Оцінка ризиків та створення ефективної системи внутрішнього контролю

Сьогодні управління ризиками знаходиться на порядку денному фактично в кожній компанії. І це зрозуміло, адже в сучасних умовах чимало економічних та соціальних процесів настільки ускладнилися, що генерування рішень з управління ризиками стає під силу лише спеціалізованим підрозділам. У свою чергу експерти відзначають постійно зростаючу вартість ризиків, з якими доводиться стикатися як великим, так і дрібним компаніям. Вони закликають до підвищення якості корпоративного управління і вдосконалення системи управління ризиками.

На щастя, більшість компаній починають розуміти, наскільки важлива фундаментальна роль корпоративної безпеки, що вона може бути успіхом для їхнього бізнесу. Найважливіше, що відбулося, це помітне зрушення в галузі безпеки від простого захисту компаній до того, щоб стати джерелом їхньої конкурентної переваги.

Порядок організації внутрішнього контролю, включно з обов'язками і повноваженнями підрозділів та персоналу компанії, визначаються в залежності від характеру і масштабів діяльності компанії, особливостей її системи управління. Основний принцип повинен бути таким: всім дотримуватися розумності і порівнювати трудовитрати при здійсненні контролю з отриманим результатом. Також варто відзначити, що організація та оцінка системи внутрішнього контролю може здійснюватися компанією самостійно і/або з залученням зовнішнього консультанта.

Щоб розібратися, що собою являє система внутрішнього контролю і як її будувати, давайте розглянемо основні визначення – внутрішній контроль, система внутрішнього контролю і система управління ризиками.

Внутрішній контроль – це процес, спрямований на забезпечення достатньої впевненості в досягненні стратегічних і операційних цілей компанії, ефективного та результативного використання її ресурсів, збереження активів, дотримання компанією вимог законодавства України, галузевих стандартів, внутрішніх нормативних документів компанії та надання достовірної звітності.

Система внутрішнього контролю – весь діапазон процедур, методів і механізмів контролю, що створюються виконавчими органами та Радою директорів компанії для забезпечення ефективного здійснення внутрішнього контролю фінансово-господарської діяльності компанії.

Система управління ризиками – сукупність процедур, методик, інформаційних систем, спрямованих на досягнення цілей і завдань управління ризиками.

Контрольні процедури є невід'ємною частиною бізнес-процесів компанії та спрямовані на виключення (зниження) ймовірності реалізації ризиків, які потрапили в зону контрольних точок, зв’язуючи фактори ризиків бізнес-процесу зі стратегічними цілями компанії. З метою визначення контрольних точок важливо створити матрицю ризиків і контрольних процедур, властивих саме вашій компанії. Дана матриця являє собою документ, що описує контрольне середовище процесу у вигляді таблиці, яка містить опис кроків процесу, опис ризиків процесу та опис контрольних процедур.

Після створення матриці ризиків важливо визначити учасників системи внутрішнього контролю. Відповідальними за виконання контрольних процедур в різних компаніях стандартно є Рада директорів, ревізійна комісія, комітет з аудиту Ради директорів, генеральний директор, підрозділ внутрішнього аудиту та управління ризиками, служба безпеки, а також посадові особи і працівники. Контрольні функції робочого персоналу повинні бути закріплені в посадових інструкціях, в розрізі категорій персоналу із вказівками і рекомендаціями, а також плановими заходами.

Коли в компанії вибудувана система внутрішнього контролю (створена матриця ризиків і контрольних процедур, визначені учасники процесу внутрішнього контролю, і все це закріплено у внутрішніх документах, доведених всім зацікавленим сторонам), важливо реалізувати її на практиці.

Процес оцінки ризиків – це виявлення і по можливості усунення ризиків у веденні господарської діяльності, а також їхніх можливих наслідків. Водночас слід враховувати, що ризики можуть бути пов'язані як із зовнішніми, так і з внутрішніми подіями і обставинами.

