Coso

Содержание

В России опубликована концепция COSO «Управление рисками организации. Интеграция со стратегией и эффективностью деятельности» (COSO ERM) 2017 года на русском языке. Ее перевод и издание стали возможными благодаря совместным усилиям Института внутренних аудиторов и компании Deloitte, СНГ. 18 сентября в офисе компании Deloitte состоялась презентация, на которой присутствовали представители Центрального Банка РФ, Минэкономразвития России, Московской биржи, а также руководители по внутреннему аудиту и управлению рисками крупнейших компании России.

В 2004 г. совет директоров COSO впервые опубликовал документ «Управление рисками организаций. Интегрированная модель», и за последнее десятилетие он получил широкое признание среди профессионалов. Постоянное изменение сложности рисков, появление новых, а также повышение уровня осведомленности и контроля со стороны советов директоров и высшего исполнительного руководства в области управления рисками организации сделали необходимым его регулярное переиздание. Обновленная концепция COSO «Управление рисками организации: интеграция со стратегией и эффективностью деятельности» направлена на повышение взаимосвязи между риском, стратегией и стоимостью компании. Она рассматривает управление рисками с точки зрения его роли в принятии управленческих решений, которые в конечном итоге влияют на реализацию стратегии и эффективность деятельности организации в целом.

Первая часть обновленной публикации содержит обзор текущих и развивающихся концепций и областей применения управления рисками организации. Вторая часть, Концептуальные основы, включает пять взаимосвязанных компонентов, которые учитывают различные точки зрения и операционные структуры и способствуют улучшению стратегии и процесса принятия решений. Все эти компоненты взаимосвязаны с миссией, видением и основными ценностями организации. Три из них – стратегия и постановка целей, эффективность деятельности, анализ и пересмотр – представляют собой общие процессы, которые происходят во всей организации. Два других – «корпоративное управление и культура», «информация, коммуникация и отчетность» – представляют собой вспомогательные аспекты управления рисками организации.

В своем выступлении на презентации обновленной концепции Алексей Сонин, директор Института внутренних аудиторов, подчеркнул важность риск-менеджмента в деятельности внутреннего аудита: «В 2004 году была переведена на русский язык первая концепция «COSO: Управление рисками». И сейчас мы рады представить обновленное издание COSO «Управление рисками организации. Интеграция со стратегией и эффективностью деятельности» 2017 года на русском языке. Несомненно, это важнейшее профессиональное событие, ведь риск-менеджмент не является обособленным видом деятельности – это неотъемлемая часть управления в целом. Как связаны управление рисками и внутренний аудит? Во-первых, внутренний аудит не должен оставлять вне своего охвата такую область как управление рисками, только на основании того, что в компании, например, нет системы управления рисками как таковой. В конце концов, в определении внутреннего аудита говорится об управлении рисками как о процессе.

Во-вторых, когда внутренние аудиторы делают аудит управления рисками, они оценивают не деятельность подразделения по управлению рисками или риск-менеджера (CRO), а то, как организация управляет своими рисками.

В-третьих, что бы ни являлось объектом аудита, какой бы внутренний аудит вы ни делали – аудит бизнес-процесса, функционального подразделения, структурного подразделения, проекта или программы – прежде всего, надо задать вопрос, а какие здесь есть риски, которые могут повлиять на выполнение стратегии компании? И идти от этих рисков к дизайну и тестированию контролей.

В-четвертых, нужно помнить, что управление рисками — это не о том, как избежать неприятностей, а о том, как эффективно достичь целей или результатов. А для того, чтобы чего-то достичь, надо идти на риск. Идти на риск – это нормально. Но организациям следует просчитывать, что достижение такой-то цели сопряжено с такими-то рисками, а достижение немного другой цели или, иными словами, некоторое отклонение от первоначальной цели, связано с такими-то рисками».

«За прошедшие десятилетия российский бизнес прошел большой путь — от полного игнорирования рисков до внедрения риск-ориентированного управления, — отметил директор Департамента по управлению рисками компании «Делойт», СНГ Сергей Кудряшов. — По нашим данным, сегодня многие российские компании анализируют риски и считают, что управление рисками создает дополнительную стоимость, способствует операционной устойчивости, а в ближайшем будущем даст толчок внедрению новых технологий и реализации новых бизнес-возможностей».

