Эффективная система внутреннего контроля: как победить риски. Матрица контрольных процедур


Формирование матриц рисков и контрольных процедур

Формирование матриц рисков и контрольных процедур

Ключевой целью формирования матрицы является соотнесение рисков, влияющих на деятельность объекта аудита, с системой внутреннего контроля бизнес-процессов этого объекта. В результате выявляются провалы в системе внутреннего контроля объекта аудита. Они возникают тогда, когда система внутреннего контроля упускает из виду конкретные риски. В таком случае возможны три ситуации:

1. В системе внутреннего контроля отсутствуют контрольные процедуры, направленные на оптимальное нивелирование параметров конкретного риска, например, выбор поставщика без проведения тендера приводит во многих ситуациях к выбору неоптимального поставщика.

2. Контроль воздействует на риск, однако оптимального нивелирования не достигается, например, процедура тендера вроде есть, но пул участников формируется дирекцией по закупкам, при этом база поставщиков не ведется. В этом случае также довольно часто выбирается неоптимальный поставщик.

3. Контроль способен оптимально нивелировать параметры риска, однако в силу различных причин этого не происходит, например, процедура тендера идеальна по своей структуре и содержанию. Однако для ее ускорения могут форсироваться те или иные этапы (например, сокращаться сроки приема коммерческих предложений без извещения всех потенциальных поставщиков), что в конечном итоге приводит к выбору неоптимального поставщика.

На этапе планирования матрица составляется для того, чтобы получить общую картину по управлению ключевыми рисками процесса. Кроме того, наличие матрицы позволяет оптимально распределять ресурсы и выстраивать правильную последовательность приоритетов.

В базовом варианте матрицы имеется четыре раздела – «Процесс», «Риск», «Цель контроля» и «Контроль». Информация из одного раздела увязывается с информацией из других трех разделов. По этой причине наиболее распространенным форматом матрицы рисков и контрольных процедур является таблица. Рассмотрим кратко содержание каждого раздела.

1. Раздел «Процесс». Здесь указывается процесс, который в остальных трех разделах анализируется на предмет рисков и контрольных процедур. В зависимости от детализации матрицы вместо процесса может указываться подпроцесс или даже этап подпроцесса.

2. Раздел «Риск». Здесь указывается риск, который негативно влияет на достижение целей рассматриваемого процесса. По каждому из процессов (подпроцессов, этапов подпроцесса), включенных в матрицу, может быть более одного риска. Максимальное количество рисков не ограничено. Однако при формировании перечня рисков не стоит увлекаться количеством ради количества. Необходимо придерживаться практического подхода и указывать только те риски, которые действительно могут встретиться в реальности, исходя из данных предварительного анализа процесса.

3. Раздел «Цель контроля». Существуют различные подходы к заполнению данного раздела. Во-первых, можно привести расширенную формулировку цели контроля (см. пример в табл. 10). С одной стороны, она может способствовать более точному пониманию того, каким должен быть контроль. Например, в нашем случае указывается конкретное действие, которое должно произойти в результате выполнения контрольной процедуры, – прерывание процесса «Формирование потребности в материалах для закупки». С другой стороны, существенным минусом расширенной формулировки является утрата унификации и универсальности. При использовании расширенной формулировки необходимо иметь детальное представление о структуре и содержании процесса, например, в одном случае целью контроля может быть прерывание процесса, а в другом – уведомление о возникшей ситуации для принятия точечного решения. Так или иначе, в большинстве случаев на этапе планирования не предполагается, что команда внутренних аудиторов обладает таким детальным представлением. Кроме того, как бы странно это ни звучало, но нередко выбор расширенной формулировки – это дело вкуса, а вкус – понятие субъективное, например, разные люди могут по-разному понимать слово «прервать» (например, запретить или потребовать дополнительного согласования). Также разные люди склонны использовать разную лексику для обозначения одних и тех же явлений и действий. Все эти факторы могут вносить дополнительный сумбур в понимание информации, изложенной в матрице рисков и контрольных процедур. В то же время в качестве целей контроля можно использовать определенную терминологию. Один из ее вариантов представлен в главе 3. В ней описываются семь ключевых целей контроля. Если использовать предлагаемую терминологию, то цель контроля будет иметь иную формулировку (см. табл. 11). Она обозначается не каким-либо действием, а некой качественной характеристикой, которую контрольная процедура должна достичь. Таким образом, обеспечивается унификация и отсутствие привязки к конкретному содержанию контрольной процедуры, которое неизвестно на этапе планирования проекта. Кроме того, использование унифицированных целей контроля позволяет быстрее и правильнее оценить, насколько конкретная контрольная процедура достигает цели.

Таблица 10. Пример расширенной формулировки цели контроля

4. Раздел «Контроль». В большинстве случаев суть контроля заключается в осуществлении того или иного действия, которое направлено на достижение цели контроля. Отсюда широко используется термин «контрольная процедура», который лишний раз подчеркивает направленность контроля на создание активности. Разумеется, на этапе планирования формулировки многих контрольных процедур могут выглядеть обобщенно. Необходимо иметь в виду, что крайне важно уточнять содержание и структуру контрольных процедур в процессе работы по проекту – детализация процесса и контрольных процедур процесса должны быть сопоставимыми. Кроме того, раздел «Контроль» можно разбить на два подраздела. В первом указывается оптимальный контроль (исходя из предполагаемого содержания и структуры процесса), а во втором – фактический контроль (исходя из имеющегося на этапе планирования представления о фактическом содержании и структуре процесса). Если есть подозрение отсутствия контроля на том или ином этапе подпроцесса, информация по фактическому контролю не заносится. Такие случаи подлежат уточнению по мере выполнения проекта.

