Риски внутреннего аудита тема диссертации по экономике, полный текст автореферата
Автореферат- Ученая степень
- кандидата экономических наук
- Автор
- Орлов, Сергей Николаевич
- Место защиты
- Москва
- Год
- 2006
- Шифр ВАК РФ
- 08.00.12
ДиссертацияАвтореферат диссертации по теме "Риски внутреннего аудита"
МОСКОВСКИЙ ГОСУДАРСТВЕННЫЙ УНИВЕРСИТЕТ имени М.В. ЛОМОНОСОВА
Экономический факультет
На правах рукописи
ОРЛОВ Сергей Николаевич
РИСКИ ВНУТРЕННЕГО АУДИТА
Специальность 08.00.12 - Бухгалтерский учёт, статистика
Автореферат диссертации на соискание учёной степени кандидата экономических наук
Москва - 2006
003067554
Работа выполнена на кафедре учёта, анализа и аудита экономического факультета Московского государственного университета имени М.В. Ломоносова
Научный руководитель: кандидат экономических наук, доцент
Емельянов Игорь Алексеевич
Официальные оппоненты: доктор экономических наук, профессор
Кондраков Николай Петрович
кандидат экономических наук, профессор Соколов Борис Николаевич
Ведущая организация: Российская экономическая академия
имени Г.В. Плеханова
Защита состоится « /<Г » Л' 2007 г. в ^ часов
на заседании Диссертационного совета Д 501.001.18 при Московском государственном университете имени М.В. Ломоносова по адресу: 119992, г. Москва, ГСП-2, Ленинские горы, МГУ, 2-ой учебный корпус, ауд. №
С диссертацией можно ознакомиться в библиотеке гуманитарных факультетов МГУ имени М.В. Ломоносова.
Автореферат разослан « ^ » $ 2006 г.
Учёный секретарь Диссертационного совета Д 501.001.18 при МГУ им. М.В. Ломоносова доктор экономических наук,
профессор . ^ В.П. Суйц
ОБЩАЯ ХАРАКТЕРИСТИКА РАБОТЫ
Актуальность темы. В марте 2005 года в США вступили в силу новые стандарты раскрытия информации публичными акционерными компаниями установленные Законом Сарбейнса-Оксли, где фактически во главу угла поставлена обязанность для высшего руководства компании лично подтверждать достоверность финансовой отчётности, а также подтверждать свою ответственность за создание, поддержание процедур раскрытия информации и сопутствующих средств внутреннего контроля, в первую очередь при подготовке финансовой отчётности.
Появление закона Сарбейнса-Оксли было вызвано чередой корпоративных скандалов и банкротством крупнейших мировых компаний (Enron, Worldcom, Parmalat и др.), вызванных выявлением фактов подготовки недостоверной финансовой отчетности, вводившей инвесторов в заблуждение относительно реальных результатов финансово-хозяйственной деятельности компаний, и, соответственно, неэффективной системой внутреннего контроля.
Таким образом, в 2005 году фондовый рынок вступил в новую эру, где центральным вопросом для инвесторов становится вопрос эффективности систем внутреннего контроля - прекрасных финансовых результатов и блестящего фасада корпоративного управления оказывается недостаточно, чтобы защитить инвестиции миноритарных акционеров.
В России также предпринимаются меры по повышению ответственности Советов директоров и руководства компаний за эффективность систем внутреннего контроля. Так, Постановление Федеральной службы по финансовым рынкам «Об утверждении Положения о деятельности по организации торговли на рынке ценных бумаг» № 04-1245/пз-н от 15 декабря 2004 года, требует наличия в компаниях-эмитентах утверждённого Советом директоров Положения о внутреннем контроле. Кроме того, в компании необходимо создать отдельное структурное подразделение, которое должно контролировать выполнение такого Положения и докладывать о результатах Комитету по аудиту Совета директоров. Таким отдельным структурным подразделением и является служба внутреннего аудита.