Это подтвердил и Сергей Демидов, директор департамента операционных рисков, информационной безопасности и непрерывности бизнеса, Группа «Московская Биржа», отметив, что для инфраструктуры финансового рынка очень важно следовать ведущим международным стандартам в области управления рисками, поскольку это дает возможность избежать негативного влияния на финансовый рынок и повысить его привлекательность для инвесторов. Следование стандартам также улучшает прозрачность системы управления компании в глазах ее акционеров и инвесторов. Московская Биржа надеется, что вслед за ней и другие участники рынка будут стремиться улучшить свои системы управления рисками в соответствии с международными стандартами, поскольку инфраструктура финансового рынка является ориентиром для других участников.

Нет сомнений в том, что и в будущем организациям придется по-прежнему сталкиваться с изменчивостью, сложностью и неоднозначностью мира, поэтому управление рисками будет играть важную роль в процветании компаний. Независимо от вида и размера организации, стратегии должны оставаться соответствующими ее задаче. И всем организациям необходимо проявлять качества, которые способствуют эффективному реагированию на изменения, включая быстрое принятие решений, способность сплоченно реагировать и способность адаптироваться, чтобы при необходимости быстро сделать разворот и изменить позицию, сохранив при этом высокий уровень доверия заинтересованных сторон.

Авторы COSO «Управление рисками организации. Интеграция со стратегией и эффективностью деятельности» видят несколько тенденций в будущем, которые повлияют на управление рисками организации. Четыре из них выражаются в следующем:

  • Решение проблем, связанных с быстрым ростом объемов данных. По мере увеличения объема доступных данных и скорости анализа новых данных управление рисками организации должно будет адаптироваться к этим явлениям. Данные будут поступать как из внутренних, так и из внешних источников, и структурироваться по-иному. Инструменты углубленной аналитики и визуализации данных будут развиваться и станут очень полезными для понимания рисков и их влияния – как положительного, так и отрицательного.
  • Максимальное использование искусственного интеллекта и автоматизации. Многие считают, что мы вступили в эпоху автоматизированных процессов и искусственного интеллекта. Независимо от личных убеждений важно, чтобы в рамках практики управления рисками организации учитывалось влияние существующих и будущих технологий и максимально использовались их возможности. Взаимосвязи, тенденции и закономерности, которые ранее нельзя было распознать, теперь могут быть выявлены и стать богатым источником информации, чрезвычайно важной для управления рисками.
  • Управление затратами на риск-менеджмент. Руководство компаний часто выражает озабоченность относительно затрат на управление рисками, соблюдение требований и контрольные мероприятия в сравнении с получаемой пользой. По мере развития практики управления рисками организации станет важным, чтобы мероприятия, охватывающие риски, соблюдение требований, контроль и даже корпоративное управление, были эффективно скоординированы для того, чтобы они приносили максимальную выгоду для организации. Это может представлять собой одну из лучших возможностей для переосмысления важности управления рисками для организации.
  • Создание более сильных организаций. По мере освоения организациями навыков интеграции управления рисками организации со стратегией и эффективностью деятельности им представится возможность повысить свою устойчивость. Зная риски, которые окажут наибольшее влияние на организацию, организации могут использовать управление рисками для внедрения возможностей, которые позволят им действовать на опережение. Это откроет новые возможности.

Итак, управление рисками организации должно будет измениться и адаптироваться к грядущим условиям для того, чтобы постоянно приносить выгоды, изложенные в Концептуальных основах. При правильной постановке дела выгоды, получаемые от управления рисками организации, значительно перевесят затраты и дадут организациям уверенность в их способности управлять будущим.