Таким образом, на этапе планирования матрица рисков и контрольных процедур в базовом варианте представляет собой таблицу, состоящую из четырех разделов. В ряде случаев раздел «Контроль» может быть разбит на два подраздела. В дальнейшем, в процессе выполнения проекта внутреннего аудита матрица уточняется и обрастает новыми графами. Более подробно мы рассмотрим этот процесс в разделе «Документирование работы внутреннего аудита» главы 9.

Поделитесь на страничке

Следующая глава >

econ.wikireading.ru

Формирование матриц рисков и контрольных процедур - Настольная книга по внутреннему аудиту. Риски и бизнес-процессы - Олег Крышкин - RuTLib6.com

Формирование матриц рисков и контрольных процедур

Ключевой целью формирования матрицы является соотнесение рисков, влияющих на деятельность объекта аудита, с системой внутреннего контроля бизнес-процессов этого объекта. В результате выявляются провалы в системе внутреннего контроля объекта аудита. Они возникают тогда, когда система внутреннего контроля упускает из виду конкретные риски. В таком случае возможны три ситуации:

1. В системе внутреннего контроля отсутствуют контрольные процедуры, направленные на оптимальное нивелирование параметров конкретного риска, например, выбор поставщика без проведения тендера приводит во многих ситуациях к выбору неоптимального поставщика.

2. Контроль воздействует на риск, однако оптимального нивелирования не достигается, например, процедура тендера вроде есть, но пул участников формируется дирекцией по закупкам, при этом база поставщиков не ведется. В этом случае также довольно часто выбирается неоптимальный поставщик.

3. Контроль способен оптимально нивелировать параметры риска, однако в силу различных причин этого не происходит, например, процедура тендера идеальна по своей структуре и содержанию. Однако для ее ускорения могут форсироваться те или иные этапы (например, сокращаться сроки приема коммерческих предложений без извещения всех потенциальных поставщиков), что в конечном итоге приводит к выбору неоптимального поставщика.

 

На этапе планирования матрица составляется для того, чтобы получить общую картину по управлению ключевыми рисками процесса. Кроме того, наличие матрицы позволяет оптимально распределять ресурсы и выстраивать правильную последовательность приоритетов.

В базовом варианте матрицы имеется четыре раздела – «Процесс», «Риск», «Цель контроля» и «Контроль». Информация из одного раздела увязывается с информацией из других трех разделов. По этой причине наиболее распространенным форматом матрицы рисков и контрольных процедур является таблица. Рассмотрим кратко содержание каждого раздела.

1. Раздел «Процесс». Здесь указывается процесс, который в остальных трех разделах анализируется на предмет рисков и контрольных процедур. В зависимости от детализации матрицы вместо процесса может указываться подпроцесс или даже этап подпроцесса.

2. Раздел «Риск». Здесь указывается риск, который негативно влияет на достижение целей рассматриваемого процесса. По каждому из процессов (подпроцессов, этапов подпроцесса), включенных в матрицу, может быть более одного риска. Максимальное количество рисков не ограничено. Однако при формировании перечня рисков не стоит увлекаться количеством ради количества. Необходимо придерживаться практического подхода и указывать только те риски, которые действительно могут встретиться в реальности, исходя из данных предварительного анализа процесса.

3. Раздел «Цель контроля». Существуют различные подходы к заполнению данного раздела. Во-первых, можно привести расширенную формулировку цели контроля (см. пример в табл. 10). С одной стороны, она может способствовать более точному пониманию того, каким должен быть контроль. Например, в нашем случае указывается конкретное действие, которое должно произойти в результате выполнения контрольной процедуры, – прерывание процесса «Формирование потребности в материалах для закупки». С другой стороны, существенным минусом расширенной формулировки является утрата унификации и универсальности. При использовании расширенной формулировки необходимо иметь детальное представление о структуре и содержании процесса, например, в одном случае целью контроля может быть прерывание процесса, а в другом – уведомление о возникшей ситуации для принятия точечного решения. Так или иначе, в большинстве случаев на этапе планирования не предполагается, что команда внутренних аудиторов обладает таким детальным представлением. Кроме того, как бы странно это ни звучало, но нередко выбор расширенной формулировки – это дело вкуса, а вкус – понятие субъективное, например, разные люди могут по-разному понимать слово «прервать» (например, запретить или потребовать дополнительного согласования). Также разные люди склонны использовать разную лексику для обозначения одних и тех же явлений и действий. Все эти факторы могут вносить дополнительный сумбур в понимание информации, изложенной в матрице рисков и контрольных процедур. В то же время в качестве целей контроля можно использовать определенную терминологию. Один из ее вариантов представлен в главе 3. В ней описываются семь ключевых целей контроля. Если использовать предлагаемую терминологию, то цель контроля будет иметь иную формулировку (см. табл. 11). Она обозначается не каким-либо действием, а некой качественной характеристикой, которую контрольная процедура должна достичь. Таким образом, обеспечивается унификация и отсутствие привязки к конкретному содержанию контрольной процедуры, которое неизвестно на этапе планирования проекта. Кроме того, использование унифицированных целей контроля позволяет быстрее и правильнее оценить, насколько конкретная контрольная процедура достигает цели.

