Как распределить контрольные функции в компании. «Карта гарантий»
02 ИЮНЯ 2021
Из книги И.А.Ленник, А.С.Русакова «Теория и практика корпоративного контроля»
Как и любая система, корпоративный контроль подразумевает цель и форму, а также объект и субъект.

Таким образом, при построении корпоративного контроля собственнику, органам управления компании, менеджменту необходимо ответить на 5 основных вопросов:
  • Кто контролирует?
  • Как контролирует?
  • Что (и где) контролирует?
  • Для достижения чего контролирует?
  • Зачем контролировать?

Указанный подход может особенно помочь при реформировании бизнеса или развитии нового бизнеса или направлений деятельности, способствовать формированию «архитектуры бизнеса» (Enterprise architecture).

Схема построения корпоративного контроля приведена на рисунке 1.
Рассмотрим подробнее цели, форму, объекты и субъекты корпоративного контроля.

Первая плоскость (Кто?) раскрывает субъекты контроля. К ним относятся корпоративные органы управления (совет директоров, комитет по аудиту, правление и др.), ревизионная комиссия, подразделения компании, центры ответственности различного уровня, подразделение внутреннего аудита, комиссии, внушений аудитор, иные контрольные органы и другие субъекты, в функционал которых входит тот или иной вид контроля.

Плоскость «Как?» включает в себя основные направления корпоративного контроля:
  • система внутреннего контроля (СВК)
  • система управления рисками (СУР)
  • комплаенс
  • внутренний аудит
  • общественный контроль.

У каждого направления есть способы выполнения контроля: процедуры внутреннего контроля, аудит, проверка, ревизия, горячие линии и многие другие.

Таким образом, области «Кто» и «Как» взаимодействует посредством выбора одного или нескольких форм и способов для их применения одним из субъектов контроля. В результате любое подразделение или центр ответственности в пределах своих компетенций выполняет возложенные контрольные функции.
Определять, кто и как контролирует, необходимо в увязке с объектами контроля, т.е. с областью «Что (где)?». К объектам контроля могут относиться бизнес-процессы, бизнес-единицы, компоненты СВК, отдельные инициативы компании, проекты и другое.

Перед любым объектом ставятся задачи по достижению эффективности, обеспечению достоверности отчетности, законности, сохранности активов, риск-ориентированности. И отслеживание выполнения объектами указанных задач и будет целью контроля, т.е. ответом на вопрос «Для достижения чего контролировать?».

Вопрос «Зачем?» является краеугольным, поскольку с него начинается и им же заканчивается этот цикл. Так, бесцельный контроль, контроль ради контроля не является продуктивным, поэтому любая компания должна выстраивать контрольную функцию таким образом, чтобы обеспечить выполнение своей миссии, достичь целей и решить поставленные задачи.
Примером построения взаимодействия вышеуказанных элементов может быть:
  • в рамках СВК: возложение на бухгалтерскую службу компании (кто?) функций внутреннего контроля (как?) за обеспечением всеми бизнес-единицами, осуществляющими бухгалтерский и налоговый учет (что и где?), достоверности финансовой и налоговой отчетности (для чего?); выполнение подразделением технического аудита функции проведения аудита за технически состоянием объектов во всех подразделениях-балансодержателях; выполнение работников компании при выполнении своей работы контрольных процедур;
  • в рамках СУР: выполнение ответственным подразделением функций по мониторингу уровня финансовых рисков и оперативный доклад руководству в целях принятия управленческих решений;
  • в рамках комплаенс: получение специализированным подразделением или уполномоченным работником сведений о конфликтах интересов и их урегулирование;
  • в рамках общественного контроля: обращения работников компании или других граждан на сайты, в общественную приемную и т.д. с предложениями, жалобами, другими обращениями по улучшению хозяйствования компании.
Особое место в системе корпоративного контроля занимает подразделение внутреннего аудита как субъект корпоративного контроля (кто?), которое реализует саму функцию внутреннего аудита (как?) по трем основным направления:
  • оценка эффективности системы внутреннего контроля,
  • оценка эффективности системы управления рисками,
  • оценка корпоративного управления.

По своей сути различные комбинации вышеприведенных элементов представляют собой корпоративную карту гарантий, т.е. распределение контрольных функций и полномочий между субъектами корпоративного контроля.
«Карта гарантий», согласно Методическим рекомендациям по организации работы внутреннего аудита в акционерных обществах с участием Российской Федерации, утвержденным приказом Росимущества от 04.07.2014 № 249, представляет собой документ, определяющий сферы ответственности субъектов системы внутреннего контроля и иных заинтересованных сторон в отношении отдельных рисков компании. Его целью является выявление рисков с недостаточным или дублирующим покрытием субъектами системы внутреннего контроля и/или заинтересованными сторонами.

«Карта гарантий» представляет собой таблицу и/или схему (или несколько документов для удобства пользования и понятности) с перечнем всех ключевых процессов, бизнес-процессов или бизнес-сегментов (например, по вертикали) и подразделений (центров ответственности), органов управления компании (по горизонтали). На пересечении подразделения и бизнес-процесса, в котором подразделение выполняет контрольную функцию, т.е. предоставляет определенную «гарантию», отмечается цветом или текстом уровень уверенности в покрытии рисков, присущих данному бизнес-процессу.

При ее разработке, как правило, используются имеющиеся в компании классификатор рисков и процессов, карта рисков, другие внутренние документы компании, определяющие порядок взаимодействия субъектов и объектов систем внутреннего контроля и управления рисками.

Именно для того, чтобы уровень уверенности был объективным разрабатывать карту гарантий Методическими рекомендациями № 249 предписано именно подразделению внутреннего аудита, при этом другие центры ответственности - служба управления рисками, владельцы бизнес-процессов, владельцы рисков - могут инициировать ее формирование или изменения.
При этом, еще раз отметим, что Кодекс принципиально не разделяет систему управления рискам и систему внутреннего контроля и определяет их как часть корпоративного управления.