Руслан Гиниятов, CIA

Эта статья адресована российским управленцам, заинтересованным в использовании западного опыта в области корпоративного управления и организационного (т.н. «внутреннего») контроля.
Каждый человек так или иначе использует контроль в своей работе и жизни. Но не каждый делает это сознательно. Наша беседа будет посвящена тому как научится компетентно подходить к вопросам организационного контроля. Теория организационного контроля проста, в ней нет трюков и сложных мест. Это очевидные вещи, продиктованные здравым смыслом. Мы лишь представим их в организованном виде.
Рассматриваемые здесь модели риска и контроля были разработаны The Committee of Sponsoring Organizations of the Treadway Commission (COSO) в США. Конец 80-х был тяжёлым для США. Крах сотен финансовых институтов принёс миллиардные убытки инвесторам, дебиторам и правительству. The Treadway Commission была создана присяжными бухгалтерами, внутренними аудиторами, финансовыми менеджерами и двумя другими группами для изучения ситуации. Среди прочего, комиссия рекомендовала спонсирующим организациям разработать интегрированное руководство по внутреннему контролю. Для реализации этой рекомендации был создан COSO комитет. Модели риска и контроля, предложенные COSO, послужили основой для ряда других моделей риска и контроля, разработанных в других странах организациями, аналогичными COSO, и различными консультационными фирмами.
Попробуйте самостоятельно ответить на вопросы «что такое контроль?» и «какие типы контроля бывают»? Что первое пришло вам нам на ум? Инспекции, процедуры, подписи, файлы… Как правило, не более того. Модели, которые мы рассмотрим, инструментальны. Используя эти модели, вы сможете более широко и системно смотреть на вопросы контроля в своей ежедневной практике, замечать то, что прежде ускользало от вашего внимания в этой связи.
Зачастую мы говорим о контроле ради контроля. Контроль не самоцель. Он связан с рисками и целями организации. Грамотное обсуждение вопросов контроля требует постоянного видения этой перспективы. Поэтому, мы начнём разговор о контроле с разговора о риске.

Модель Риска

Попробуйте ответить на такие вопросы. Что такое риск? Какие типы рисков существуют? Как измерить риск? Потратьте несколько минут и запишите свои ответы. Модель риска предлагает ответы на эти вопросы.

1.1. Определение риска

The Economist Intelligence Unit в своём исследовании определяет риск как «угрозу того, что некое событие или действие негативно повлияет на способность организации успешно достичь своих целей или реализовать свои стратегии». Заметим, что в соответствии с этим определением, говорить о риске можно только в контексте специфических целей.
Теперь посмотрим, как можно классифицировать риски. Можно классифицировать риски по их источникам.

1.2. Источники риска

Начнём с внутренних источников риска.

  • Работники. Человек самое высокоразвитое существо и поэтому самое непредсказуемое. Человеку свойственно ошибаться, недоделывать, задерживаться, халатно относится к работе. Люди периодически врут и воруют, мошенничают самыми разными способами. Человек может заболеть и не выйти на работу.
  • Оборудование может дать сбой или выйти из строя. С меньшей вероятностью чем человек, но все же.
  • Неверно поставленные цели. Например, нереалистичный план продаж может привести к отгрузкам некредитоспособным клиентам. Задача увеличить долю рынка любой ценой может привести к серьёзным убыткам.

Теперь обратимся к внешним источникам риска. Некоторые из них персонифицированы.

  • Конкуренты представляют постоянную угрозу потери бизнеса.
  • Поставщики могут недопоставить или затребовать неоправданно высокую цену или слишком жёсткие условия контракта. Они могут давать взятки работникам вашей организации для получения выгодных заказов.
  • Клиенты могут не оплатить товары в срок или вовсе не оплатить. Могут не исполнять условия контракта.

Другие внешние источники риска не персонифицируются.

  • Законодательство (налоговое, экологическое, трудовое и пр.). Например, таможенные правила, несоблюдение которых грозит штрафами для предприятия-нарушителя.
  • Политические события. Например, война, может вынудить свернуть продажи.
  • Общественное мнение. Например, потребители могут отказаться от приобретения брэнда американской компании в следствие негативного отношения к текущей политике США в данном государстве.
  • Состояние экономики и финансов. Например, угроза резкой девальвации валюты.

И наконец, природные факторы.

  • Явления природы – также являются источниками риска. Молния может привести к пожару здания. Дождь может протечь через крышу и залить сервер. Снегопад может завалить въезд на склад.