 

Таблица 10. Пример расширенной формулировки цели контроля

 

 

4. Раздел «Контроль». В большинстве случаев суть контроля заключается в осуществлении того или иного действия, которое направлено на достижение цели контроля. Отсюда широко используется термин «контрольная процедура», который лишний раз подчеркивает направленность контроля на создание активности. Разумеется, на этапе планирования формулировки многих контрольных процедур могут выглядеть обобщенно. Необходимо иметь в виду, что крайне важно уточнять содержание и структуру контрольных процедур в процессе работы по проекту – детализация процесса и контрольных процедур процесса должны быть сопоставимыми. Кроме того, раздел «Контроль» можно разбить на два подраздела. В первом указывается оптимальный контроль (исходя из предполагаемого содержания и структуры процесса), а во втором – фактический контроль (исходя из имеющегося на этапе планирования представления о фактическом содержании и структуре процесса). Если есть подозрение отсутствия контроля на том или ином этапе подпроцесса, информация по фактическому контролю не заносится. Такие случаи подлежат уточнению по мере выполнения проекта.

 

Таким образом, на этапе планирования матрица рисков и контрольных процедур в базовом варианте представляет собой таблицу, состоящую из четырех разделов. В ряде случаев раздел «Контроль» может быть разбит на два подраздела. В дальнейшем, в процессе выполнения проекта внутреннего аудита матрица уточняется и обрастает новыми графами. Более подробно мы рассмотрим этот процесс в разделе «Документирование работы внутреннего аудита» главы 9.

rutlib6.com

МАТРИЦА РИСКОВ И КОНТРОЛЬНЫХ ПРОЦЕДУР РЕГИОНАЛЬНОГО ОПЕРАТОРА

ЗАКОН ИВАНОВСКОЙ ОБЛАСТИ

ЗАКОН ИВАНОВСКОЙ ОБЛАСТИ ЗАКОН ИВАНОВСКОЙ ОБЛАСТИ О внесении изменений в Закон Ивановской области «Об организации проведения капитального ремонта общего имущества в многоквартирных домах в Ивановской области» Принят Ивановской

Подробнее

1. Нормативно-правовое обеспечение.

1. Нормативно-правовое обеспечение. 1 Содержание. 1. Нормативно-правовое обеспечение 3 2. Общие положения 3 3. Основные цели и задачи 4 4. Функции 5 5. Права и обязанности 6 6. Ответственность 6 7. Взаимоотношения. Связи 7 Приложение 1.

Подробнее

Должностная инструкция

Должностная инструкция АССОЦИАЦИЯ РЕГИОНАЛЬНОЕ ОТРАСЛЕВОЕ ОБЪЕДИНЕНИЕ РАБОТОДАТЕЛЕЙ "САХАЛИНСКОЕ САМОРЕГУЛИРУЕМОЕ ОБЪЕДИНЕНИЕ СТРОИТЕЛЕЙ" «УТВЕРЖДАЮ» Генеральный директор Ассоциации Мозолевский В.П. «10» июня 2015 г. Должностная

Подробнее

2. Полномочия Комитета

2. Полномочия Комитета Алтайского края, муниципальными правовыми актами муниципального района и поселений, настоящим Положением. 4. Комитет осуществляет свою деятельность во взаимодействии с комитетом Администрации Алтайского

Подробнее

ПОЛОЖЕНИЕ О БУХГАЛТЕРИИ

ПОЛОЖЕНИЕ О БУХГАЛТЕРИИ ПОЛОЖЕНИЕ О БУХГАЛТЕРИИ государственного автономного профессионального образовательного учреждения Саратовской области «Балаковский промышленно-транспортный техникум им. Н.В. Грибанова» БАЛАКОВО 2014 1.

Подробнее

Положение о бухгалтерии

Положение о бухгалтерии УТВЕРЖДАЮ Ректор ЧОУ ВО «ЧИЭП им. М.В. Ладошина» Г.И. Ладошина (подпись) 2015 г. М.П. Положение о бухгалтерии Согласовано Начальник отдела кадров Н.Р. Валиева Согласовано и.о. начальника отдела управления

Подробнее

ОРГАНИЗАЦИЯ ПРОЦЕССА КАПИТАЛЬНОГО РЕМОНТА

ОРГАНИЗАЦИЯ ПРОЦЕССА КАПИТАЛЬНОГО РЕМОНТА ОРГАНИЗАЦИЯ ПРОЦЕССА КАПИТАЛЬНОГО РЕМОНТА ИНФОРМАЦИОННАЯ СИСТЕМА «АЦК-КАПИТАЛЬНЫЙ РЕМОНТ» НАЗНАЧЕНИЕ ПОЛЬЗОВАТЕЛИ ОТКРЫТЫЙ БЮДЖЕТ СУБЪЕКТА РФ АЦК-Открытый бюджет КАДРАМИ АЦК-Бюджетный учет РАСХОДАМИ АЦК-Программный

Подробнее

4. Функции бухгалтерии

4. Функции бухгалтерии СОДЕРЖАНИЕ 1. Общие положения.. 3 2. Организационная структура. 3 3. Задачи 3 4. Функции бухгалтерии. 4 5. Права бухгалтерии.. 5 6. Перечень документов, записей и данных по качеству бухгалтерии.. 6 7.

Подробнее

П О Л О Ж Е Н И Е. о Комплаенс-службе

П О Л О Ж Е Н И Е. о Комплаенс-службе ОТКРЫТОЕ АКЦИОНЕРНОЕ ОБЩЕСТВО «БАНК «САНКТ-ПЕТЕРБУРГ» (ОАО «Банк «Санкт-Петербург») УТВЕРЖДЕНО приказом председателем Правления ОАО «Банк «Санкт-Петербург» от 30.09.2014 093003 П О Л О Ж Е Н И Е о Комплаенс-службе

Подробнее

1. Общие положения. 2. Структура

1. Общие положения. 2. Структура 1. Общие положения 1.1.Бухгалтерия является самостоятельным структурным подразделением государственного бюджетного профессионально образовательного учреждения Иркутской области «Ангарский политехнический

