Формирование системы риск-ориентированного внутреннего контроля коммерческой организации в условиях цифровой трансформации экономики

 

Алексей А. Комзолов ^[1] , Татьяна В. Кириченко ^[2] , Елена В. Изотова ^[3]

 

Аннотация

Целью работы было формирование подходов по созданию эффективного дизайна внутреннего контроля в условиях цифровой трансформации экономики. Были проанализированы нормативные и регуляторные требования, международные стандарты внутреннего контроля. Кроме того, обобщены собственные практические многолетние исследования авторов по формированию эффективных систем внутреннего контроля в коммерческих организациях. Применяемая в исследовании методология содержала комплекс методов и подходов. Кроме общенаучных методов анализа и синтеза использовался сравнительно-правовой метод, эволюционный метод и метод выявления причинно-следственных связей. Применялись системный, ситуационный, процессный, динамический подходы. А также другие методы и подходы. При этом, ключевым методом методологии послужил риск-ориентированный подход. В результате исследований получен ряд выводов и предложены конкретные практических рекомендаций по организации системы внутреннего контроля коммерческой организации. Даны рекомендации о выделение опасностей по иерархии общности: вызов-угроза-риск.

Предложения о целесообразности отдельного выделения этапа приоритезации рисков в анализе рисков. О целесообразности оценки зрелости системы внутреннего контроля, в том числе, и по степени цифровизации контрольных процедур. И, наконец, рекомендации по использованию карты рисков бизнес-процессов для целей внутреннего контроля в качестве работоспособного инструмента формирования эффективного дизайна риск-ориентированного внутреннего контроля.

Ключевые слова

Внутренний контроль, управление рисками, приоритезация рисков, вызовы, угрозы, риски, риск-ориентированный подход

JEL Classification Codes: K20, M19, M42

Введение

Современное корпоративное законодательство в России находится в процессе динамичных изменений. Основных причин этих изменений три. Первая причина – динамика изменений экономики России. Вторая – конвергенция законодательства, привнесение лучших мировых практик в национальные законодательства. Третья причина – целенаправленная государственная политика, направленная на улучшение бизнес-климата в стране.

Ключевым элементом корпоративного законодательства, на наш взгляд, являются положения о защите интересов собственника хозяйствующих субъектов. А также то, как эти положения выполняются на практике и как они, на наш взгляд, могут быть реализованы эффективно в условиях цифровизации всех сфер экономики.

Основной гипотезой исследования является предположение о том, что формирование системы риск-ориентированного контроля является, в настоящий момент, наиболее эффективным организационным инструментом защиты интересов собственников.

Целью исследования является нахождение способов и путей эффективного построение системы риск-ориентированного контроля.

Основными вопросами работы являются:

1. Что требует Закон? Суть и форма российских правовых норм в части построения системы внутреннего контроля.

2. Откуда появились эти правовые нормы? Их взаимосвязь с зарубежными стандартами и опытом их применения.

3. Как влияет на контроль цифровизация экономики? Влияние цифровой трансформации экономики как на нормы, так и на практику организации контроля.

4. Как построить эффективную систему внутреннего контроля? Дизайн системы управления рисками и внутреннего контроля в коммерческих организациях.

Предметом исследования являются системы внутреннего контроля российских коммерческих организаций. Объектом исследования выступают российские коммерческие организации, прежде всего, являющиеся корпорациями или их дочерними организациями.

Методология

Методология исследования состоит в итерационном применении ряда взаимосвязанных методов исследований. Прежде всего, это общенаучные методы анализа и синтеза. Международная практика управления рисками и внутреннего контроля (существующие корпоративные системы управления, системы управления рисками и внутреннего контроля), нормативная база (действующие в разных странах правовые нормы), методические подходы (прежде всего, закрепленные в стандартах и рекомендациях, а также отраженные в научных и практических рекомендациях) сначала анализируется, то есть, выделяются значимые части. А затем производится объединение, с фокусировкой на главном, этих частей для построения эффективной системы управления рисками и внутреннего контроля.

Достаточно большое количество научных публикаций посвящены вопросам методологии исследования системы внутреннего контроля. Так, в трудах (Akhmetshin, E.M., 2017) рассмотрены существующие стандарты, модели и подходы к организации системы внутреннего контроля на предприятия.

Другим применяемым методом исследования является сравнительно-правовой: осуществление сравнения различных, действующих в разных странах правовых норм. В рамках методологии представленного исследования метод применяется в комбинации с эволюционным методом, когда исследуется не только текущее состояние, но история нормативной базы, её изменение во времени. Усиливает комбинацию сравнительно-правого и эволюционного метода анализ причинно-следственной связи, когда выявляются причины эволюции той или иной нормы или нормативно закрепленного методического подхода.

