Внутрішній контроль та аудит в управлінні ризиками на підприємстві

Размещено на http://www.allbest.ru/

внутрішній контроль та аудит в управлінні ризиками на підприємстві

Дорош Н. I.

У статті розглянуто систему та елементи внутрішнього контролю COSO та COSO ERM, їх сприяння кращому розумінню та оцінці ризиків на всіх рівнях управління. Розкрито функції та значення ризик-орієнтованого внутрішнього аудиту в оцінці ризиків суб'єкта господарювання.

Ключові слова: COSO, COSO ERM, внутрішній контроль, внутрішній аудит, управління ризиками, оцінка ризиків

Dorosh N.

INTERNAL CONTROL AND AUDIT IN ENTERPRISE RISK MANAGEMENT

Summary. The system and elements of the COSO internal control and COSO ERM are considered in the article, their role in better understanding and assessment of risks at all levels of management is disclosed. The functions and significance of the risk-based internal auditing in the enterprise risk assessment are described.

Keywords: COSO, COSO ERM, internal control, internal auditing, risk management, risk assessment

внутрішній аудит ризик управління

Вступ

В останні роки спостерігається підвищена увага до питань управління ризиками на підприємстві, які б забезпечували їх ефективне виявлення, оцінку та розробку шляхів реагування на ризики. Розвиток підприємства буде максимальним, якщо керівництво визначить стратегію та цілі таким чином, щоб забезпечити оптимальний баланс між зростанням виробництва, його прибутковістю і ризиками, ефективно та результативно використовувати ресурси, необхідні для досягнення поставлених завдань. У зв'язку з цим зростає потреба зміцнення корпоративного управління та удосконалення управління ризиками шляхом створення і підтримки систем внутрішнього контролю та внутрішнього аудиту.

Вагомий внесок у розвиток теоретичних основ та проблематики внутрішнього контролю зробили: С. В. Бардаш, Н. Г. Виговська, Л. В. Гуцаленко, Т. Г. Камінська, Л. А. Костирко, П. О. Куцик, В. Ф. Максімова, Л. В. Нападовська, С. М. Петренко, Н. М. Проскуріна, М. С. Пушкар, К. І. Редченко, О. Ю. Редько, Л. К. Сук та ін. Аналіз навчальної і наукової літератури показав, що відбувається певне ототожнення понять внутрішнього аудиту та внутрішнього контролю.

Мета статті - ідентифікувати функції внутрішнього аудиту та внутрішнього контролю для потреб управління ризиками суб'єкта господарювання.

Теоретичні аспекти внутрішнього контролю та аудиту

Зростаючі очікування власників, акціонерів і необхідність досягнення стійкого зростання вартості підприємства, прибутковості, рентабельності екологічні та інші цілі здійснюють вплив на прийняття значних і не значних ризиків. У результаті вище керівництво вимагає набагато більше гарантій того, що ризики ефективно контролюються на рівні всього підприємства. Для забезпечення ефективного управління ризиками система контролю має важливе значення. В результаті незалежна, позитивна впевненість, що такі структури є ефективними і дієвими є життєво важливою.

Аналіз праць науковців і практиків показав на певну спрямованість у визначеннях сутності контролю, як функції управління, на вирішення цілей, завдань системи управління підприємством відповідно до закономірностей його розвитку.

У Господарському кодексі України вказується, що “...організація внутрішньогосподарського контролю покладається на керівника підприємства. За результатами контрольних перевірок, керівництво підприємства приймає рішення щодо усунення причин, які негативно впливають на фінансово- господарську діяльність” [4, с. 131].

Згідно із Законом України “Про акціонерні товариства” [5] (нормою ч. 2 ст. 74) завданнями перевірки фінансово-господарської діяльності акціонерного товариства за результатами фінансового року є: підтвердження достовірності та повноти даних фінансової звітності за відповідний період; виявлення порушень законодавства під час провадження фінансово-господарської діяльності; моніторинг порядку ведення бухгалтерського обліку та подання звітності.

