Что такое частично эффективный контроль и какие критерии этой частичной эффективности? В классическом подходе при тестировании контроля мы смотрим на дизайн и на операционную эффективность контроля, из комбинации которых складывается итоговая оценка. Приведу матрицу оценки внутренних контролей, которую мы используем в нашей компании:
Как видно из матрицы, бывает несколько вариантов, когда контроль признается частично эффективным. Обычно это контроли, которые некорректно или неполноценно задокументированы или работают с перебоями или незначительными упущениями . При этом найденные недостатки незначительны и скорее отражают возможности для улучшения, чем какие-то серьезные проблемы в системе или процессах.
Тогда возникает следующий вопрос: а что считать незначительным недостатком? Без описанных критериев оценка контроля рискует стать непрозрачной и непонятной. Есть несколько вариантов:
-
В качестве критериев можно использовать лимиты, привязанные к деньгам. Например, материальность, посчитанная внешними аудиторами, риск-аппетит, принятый в компании, или иной порог, согласованный и прописанный в методологии.
-
Также встречаются случаи, когда материальный эффект оказывается небольшой, но при этом возникающие риски могут привести к более серьезным последствиям. Например, потенциальные репутационные риски или нарушения регуляторных правил, влекущие штрафы или проверки со стороны органов.
-
В части дизайна контроля это может быть незначительное изменение описания контроля, которое по факту не меняет его суть и, самое главное, по-прежнему закрывает необходимые риски.
Очевидно, что все предусмотреть не получится, но общие правила сделают процесс оценки легче. Во всех спорных и неоднозначных случаях итоговая оценка должна оставаться за экспертами, т.е. второй и/или третьей линией защиты .
Примеры частично эффективных контролей
Контроль, связанный с резервами под обесценение и потерю запасов. В описании контроля говорится, что все расчеты резервов одобряются финансовым директором. На практике оказывается, что резерв под обесценение одобряет финансовый директор, а резерв под потерю товаров – руководитель группы отчетности. Казалось бы, ничего страшного, тем более что финансовый директор в курсе ситуации, но в части дизайна контроль не соблюдается на 100%, как было написано.
Или любой контроль, связанный с предоставлением доступа к данным в системе. Часто в компаниях присутствуют нарушения в виде доступов у несанкционированных сотрудников. И если в ситуации с конфиденциальной или персональной информацией это, без сомнений, неэффективный контроль, то есть случаи, когда не все так однозначно. К примеру, ограничение доступа к ручным корректировкам запасов. Были найдены несколько сотрудников с доступами на совершение таких корректировок, хотя по должностным инструкциям у них такого доступа быть не должно. При этом за исследуемый период никаких корректировок они не совершали. Дизайн контроля хороший, но выполняется не на 100%. Да, никаких последствий нарушения не было, но, строго говоря, контроль нельзя назвать полностью эффективным.
Также на практике пришлось столкнуться с интересным случаем контроля по одобрению ручных проводок. В соответствии с дизайном контроля все ручные проводки должны были одобряться главным бухгалтером. По факту оказалось, что проверяются только наиболее критичные ручные проводки, при этом определение «критичности» не прописано. И получилось, что и дизайн не идеальный, и проводки проверяются не все. Однако нельзя сказать, что главный бухгалтер совсем не выполняет контроль.
Помимо простых контролей, в матрице иногда встречаются многокомпонентные. Например, контроль, связанный с работой с наличными денежными средствами, включает и защищенность денежных средств, и ограниченный доступ к работе с наличными, и подтверждение операций в системе, и инвентаризацию. Таким образом, в одном контроле тестируется четыре разных компонента. И если в одном из них случается небольшой недостаток, но при этом остальные части контроля на 100% эффективны, контроль будет признан частично эффективным.
За восемь лет тестирования контролей в компании мы выявили следующие причины возникновения частично эффективных контролей:
-
устаревший/изменившийся дизайн контроля;
-
один из компонентов контроля нерабочий либо имеет недостатки;
-
контроль выполняется не полностью в соответствии с дизайном, оставляя некоторые риски непокрытыми.
Если недостаток незначительный и его можно быстро исправить, то такие контроли в отчете по результатам тестирования можно показать как эффективные. Однако на практике в большинстве случаев по частично эффективным контролям все равно остаются риски, и их надо закрывать, поэтому готовится план исправлений с указанием ответственных лиц и сроков.
Но как и кому показывать эту информацию? Должен ли управляющий менеджмент или совет директоров/аудиторский комитет быть уведомлен о таких незначительных нарушениях?
Пока мы остановились на варианте, что управляющим директорам мы показываем всю картину целиком, относя частично эффективные контроли к неэффективным. Кажется, что они должны знать обо всех недостатках – даже таких незначительных – и быть в курсе, над чем их команды далее будут работать.
Здесь очень важно уделить внимание тому, как будет доноситься информация о таких недостатках. Ведь, с одной стороны, мы оцениваем контроли как частично эффективные, значит, все не так плохо, а по факту мы причисляем их к неэффективным. Это может как минимум запутать читателей отчета и как максимум – вызвать негатив и демотивировать. В таких случаях мы всегда делаем акцент на том, что недостаток незначительный, стараемся оценить в денежном выражении. Хорошим решением может стать выделение категории частично эффективных контролей в отдельный блок в отчете. При этом на рассмотрение совета директоров попадают только полностью неэффективные контроли с фокусом на более крупных проблемах и рисках, которые могут негативно сказаться на целях компании.
В настоящее время разрабатывается методология по оценке контролей и формированию отчетности, чтобы сделать подход к оценке и отчетности полностью прозрачным и максимально понятным.