Взгляните теперь на типы рисков, которые вы записали перед началом обсуждения этой классификации рисков. Многие ли из источников риска попали в ваш список? Теперь посмотрим на риск с другой стороны.

1.3. Цели, подверженные риску

Вспомним как мы определяли риск.
Мы определяли его через цели организации. Следовательно, мы можем классифицировать риски по тому, каким целям они угрожают. Заметим, что кроме целей, которое организация устанавливает перед собой, мы должны принять во внимание обязанности, накладываемые на организацию государством и инвесторами.

1. Надёжность и интегрированность информации. Разве это цель, а не средство для принятия обоснованных управленческих решений? В данном случае мы говорим о другом. Организация обязана предоставлять информацию различным заинтересованным лицам (инвесторами, государством, дебиторами) для принятия решений в отношении организации. Примером такого рода информации является квартальный отчёт о прибыли и убытках. Предприятие ответственно за надёжность и непротиворечивость этой информация. Отметим, что для получения надёжных периодических обобщённых данных необходимо, чтобы текущая информация, генерируемая на всех рабочих местах, была надежной и не противоречила друг другу. Примером риска для этого типа целей является случайное или преднамеренное искажение информации вследствие неоправданно-широкого доступа к информационной системам организации.

2. Исполнение внутренних политик, планов, процедур, а также внешних законов и норм. Очевидно, что соблюдение государственных законов является обязанностью организации. Сверх того организация может установить свои внутренние нормы, например, код делового поведения или политика в отношении работающих матерей, предусматривающая определённые льготы, не установленные трудовым законодательством. Установив свои внутренние нормы, предприятие тем самым обязуется исполнять их. Сюда же можно отнести законодательные и внутренние требования к безопасности производства. Примером риска для этого типа целей является нарушение налогового законодательства в результате неправильного оформления счетов к оплате.

3. Защита активов. Опять, как и с первой группой целей: разве это цель, а не средство для получения прибыли?… И опять мы в данном случае говорим об обязательствах перед внешними для организации лицами. Инвесторы предоставляют организации свои активы для использования в целях получения прибыли (или других целей в случае неприбыльных организаций). Организация, со своей стороны, обязано защищать эти активы. Примером риска для этого типа целей являются убытки на рынке ценных бумаг вследствие несбалансированных инвестиций.

4. Экономичное и эффективное использование ресурсов. С точки зрения классической теории рыночного капитализма, это является единственной целью капиталистического предприятия. Примером риска для этого типа целей является уничтожение готовой продукции вследствие ошибочного прогнозирования объёма продаж. Другой пример: дополнительный персонал на заводах, корректирующий ошибки мастер-данных с центральной базе данных.

5. И наконец, наиболее очевидный тип целей, стоящих перед организацией. Достижение целей, установленных для текущей деятельности и специальных программ. Какие примеры такого рода целей вы можете привести из своей практики? Задания по продажам и производству. Обеспечение качества продукции и услуг. Внедрение нового программного обеспечения. Примером риска для этого типа целей является увеличение количества претензий от клиентов вследствие принятия заказов на товар, не имеющийся в наличии.

Взгляните ещё раз на те типы рисков, что вы указали в начале нашего разговора. Какие типы рисков по этой, второй, классификации попали туда? А какие не попали? Используя эту модель риска, вы могли бы существенно удлинить свой первоначальный список. Не правда ли?

1.4 Измерение риска

Общепринято измерять риск вероятностью угрозы и степенью негативного влияния последствий: риск = последствия * вероятность.

Последствия 1
Средний риск
2
Высокий риск
3
Низкий риск
4
Средний риск
Вероятность

Допустим, что все работники завода, работающие с компьютерной программой по бухучёту, имеют системный ID и пароль, позволяющий производить критические действия в системе, к примеру, создавать в системе заказ на закупку. Последствия неавторизованных закупок, могут нанести серьёзный ущерб экономичному и эффективному использованию ресурсов.
Предположим, далее, что только работники отдела закупок были обучены созданию системного заказа на закупку, остальные же работники, хотя и имеют доступ теоретически, но практически никогда им не пользуются. Уровень их компьютерной грамотности недостаточен, чтобы разобраться в этом самостоятельно. В этой ситуации последствия серьёзны, но вероятность угрозы не столь велика. Соответственно, суммарный риск имеет среднее значение (квадрант 1).