При виявленні можливих ризиків керівництво розглядає ступінь їхньої важливості, ймовірність їх виникнення і способи управління ними. Керівництво може складати плани, програми, здійснювати відповідні дії для усунення цих ризиків або прийняти рішення ігнорувати ризики через дорожнечу можливих засобів контролю щодо цих ризиків або з інших причин.

Ефективність системи внутрішнього контролю проявляється: в постійному моніторингу контрольних точок (контрольне середовище), виявленні та оцінці ризику (події), реагуванні на ризик (контрольні дії). За результатами розслідування ризику, якщо це необхідно, вноситься удосконалення в систему внутрішнього контролю і/або змінюється бізнес-процес. Також концепція внутрішнього контролю включає в себе моніторинг самої системи внутрішнього контролю, необхідний для визначення її ефективності.

Функціонування системи внутрішнього контролю буде результативним, якщо в процесі її роботи дотримані наступні принципи:

відповідальності – кожен суб'єкт внутрішнього контролю за неналежне виконання контрольних функцій, передбачених посадовими обов'язками, повинен нести фінансову і/або дисциплінарну відповідальність;

своєчасного повідомлення про виявлені істотні відхилення – інформація про них повинна бути оперативно доведена до осіб, які безпосередньо приймають рішення за даними аномаліями;

відповідності контролюючої і контрольованої систем – ступінь складності системи внутрішнього контролю компанії повинна завжди відповідати ступеню складності бізнесу;

сталості – система внутрішнього контролю повинна діяти на постійній основі;

комплексності – весь комплекс об'єктів внутрішнього контролю в компанії повинен бути охоплений його різними формами в залежності від рівня ризику;

розподілу обов'язків – функції працівників апарату управління розподіляються між ними таким чином, щоб виконувалися вимоги до формування контрольного середовища.

Так склалося, що фактично кожна компанія стикається з шахрайством, крадіжкою інтелектуальної власності, фінансовими злочинами, корупцією, хабарництвом, підробкою, насильством на робочому місці, загрозою кіберзлочинів або витоку даних. У відсутності вибудуваної системи внутрішнього контролю, яка є частиною системи корпоративного управління, зазначені зловживання можуть бути не виявлені і тим самим на постійній основі завдавати шкоди компанії.

При розслідуванні злочинів, пов'язаних із шахрайством, розкраданням, порушенням режиму охорони об'єкта, витоком конфіденційної інформації, розголошенням комерційної таємниці тощо, керівником комісії зазвичай призначається директор із безпеки. Він координує роботу членів комісії, визначає методи проведення розслідування і відповідає за дії співробітників, які беруть в ньому участь.

Матеріали, що дають підставу для проведення внутрішнього розслідування, можуть бути отримані:

- за результатами аудиторської перевірки;

- за результатами інвентаризації;

- з офіційних і неофіційних (анонімних) заяв співробітників (whistle-blowers);

- на основі оперативної інформації.

Службове розслідування проводять співробітники служби безпеки у взаємодії з іншими структурними підрозділами (включно зі службою управління персоналом) і особами, що мають відношення до даного інциденту.

Цілі проведення службового розслідування:

- знайти винних у події;

- з'ясувати причини виникнення;

- оцінити збиток і знайти способи його мінімізації;

- виробити пропозиції щодо запобігання подібним випадкам у майбутньому.

При проведенні внутрішнього розслідування важливо дотримуватися стандартного алгоритму:

1. Визначити предмет розслідування.

Усвідомити суть того, що сталося. Зрозуміти, що сталося, з'ясувати причини і наслідки, визначити, якого роду інформація може бути корисна і де її можна знайти.

2. Скласти список осіб для включення в комісію з проведення розслідування.

Рекомендується включати до складу комісії працівників, які займаються предметом розслідування. Краще включати до складу комісії довірених осіб, що не розголосять інформацію і не зашкодять перевірці. Корисна допомога і сторонніх консультантів для незалежної оцінки фактів і дотримання режиму секретності.

3. Видати наказ про проведення розслідування.