Необходимость совершенствования корпоративного управления, повышает роль внутреннего аудита в компании. Для решения этой задачи необходимо совершенствовать работу в области организации и методологии внутреннего аудита. Следует подчеркнуть, что сферами внимания современного внутреннего аудита должны быть все бизнес-процессы компании, причём для компании результатом работы внутреннего аудита должны стать не констатация фактов нарушений и суммы установленного ущерба, а усиление предупредительного характера
работы, создание условий для недопущения нарушений, что приведёт к увеличению эффективности (уровня полезности) внутреннего аудита для системы управления компании.
Повышение эффективности внутреннего аудита во многом зависит от правильной организации его работы. Тотальный контроль за финансово-хозяйственной деятельностью компании, который хотелось бы иметь собственникам, в современных условиях невозможен. Передовые российские компании активно внедряют системы управления рискам, представляющие собой особый подход к управлению компанией, состоящий в предвидении и уменьшении негативных последствий неопределенности ожидаемых результатов деятельности. Для выполнения своих современных задач, внутренний аудит должен строить свою работу на основе использования данных системы управления рисками компании для эффективного планирования своей работы.
Но и собственная деятельность внутреннего аудита сопряжена с определёнными рисками. В отличие от внешнего аудита, высказывающего мнение о достоверности финансовой отчётности с разумной степенью уверенности, внутренний аудит должен предоставлять определённые гарантии в её достоверности и нести за это ответственность, что увеличивает профессиональные риски. Кроме того, необходимость развития новых направлений деятельности внутреннего аудита таких, как оценка эффективности систем внутреннего контроля и управления рисками компании, внутренний аудит инвестиционных проектов и выполнение работ по специальным заданиям, подготовка предложений для Совета директоров (Комитета по аудиту), организация контроля за подготовкой управленческой отчётности, организация более тесного взаимодействия с внешним аудитом, значительно расширяют перечень рисков, способных повлиять на успешное выполнение проверок (работ), а также на объективность и обоснованность выводов внутреннего аудита.
Инструментом внутреннего аудита должна стать теория управления рисками и выстроенная на ее базе методология внутреннего аудита, что позволит своевременно выявлять и анализировать проблемы, формировать рациональный план проверки (выполнения работ) и эффективно распределять ресурсы, выявлять в ходе проверки случайную ошибку исполнителя или случаи мошенничества, определять нарушения при выполнении внутренних процедур.
Управление собственными рисками - важнейшая задача внутреннего аудита. Для выполнения этой задачи необходимы научно обоснованные методы выявления рисков внутреннего аудита, проведения оценки и ранжирования рисков по степени значимости для компании, наличие критериев выбора эффективных методов управления, контрольных мероприятий, а также оценки эффективности
4
деятельности риск-ориентированного внутреннего аудита.
Степень разработанности темы. Актуальность исследования темы рисков внутреннего аудита обусловлена и тем, что в отличие от внешнего аудита, внутренний аудит в российских коммерческих компаниях не регулируется законодательными органами. В связи с этим понятие «внутренний аудит» законодательно не закреплено (так же как и понятие «риск»).
Отсутствуют отечественные стандарты внутреннего аудита, а существующие профессиональные стандарты Международного института внутренних аудиторов и рекомендации других международных организаций относительно современного внутреннего аудита необходимо адаптировать к российским условиям ведения бизнеса. Всё это является предпосылкой для проведения данного диссертационного исследования.
Если по теме «управление предпринимательскими рисками» существует много научных исследований и различных публикаций, около шестидесяти которых использовано при написании диссертации, то по теме «внутренний аудит» и «риски внутреннего аудита» имеется ограниченное число современных исследователей (авторов): Андреев В.Д., Богомолов A.M., Голощапов Н.А, Макаль-ская А.К., Соколов Б.Н., Сотникова Л.В. Тема внутреннего аудита фрагментарно затрагивается в различных учебниках, посвященных внешнему аудиту и внутреннему контролю, а также в публикациях в периодической печати.
В отдел диссертаций Российской государственной библиотеки (бывшая Государственная библиотека СССР им. В.И. Ленина) за последние десять лет поступило семнадцать диссертаций посвященных внутреннему аудиту, при ежегодном поступлении 15-20 тысяч диссертаций. Из них пять исследуют внутренний аудит в кредитных организациях, а остальные посвящены вопросам организации и методологии внутреннего аудита в компании (формирование службы, планирование и проведение проверок, подготовка отчётов и т.п.).