Следующим применяемым методом является системный подход. В рамках методологии исследования это означает, что коммерческая организация и управление её рассматривается как система, то есть совокупность элементов и связей между ними, являющаяся нечто большей, чем простой суммой частей. Важным является осознание той реальности, что приобретение нового качества или функции каким-то из элементов способно изменить функции или сделать вовсе ненужным кокой-то другой элемент (конкретное подразделение) коммерческой организации. Другим составным элементом применяемой методологии исследования является процессный подход. Который позволяет выделять в организации конкретные процессы и контролировать именно их. Современным подходом к построению системы контроля в организации является контроль именно процессов, а не результатов. Этот подход не отрицает применение функционального подхода, поскольку многие современные организации строят свои структуры управления по функциям, то есть, профессиям и, следовательно, конечные владельцы бизнес-процессов находятся в функциональных подразделениях компаний. Другим подходом методологии является динамический подход. Который говорит о необходимости учета времени как на любой бизнес-процесс, так и на процессы управления, а также необходимости рассмотрения процессов изменения системы управления как растянутых по времени. Кроме того, необходимо учитывать в рамках каких условий действует система в конкретный момент, в какой ситуации принимаются и реализуются управленческие решения, то есть, применять ситуационный подход. Конкретной реализацией ситуационного подхода является учет цифровой трансформации экономики и корпоративного управления, что с одной стороны приводит к возникновению новых угроз для организации, а с другой открывает новые возможности для построения эффективной системы контроля, часть из которых является предметом рассмотрения в работе.

Все перечисленные методы и подходы являются важными элементами методологии, но ключевое положение занимает риск-ориентированный подход. Суть которого заключатся в том, что необходимо выделить главные риски и именно на них должна фокусироваться эффективная система внутреннего контроля.

Результаты

Основным разделом законодательства, защищающим экономические интересы инвесторов, является корпоративное право. Российском законом об акционерных обществах в публичных акционерных обществах предусмотрена организация управления рисками и внутреннего контроля. И для обеспечения эффективности и надежности функционирования должен быть организован внутренний аудит. Эти нормы закона вступили в действие с середины 2020 года. Кроме того, закон говорит о функциональной подчиненности внутреннего аудита совету директоров, а также возлагает на совет директоров обязанности по формированию политики в области управления рисками и внутреннего контроля. Закон также изменен в части обязательности функционирования ревизионной комиссии. Во многих обществах она становится необязательной, по смыслу вместо её контрольных функции возникают контрольные функции системы управления рисками и внутреннего контроля.

Регулятором финансового рынка в России, и, соответственно, норм по защите экономических интересов инвесторов – акционеров публичных акционерных обществ выступает Центральный банк России. Центральный банк России выпустил ряд документов, содержащих методические рекомендации. Суть которых в рекомендации использовать модель COSO ERM (The Committee of Sponsoring Organizations of the Treadway Commission, 2004). А также рекомендуется относится к созданию системы управления рисками и внутреннего контроля неформально, что косвенно может свидетельствовать о наличии формального подхода в существенной части российских компаний.

Законодательство о бухгалтерском учете (федеральный закон «О бухгалтерском учете», 2011) распространяется на все коммерческие организации, а не только на акционерные общества. Закон о бухгалтерском учете требует организации внутреннего контроля. А регулятор бухгалтерского законодательства – министерство финансов России выпустил рекомендации, в которых, в частности, отразил категорийный аппарат предметной области, а именно определение внутреннего контроля как процесса, направленного на получение достаточной уверенности в достижении целей организации в: оперативной деятельности (включая сохранность активов и достижение требуемых собственниками значений финансовых показателей); формировании достоверной отчетности; соблюдении применимого законодательства. Также дается определение риска как сочетания вероятности и последствий негативного развития событий, способных оказать влияние на недостижение целей организацией. Также даётся и ряд рекомендаций по построению внутреннего контроля. Как нетрудно заметить, в основном, речь идет об интерпретации модели COSO ERM.

Кроме того, для формализации подхода к выявлению и последующей оценке рисков интерес представляет подход, заложенный в Стратегии экономической безопасности России (стратегия экономической безопасности России на период до 2030 года, 2017) и в Доктрине энергетической безопасности России (доктрина энергетической безопасности Российской Федерации, 2017).