Подробнее

ПОЛОЖЕНИЕ. 1. Общие положения

ПОЛОЖЕНИЕ. 1. Общие положения ПОЛОЖЕНИЕ О БУХГАЛТЕРИИ 1. Общие положения Приложение 1/2 к приказу от 31.12.2015г. а-1/од 1.1. Бухгалтерия является самостоятельным структурным подразделением государственного бюджетного профессионального

Подробнее

ЗАКОН Республики Башкортостан

ЗАКОН Республики Башкортостан ЗАКОН Республики Башкортостан Об организации проведения капитального ремонта общего имущества в многоквартирных домах, расположенных на территории Республики Баш кортостан Принят Государственным Собранием

Подробнее

ПОЛОЖЕНИЕ О БУХГАЛТЕРИИ

ПОЛОЖЕНИЕ О БУХГАЛТЕРИИ МИНИСТЕРСТВО ОБРАЗОВАНИЯ И НАУКИ РОССИЙСКОЙ ФЕДЕРАЦИИ АНПОО «РЕГИОНАЛЬНЫЙ ОТКРЫТЫЙ СОЦИАЛЬНЫЙ ТЕХНИКУМ» УТВЕРЖДАЮ Директор техникума В.В. Босых ПОЛОЖЕНИЕ О БУХГАЛТЕРИИ Курск 2014 1.Общие положения 1.1.

Подробнее

ПОЛОЖЕНИЕ О БУХГАЛТЕРИИ

ПОЛОЖЕНИЕ О БУХГАЛТЕРИИ Департамент образования и науки Кемеровской области Государственное профессиональное образовательное учреждение «Таштагольский техникум горных технологий и сферы обслуживания» ГПОУ ТТГТиСО ПО 02.15-2016

Подробнее

1. Общие положения. 3.Структура

1. Общие положения. 3.Структура 1. Общие положения 1.1. Настоящее положение определяет назначение, цели, задачи, функции, права, ответственность и основы деятельности бухгалтерии. 1.2. Бухгалтерия является самостоятельным структурным

Подробнее

ЗАКОН Алтайского края

ЗАКОН Алтайского края ЗАКОН Алтайского края О внесении изменений в закон Алтайского края «О регулировании некоторых отношений по организации проведения капитального ремонта общего имущества в многоквартирных домах, расположенных

Подробнее

Информационные данные

Информационные данные Информационные данные 1. РАЗРАБОТАНО главным бухгалтером Борисенко С.К. 2. Введено взамен ПП АЗВТ 06-03-12. 3. Должностная инструкция соответствует МС ИСО 9001:2008, СТ - АЗВТ 06-12 в части требований

Подробнее

2. Основные задачи бухгалтерии

2. Основные задачи бухгалтерии 1. Общие положения 1.1. Настоящее положение определяет назначение, цели, задачи, функции, права, ответственность и основы деятельности бухгалтерии. 1.2. Бухгалтерия является самостоятельным структурным

Подробнее

Содержание. Главы стр.

Содержание. Главы стр. Содержание Главы стр. 1. Общие положения 3 2. Основные задачи и функции 3 3. Права и обязанности 6 4. Права, обязанности и ответственность главного бухгалтера 6 начальника Управления бухгалтерского учета

Подробнее

1. Общие положения. 2. Структура

1. Общие положения. 2. Структура 1. Общие положения 1.1. Бухгалтерия является самостоятельным структурным подразделением ГБОУ СПО МАДК им. А.А. Николаева. 1.2. Бухгалтерия создается и ликвидируется приказом руководителя организации. 1.3.

Подробнее

1. Общие положения. 2. Основные задачи

1. Общие положения. 2. Основные задачи 1. Общие положения 1.1. Бухгалтерия является самостоятельным структурным подразделением Частного учреждения образовательной организации высшего образования «Омская гуманитарная академия» (далее Академия,

Подробнее

ПРОФЕССИОНАЛЬНЫЙ СТАНДАРТ

ПРОФЕССИОНАЛЬНЫЙ СТАНДАРТ УТВЕРЖДЕН приказом Министерства труда и социальной защиты Российской Федерации от 2014 г. ПРОФЕССИОНАЛЬНЫЙ СТАНДАРТ Специалист в сфере закупок I. Общие сведения Деятельность по осуществлению, контролю

Подробнее

docplayer.ru

Эффективная система внутреннего контроля

Бйков Олег

Руководитель департамента по внутреннему конролю и управлению рисками группы компаний ДТЭК

Статьи по теме

В условиях финансовой нестабильности надежная система внутреннего контроля в компании необходима как никогда. Ее основная задача - минимизировать существующие у предприятия риски. Понять, какая документация необходима для создания и функционирования системы внутреннего контроля, можно, опираясь на образцы рабочих материалов коллег.

Создание системы внутреннего контроля в группе компаний ДТЭК продиктовано необходимостью повышения эффективности процессов принятия управленческих решений и достижения поставленных стратегических целей. В качестве дополнительного аргумента к уже сказанному можно добавить интерес партнеров и инвесторов. Для них система внутреннего контроля - гарант надежности и стабильности бизнеса.

Создание системы внутреннего контроля

Прежде чем подробнее остановиться на том, как в ДТЭК функционирует система внутреннего контроля, надо заметить, что единственного правильного подхода не существует. Есть рекомендации COSO, наработанная практика «большой четверки», тем не менее то, какой будет система внутреннего контроля конкретной компании, во многом зависит от ее целей и задач.

ШАГ 1. Формирование карты стратегических рисков

Для ДТЭК отправной точкой создания системы внутреннего контроля стала оценка рисков стратегического уровня и формирование классической карты рисков. Чтобы не упустить какие-либо важные риски стратегического уровня, до того как к этой работе был привлечен топ-менеджмент, была сформирована модель рисков ДТЭК, включающая более семидесяти различных угроз. После чего проведен мозговой штурм с участием топ-менеджеров компании. Они дополнили перечень стратегически важных рисков и экспертно (по пятибалльной шкале) оценили вероятность и ущерб в случае их реализации, а также степень управления рисками (насколько эффективно контролируется риск).