Если же мы не можем быть столь уверены в компьютерной безграмотности пользователей, вероятность угрозы возрастает. И наконец, если в числе этих работников есть продвинутые пользователи, хорошо знающие бизнес процесс, мы попадаем в область высокой вероятности в серьёзными последствиями. Суммарный риск максимален (квадрант 2). Вернитесь опять к своим записям и сравните, как близки вы были к методу измерения риска, предлагаемого этой моделью.
На этом мы закончим рассмотрение модели риска и перейдём к модели контроля.

Модель контроля

Попробуйте ответить на такие вопросы. Что такое контроль? Какие существуют типы контроля? Как измерить уровень контроля?

2.1. Определение контроля

Существуют различные определения контроля. Воспользуемся определением, данным Институтом Внутренних аудиторов (США). «Контролем является всякое действие, предпринятое органом управления для повышения вероятности того, что установленные цели будут достигнуты.»
Как видите, контроль, как и риск, определяется через цели организации. И если риск представляет угрозу этим целям, то контроль предназначен смягчить эту угрозу. Мы определяем контроль как всякое действие, что позволяет нам не ограничивать рассмотрение традиционными методами контроля.

2.2. Элементы контроля

1. Контрольная среда. Она включает так называемые «опоры контроля»: «тон на верху» и «способность организации». Для обеспечения правильного «тона на верху», руководство должно служить образцом корпоративной культуры, подчёркивать важность эффективного организационного контроля, поощрять деятельность по усовершенствованию систем контроля. Необходимый уровень «способности организации» достигается посредством обучения персонала. Работник, не способный понять смысла элементов процесса, в котором он участвует, является слабой гарантией контроля в современных сложных организациях. Контрольная среда включает и другие «почвообразующие» элементы, например, принципы организации, систему вознаграждения, процесс согласования стратегии всех подразделений организации и прочее. Контрольная среда является элементом №1, поскольку она является условием жизнеспособности всех остальных элементов.

2. Оценка риска. Поскольку контроль устанавливается для смягчения риска, эффективная система контроля знания текущей «карты рисков». Оценка риска в разных областях проводится с разной степенью формальности. Отдел внутреннего аудита проводит ежегодную переоценку риска т.н. «универсума аудита», который является списком аудируемых областей. Обычно «универсум аудита» охватывает широкий спектр процессов, существующих в организации. Но он не является всеохватывающим, т.е. в организации существуют риски, не «схваченные» «универсумом аудита».
Например, процесс подготовки отчётов о финансовых результатах обычно наличествует в универсуме. А процесс анализа финансовых результатов и их прогнозирования – нет. Причиной этого является сложность аудита нерутинных процессов.

3. Действия контроля. Наконец мы подошли к тем самым инструментам «прямого» контроля, которые составляли основу традиционных подходов к контролю и нашли отражение в 9-ти «действиях контроля».

  1. Ответственность ясно определена и понята.
  2. Доступ (физический и системный) контролируется
  3. Адекватный надзор.
  4. Транзакции авторизуются.
  5. Транзакции записываются.
  6. Политики, процедуры, обязанности документируются.
  7. Адекватное обучение.
  8. Адекватное разделение обязанностей.
  9. Учтённые активы сравниваются с имеющимися в наличии.

Эти действия контроля достаточно ясны из их названий. Приведём пример последствий неэффективной авторизации транзакций. Менеджер, не имеющий полномочий продавать оборудование, поручил инженеру найти потенциальных покупателей на вышедшую из эксплуатации производственную линию. Чрезвычайно дорогая линия была продана за половину её рыночной стоимости.

