Анализ и оценка контрольной среды: методология и практические аспекты
Для того чтобы бизнес-процессы работали эффективно, необходимо провести анализ функционирования всех ключевых компонентов системы внутренних контролей.
В качестве методологического источника используем интегрированную модель внутренних контролей COSO [1] на 2 уровнях:
- уровне компании (COSO терм.: Entity-level)
- уровне ее операций (COSO терм.: Activity-level)
В качестве первого фундаментального компонента COSO по оценке внутренних контролей является контрольная среда.
Успешное функционирование контрольной среды подразумевает выполнение следующих условий:
Контрольная среда «на уровне Компании»
На уровне Компании каждый из компонентов системы внутренних контролей разделяется на характерные черты (атрибуты), которые определяют природу этого компонента. Для каждого атрибута выбираются «точки фокуса», представляющие собой наиболее важные особенности атрибутов.
Иллюстративный пример атрибутов и точек фокуса для контрольной среды, установленных «на уровне Компании»:казанные на примере «точки фокуса», безусловно, не являются исчерпывающим перечнем и подлежат более детальному рассмотрению в зависимости от специфики Компании.
Контрольная среда «на уровне операций Компании»
Для оценки дизайна эффективности контрольной среды «на уровне операций» необходимо ответить на следующие вопросы:
- Внедрены ли владельцем процесса понятные механизмы мониторинга выполнения процесса? Существует ли вертикальная/горизонтальная система потока информации и коммуникации для владельца и других участников процесса?
- Установление ролей, обязанностей, ответственности между сотрудниками выполняется владельцем процесса в соответствии с общепринятыми политиками Компании?
- Владелец процесса осуществляет управление, придерживаясь норм и правил, установленных этическим кодексом Компании, а также предписаний, спущенных менеджментом Компании (пример: риск-ориентированность, облегчение взаимодействия и коммуникации между руководителем и исполнителем, проч).
- Имеет ли владелец процесса регламентированные политики и процедуры, направленные на соблюдение информационной безопасности участниками процесса, включая:
- контроль за доступом к конфиденциальной информации и файлам (в т.ч. обеспечение соответствующей противовирусной защиты);
- контроль за доступом к программам, носителям данных, паролям (пример: флешка с банковскими ключами);
- авторизацию, документацию, тестирование и контроль за внедрением новых IT-программ, а также отслеживание изменений в них;
- процедуры по копированию и восстановлению информации.
Указанные вопросы не являются исчерпывающим перечнем и подлежат более детальному рассмотрению в зависимости от специфики Компании.
Менеджмент Компании должен проводить регулярный анализ в разрезе «точек фокуса» и оценивать эффективность функционирования внутренних контролей. Итоговый вывод в отношении эффективности компонента «контрольная среда» рассчитывается как общее значение эффективности каждого из атрибутов.
Если по результатам анализа вывод «неэффективно» либо «требует улучшений», менеджмент должен оценить: какие изменения на уровне Компании следует вносить в дизайн внутренних контролей, реструктуризировать бизнес-процесс для того, чтобы устранить выявленные пробелы.
Выше приведен достаточно краткий перечень действий, которые могут быть направлены на установление надежной контрольной среды в Компании и минимизацию возможности возникновения конфликта интересов. Помимо обеспечения надежной контрольной среды, данные проекты по изменению и формализации бизнес-процессов Компании могут быть направлены на повышение их операционной эффективности.
Свяжитесь с нами, и мы будем рады ответить на возникшие вопросы и оказать помощь по повышению эффективности и регламентации соответствующих бизнес-процессов в Компании.
[1] Committee of Sponsoring Organizations of the Treadway Commission (COSO)