Тема рисков внутреннего аудита в контексте и объёме, предложенном в диссертации, не рассматривалась ни в одном известном научном исследовании. Лишь различными авторами, считавшими внутренний аудит в компании аналогом внешнего аудита, проводилось сравнение отдельных рисков внутреннего аудита с рисками внешнего аудита (аудиторский риск, неотъемлемый риск, риск средств контроля, риск необнаружения).
Сложившаяся ситуация во многом объясняется недопониманием многими специалистами роли внутреннего аудита и степени значимости рисков внутреннего аудита для современной системы управления компании и, в конечном счёте, для результатов её финансово-хозяйственной деятельности. По-прежнему, считая внутренний аудит второстепенной сервисной функцией узкого контроль-
5
ного характера, они не учитывают причинно-следственные связи между рисками компании и возможный косвенный ущерб при наступлении рисковых событий, инициированных и рисками внутреннего аудита. Например, риск неправильной оценки прогнозной финансовой информации не остановит начало реализации убыточного инвестиционного проекта имеющего скрытые катастрофические последствия для финансового состояния компании, риск пропуска существенных нарушений не позволит сделать правильные выводы о наличии значительных рисков мошенничества, риск предоставления неточных рекомендаций может привести к принятию неправильных управленческих решений, результатами которых могут быть потери активов компании и т.п.
Конечно, данная тема в первую очередь актуальна для крупных холдинговых структур и средних компаний, разместивших (или планирующих размещение) свои ценные бумаги на российских и/или международных фондовых биржах. Но для динамичного развития бизнеса в условиях сильной конкурентной среды, проблемы проведения эффективного внутреннего аудита и управления рисками необходимо будет решать всем хозяйствующим субъектам. Можно будет лишь выбирать форму внутреннего аудита: создание собственной службы или привлечение специализированных компаний (экспертов).
Предметом исследования являются методологические и практические аспекты применения теории управления рисками при организации современного риск-ориентированного внутреннего аудита компаний.
Объектом исследования является деятельность служб внутреннего аудита компаний телекоммуникационной и металлургических отраслей промышленности, а также консалтинговых компаний, оказывающих услуги в области внутреннего аудита.
Цели и задачи исследования. Целью диссертационного исследования является разработка концепции риск-ориентированного внутреннего аудита, теоретическое обоснование классификации рисков внутреннего аудита, а так лее разработка методологического аппарата и практических методов для управления рисками внутреннего аудита.
Исходя из выбранных целей, в исследовании поставлены и решены следующие задачи, определяющие логику и структуру диссертационной работы:
1. Исследовать сущность, задачи, место и роль риск-ориентированного внутреннего аудита в системе управления компании с учётом международных стандартов;
2. Определить сущность риска и методологические подходы к классификации рисков внутреннего аудита компании;
3. Разработать концепцию риск-ориентированного внутреннего аудита;
6
4. Предложить методологию предварительного анализа рисков внутреннего аудита с использованием моделей бизнес-процессов для выявления рисков, актуальных для управления;
5. Разработать практические методы для проведения качественной и количественной оценки рисков внутреннего аудита;
6. Обосновать критерии выбора методов управления рисками и контрольных мероприятий по управлению рисками, а также предложить практические подходы для оценки эффективности риск-ориентированного внутреннего аудита.
Теоретической н методологической основой проведённого исследования послужили труды отечественных и зарубежных учёных и специалистов в области внутреннего и внешнего аудита, управления рисками, управленческого консультирования. Кроме того, в ходе диссертационного исследования автором был использован широкий круг источников, в той или иной мере освещающих изучаемый вопрос (публикации в периодических изданиях, материалы конференций и презентаций). Содержательной базой исследования являлись действующие (по состоянию на 01.11.2006 года) Международные стандарты аудита, Международные профессиональные стандарты внутреннего аудита, Федеральные правила (стандарты) аудиторской деятельности, внутренние стандарты Ассоциации бухгалтеров и аудиторов «Содружество».