Наказ підписується особою, яка має повноваження підписувати такі накази, наприклад, директором компанії або директором з безпеки. У наказі необхідно визначити предмет розслідування, терміни проведення, призначити членів комісії і встановити їхні повноваження. Також необхідно вказати в документі, що розслідування і його результати – конфіденційна інформація. Ознайомити з наказом членів комісії.

4. Зібрати і проаналізувати матеріали.

Зробити це треба до проведення інтерв'ю. Детально вивчити внутрішні документи компанії, локальні нормативні акти та інші матеріали, які відносяться до предмета розслідування.

5. Визначити, з ким буде проводитися інтерв'ю.

Потрібно опитати всіх працівників, які мають у своєму розпорядженні корисну інформацію для мети розслідування.

Інтерв'ю з потенційними винуватцями варто проводити після збору всієї доказової бази, оскільки є ризик того, що вони знищать дані, які підтверджують їхню провину.

Необхідно вжити заходи для захисту доказової бази до кінця розслідування, зробити резервні копії даних або обмежити доступ до програм. Водночас обмеження доступу не повинно привести до того, що працівник не зможе виконувати свої прямі обов'язки.

6. Підготувати питання.

Важливо до початку інтерв'ю скласти перелік питань. Ставити запитання необхідно так, щоб отримати на них максимально детальну відповідь. Є два типи питань: загальні та предметні. До загальних належать питання щодо працівника, його ролі і функції в компанії, порядку взаємодії з іншими відділами. Предметні розкривають суть розслідування.

7. Провести інтерв'ю.

Під час інтерв'ю або відразу після нього необхідно скласти протокол. Протокол підписують і ті, хто бере інтерв'ю, і ті, хто його дає. Проводити опитування необхідно в присутності мінімум двох свідків. За згодою того, хто дає інтерв’ю, можна вести аудіо- або відеозйомку. Можна попросити працівника відповісти на запитання власноруч. Відмову від письмових або усних відповідей слід оформити актом в присутності мінімум двох свідків.

8. Проаналізувати факти і оформити результати розслідування.

Комісія аналізує факти, які виявлені в ході розслідування, і встановлює, чи були порушення, і хто їх допустив. Важливо виявити і перевірити суперечності, які виникли, і вибудувати логічно несуперечливу картину того, що сталося. На основі зібраних даних визначити винних і запропонувати заходи для запобігання подібних випадків у подальшому.

Після аналізу складається звіт, який підписується усіма членами групи. Чим формальніший перебіг слідства, тим формальніший повинен бути звіт, тобто кожен факт повинен бути підтверджений документально.

9. Інформувати всіх співробітників компанії.

З метою профілактики майбутніх порушень результати розслідування і вжиті стягнення щодо винних в обов'язковому порядку повинні бути доведені до всіх співробітників компанії, якщо тільки розголошення не стане породженням нових ризиків.

Незважаючи на те, що організація системи внутрішнього контролю сама по собі не гарантує автоматичного досягнення цілей, її відсутність створює більше можливостей для здійснення помилок або їх невиявлення. Створюючи систему внутрішнього контролю, компанії повинні уникати застосування правил і практики, які можуть ненавмисно створювати стимули або спокусу для здійснення неправомірних дій. Зокрема, надмірний акцент на досягненні показників або інших операційних результатів, особливо які мають короткостроковий характер і ігнорують більш довготривалі ризики; схеми винагороди співробітників, надмірно орієнтовані на короткострокові показники; неефективний розподіл обов'язків або контролю, який створює можливості для неправильного використання ресурсів або для приховування негативних показників тощо.

Зростання ризиків всередині компанії буде нерозривно пов'язано з ростом організації, з впровадженням нових виробничих та інформаційних технологій. А це означає неминучу появу стратегічних ризиків, які знижують здатність своєчасно і якісно розробляти і впроваджувати прийняту керівництвом стратегію управління. Саме тому необхідно виявляти ранні ознаки появи таких ризиків.