Відповідно до Міжнародного стандарту аудиту 315 “Ідентифікація та оцінка ризиків суттєвих викривлень через розуміння суб'єкта господарювання і його середовища” внутрішній контроль - процес, розроблений, запроваджений і підтримуваний тими, кого наділено найвищими повноваженнями, управлінським персоналом, а також іншими працівниками для забезпечення обгрунтованої впевненості в досягненні цілей суб'єкта господарювання стосовно достовірності фінансової звітності, ефективності діяльності, а також дотриманні застосованих законів і нормативних актів [9, с. 277].

На думку Л. В. Гуцаленко, контроль у широкому розумінні - це процес, який повинен забезпечити відповідність функціонування об'єкта управління прийнятим управлінським рішенням і спрямований на успішне досягнення поставленої мети [2, с.4]. Л. О. Сухарева та В. М. Стефківський вважають, що у широкому розумінні під контролем слід розуміти систему відносин з приводу систематичного нагляду та перевірки за ходом функціонування відповідного об'єкту деякого суспільного, виробничого та іншого процесу контролюючими органами, установами, уповноваженими особами з метою встановлення об'єкту контролю від заданих параметрів [11, с.14 -15].

Н. Г. Виговська наголошує на тому, що контроль є самостійною стадією управління. Якщо контроль розглядати щодо кожного управлінського рішення, то він є стадією управлінського циклу [1, с.37]. З точки зору Л. К. Сука контроль - це перевірка виконання господарських рішень з метою визначення їх законності, встановлення причин порушення законодавства у діяльності підприємств та організацій [10, с. 19]. Я. А. Гончарук і В. С. Руд- ницький трактують контроль як систему перевірки та спостереження відповідності процесу функціонування об'єкту управління прийнятим управлінським рішенням, встановлення результатів управлінського впливу на керований об'єкт виявленням відхилень, допущених у процесі виконання цих рішень [3, с. 35].

Як одна із ключових функцій управління, контроль пов'язується із виконанням ряду власних функцій. Так, В. Б. Івашкевич виділяє три основні функції контролю: інформаційну, контрольну та функцію управління [6]. М. М. Коцупатрий розкриває інформаційну функцію [7, с. 433-436]. В. Ю. Ла- ріковим функції внутрішньогосподарського контролю представлено інформаційною, обліково-вимірювальною, аналітичною, плановою, динамічною, регулюючою та управлінською функціями [8, с. 4-5].

Найбільш розповсюдженою сучасною концептуальною основою внутрішнього контролю в США є концепція COSO (Committee of Sponsoring Organization of the Treadway Commision - Комітет спонсорських організацій комісії Традвея). Спонсорські організації включають в себе Американську бухгалтерську асоціацію, Американський інститут сер- тифікованих громадських бухгалтерів, Міжнародну асоціацію фінансових керівників, Інститут внутрішніх аудиторів і Інститут бухгалтерів з управлінського обліку. Спонсорські організації об'єднались в середині 1980-х років з метою вирішення проблем зростання випадків фінансового шахрайства. Однією з пропозицій організації COSO ще на початку її досліджень - це розвиток всохоплючої концепції внутрішнього контролю. Структура внутрішнього контролю COSO стала міжнародною моделлю для опису та визначення внутрішнього контролю.

COSO визначає внутрішній контроль як діяльність, що здійснюється радою директорів організації та іншим управлінським персоналом, яка спрямована на забезпечення достатньої впевненості стосовно досягнення цілей організації за такими напрямами: достовірність фінансової звітності; відповідність діючим законам і нормативам; ефективність і результативність господарських операцій.

Такі напрями розроблені з метою сприяння організації в досягненні одного з найбільш важливих завдань - успішного здійснення корпоративної стратегії для забезпечення доходності капіталу акціонерів. Виконання завдань внутрішнього контролю має забезпечити гарантії того, що на підприємстві здійснюються ефективні та результативні господарські операції, які відповідають загальній стратегії розвитку, що його діяльність узгоджена з діючим законодавством, що воно захищає свої активи від крадіжок та шахрайства і готує достовірну і точну фінансову інформацію для внутрішнього прийняття управлінських рішень та зовнішньої звітності відповідним зацікавленим сторонам.