ШАГ 2. Построение матрицы рисков и бизнес-процессов

По завершении первого этапа идентифицированные и оцененные стратегические риски были соотнесены с ключевыми бизнес-процессами компании в «матрице рисков и бизнес-процессов» (см. табл. 1). В ней же отражена оценка их существенности.

Поскольку в условиях ограниченных ресурсов невозможно совершенствовать систему внутреннего контроля сразу по всем направлениям деятельности компании, необходимо было определить приоритеты. В первую очередь совершенствуется внутренний контроль в тех процессах, где количество существенных рисков, для которых показатель «оценка» превышает восемь баллов, наибольшее.

ШАГ 3. Описание приоритетных бизнес-процессов

Эта работа должна начинаться с определения цели процесса, ознакомления со всеми регламентами, относящимися к процессу. После чего проводится ряд интервью с непосредственными участниками процесса. И уже на основе собранной информации составляется описание бизнес-процесса, как графическое (см. схему), так и текстовое. Причем графическое описание проще для восприятия и позволяет получить представление о процессе в целом, а также визуально отразить контрольные процедуры и риски.

ШАГ 4. Построение матрицы рисков и контролей

Итак, процесс описан, дальше предстоит идентифицировать и оценить риски, но уже не стратегического уровня, а процессные, документировать существующие контрольные процедуры и понять, насколько они эффективны. Вся перечисленная информация собирается в «матрице рисков и контролей» (см. табл. 2).

Вкратце остановимся на ключевых работах, которые предстоит выполнить:

Точки контроля для удобства отражаются на схеме процесса. В дополнение к процессным контрольным процедурам выявляются и документируются контроли корпоративного уровня, влияющие на весь процесс. Следующее действие - оценка эффективности контрольных процедур. И в завершение формируются наблюдения относительно текущего состояния системы внутреннего контроля процесса: указываются риски, с которыми связаны наблюдения, детально описываются недостатки системы внутреннего контроля.

Полезный материал? Добавьте страницу в закладки, сохраните, распечатайте ее или переадресуйте. 

ШАГ 5. Разработка рекомендаций и плана совершенствования системы внутреннего контроля

На основании выводов об эффективности контролей в «Матрице рисков и контролей» и наблюдений рабочей группой разрабатываются рекомендации по совершенствованию системы внутреннего контроля в процессе. Рекомендации утверждаются коллегиальным органом, выполняющим функции комитета по рискам. На основе утвержденных рекомендаций владелец процесса в установленный срок разрабатывает план по совершенствованию системы внутреннего контроля процесса. Выполнение плана подлежит последующему периодическому мониторингу со стороны службы внутреннего аудита.

ТАБЛИЦА 1. Матрицы рисков и бизнес процессов

Матрицы рисков и бизнес процессов

Графа «Управление» - довольно нестандартное решение. Как правило, при оценке риска используется только оценка вероятности и последствий его реализации. Под управлением подразумевается, насколько тот или иной риск стратегического уровня «закрыт» контрольными процедурами. Оценка «управления» проводилась по аналогии с оценкой вероятности - экспертное мнение топ-менеджеров, пятибалльная шкала.

Существенность - самый важный показатель риска. В 2007 году в ДТЭК было принято все риски, которые получили «оценку» выше восьми баллов считать существенными. А значение показателя «оценка» определяется как произведение «вероятности» на «последствия», говоря профессиональным языком, оценка – это математическое ожидание.

В этом поле «Матрицы рисков и процессов» закрашивается пересечение строки, содержащей существенный риск и процесса, которому он соответствует. В первую очередь описываются и анализируется на наличие рисков и качество контрольных процедур тот бизнес-процесс, который набрал максимальное количество

«черных меток».

ТАБЛИЦА 2. Матрица рисков и контролей

Матрица рисков и контролей

Первые две колонки «Ссылка на шаг процесса» и «Код риска» - навигатор, который поможет отыскать на «Диаграмме бизнес-процесса» тот риск, о котором идет речь. Код риска складывается из буквы R и порядкового номера внутри одного процесса. Другими словами, в каждом процессе нумерация рисков своя. По аналогии, номеруются и контрольные процедуры. Код контрольной процедуры указан в графе 9.

В следующей графе содержится описание типа используемой контрольной процедуры. Она может быть предупреждающей или корректирующей, ручной или IT и т. д. Это крайне полезные сведения для внутреннего аудитора и любого другого менеджера, анализирующего существующую систему внутреннего контроля. Даже без объяснений ясно, что опережающий контроль, который, например. не выпустит без должного на то решения машину с грузом за ворота компании, лучше корректирующего, при котором машина выедет с территории, но еще будет возможность ее перехватить.

«Контроль общий для нескольких рисков» и «Риск управляется несколькими контролями» – сведения из этих колонок нужны тогда, когда возникает необходимость скорректировать контрольные процедуры. Может случиться так, что, работая над усовершенствованием контроля, из поля зрения выпадет другой риск, который раньше закрывался при старом дизайне контрольной процедуры. И наоборот.

«Релевантность» (соответствует ли контрольная процедура риску, который должна минимизировать) и «Дизайн» (эффективность) - главные выводы всей проделанной работы. Именно на основании этой информации принимается решение о доработке системы внутреннего контроля. Усовершенствование системы внутреннего контроля дальше уже выполняется владельцами процесса, а работа подразделения внутреннего аудита – проконтролировать, что изменилось и выполняются ли созданные контрольные процедуры в реальности.