Согласно данному подходу, предполагается выявление вызовов, угроз и рисков. То есть, этот подход предполагает иерархию опасностей негативного развития событий. Верхний уровень – вызовы. Это, вообще, возможные глобальные изменения, вызванные технологической революцией 21 века (Popkova, E.G. et al, 2019). Средний уровень – угрозы. Это возможность негативных изменений на общее цели. Как правило, выраженные описательно – текстом. Нижний уровень – риски – негативные изменения конкретных показателей. Влияющие на конкретные цифры. Данный подход видится весьма продуктивным, поскольку позволяет объяснить обычную для оценки рисков ситуацию, почему после такой оценки часто остаются опасности, не оцененные количественно (это, как правило, опасности верхнего и среднего уровня иерархии). Для, распространения данного подхода на возможные положительные события, по нашему мнению, целесообразно выделять шансы (положительные риски), возможности (положительные угрозы), что касается вызовов, то в силу глобальности таких изменений они изначально, по своей природе могут нести как негативные, так и позитивные изменения. По нашему мнению, для коммерческих организаций вызовы – возможные глобальные изменения в их сфере деятельности. Угрозы и возможности это - возможные соответственные негативные и позитивные события, могущие оказать влияние на цели организации, заданные на верхнем уровне советом директоров, например, существенно изменить рентабельность активов, угрозы и возможности далеко не всегда (точнее редко) поддаются конкретной количественной оценке. А риски и шансы – это конкретные возможные (негативные и позитивные) события, конкретные реализации угроз и возможностей, сочетания вероятности и последствий, как правило, поддающиеся количественной оценке.

Таким образом, российские нормы корпоративного права и бухгалтерского права и документы соответствующих регуляторных органов рекомендуют использовать при построении системы внутреннего контроля концепции COSO. Выделение опасностей по иерархии общности: вызов-угроза-риск, позволяет более осмысленно относится к возможности и необходимости количественной оценки вероятности и последствий воздействия опасностей.

Требования российского законодательства и российских регуляторов в области внутреннего контроля, в основном, являются отражением концепций построения системы управления рисками и внутреннего контроля Комитета спонсорских организаций Комиссии Трэдвэй (The Committee of Sponsoring Organizations of the Treadway Commission) или COSO.

Сами эти концепции прошли достаточно глубокую эволюцию. Первый документ вышел в 1992 году. И был посвящен внутреннему контролю. Он заложил базу для дальнейшего развития. Поскольку в нем исповедовался риск-ориентированный подход. То есть подход, когда от проверок всего и вся необходимо отойти и перейти к фокусированию ресурсов на проверке главного, того, что несет основную угрозу, то есть, на ключевых рисках. Так же, уже в этом документе были выделены основные элементы внутреннего контроля. Модель COSO, после принятия и подписания в 2002 году американского Закона Сарбейнза – Оксли, стала юридически обязательной к использованию корпорациями, чьи акции котируются на Нью-Йорской фондовой бирже. Сам закона Сарбейнза – Оксли, во многом стал ответом на банкротство в 2001 году Enron Corporation, банкротства, напрямую связанным с умышленным корпоративным мошенничеством.

Другим ответом на эти события стал выход в 2004 году документа COSO, посвященного управлению рисками, и объединяющего управление рисками и внутренний контроль в методически единую систему. Появился куб COSO – модель, визуализирующая взаимодействия в этой системе и её связи с другими системами управления.

Следующим крупным потрясением был ипотечный кризис 2007 года в США, кризис спровоцировал мировой финансовый кризис 2007-2008 годов. Оказалось, что организации, использующие самые передовые инструменты риск-менеджмента часто менее устойчивы в кризисных условиях, чем использующие более простые традиционные подходы. По существу, COSO дало два ответа на эти события. Во-первых, были прояснены недоразумения, с вязанные с неверной интерпретацией документа 2004 года на практике, а во-вторых, в 2013 году появился документ с изложением концепции трех линий защиты. Суть которой, в том, что система внутреннего контроля строится по трем линиям: «исполнительной» на уровне владельцев бизнес-процессов и рисков, «методической» на уровне подразделений и/или структур (комитетов, комиссий и т.п.) по управлению рисками и внутреннего контроля и «контрольной» на уровне подразделения внутреннего аудита.

Следует отметить, что кроме неверной интерпретации, документы не были свободны от внутренних недостатков. Так в последних документах выделяется отдельный этап в анализе рисков – приоритезация рисков, тогда как ранее формирование списка главных рисков считалось результатом качественной оценки рисков. Такой подход мешал пониманию того, что есть основное в оценке рисков, и что для эффективного построения внутреннего контроля от анализа рисков необходим, прежде всего, именно список главных рисков.