Важливими компонентами визначення поняття “внутрішній контроль” є те, що внутрішній контроль - це процес, розроблений з метою досягнення поставлених завдань підприємства; починається з верхівки підприємства - ради директорів та менеджерів, які створюють і зміцнюють структуру і характер здійснюваних контрольних заходів в організації; прямо чи опосередковано включають в себе всіх працівників підприємства - від експедиторів до внутрішнього аудитора та фінансового директора та генерального директора; є більш всеохоплю- ючим поняттям, ніж просто внутрішній контроль за скаладанням фінансової звітності; стосується всіх видів діяльності підприємства, починаючи з функціональних ланок, таких як маркетинг та операційні підрозділи, які відображають організаційну структуру підприємства до взаємовідносин з іншими підприємствами.

Внутрішній контроль складається з п'яти взаємопов'язаних компонентів, розроблених з метою досягнення цілей організації. Ці компоненти залежать від способу управління бізнесом зі сторони менеджерів і є інтегрованими у сам процес управління. П'ять компонентів інтегрованої моделі внутрішнього контролю COSO: середовище контролю; оцінка ризиків; процедури контролю; інформація і комунікації; моніторинг.

Контроль в управлінні ризиками на підприємстві

Процес управління ризиками підприємства забезпечує досягнення цільових показників прибутковості та рентабельності, раціонального використання ресурсів, ефективний процес складання фінансової звітності, а також дотримання законодавчих і нормативних актів, дає можливість зміцнити репутацію підприємства, тобто досягнути його цілей та при цьому уникнути похибок та несподіванок.

Оцінка ризиків включає у себе ідентифікацію та аналіз ризиків суттєвого викривлення інформації в фінансовій звітності. Всі користувачі, зокрема державні органи, висувають високі вимоги до мінімізації ризиків викривлення фінансової звітності. Ігнорування ризиків часто призводить до банкрутства підприємств, судових процесів, згортання діяльності, бізнесу. Спосіб виникнення викривлень залежить від рівня розвитку середовища контролю та характеру обробки інформації. Нездатність до ідентифікації ризиків, ймовірно, говорить про недоліки контролю в організації. Менеджери часто використовують анкету оцінки ризиків як основу для ідентифікації ризиків ефективності діяльності, при складанні фінансової звітності та документуванні.

Ефективний процес управління ризиками складається з таких стадій: ідентифікація ризиків; оцінка ризиків кількісними та якісними способами; ранжування ризиків; розробка заходів реагування; моніторинг. Існує необхідність ідентифікації та розуміння ризиків, з якими стикається підприємство, оцінки ризиків за рівнем витрат, впливом та імовірністю виникнення, розробки процедури документального засвідчення ризику, а також процедур коригування їх дії.

Процес ідентифікації ризиків вимагає використання обдуманого та зваженого підходу до визначення потенційних ризиків в усіх сферах діяльності підприємства та визначення сфер, ризики яких мають найвищий рівень впливу. Основне завдання полягає не тільки у створенні переліку всіх можливих ризиків, що можуть впливати на функціонування підприємства. Необхідно отримати чітке розуміння характеру ризиків через ідентифікацію всіх можливих ризиків, що можуть чинити вплив на успішне функціонування підприємства, починаючи від тих, що мають максимальний вплив, і закінчуючи ризиками з найнижчим рівнем впливу, а також виділити основні ризики, такі, як ризик значного незадоволення потреб покупців, появи нового значного конкурента або ідентифікації слабкості системи управління. Цей процес є досить складним, оскільки неможливо точно оцінити рівень впливу кожного з ризиків, а також характер його наслідків. Деякі види ризиків виникають дуже рідко, але їх вплив може бути катастрофічним.

Менеджери повинні розглянути всі виявлені ризики і виділити ті, які, як видається, є найбільш важливими для підприємства та підготувати остаточний перелік ризиків суб'єкта господарювання як загальний для підприємства, так і за окремими оперативними підрозділами. Ідея полягає в тому, щоб виявити перелік ризиків, які загрожують функціонуванню підприємства як на рівні структурних підрозділів, так і на загальному рівні. Виділені ризики не обов'язково можуть мати максимальний вплив на результат, але часто є відправною точкою для оцінки ризику підприємства. В перспективі цей перелік буде змінюватись у масштабі всього підприємства, виявлені ризики мають бути розділені за структурними підрозділами, надаючи можливість забезпечення зворотнього зв'язку [14, с. 118].