Методические рекомендации по управлению финансами компании

fd.ru

Формирование матриц рисков и контрольных процедур - Настольная книга по внутреннему аудиту. Риски и бизнес-процессы - Олег Крышкин - d.rutlib4.com

Формирование матриц рисков и контрольных процедур

Ключевой целью формирования матрицы является соотнесение рисков, влияющих на деятельность объекта аудита, с системой внутреннего контроля бизнес-процессов этого объекта. В результате выявляются провалы в системе внутреннего контроля объекта аудита. Они возникают тогда, когда система внутреннего контроля упускает из виду конкретные риски. В таком случае возможны три ситуации:

1. В системе внутреннего контроля отсутствуют контрольные процедуры, направленные на оптимальное нивелирование параметров конкретного риска, например, выбор поставщика без проведения тендера приводит во многих ситуациях к выбору неоптимального поставщика.

2. Контроль воздействует на риск, однако оптимального нивелирования не достигается, например, процедура тендера вроде есть, но пул участников формируется дирекцией по закупкам, при этом база поставщиков не ведется. В этом случае также довольно часто выбирается неоптимальный поставщик.

3. Контроль способен оптимально нивелировать параметры риска, однако в силу различных причин этого не происходит, например, процедура тендера идеальна по своей структуре и содержанию. Однако для ее ускорения могут форсироваться те или иные этапы (например, сокращаться сроки приема коммерческих предложений без извещения всех потенциальных поставщиков), что в конечном итоге приводит к выбору неоптимального поставщика.

 

На этапе планирования матрица составляется для того, чтобы получить общую картину по управлению ключевыми рисками процесса. Кроме того, наличие матрицы позволяет оптимально распределять ресурсы и выстраивать правильную последовательность приоритетов.

В базовом варианте матрицы имеется четыре раздела – «Процесс», «Риск», «Цель контроля» и «Контроль». Информация из одного раздела увязывается с информацией из других трех разделов. По этой причине наиболее распространенным форматом матрицы рисков и контрольных процедур является таблица. Рассмотрим кратко содержание каждого раздела.

1. Раздел «Процесс». Здесь указывается процесс, который в остальных трех разделах анализируется на предмет рисков и контрольных процедур. В зависимости от детализации матрицы вместо процесса может указываться подпроцесс или даже этап подпроцесса.

2. Раздел «Риск». Здесь указывается риск, который негативно влияет на достижение целей рассматриваемого процесса. По каждому из процессов (подпроцессов, этапов подпроцесса), включенных в матрицу, может быть более одного риска. Максимальное количество рисков не ограничено. Однако при формировании перечня рисков не стоит увлекаться количеством ради количества. Необходимо придерживаться практического подхода и указывать только те риски, которые действительно могут встретиться в реальности, исходя из данных предварительного анализа процесса.

3. Раздел «Цель контроля». Существуют различные подходы к заполнению данного раздела. Во-первых, можно привести расширенную формулировку цели контроля (см. пример в табл. 10). С одной стороны, она может способствовать более точному пониманию того, каким должен быть контроль. Например, в нашем случае указывается конкретное действие, которое должно произойти в результате выполнения контрольной процедуры, – прерывание процесса «Формирование потребности в материалах для закупки». С другой стороны, существенным минусом расширенной формулировки является утрата унификации и универсальности. При использовании расширенной формулировки необходимо иметь детальное представление о структуре и содержании процесса, например, в одном случае целью контроля может быть прерывание процесса, а в другом – уведомление о возникшей ситуации для принятия точечного решения. Так или иначе, в большинстве случаев на этапе планирования не предполагается, что команда внутренних аудиторов обладает таким детальным представлением. Кроме того, как бы странно это ни звучало, но нередко выбор расширенной формулировки – это дело вкуса, а вкус – понятие субъективное, например, разные люди могут по-разному понимать слово «прервать» (например, запретить или потребовать дополнительного согласования). Также разные люди склонны использовать разную лексику для обозначения одних и тех же явлений и действий. Все эти факторы могут вносить дополнительный сумбур в понимание информации, изложенной в матрице рисков и контрольных процедур. В то же время в качестве целей контроля можно использовать определенную терминологию. Один из ее вариантов представлен в главе 3. В ней описываются семь ключевых целей контроля. Если использовать предлагаемую терминологию, то цель контроля будет иметь иную формулировку (см. табл. 11). Она обозначается не каким-либо действием, а некой качественной характеристикой, которую контрольная процедура должна достичь. Таким образом, обеспечивается унификация и отсутствие привязки к конкретному содержанию контрольной процедуры, которое неизвестно на этапе планирования проекта. Кроме того, использование унифицированных целей контроля позволяет быстрее и правильнее оценить, насколько конкретная контрольная процедура достигает цели.

 

Таблица 10. Пример расширенной формулировки цели контроля

 

 

4. Раздел «Контроль». В большинстве случаев суть контроля заключается в осуществлении того или иного действия, которое направлено на достижение цели контроля. Отсюда широко используется термин «контрольная процедура», который лишний раз подчеркивает направленность контроля на создание активности. Разумеется, на этапе планирования формулировки многих контрольных процедур могут выглядеть обобщенно. Необходимо иметь в виду, что крайне важно уточнять содержание и структуру контрольных процедур в процессе работы по проекту – детализация процесса и контрольных процедур процесса должны быть сопоставимыми. Кроме того, раздел «Контроль» можно разбить на два подраздела. В первом указывается оптимальный контроль (исходя из предполагаемого содержания и структуры процесса), а во втором – фактический контроль (исходя из имеющегося на этапе планирования представления о фактическом содержании и структуре процесса). Если есть подозрение отсутствия контроля на том или ином этапе подпроцесса, информация по фактическому контролю не заносится. Такие случаи подлежат уточнению по мере выполнения проекта.