4. Информация и коммуникация. Ещё один «мягкий» элемент контроля. Приведём пример. Руководитель торгового отдела, решил усилить контроль за отгрузками консигнационных товаров, хранящихся на сладе регионального дистрибутора, введением дополнительного элемента контроля. Региональный торговый представитель компании должен письменно авторизовывать каждую отгрузку («транзакции авторизуются»). Через некоторое время в налоговый отдел организации случайно попала копия такого документа. Специалист по налогам потребовал немедленно отменить эту процедуру, поскольку законодательство требовало в данном случае существенного усложнения процесса расчёта налога с продаж. Несоблюдение же законодательства могло привести к существенным штрафам. Правильно организованная коммуникация между торговым и юридическим отделами могла бы предотвратить этот риск с самого начала.
5. Мониторинг. Эта группа включает в себя различные виды надзора высших уровней управления за работой низших. Сюда относится и различные виды аудита, включая аудит качества, техники безопасности, внутренний аудит. Мониторинг часто предполагает сравнение текущих результатов с ожидаемыми. Поэтому, нормативы относятся к этой группе элементов контроля. Например, нормативы соответствия результатов инвентаризации данным складского учёта, норматив времени для «закрытия» бухгалтерских книг.
Взгляните на список типов контроля, предложенный вами в начале. Какие элементы контроля вошли в него, а какие не вошли?

2.3. Остаточный риск

Перейдём к вопросу измерения контроля.
После нашего предыдущего обсуждения для вас не должно быть сюрпризом, что я предлагаю вам измерять уровень контроля через уровень риска. Общепринятой формулой является присущий риск – контроль = остаточный риск. Уровень остаточного риска сравнивается с оптимальным уровнем. Уровень остаточного риска выше оптимального является неприемлемым. Уровень остаточного риска ниже оптимального соответствуют избыточному контролю.
Суждения об оптимальности уровня остаточного риска субъективны. На основании результатов оценки уровня остаточного риска ответственное лицо может решить либо скорректировать цели, либо изменить (усилить или ослабить) систему контроля, либо продолжать слепо двигаться вперёд.

Итоги

Итак, кратко суммируем итоги. Контроль является ответственностью отдела внутреннего аудита. Контроль не имеет ничего общего с целями бизнеса. Контроль необходим тогда, когда нет взаимного доверия. Согласны? Если нет, то мы не зря потратили время.

1. Модель внутреннего контроля COSO

Выполнила: Гаджиева Р.В.
Группа: 24-10, ФФ

2. Полезной основой для организации внутреннего контроля на предприятии на текущий момент времени является международно признанная

и широко
используемая на практике модель COSO (Committee of Sponsoring Organizations of
the Treadway Commission), которая была разработана Комитетом организацийспонсоров Комиссии Тредвея (The Committee of Sponsoring Organizations of the

Treadway Commission)
Тысячи компаний приняли и использовали эту
концепцию при составлении своих политик, правил и
процедур, чтобы повысить качество внутреннего
контроля в ходе достижения поставленных ими
целей
А, так как в последние годы наблюдается
повышенное внимание к вопросу управления
рисками, и потребность в создании общепринятого
подхода, обеспечивающего эффективное выявление,
оценку и управление рисками, становится более
очевидным, то это в свою очередь, и определяет
актуальность использования модели внутреннего
контроля COSO
Главной особенностью данной модели
является ориентация на управление
рисками экономических субъектов
Управление рисками организации
осуществляется советом директоров,
менеджерами и другими сотрудниками
данной организации и включает в себя
различные процессы на стратегическом,
тактическом и оперативном уровнях
Кроме того, в данной модели были
определены основные понятия внутреннего
контроля, а также дана характеристика
основных его компонентов

5. В соответствие с COSO внутренний контроль – это процесс, который осуществляется высшим органом предприятия, его персоналом

высшего уровня и другими сотрудниками, в
достаточной мере обеспечивающий достижение
предприятием следующих основных целей:
1
• финансовая эффективность и продуктивность
деятельности
2
• надежность и достоверность финансовой
отчетности
3
• соблюдение законодательства и всех необходимых
требований

6. Помимо этого, модель COSO включает в себя несколько основных понятий:

внутренний контроль это средство
для достижения цели, а не
самоцель
внутренний контроль зависит от
людей
внутренний контроль может
обеспечить руководству и совету
директоров организации лишь
достаточную уверенность, но не
абсолютные гарантии
внутренний контроль направлен
на достижение целей в одной или
нескольких отдельных, но
пересекающихся категориях