Наступним кроком після ідентифікації ризиків є оцінка рівня їх впливу та ймовірності появи.

Передбачається використання різноманітних підходів, починаючи від застосування експертних рішень і закінчуючи математичними обчисленнями. Основна мета полягає в тому, щоб визначити, який з переліку потенційних ризиків є найбільш небезпечним. Менеджери можуть оцінити ризики за допомогою опитування та з'ясувати ймовірність виникнення ризику в цьому або наступному році та вартісне вираження наслідків ризику для підприємства.

Спосіб оцінки ризиків за допомогою матриці ризиків за ступенем впливу і ймовірністю виникнення забезпечує високий рівень розуміння істотних ризиків, пов'язаних з підприємством. Такий спосіб оцінки застосовується, коли підприємство визначило для себе незначну кількість ризиків. Графічний метод дає можливість легко визначити перелік найбільш значних ризиків. Іноді краще виразити оцінки ймовірності та значущості у відсотковому вираженні. Велику увагу слід приділяти розумінню взаємозв'язку між ймовірністю ризику та його рівнем впливу.

У результаті підприємство отримує відповідний список потенційних ризиків. Наступним є визначення місця ризику у загальному списку та встановлення найбільш істотних ризиків для підприємства. Ризик-менеджмент на всіх рівнях повинен визначатися з метою класифікації ймовірності події. Більш сучасною концепцією контролю, яка спрямована на ризик-менеджмент підприємства, є COSO ERM.

Управління ризиками організації - це процес, який здійснюється радою директорів, менеджерами та іншими співробітниками й починається при розробці стратегії та охоплює всю діяльність організації. Він спрямований на ідентифікацію подій, що можуть впливати на організацію й управління ризиком, пов'язаним з цими подіями, а також контроль того, щоб не був перевищений ризик - апетит організації та надавалась розумна гарантія досягнення цілей організації [12, с. 8].

Цією концепцією підкреслюється, що ризик- менеджмент здійснюється за допомогою встановлення стратегій розвитку підприємства в цілому. Кожне підприємство постійно стикається з виникненням альтернативних стратегій через значний діапазон потенційних ризиків. Ефективний набір ERM-процесів повинен відігравати значну роль у виборі альтернативних стратегій. Оскільки більшість великих підприємств має значну кількість операційних сегментів, ERM має застосовуватись для всього підприємства в цілому, використовуючи єдиний підхід, що забезпечить поєднання операцій на різних рівнях.

Підприємство має працювати над створенням стратегічних цілей, які можуть бути спільними для всіх зацікавлених сторін, наприклад, такими питаннями, як досягнення і підтримання позитивної репутації в рамках бізнесу для споживачів чи іншого підприємства, забезпечення надійної фінансової звітності для всіх зацікавлених сторін і діяльність відповідно до законів та правил.

Система COSO ERM дуже схожа на схему внутрішнього контролю COSO. Але COSO ERM не слід розглядати тільки як новий і покращений або переглянутий варіант системи внутрішнього контролю COSO. COSO ERM складається з таких елементів: моніторинг; інформація та комунікації; контрольні дії; відповідь на ризик; оцінка ризику; ідентифікація подій; визначення цілей; середовище контролю. У структурі COSO ERM доцільно виділити вісім рівнів, де середовище внутрішнього контролю розташоване на вершині структури ERM. Навпаки, в системі внутрішнього контролю COSO фактор середовища контролю розміщений в фундаменті. Внутрішнє середовище можна вважати вершиною, кульмінацією COSO ERM. Цей рівень визначає основу для всіх інших компонентів у моделі ERM підприємства, впливаючи як на стратегії і цілі, що мають бути встановлені, так і на пов'язані з ризиком ділові операції. У той час як середовище контролю за концепцією внутрішнього контролю COSO зосереджується на існуючій практиці, COSO ERM більш спрямований на майбутнє.

Мета системи ERM - створення моделі підприємства, яка дає можливість розглянути та зрозуміти стратегічні цілі своєї діяльності, що пов'язані з ризиком на всіх рівнях, а також з'ясувати як компоненти ризику впливають один на одного. Загалом програма ERM повинна допомогти підприємству досягти цих цілей.