Последней крупной вехой в документах COSO стал документ 2017 года, связавший управление рисками со стратегией. Здесь главной идей является то, что управлять рисками стратегии следует на стадии формирования стратегии. И, на наш взгляд, здесь действенным методом является использование изложенной выше иерархии вызов-угроза-риск.

Таким образом, документы COSO существенно эволюционируют во времени, отвечая как на существенные события развития экономики, так и на недостатки применения или недостатки в самих документах. Целесообразно отдельно выделять этап приоритезации рисков в анализе рисков, чтобы полностью реализовать риск-ориентированный подход к системе внутреннего контроля.

Современное состояние цифровизации экономики достигло того уровня зрелости, когда цифровые технологии изменяют существенным образом и продукты, и услуги, и бизнес-процессы (Vanchukhina, L.I. et al, 2019). Более того, цифровые технологии во многом начинают формировать такие достаточно консервативные элементы управления как формирование отчетности EXBRL (Astafeva, O.V., et al, 2020).

Что касается российских нормативных требований к цифровизации внутреннего контроля. То они касаются, прежде всего, налогового законодательства. В российскую практику введен налоговый мониторинг. Налоговые органы видят непосредственно то, что происходит в учетной системе компании через интернет – подключение к компьютерам бухгалтерии. При этом у компании возникает ряд преференций – отсутствие выездных проверок, меньший срок для налоговой службы по обнаружению ошибок в прошлом и особый порядок взаимодействия по предупреждению и ликвидации возможных нарушений.

Одним из условий применения налогового мониторинг является наличие риск-ориентированной системы внутреннего контроля в соответствующей (налоговой) сфере, принципы которой отражены в предыдущем научном издании (Komzolov, A.A. et al, 2019). Методические рекомендации к системе внутреннего контроля выпустила Федеральная налоговая служба (официальный сайт ФНС России, 2017). При этом существенным критерием степени зрелости системы внутреннего контроля является степень автоматизации контрольных процедур. В научных трудах Vanchukhina, L.I. et al, 2019) представлен обзор контрольных процедур в российской налоговой системе на базе современных цифровых технологий.

Таким образом, в наибольшей степени отвечают тенденциям цифровизации экономики требования российского регулятора налоговых норм. При этом, по нашему мнению, идея об оценки зрелости системы внутреннего контроля, в том числе, по степени цифровизации контрольных процедур видится продуктивной и при применении к другим процессам.

Как уже отмечалось, из письма Центрального банка России о необходимости исключить формальный подход косвенно следует признание о наличие формального подхода при организации внутреннего контроля во многих организациях в настоящее время. Наличие формального подхода, по нашему мнению, связано с тремя факторами: во-первых, с кажущимся неподъемным объемом задач по созданию такой системы и, во-вторых, непонятной пользой от создания такой системы. И, в-третьих, с человеческим фактором сопротивления непонятным изменениям.

Если третий фактор не является предметом рассмотрения нашей работы, а некоторые идеи по реализации элементов экономического образования для технических специалистов изложены, например в (Vanchukhina, L., et al., 2019). То первые два фактора могут быть успешно решены применением риск-ориентированного подхода. Раскрытие сущности рассматриваемого подхода к внутреннему контролю раскрыты в научных трудах (Чирков, Д.А., 2020), (Фролова, И.В., 2018). Суть его заключается в том, что системой внутреннего контроля должны быть закрыты все ключевые риски. Но только ключевые риски. Почему должны быть закрыты все ключевые риски? Потому, что, если какой-то главный риск не будет закрыт системой внутреннего контроля, его реализация может оказать существенное негативное влияние на цели организации в целом. Почему только ключевые риски? Потому, что распыление ресурсов на незначительные риски может привести к недостатку ресурсов при осуществлении внутреннего контроля над областями с главными рисками. Также следует рассмотреть системообразующие факторы возникновения рисков, подробно описанные в публикации (Костюкова, Т.П. et al, 2017).

По нашему мнению, для построения эффективного дизайна системы внутреннего контроля целесообразно воспользоваться картой рисков бизнес-процессов для целей внутреннего контроля. По вертикали в ней целесообразно разместить цели контроля, например, в соответствии с рекомендациями министерства финансов как регулятора бухгалтерского законодательства. Соответственно целями будут: эффективность деятельности, включая достижение финансовых показателей, сохранность активов; достоверность отчетности; комплаенс, как на рисунке 1.

Бизнес

-процессы

 

Цели