 

Таким образом, на этапе планирования матрица рисков и контрольных процедур в базовом варианте представляет собой таблицу, состоящую из четырех разделов. В ряде случаев раздел «Контроль» может быть разбит на два подраздела. В дальнейшем, в процессе выполнения проекта внутреннего аудита матрица уточняется и обрастает новыми графами. Более подробно мы рассмотрим этот процесс в разделе «Документирование работы внутреннего аудита» главы 9.

d.rutlib4.com

Формирование матриц рисков и контрольных процедур - Настольная книга по внутреннему аудиту. Риски и бизнес-процессы - Олег Крышкин - n.rutlib4.com

Формирование матриц рисков и контрольных процедур

Ключевой целью формирования матрицы является соотнесение рисков, влияющих на деятельность объекта аудита, с системой внутреннего контроля бизнес-процессов этого объекта. В результате выявляются провалы в системе внутреннего контроля объекта аудита. Они возникают тогда, когда система внутреннего контроля упускает из виду конкретные риски. В таком случае возможны три ситуации:

1. В системе внутреннего контроля отсутствуют контрольные процедуры, направленные на оптимальное нивелирование параметров конкретного риска, например, выбор поставщика без проведения тендера приводит во многих ситуациях к выбору неоптимального поставщика.

2. Контроль воздействует на риск, однако оптимального нивелирования не достигается, например, процедура тендера вроде есть, но пул участников формируется дирекцией по закупкам, при этом база поставщиков не ведется. В этом случае также довольно часто выбирается неоптимальный поставщик.

3. Контроль способен оптимально нивелировать параметры риска, однако в силу различных причин этого не происходит, например, процедура тендера идеальна по своей структуре и содержанию. Однако для ее ускорения могут форсироваться те или иные этапы (например, сокращаться сроки приема коммерческих предложений без извещения всех потенциальных поставщиков), что в конечном итоге приводит к выбору неоптимального поставщика.

 

На этапе планирования матрица составляется для того, чтобы получить общую картину по управлению ключевыми рисками процесса. Кроме того, наличие матрицы позволяет оптимально распределять ресурсы и выстраивать правильную последовательность приоритетов.

В базовом варианте матрицы имеется четыре раздела – «Процесс», «Риск», «Цель контроля» и «Контроль». Информация из одного раздела увязывается с информацией из других трех разделов. По этой причине наиболее распространенным форматом матрицы рисков и контрольных процедур является таблица. Рассмотрим кратко содержание каждого раздела.

1. Раздел «Процесс». Здесь указывается процесс, который в остальных трех разделах анализируется на предмет рисков и контрольных процедур. В зависимости от детализации матрицы вместо процесса может указываться подпроцесс или даже этап подпроцесса.

2. Раздел «Риск». Здесь указывается риск, который негативно влияет на достижение целей рассматриваемого процесса. По каждому из процессов (подпроцессов, этапов подпроцесса), включенных в матрицу, может быть более одного риска. Максимальное количество рисков не ограничено. Однако при формировании перечня рисков не стоит увлекаться количеством ради количества. Необходимо придерживаться практического подхода и указывать только те риски, которые действительно могут встретиться в реальности, исходя из данных предварительного анализа процесса.

3. Раздел «Цель контроля». Существуют различные подходы к заполнению данного раздела. Во-первых, можно привести расширенную формулировку цели контроля (см. пример в табл. 10). С одной стороны, она может способствовать более точному пониманию того, каким должен быть контроль. Например, в нашем случае указывается конкретное действие, которое должно произойти в результате выполнения контрольной процедуры, – прерывание процесса «Формирование потребности в материалах для закупки». С другой стороны, существенным минусом расширенной формулировки является утрата унификации и универсальности. При использовании расширенной формулировки необходимо иметь детальное представление о структуре и содержании процесса, например, в одном случае целью контроля может быть прерывание процесса, а в другом – уведомление о возникшей ситуации для принятия точечного решения. Так или иначе, в большинстве случаев на этапе планирования не предполагается, что команда внутренних аудиторов обладает таким детальным представлением. Кроме того, как бы странно это ни звучало, но нередко выбор расширенной формулировки – это дело вкуса, а вкус – понятие субъективное, например, разные люди могут по-разному понимать слово «прервать» (например, запретить или потребовать дополнительного согласования). Также разные люди склонны использовать разную лексику для обозначения одних и тех же явлений и действий. Все эти факторы могут вносить дополнительный сумбур в понимание информации, изложенной в матрице рисков и контрольных процедур. В то же время в качестве целей контроля можно использовать определенную терминологию. Один из ее вариантов представлен в главе 3. В ней описываются семь ключевых целей контроля. Если использовать предлагаемую терминологию, то цель контроля будет иметь иную формулировку (см. табл. 11). Она обозначается не каким-либо действием, а некой качественной характеристикой, которую контрольная процедура должна достичь. Таким образом, обеспечивается унификация и отсутствие привязки к конкретному содержанию контрольной процедуры, которое неизвестно на этапе планирования проекта. Кроме того, использование унифицированных целей контроля позволяет быстрее и правильнее оценить, насколько конкретная контрольная процедура достигает цели.

