Implementation of the concept of risk-oriented internal control within the system of ensuring economic security of corporation owners

Komzolov Alexey ORCID: 0000-0001-6268-854X Doctor of Economics Professor, Head of Department of Security of Digital Economy and Risk Management, Gubkin Russian State University of Oil and Gas (National Research University) 119991, Russia, g. Moscow, Leninskii prospekt, 65 alexkomzolov@gmail.com Other publications by this author

Kirichenko Tatiana ORCID: 0000-0002-6408-0228 Doctor of Economics Professor, the department of Security of Digital Economy and Risk Management, Gubkin Russian State University of Oil and Gas (National Research University) 119991, Russia, g. Moscow, Leninskii prospekt, 65 tvkirichenko@gmail.com Other publications by this author

Крупнейшими хозяйствующими субъектами являются корпорации (публичные акционерные общества). Для этой организационно-правовой формы характерно большое число сотрудников и большое число собственников – акционеров. При этом, как правило, имеется большое число мелких акционеров. Что не может не создавать дистанцию между собственниками и высшим менеджментом корпорации, у которых могут быть как различные интересы, так и различные взгляды на будущее общества ^[1]. Высшим органом корпорации, представляющим акционеров, является собрание акционеров. Однако этот орган весьма громоздок и не работает постоянно. Для контроля над финансово-хозяйственной деятельностью корпорации собранием акционеров создается ревизионная комиссия, но она осуществляет контроль деятельности за год. Для более тесного и регулярного контроля над деятельностью общества собрание создает совет директоров (наблюдательный совет). Такая схема не может не порождать новую проблему – наличие дистанции между представленными в совете директоров и ревизионной комиссии собственниками и непредставленными в органах управления и контроля миноритарными акционерами.

Для обеспечения экономической безопасности всех собственников законодатель и регулятор финансовых рынков выстраивает систему, призванную обеспечить экономическую безопасность собственника. Прежде всего, законодатель тщательно и взвешенно продумывает правила, обеспечивающие правильное функционирование собрания акционеров, где прописывает, что такое общее собрание акционеров, как регулярно и для чего оно созывается, далее он регулирует полномочия общего собрания, а также компетенции общего собрания акционеров, которые оно может и не может передавать своему выборному органу – совету директоров.

Регулируется также, каким образом принимаются решения общего собрания акционеров, кто имеет право голоса, сколько голосов требуется по каким вопросам и какие решения могут приниматься только по предложению совета директоров. Также законодатель определяет по каким вопросам возможно проведение общего собрания акционеров в форме заочного голосования, а по каким вопросам оно не допустимо.

Законом прописано каким образом составляется список лиц, которым предоставляется право на участие в общем собрании акционеров. А каким образом и за какое время эти лица информируются о проведении общего собрания акционеров, а также какая информация им предоставляется, включая: отчетность, заключения по ней аудитов, сведения о кандидатах в избираемые органы, проекты документов.

Закон регламентирует право акционеров, имеющих не менее, чем два процента голосующих акций на внесение предложений в повестку дня общего собрания акционеров, с предлагаемым вариантом решения, а также кандидатур на избрание. Подробно регламентируется какие решения должен принять совет директоров для подготовки к проведению общего собрания акционеров. Регламентируется и созыв внеочередного общего собрания акционеров, которое может быть созвано по требованию совета директоров, аудитора, ревизионной комиссии или владельцев не менее десяти процентов голосующих акций.

Регламентируется также порядок создания и деятельности счетной комиссии, создание которой обязательно, если число владельцев голосующих акций более ста. Функции счетной комиссии выполняет регистратор, если число владельцев голосующих акций более пятисот. Регламентируется и порядок участия (личный или через представителя) акционеров в общем собрании акционеров.

Регламентируется кворум общего собрания акционеров – участие владельцев более половины голосующих акций. А также, каким образом осуществляется голосование на общем собрании акционеров. Определено, что бюллетень для голосования является обязательным для обществ с числом владельцев голосующих акций пятьдесят и более лиц. Регламентируется подсчет голосов при голосовании. А также формирование протокола и отчета об итогах голосования и протокола общего собрания акционеров. Также подробно регламентируется и деятельность совета директоров, ревизионной комиссии и аудитора ^[2].

Тем не менее, даже такая подробная регламентация деятельности высших органов управления корпорации сама по себе не способна обеспечить достаточный уровень экономической безопасности собственника. И связано это с тем, что корпорация функционирует непрерывно и, как правило, очень велика, а эти органы собираются время от времени и численный состав их органичен. В связи с чем, мировой корпоративный опыт пришел к выводу о необходимости построения постоянно функционирующей системы обеспечения экономической безопасности собственника – системы внутреннего контроля (СВК), являющейся неотъемлемой частью организации.

Прежде чем принять существующий вид, подходы к построению СВК концепции контроля прошли долгий эволюционный путь. Эволюционное развитие концепций контроля рассматриваются нами в соответствии с теорией трансформации систем ^[3]. Первоначально (до Великой депрессии) это была концепция тотального подтверждающего контроля ^[4]. Основными особенностями этой концепции была сплошная документальная проверка, подтверждающая как учетные операции, так и правильность их группировки в отчетах, но осуществлялся контроль не внутри организации, а внешним аудитором.