Методологической основой исследования являлись работы по теории внутреннего и внешнего аудита, управления рисками, корпоративного управления, методологии описания бизнес-процессов, а также математический аппарат, включающий отдельные положения теории вероятностей, математико-экономические методы анализа и методы проведения экспертного опроса.
Научная новизна диссертационной работы состоит в разработке современной концепции риск - ориентированного внутреннего аудита, конкретных методологических приёмов и практических методов для управления рисками внутреннего аудита: выявления, оценки, ранжирования и разработки контрольных мероприятий для управления рисками. В результате диссертационного исследования получены следующие результаты, имеющие научную новизну:
> дано определение понятию «риск-ориентированный внутренний аудит», отражающее его сущность в современных условиях ведения бизнеса, а также разработана классификация рисков внутреннего аудита компании;
> разработана концепция построения риск-ориентированного внутреннего аудита компании с использованием современной концепции «Управление рисками организации. Интегрированная модель» комитета COSO (Комитет спонсорских организаций Комиссии Тредвся).
7
> разработаны методологические основы анализа и выявления рисков внутреннего аудита, актуальных для управления, с использованием расширенной событийно-ориентированной модели еЕРС (extended Event Driven Process Chain - расширенная нотация описания цепочки процесса, управляющего событиями);
> технология проведения качественной оценки рисков внутреннего аудита с использованием специальной рейтинговой шкалы, математических методов факторного анализа (с применением количественной шкалы выбора факторов) и новой модели карты рисков для определения значимости рисков;
> технология проведения количественной оценки рисков внутреннего аудита с использованием математической модели интерпретации результатов качественной (рейтинговой) оценки рисков в количественную (стоимостную) оценку.
Практическая значимость диссертационной работы заключается в том, что результаты исследования могут быть использованы в практической деятельности компаний, как при организации и совершенствовании риск-ориентированного внутреннего аудита в современных условиях, управления рисками внутреннего аудита, так и для проведения диагностики всех бизнес-процессов компании и организации управления внутренними рисками в масштабах всей компании. Кроме того, проведённая работа позволяет устранить неоднозначности в понятийном аппарате по вопросам внутреннего аудита и управления рисками. Отдельные результаты диссертационного исследования будут полезны внешним аудиторам при планировании своей работы и специалистам в области корпоративного управления. Практическую значимость имеют:
> сформулированное автором определение «риск-ориентированный внутренний аудит», а также разработанная классификация рисков внутреннего аудита компании;
> концепция построения риск-ориентированного внутреннего аудита компании с использованием концепции «Управление рисками организации. Интегрированная модель» Комитета COSO;
> графические схемы процессов внутреннего аудита, их текстовые и табличные описания, применяемые для выявления рисков внутреннего аудита, актуальных для управления;
У метод корректировки процента выборки в зависимости от коэффициента риска ошибок и мошенничества в компании при проведении проверок (работ) аналогичных внешнему аудиту;
> шкала специальных рейтинговых оценок, количественная шкала выбора факторов и разработанная новая модель карты рисков с соответствующей мате-
8
матической моделью для проведения качественной оценки рисков;
> математическая модель и схема для интерпретации результатов качественной (рейтинговой) оценки рисков в количественную (стоимостную) оценку, а также результаты ранжирования рисков и процессов внутреннего аудита по степени значимости для компании;
> методы определения критериев для выбора методов и соответствующих контрольных мероприятий для управления рисками, а также практические подходы к оценке эффективности внутреннего аудита.
Апробация работы. В настоящее время полученные результаты исследования используются автором для создания системы внутреннего аудита ОАО «АВТОВАЗ», а также в учебном процессе кафедры «Учёт, анализ и аудит» экономического факультета МГУ им. М.В. Ломоносова.
Отдельные результаты диссертационной работы использовались ЗАО «Ау-диторско-консультационная группа «Развитие бизнес-систем» при проведении Презентаций и подготовки предложений компаниям для выполнения консультационных проектов в областях внутреннего аудита, управления рисками, совершенствовании систем внутреннего контроля.
