Ольга Курныкина - Система контроля и её аудит в организации

Основными целями службы внутреннего контроля указанного типа являются:

• обнаружение нарушений инструкций и выявление нарушивших режим

• эпизодические проверки

• реагирование на уже произошедшие события («пожарного» реагирования по факту явного нарушения).

Итогом такой организации является бюрократизация процесса внутреннего контроля, отсутствие реального влияния контроля на управленческий процесс, игнорирование контроля управления рисками, сдерживание творческого потенциала персонала, эпизодичность выявления недостатков и последующий характер контроля, не позволяющий корректировать процесс, а лишь констатирующий свершившиеся факты.

Проанализируем специфику тотального контроля.

Не менее распространенной на практике особенно в крупных банках, имеющих разветвленную сеть, является организация системы внутреннего контроля основанная на концепции тотального контроля. Можно так же отметить, что эта концепция в контроле является и наиболее психологически адаптированной, что основывается позицией «из прошлого в настоящее», то есть реагирование на недостатки в прошлом. Концепция тотального контроля предполагает установление всеобъемлющего свода правил регулирующих различные аспекты деятельности организации. При этом не учитывается то, что практически нет обоснованных правил относительно будущего, кроме того, может измениться ситуация, внедряются новые продукты, имеются заведомо рискованные действия, не учитывается человеческий фактор. Для этого типа организации контроля характерна оценка соответствия фактической деятельности заданным правилам и регулирующим документам, а также стремление к организации работы, режим которой не допускал бы отклонений от установленных стандартов случайно или преднамеренно, что практически не реально или приводит к стагнации. Кроме того, важной характеристикой является регулярность и непрерывность проверок, и обязательность наказания нарушителей. Служба контроля характеризуется наличием обширного штата профессиональных контролеров и концентрацией функций контроля в одном подразделении. Функции, выполняемые службой контроля, заключаются в выявлении нарушений в виде отклонений от установленных стандартов и определении конкретных нарушителей по каждому отклонению, а главным направлением является оценка достоверности отчетности и проверка соблюдения законодательства, требований нормативных документов регулирующих органов.

Основными недостатками системы тотального контроля являются:

• высокая затратность

• детальная регламентация при умозрительности первоначального определения стандартов (по усмотрению контролера)

• формальность и упрощенность процедур осуществления проверок (метод сравнения) и оценка от достигнутого

• отсутствие оперативности (трудность своевременной и точной оценки некорректности управленческого процесса, приведшего к отклонениям от стандартов) и не реагирование на новые, неформализованные и актуальные события, вызовы и угрозы

• невозможность изменить произошедшие события, реагирование на уже произошедшие события

• корректировка отклонений, а не бизнес процесса приведшего к отклонениям (воздействие на результат (последствия), а не на процесс, приведший к нежелательным событиям)

• субъективность оценок и зависимость (подчиненность) системы контроля руководству

• ориентированность работников на контроль, а не на достижение целей, что приводит к подавлению инициативы, творчества, затормаживает эффективность работы

Переходя к анализу выделенного нами типа комбинированной системы контроля, можно отметить, что он является, по сути, объединяющим традиционные задачи контроля и включающим не системный контроль над рисками.

Расширение границ деятельности контроля, но без системности в организации работы с рисками приводит к «расплывчатому контролю», часть функций дублируется, часть теряется. Происходит размывание функций контроля за счет объединения его с другими функциями управления и нечеткости структур управления и контроля, т. к. не распределены функции службы управления рисками и контроля над управлением рисками рисков.

Усложнение процессов и процедур управления рисками вызывает новые риски, связанные как с самими процессами управления, так и с отслеживанием изменений внешней и внутренней среды.

Самым простым и традиционным решением, по этому типу контроля, как правило, является назначение специального ответственного за тот или иной риск и вменением ему обязанности контролировать этот риск. В результате возникает целая сеть служб и органов включающая направления внутреннего контроля и управления рисками, в том числе как правило и методологическую службу, службы управления рисками, службу внутреннего контроля и различных контролёров, в той или иной степени занимающихся как выявлением нарушителей, так и разработкой мер контроля. Как вариант допускается выделение риск-менеджеров с функциями управления отдельными видами рисков в соответствующих структурных подразделениях (валютном, ценных бумаг и т. д.).

Такая нерациональная и сложно структурированная схема внутреннего контроля, построенная на идее всеобщего контроля и контроля за рисками в том числе, является, по сути, надстройкой над другими подразделениями, и включает недостатки систем формального и тотального подходов и, кроме того, не эффективна в работе с рисками. Во-первых, со временем такая структура перестаёт реагировать на новые, актуальные возможности и риски, поскольку основой для оценки её эффективности является формальное соответствие заданным в прошлом правилам и регулирующим документам. Во-вторых, снижается ответственность менеджмента за риски, по созданию системы внутреннего контроля, забывая старинную русскую пословицу о судьбе особенно важного проекта при наличии множества ответственных («у семи нянек дитя без догляда»).

Бессистемное усложнение процессов контроля обычно приводит не к адекватному развитию и повышению эффективности внутреннего контроля, а лишь к повышению внутренней напряжённости между подразделениями, выполняющими сходные или дублирующие функции, и непропорциональному увеличению стоимости контроля.

Современный этап развития внутреннего контроля характеризуется унификацией требований к системе внутреннего контроля. Начало, которого можно рассматривать с 1985 г., когда в США была создана национальная комиссия по борьбе с недостоверной финансовой отчетностью, известная как Комиссия Тредуэя [3] Национальная экономическая энциклопедия http://vocable.ru/dictionary/ . Выпущенный Комиссией [4] Committee of Sponsoring Organizations of the Treadway Commission (COSO) // www.coso.org; Canadian Institute of Chartered Accountants // www.cica.ca. в 1987 г. отчет, помимо других рекомендаций, содержал призыв к организациям-спонсорам [5] AICPA (American Institute of Certified Public Accountants), Американской ассоциации по учету и отчетности (American Accounting Association), FEI (Financial Executives Institute), Института внутренних аудиторов (Institute of Internal Auditors, IIA) и Института специалистов управленческого учета (Institute of Management Accountants) Комиссии Тредуэя объединить усилия по достижению договоренности об общих для всех основных понятиях внутреннего контроля. Рабочая группа под покровительством Комитета спонсорских организаций Комиссии Тредуэя (Committee of Sponsoring Organizations of the Treadway Commission, COSO) провела анализ существовавшей на тот момент литературы по внутреннему контролю. Результат этой работы был представлен общественности в 1992 г. под названием "Интегрированная концепция внутреннего контроля" [6] http://www.coso.org/publications/executive_summary_integrated_framework.htm (Internal Control – Integrated Framework), кратко (концепция COSO или модель COSO). Модель COSO важна, поскольку акцент в ней был сделан на ответственности руководства предприятия за состояние контроля.