо данной системой охватить.
Развитие системы внутреннего качества, опирающееся на систему управления эффективностью, также упростит участникам проекта понимание, что ключевые риски для большинства компаний — операционные. В этом смысле компаниям предпочтительнее опираться не на Закон Сарбейнса—Оксли, а на соответствующие стандарты COSO.
Практика показывает, что ориентация на финансовые риски и риски искажения финансовой отчетности не обеспечивает устойчивости компаниям. В качестве примера стоит привести банк Northern Rock, входивший в пятерку крупнейших английских залоговых банков, который неоднократно получал высшие баллы по соответствию системы внутреннего контроля закону Сарбейнса—Оксли, но при этом не смог долгое время что-либо противопоставить обвалу на рынке.
Также при формировании карты рисков особое внимание необходимо уделить сделкам с заинтересованностью. Это может быть сотрудничество с контрагентами, аффилированными с сотрудниками компании. Или же, наоборот, владеющий определенным бизнесом в той же или смежной отрасли сотрудник может переманивать к себе клиентов. И так далее.
Очень важно, чтобы в карте рисков нашло свое отражение и то, что является критичным для ведения бизнеса, — работа с ключевыми клиентами или поставщиками, изменения в законодательной базе и т. д.
После того как нарисована карта рисков, следует рассмотреть различные схемы мошенничества и возможности для искажения информации. На этом этапе участникам проекта лучше всего привлекать к работе сотрудников, занимающихся соответственным сектором работ. Поощряйте их за участие, и они откроют множество скрытых ранее знаний относительно изучаемых подпроцессов. В соответствии с исследованиями Association of Certified Fraud Examiners, от 34 до 50% схем и случаев мошенничества раскрывается именно внутренними сотрудниками компании, в 25% случаев это происходит случайно, и только в 10—25% этому способствуют внешние аудиторы. Таким образом, отказываясь от привлечения к проекту сотрудников, занятых в соответствующих подпроцессах, компания оставляет значительную часть рисков неподконтрольными.
Составив по каждому подпроцессу набор рисков и возможных схем мошенничества, участники проекта должны расставить приоритеты, отражающие размер и вероятность наступления событий. Одновременно происходит изучение существующих контрольных процедур и оценка их эффективности.
Следует отметить, что для различных процессов эффективность сопоставимых контрольных процедур будет существенно отличаться. Контрольные процедуры эффективны в тех условиях, когда процесс четко определен, результат легко может быть запланирован, а факторы риска поддаются управлению. Например, порядок действий рабочего может быть легко упорядочен, встраивание действующих контрольных процедур легко организуемо. С другой стороны, для менее организованной деятельности, например для рекламной или инновационной, эффективность контрольных процедур будет существенно ниже.
Сопоставление рисков и существующих контрольных процедур позволит определить план необходимых действий для повышения эффективности осуществляемого контроля. При этом необходимо осознать три основополагающие причины мошенничества и в дальнейшем руководствоваться ими как при планировании программы мероприятий для повышения эффективности системы внутреннего контроля, так и при ее реализации.
{SITELINK-S98}Причины мошенничества{/SITELINK}
| 