Публикация результатов исследования. Основные положения и результаты диссертационной работы отражены в десяти публикациях общим объёмом 2,06 п.л.
Структура диссертационной работы обусловлена целями исследования и решаемыми в работе задачами. Диссертационная работа состоит из введения, трёх глав, заключения, библиографического списка использованной литературы и десяти Приложений, содержит 31 рисунок и 25 таблиц.
ОСНОВНЫЕ РЕЗУЛЬТАТЫ ИССЛЕДОВАНИЯ
Первой задачей решённой в диссертационной работе является определение понятия «риск-ориентированный внутренний аудит»: рассматриваются предпосылки возникновения и развития внутреннего аудита, даётся определение «риск-ориентированный внутренний аудит», показывается значимость риск-ориентированного внутреннего аудита в системе управления компаний с описанием его новых задач для увеличения степени полезности для компании в современных условиях ведения бизнеса.
Для российской теории и практики понятие «риск-ориентированный внутренний аудит» относительно новое. Российское законодательство в отличие от внешнего аудита, не затрагивает и не регулирует деятельность внутреннего аудита. Среди специалистов нет единого мнения относительно того, каковы его цели, как должны реализовываться его функции и каковы его методы.
Во Временном правиле (стандарте) аудиторской деятельности «Изучение и использование работы внутреннего аудита» (1999 г.) даётся следующее определите внутреннего аудита: «Внутренний аудит - организованная экономическим субъектом, действующая в интересах его руководства и (или) собственников, регламентированная внутренними документами система контроля за соблюдением установленного порядка ведения бухгалтерского учета и надежностью функционирования системы внутреннего контроля».
В данном определении понятие «внутренний аудит» трактовалось в узком смысле, определяющим объектами внутреннего аудита бухгалтерский учёт и систему внутреннего контроля за подготовкой финансовой (бухгалтерской) отчётности.
В августе 2006 года было утверждено и вступило в действие новое Федеральное правило (стандарт) аудиторской деятельности № 29 «Рассмотрение работы внутреннего аудита». В нём даётся следующее определение: «Внутренний аудит - контрольная деятельность, осуществляемая внутри аудируемого лица его подразделением - службой внутреннего аудита. Функции службы внутреннего аудита включают мониторинг адекватности и эффективности системы внутреннего контроля».
Таким образом, в современных условиях внутренний аудит необходимо понимать достаточно широко, как функцию управления, форму внутреннего контроля, который использует в качестве инструмента комплексные, тематические, аналитические, сквозные и другие виды проверок. При этом внутренний аудит не только обеспечивает детальную всестороннюю проверку финансово- хозяйст-
10
венной (в т.ч. производственной и социальной) деятельности, но и разрабатывает предложения по оптимизации хозяйственной деятельности, совершенствованию систем внутреннего контроля и управления рисками, рационализации расходов и увеличению прибыли, оказывает различные консультационные услуги для управления. Осуществляя проверки по различным направлениям деятельности и компетентно системно исследуя и оценивая работу компании, опираясь на достоверную информацию, внутренний аудит даёт внутренним пользователям обоснованные предложения для принятия управленческих решений.
Очевидно, что дальнейшее развитие внутреннего аудита должно проходить с учётом осмысления зарубежного опыта, углубленных исследований в области теории, и, прежде всего, разработки концепции внутреннего аудита, которую, необходимо увязывать с целями развития бизнеса компаний. Внутренний аудит должен иметь предупреждающий, прогнозный характер, направленный на выявление возможного предпринимательского риска.
Определённым ориентиром для развития внутреннего аудита в России должны стать стандарты Международного института внутренних аудиторов (США), которые дают следующее определение: «Внутренний аудит есть деятельность по предоставлению независимых и объективных гарантий и консультаций, направленных на совершенствование деятельности компании. Внутренний аудит помогает компании достичь поставленные цели, используя систематизированный и последовательный подход к оценке и повышению эффективности процессов управления рисками, внутреннего контроля и корпоративного управления».