Рост корпораций, развитие транснациональных компаний, привело к тому, что в практику вошел и получил развитие внутренний контроль. Первоначально, в форме реализации концепции тотального системно-ориентированного контроля ^[5]. В условиях системно-ориентированного контроля аудитор должен оценивать, прежде всего, надежность функционирования системы внутреннего контроля. В силу предположения, что эффективное функционирование СВК снижает вероятность как случайных, так и преднамеренных ошибок.

Информационная революция привела к лавинообразному росту объемов информации, и осознанию того, что интерес представляет не вся, а имеющая отношение к делу существенная информация. Применительно к внутреннему контролю это означает, что контрольные процедуры должны осуществляться не везде, а там, где с существенной вероятностью могут реализоваться риски, ведущие к существенным убыткам. Так появилась концепция риск-ориентированного контроля ^{[6, С.16]}. Институтом, внесшим наибольший вклад в развитие риск-ориентированной концепции внутреннего контроля, является американская некоммерческая организация – Комитет спонсорских организаций Комиссии Тредвея (COSO). COSO образовался в 1985 году при Национальной комиссии по вопросам мошенничества в финансовой отчетности (комиссия Тредвея).

В 1992 г. COSO был выпущен стандарт в области построения системы внутреннего контроля (документ «Внутренний контроль. Интегрированная модель») ^[7]. Документ стал краеугольным камнем в области развития категориального аппарата и методологии внутреннего контроля. Прежде всего, в нем было дано определение внутреннего контроля. В определении четко выделены три элемента.

Первый – сформулировано, что такое внутренний контроль – процесс достижения разумной уверенности в том, что будут достигнуты цели организации.

Второй – выделены и классифицированы цели организации с точки зрения внутреннего контроля – операционные цели: а именно цели деятельности, включая достижение плановых показателей и сохранность активов; цели в области достоверности и своевременности формирования отчетности; комплаенс-цели – цели в области соблюдения законодательства и регуляторных норм.

Третий – определено, кто осуществляет внутренний контроль – совет директоров, менеджмент, другие сотрудники организации.

Также в документе были даны определения пяти взаимосвязанных элементов внутреннего контроля: контрольной среды, оценки рисков, контрольных процедур, обмена информацией, мониторинга.

В Российское правовое пространство эти определения инкорпорированы сразу несколькими отраслями права, включая корпоративное и бухгалтерское право. Корпоративное право и регулирование в лице регулятора финансового рынка – Центрального банка Российской Федерации рекомендует использовать стандарты COSO в системе внутреннего контроля. Само наличие системы внутреннего контроля – обязательное требование законодательства о публичных акционерных обществах ^[8]. Кроме того, наличие системы внутреннего контроля требует Федеральный закон от 06.12.2011 № 402-ФЗ «О бухгалтерском учете» (в ред. от 26.07.2019). А регулятор бухгалтерских норм – Минфин, в своем письме дает определение внутреннего контроля и его элементов, являющиеся практически переводом определения COSO ^[9].

Появление концепции риск-ориентированного контроля, не смогло предотвратить того, что в начале 2000-х годов произошел целый ряд корпоративных крахов в США, напрямую связанных с недостоверностью отчетности и ненадлежащей организацией аудита ^{[6, С. 101]}, банкротства крупнейших американских компаний Enron и WorldCom послужили импульсом к дальнейшему развитию модели COSO.

В сентябре 2004 г. COSO был издан новый документ – «Концепция управления рисками организации», часто называемый – модель COSO–ERM ^[10]. Эта модель выстраивала связь риск-менеджмента с внутренним контролем. Сердцевина COSO–ERM – это риск-ориентированный контроль по бизнес-процессам. Этот подход к организации внутреннего контроля и сейчас является общепризнанным как для частных, так и для государственных хозяйствующих субъектов, и активно применяется, адаптируется и развивается регулирующими, фискальными и правоохранительными органами различных стран, включая Россию. В документе 2004 года появился куб COSO, визуализирующий взаимосвязи целей, элементов управления рисками и уровней управления. В систему законодательства и права России связь риск-менеджмента с внутренним контролем инкорпорирована, в частности, нормой закона об акционерных обществах, требующей организовать в публичном обществе управление рисками и внутренний контроль.

Мировой финансовый кризис 2007 – 2008 годов начался с ипотечного кризиса в США, переросшего в банковский кризис. Его наиболее заметным событием стало банкротство американского инвестиционного банка Lehman Brothers. Одним из ответов на банковский кризис стало появление международного стандарта финансовой отчетности МСФО (IFRS) 9 «Финансовые инструменты». Данный документ, исходит из того, что принятие риска – основной способ управления рисками финансовых активов, и требует сформировать резерв для покрытия убытков в размере ожидаемого убытка. То есть, математического ожидания убытков, рассчитанного на основе суммы, находящейся под возможностью потерь, умноженную на вероятность потерь, взятую из матрицы дефолтов. В российскую систему эта норма введена приказом Минфина ^[11], сделавшим обязательным для применения российскими корпорациями МСФО (IFRS) 9 «Финансовые инструменты».