 

Таблица 10. Пример расширенной формулировки цели контроля

 

 

4. Раздел «Контроль». В большинстве случаев суть контроля заключается в осуществлении того или иного действия, которое направлено на достижение цели контроля. Отсюда широко используется термин «контрольная процедура», который лишний раз подчеркивает направленность контроля на создание активности. Разумеется, на этапе планирования формулировки многих контрольных процедур могут выглядеть обобщенно. Необходимо иметь в виду, что крайне важно уточнять содержание и структуру контрольных процедур в процессе работы по проекту – детализация процесса и контрольных процедур процесса должны быть сопоставимыми. Кроме того, раздел «Контроль» можно разбить на два подраздела. В первом указывается оптимальный контроль (исходя из предполагаемого содержания и структуры процесса), а во втором – фактический контроль (исходя из имеющегося на этапе планирования представления о фактическом содержании и структуре процесса). Если есть подозрение отсутствия контроля на том или ином этапе подпроцесса, информация по фактическому контролю не заносится. Такие случаи подлежат уточнению по мере выполнения проекта.

 

Таким образом, на этапе планирования матрица рисков и контрольных процедур в базовом варианте представляет собой таблицу, состоящую из четырех разделов. В ряде случаев раздел «Контроль» может быть разбит на два подраздела. В дальнейшем, в процессе выполнения проекта внутреннего аудита матрица уточняется и обрастает новыми графами. Более подробно мы рассмотрим этот процесс в разделе «Документирование работы внутреннего аудита» главы 9.

n.rutlib4.com

Волшебная матрица - eGRC - Enterprise Governance, Risk and Compliance

Каждая компания, занимающаяся формализацией системы внутреннего контроля, сталкивается с таким документом, как матрица рисков и контрольных процедур (контролей). Формирование ее считается довольно скучной работой, а предназначение не всегда ясно: вроде и не регламент, и не модель, а какая-то загадочная таблица.На самом деле, если внимательно посмотреть на структуру и содержание матрицы, окажется, что это удивительный документ. Пожалуй, единственный, который включает в себя практически все элементы управления предприятием: структуру бизнес-процессов, риски, организационную структуру, ИТ-архитектуру, распределение полномочий и разделение обязанностей в разрезе должностей, место контроля в процессе, сроки выполнения контролей, особенности документооборота и пр.

Матрица по сути представляет собой "корсет бизнеса", который обеспечивает, с одной стороны, устойчивость компании через организационную структуру и ИТ-архитектуру, а с другой стороны, гибкость через бизнес-процессы и роли. Методология формирования матрицы накладывает определенные ограничения на процессы, в частности, требует дополнительных контрольных процедур в высокорисковых областях или сокращения контролей при их дублировании, низком риске и высоких затратах. Матрица может также помочь выявить подразделения и должности с максимальной нагрузкой (по количеству выполняемых контролей) и степень автоматизированности процесса через долю автоматических контролей.

Часто возникает вопрос: а зачем нам матрица, если все описано в регламентах? На самом деле, в большинстве политик, процедур, регламентов и инструкций описаны ручные и ИТ-зависимые контроли, поскольку все эти документы пишутся для людей. В них часто отсутствует описания автоматизированных контрольных процедур, которые можно найти в технических заданиях, функциональных требованиях и концептуальных дизайнах систем. Кроме того, матрица помогает убедиться в том, что необходимые ручные и ИТ-зависимые контрольных процедуры внесены в регламенты через ссылки на пункты внутренней нормативной документации (ВНД). С другой стороны, при наличии подробного описания выполнения контроля в инструкции (например, по проведению инвентаризации или сверке с контрагентами) целесообразно давать ссылку на этот документ в описании контрольной процедуры, оставляя в матрице суть контроля.Интересно, что матрица помогает выявить "законтролированность" или размытую ответственность через разложения процесса "по полочкам". Например, при согласовании договоров каждый согласующий будет выполнять отдельный контроль, покрывая разные риски: несоблюдения налогового, гражданского законодательства или невыгодности коммерческих условий. Матрица требует активной интеллектуальной работы, поскольку именно человек-специалист может с помощью матрицы оценить полноту покрытия риска. Автоматизировать эту оценку пока полностью невозможно.

Дополнительное преимущество матрицы в том, что она позволяет проводить бенчмаркинг контролей (сравнение с ведущей практикой) между предприятиями одной отрасли или разных отраслей по таким показателям, как количество контролей на процесс или доля автоматизированных контролей. Последний показатель очень хорошо характеризует зрелость бизнес-процесса.

Выявленные недостатки дизайна контрольных процедур (неполное покрытие рисков или некорректное выполнение контроля) легко превращаются в план мероприятий, который ложится в основу дорожной карты совершенствования внутреннего контроля.

Какой же статус имеет этот документ, кто должен его утверждать?

На практике встречается три варианта оформления и утверждения:

  1. Матрица является рабочим документом отдела внутреннего контроля, своего рода чеклистом того, что все описанные контрольные процедуры внесены во внутренние нормативные документы. Приказом не оформляется, только согласовывается владельцами бизнес-процессов. Это подход характерен для компаний с высокой регламентацией процессов.
  2. Матрица утверждается руководителем подразделения и служит чеклистом для исполнителей, а также руководителя, проверяющего выполнение контролей. Особенно часто встречается в процессе закрытия периода и подготовки финансовой отчетности, когда контрольные процедуры встраиваются в график закрытия.
  3. Матрица утверждается приказом генерального директора и становится обязательным для выполнения. При изменении матрицы (порядка выполнения контролей, должностей или сроков выполнения контролей) приказ перевыпускается. Характерно для компаний с низкой степенью формализации процессов.
Чем лучше описаны контрольные процедуры в нормативной документации компании и чем лучше сотрудники могут объяснить порядок шагов процесса, тем легче составить матрицу рисков и контролей (см. Миф №2 о сложности документирования СВК - ссылка). Поэтому она становится не очередной бюрократической выдумкой, а реальным инструментом управления и совершенствования бизнес-процессов.

egrc.livejournal.com


Смотрите также