Схему встановлення мети підприємства в COSO ERM можна представити таким чином: спочатку визначають місію, стратегічні цілі підприємства; встановлюють стратегію; визначають будь-які пов'язані цілі; і визначають ризику - апетит. Важливим компонентом середовища контролю є ризик- апетит. Ризик-апетит являє собою рівень ризику, який підприємство готове прийняти у досягненні його цілей. У кожного підприємства є свій ризик- апетит. Деякі керівники обирають високо ризикові види діяльності з розрахунком на потенційно високі доходи, інші воліють більш гарантованого повернення вкладених коштів, тобто низько ризико- вий підхід.

У той час як внутрішнє середовище контролю - наріжний камінь ERM COSO, оцінка ступеня ризику - ядро структури. Оцінка ступеня ризику дає можливість підприємству розглядати причини виникнення подій, пов'язаних з потенційним ризиком, та може впливати на досягнення підприємством його цілей. Існує потреба розглянути властиві і залишкові ризики [14, с. 134].

Властивий ризик - це потенціал для витрат, втрат, неправомірного використання, або незаконного привласнення активів внаслідок природи діяльності підприємства безпосередньо. Основними факторами, які визначають властивий ризик, є розмір бюджету підприємства, міцність та досвідченість управління, а також сама природа його операцій. Властивий ризик перебуває поза контролем управління і зазвичай визначається дією зовнішніх факторів [14, с. 134]. Залишковий ризик - це ризик, який залишається після управлінських відповідей на ризик-загрози, коли контрольні заходи були застосовані. Фактично завжди існує деякий рівень залишкового ризику.

Підприємство буде завжди стикатися з деякими ризиками. Після того, як управління усунуло ризики, які є результатом процесу ідентифікації ризику, все ще матимуть місце деякі залишкові ризики. Крім того, завжди існують деякі властиві ризики, щодо запобігання яких управління може зробити небагато, щоб пом'якшити їх вплив. Так, практично, нічого не можна зробити стосовно властивого ризику природного землетрусу.

Імовірність - можливість того, що ризик відбудеться. У багатьох випадках це може бути якісною оцінкою ключового менеджменту в термінах високої, середньої, або низької ймовірності появи ризику. Є також деякі кількісні інструменти оцінки ймовірності появи ризику.

Оцінка ступеня ризику - ключовий компонент структури ERM COSO. Це - методи, за допомогою яких підприємство оцінює всі ризики, які могли б впливати на його різні цілі, розглядають потенційну ймовірність і вплив кожного з цих ризиків, розглядають їх взаємозв'язок і потім розробляють стратегії для відповідей, реагування на ризики.

Процес управління ризиками визначає, який спосіб реагування на ризики є кращим для підприємства - ухилення від ризику, зменшення ризику, перерозподіл ризику чи прийняття ризику.

Зміна умов середовища зумовлює зміну ризиків. Для деяких ризиків умови можуть змінитися таким чином, що загроза ризику зростає. Підприємство потребує створення механізму, щоб контролювати ідентифіковані ризики. Процес ідентифікації ризиків є річним або щоквартальним процесом. Моніторинг ризиків може здійснюватись учасником процесу або незалежним рецензентом. Внутрішній аудит часто є джерелом моніторингу поточного статусу ризиків. Він може зібрати додаткову інформацію стосовно моніторингу деякого ідентифікованого ризику, можливим є застосування перевірки, для кращого зрозуміння природи області ризику. Внутрішній аудит при виконанні інформаційної і консультаційної функцій сприяє здійсненню управління ризиками.

Відповідно до міжнародного стандарту професійної практики внутрішнього аудиту 2100 “Сутність роботи внутрішнього аудиту”, використовуючи систематичний та послідовний підхід, функція внутрішнього аудиту повинна оцінювати та сприяти удосконаленню процесів корпоративного управління, управління ризиками та контролю [13].

Відповідно до міжнародного стандарту 2130 “Контроль” функція внутрішнього аудиту повинна сприяти організації в забезпеченні ефективних контролів за допомогою оцінки їх ефективності та продуктивності, а також шляхом підтримання їх постійного вдосконалення. Функція внутрішнього аудиту повинна оцінити достатність і ефективність контролів відповідно до ризиків у сфері корпоративного управління, операційної діяльності та інформаційних систем з огляду на: досягнення стратегічних цілей організації; достовірність та цілісність фінансової й операційної інформації; ефективність і продуктивність операційної діяльності та програм; захист активів; дотримання законів, нормативних документів, процедур і договірних зобов'язань.