В COSO в ответ на кризис в рамках риск-ориентированного контроля в 2013 году появилась концепция «Три линии защиты» ^[12]. Это концепция разграничила контрольные функции владельцев бизнес-процессов, подразделений управления рисками и внутреннего контроля, а также подразделений внутреннего аудита. Первой линией защиты является исполнительная линия – владельцы бизнес-процессов, все работники, которые осуществляет контрольные процедуры. Второй линией защиты является методологическая линия – это подразделения управления рисками и внутренего контроля. Третье контрольной линией защиты являются подразделения внутреннего аудита. В российской системе права концепция трех линий защиты реализована, в частности, положением закона об акционерных обществах, требующим создания подразделения внутреннего аудита для проверки надежности и эффективности функционирования системы управления рисками и внутреннего контроля. Дальнейшим развитием COSO в 2017 стала интеграция управления рисками со стратегией ^[13].

Таким образом, ключевым элементом современной российской системы обеспечения экономической безопасности собственников корпораций является риск-ориентированный внутренний контроль, построенный на принципах стандартов COSO, внесенных в российское правовое поле. Тем не менее, открытым остается вопрос при помощи каких инструментов целесообразно реализовывать концепцию риск-ориентированного внутреннего контроля в российских корпорациях.

Собственные исследования авторов показали, что наиболее действенным инструментом достижения полноты при формировании реестра рисков корпораций, для целей формирования системы процедур внутреннего контроля является построение карты рисков бизнес-процессов. Сам по себе это не новый инструмент, позволяющий добиться полноты перечня рисков ^{[6, с.125]}, за счет визуализации процесса идентификации рисков. На карте рисков (рисунок 1 – условный пример такой карты) по горизонтали откладывают исследуемые бизнес-процессы, а по вертикали классы (категории) рисков. И заполняют все ячейки на пересечении, что позволяет снизить вероятность исключения из рассмотрения какого-либо риска. Затем проводится оценка важнейших рисков и только они остаются для дальнейшего рассмотрения. На рисунке 1 оставлено три заполненных ячейки в каждой из которых может находится один или несколько ключевых рисков.

Рисунок 1 – Карта рисков

Для решения задач выделения рисков с целью реализации «закрывающих» их контрольных процедур в системе внутреннего контроля авторами была предложена адаптированная для решения этой задачи карта рисков бизнес-процессов для целей внутреннего контроля. При формировании карты рисков бизнес-процессов для целей внутреннего контроля (рисунок 2) по вертикали рационально отразить цели внутреннего контроля: достижение основных финансовых показателей, сохранность активов; достоверность отчетности; комплаенс, рассматривая эти цели контроля как ориентиры для выделения рисков. А по горизонтали в карте рисков рационально отражать бизнес-процессы. При этом, бизнес-процессы здесь выделены по функциональным признакам, что может быть, не вполне методически чистая идея выделения бизнес-процессов, но позволяющая существенно упростить организационные аспекты построения действенной системы внутреннего контроля, из-за возможности напрямую работать с соответствующем руководителем направления деятельности или подразделения высокого ранга.

Рисунок 2 – Карта рисков бизнес-процессов для целей внутреннего контроля

Практическое применение авторами таких подходов показало, что выбранный способ построения карты рисков позволяет решить непростую проблему взаимодействия владельцев бизнес-процессов и специалистов по управлению рисками в процессе идентификации рисков.

После идентификации рисков решается задача их оценки и выделения главных, которые и остаются в конечном варианте карты. На рисунке 2 цвет, отличный от белого, имеют только ячейки с существенными рисками и пронумерованы только оставленные в карте существенные риски. Цвета ячеек на рисунке 2 отражают существенность рисков. Красная ячейка с более существенными для организации рисками, чем желтая. Изображен условный пример, с уловной приоритезацией рисков.

Следующей задачей (а точнее задачами) является разработка и внедрение контрольных процедур рисков бизнес-процессов. В этом процессе может потребоваться дальнейшая детализация процессов. Когда любая из ячеек может сама стать картой для выделения ключевых рисков, требующих контрольных процедур.

Рисунок 3 – Карта степени адекватности реализации процедур внутреннего контроля

В любой момент времени оценить состояние системы внутреннего контроля способна помочь карта степени адекватности реализации процедур внутреннего контроля, где белым цветом отображены ячейки с бизнес-процессами, не требующими контрольных процедур. Красными, где они отсутствуют или неадекватны. Желтыми, где отсутствует достаточная степень регламентации. Зелеными, где степень регламентации достаточна. Голубым – где имеются автоматизированные процедуры внутреннего контроля.

Таким образом, авторами предложены и апробированы на практике действенные инструменты формирования эффективного риск-ориентированного дизайна системы внутреннего контроля современной организации.

You can simply select and copy link from below text field.