7. Модель внутреннего контроля COSO состоит из пяти взаимосвязанных компонентов, которые обеспечивают эффективную основу для

описания и анализа системы
внутреннего контроля организации

8. Эти пять компонентов включают в себя:

Контрольная среда
Оценка рисков
Средства контроля
Информация и сети
Мониторинг
Теперь рассмотрим концептуальные
основы управления рисками
организаций (ERM COSO), которые были
разработаны в 2001 году
Данная концептуальная основа
направлена на достижение целей
организации и на сегодняшний день
состоит из четырех основных категорий
бизнес — задач

10. К ним относят:

1
• Стратегические цели – это цели высокого уровня, что-то
вроде миссии компании
2
• Операционные цели – это цели, определяющие
эффективное и результативное использование ресурсов
3
• Цели в области подготовки финансовой отчетности –
достоверность отчетности
4
• Цели в области соблюдения законодательства соблюдение всех необходимых нормативных актов

11. Международная модель COSO предусматривает наличие восьми взаимосвязанных компонентов управления рисками. Они включают в себя

предыдущие пять компонентов, которые были рассмотрены выше. К
ним относятся следующие компоненты:
внутренняя среда (Internal environment) – определяет атмосферу в организации и то,
как ее сотрудники реагируют на риски. Внутренняя среда включает в себя этические
ценности компании, философию и стиль управления, орг. структуру и др.
постановка целей (Objective setting) — цели должны быть определены до того,
как руководство начнет выявлять события, которые потенциально могут
оказать влияние на их достижение
определение событий (Event identification) – различные виды событий,
которые могут оказать влияние на достижение целей компании
оценка рисков (Risk assessment) – риски анализируются с учетом вероятности их
возникновения
реагирование на риск (Risk response) – руководство организации самостоятельно
выбирает метод реагирования на риск. Это может быть уклонение от риска,
принятие, сокращение или перераспределение риска
средства контроля (Control activities) – различные процедуры, которые
разработаны для того, чтобы реагирование на возникающий риск
происходило своевременно
информация и коммуникации (Information and communication) – вся
необходимая информация должна передаваться сотрудникам в
определенные сроки для того, чтобы они могли выполнять свои
функциональные обязанности
мониторинг (Monitoring) – заключается в процессе оценки эффективности
функционирования СВК в течение определенного периода времени

13. Все описанные компоненты модели COSO можно представить в виде матрицы

На сегодняшний день, как уже
упоминалось, множество
компаний применяют модель
внутреннего контроля COSO
Одна из них всемирно
известная аудиторская
компания Deloitte

15. О компании Deloitte («Делойт»)

Международная сеть компаний,
оказывающих услуги в области
консалтинга и аудита
«Делойт» входит в «большую
четверку» аудиторских компаний и
является самой крупной
профессиональной сетью по
количеству сотрудников (263 900
человек)
Первый офис Deloitte был открыт
Уильямом Уэлшем Делойтом в 1845
году в Лондоне.
Компания «Делойт» предоставляет
услуги в области аудита,
налогообложения и права,
консалтинга, финансового
консультирования и управления
рисками государственным и частным
компаниям, работающим в различных
отраслях экономики

16. Основными принципами согласно используемой модели COSO ERM 2017 в компании являются:

Осуществление советом директоров надзорной
функции за управлением рисками;
Создание операционных структур
Демонстрация приверженности основным
ценностям компании
Определение риск — аппетита
оценка стратегических альтернатив
оценка существенных изменений
распространение информации по
рискам
Повышение эффективности управления
рисками и др.

18. Выводы:

1
2
• Модель внутреннего контроля COSO
является достаточно эффективной и
помогает организациям построить
хорошо функционирующую систему
внутреннего контроля
• В данной модели особое значение
придается внутренней среде, а
именно корпоративной культуре,
которую создают сами организации
3
4
5
• Большое внимание уделяется
управлению рисками предприятия и
вокруг этого процесса построена и
сама модель
• Основную ответственность за
функционирование системы
внутреннего контроля на
предприятии несет руководство, в
частности совет директоров
• Был приведен пример
использования основных принципов
рассмотренной модели в компании