Висновки

Внутрішній контроль визначається як діяльність, що здійснюється радою директорів організації та іншим управлінським персоналом, яка спрямована на забезпечення достатньої впевненості стосовно досягнення цілей організації за такими напрямами: достовірність фінансової звітності; відповідність діючим законам і нормативам; ефективність і результативність господарських операцій. Досягненню цих цілей перешкоджають ризики. Процес внутрішнього контролю є складовою частиною управління ризиками. Функція внутрішнього аудиту повинна оцінювати та сприяти удосконаленню процесів корпоративного управління, управління ризиками та контролю. Внутрішній аудит забезпечує незалежну й об'єктивну оцінку достатності і ефективності контролю відповідно до ризиків у сфері корпоративного управління, операційної діяльності та інформаційних систем.

Список використаних джерел

1. Виговська Н. Г. Господарський контроль в Україні: теорія, методологія, організація [Текст] : монографія / Н. Г. Виговська. - Житомир : ЖДТУ, 2008. - 532 с.

2. Гуцаленко Л. В. Державний фінансовий контроль [Текст] : навч. посібник / Л. В. Гуцаленко, В. А. Дерій, М. М. Коцупатрий. - К. : Центр учбової літератури, 2009. - 424 с.

3. Гончарук Я. А. Аудит [Текст] : навч. посібник / Я. А. Гончарук, В. С. Рудницький. - [3-тє вид., перероб. і доп.]. - К. : Знання, 2007. - 443 с.

4. Господарський кодекс України : науково- практичний коментар / [О. І. Харитонова та ін.]; [за заг. ред. О. І. Харитонової]. - X. : Одіссей, 2007. - 832 с.

5. Про акціонерні товариства : Закон України № 514-VI від 17.09.2008 р. // Офіційний вісник України. - 2008. - № 81. - С. 2727.

6. Ивашкевич В. Б. Практический аудит [Текст] : учеб. пособие / В. Б. Ивашкевич. - М. : Магистр, 2010. - 286 с.

7. Коцупатрий М. Внутрішньогосподарський контроль: організаційні аспекти та класифікаційні ознаки / М. Коцупатрий, У. Гуцаленко // Економічний аналіз. - 2010. - № 6. - С. 433-436.

8. Ларіков В. Ю. Визначення цільових функцій контролю / В. Ю. Ларіков // Вестник Восточноукр. национ. ун-та им. В. Даля. - 2010. - № 11. - С. 1-5.

9. Міжнародні стандарти контролю якості, аудиту, огляду, іншого надання впевненості та супутніх послуг. - Видання 2010 року. - Ч. 1 // [Електронний ресурс]. - Режим доступу : http// www.apu.com.ua.

10. Сук Л. К. Контроль та ревізія [Текст] : навч. посібник / Л. К. Сук. - К. : Україна, 2006. - 275 с.

11. Сухарева Л. О. Контроль управлінських рішень: системний підхід [Текст] : монографія / Л. О. Сухарева, В. М. Стефківський. - Донецьк : ДонНУЕТ, 2013. - 237 с.

12. Управление рисками организаций. Интегрированная модель. Краткое изложение концептуальные основы. - Комитет спонсорских организаций Комиссии Тредвея (COSO), 2004 // [Електронний ресурс]. - Режим доступу: http://www.theiia.org/ bookstore/

13. International Professional Practices Framework (IPPF) 2013 Edition. Copyrigt @ 2009 - 2012 by The Institute of Internal Auditors, 247 Maitland Avenue, Altamonte Springs, Florrida 32701 - 4201, USA. All right reserved // [Електронний ресурс]. - Режим доступу : http://www.theiia.org/bookstore/ product/in- ternational-professional-practices-framework-2011- 1533.cfm

14. Moeller, Robert R. Brink's modern internal auditing : a common body of knowledge / Robert Moeller. - 7th ed. - John Wiley & Sons, Inc. - 2009. - 794 p.

Размещено на Allbest.ru