Новый подход к организации внутреннего аудита в компании заключается в использовании методологии управления рисками, на основе которой выстраивается методология самого внутреннего аудита. Риск - ориентированный подход к организации внутреннего аудита включает использование данных системы управления рисками при планировании внутреннего аудита и управление рисками собственной деятельности.
На Рисунке 1 схематично показаны основные элементы современной системы внутреннего аудита:
И
Рисунок 1. Основные элементы современной системы внутреннего аудита
Стратегический внутренний аудит должен охватывать области стратегического планирования компании, инвестиционную деятельность, систему сбалансированных показателей и ключевых показателей деятельности (КПЭ); внутренний аудит корпоративного управления оценивать соответствие процедур и методов внутреннего управления компанией её целям и возможность их совершенствования, динамику развития управленческих технологий; операционный внутренний аудит затрагивать текущую деятельность компании: производственную, финансовую, социальную, оперативное планирование, работу информационных систем, вопросы бюджетирования, подготовку управленческой отчётности; внутренний аудит финансовой отчётности контролировать систему бухгалтерского и налогового учёта, подготовку финансовой отчётности для внешних пользователей; правовой внутренний аудит следить за соблюдением требований законодательства и положений внутренних регламентов (инструкций) в компании.
Основными объектами внимания риск-ориентированного внутреннего аудита должны стать элементы системы управления - системы внутреннего контроля и управления рисками по функциональным направлениям деятельности компании. Одной из основных функций риск-ориентированного внутреннего аудита является подготовка обоснованных рекомендаций по повышению эффективности системы управления компании.
В диссертационной работе даётся определение: Риск-ориентированный внутренний аудит - это организованная экономическим субъектом, регламентированная внутренними документами, использующая данные системы управле-
12
ния рисками и управляющая собственными рисками, независимая деятельность по оценке и контролю эффективности системы управления компании, направленная на совершенствование деятельности самой компании и достижение целей бизнеса.
От положения службы внутреннего аудита в системе управления экономического субъекта во многом зависит её возможность и способность соблюдать объективность и независимость. В идеальной ситуации служба внутреннего аудита должна подчиняться Совету директоров компании, который выбирается акционерами. В мировой практике службы внутреннего аудита подчинены Комитету по аудиту (Аудиторскому комитету) при Совете директоров, такие комитеты создают сейчас многие ведущие российские компании.
Система корпоративного управления российской компании (с учётом международного опыта) в общем виде может выглядеть следующим образом (Рис.2):
Рисунок 2. Система корпоративного управления российской компании с учётом международного опыта.
> главным органом управления является Совет директоров, назначаемый общим собранием акционеров, который одобряет стратегию развития бизнеса, осуществляет надзор за деятельностью руководства компании и несет за это ответственность перед акционерами (собственниками) компании - высшим органом управления;
> Совету директоров подотчетно исполнительное руководство, которое отвечает за составление и исполнение стратегии бизнеса, обеспечение ежедневного выполнения финансово-хозяйственных операций, установление и выполнение процедур внутреннего контроля, управления рисками, несет ответственность за результаты деятельности компании и подготовку достоверной финансовой от-
чётности;
> служба внутреннего аудита, подотчётная исполнительному органу и Совету директоров (Комитету по аудиту) проводит проверки (работы) с целью обеспечения Совета директоров и исполнительного руководства уверенностью в том, что установленные процедуры внутреннего контроля выполняются, а риски управляются адекватно.
В то время как не существует единого мнения о том, насколько достижима организационная независимость службы внутреннего аудита, большинство руководителей компаний признает, что объективность внутреннего аудитора не только возможна, но и крайне важна и приносит реальную пользу компании. Однако их мнения по поводу методов реализации этого на практике часто расходятся.
На практике полную независимость службы внутреннего аудита от исполнительных органов компании обеспечить достаточно трудно. Внутренний аудит - один из ключевых инструментов управления компанией. Вряд ли такой инструмент будет полезен, если он не будет подотчётен руководству компании. Осознавая необходимость обеспечения независимости внутреннего аудита в условиях его тесного сотрудничества с руководством (менеджерами) компании, Международный институт внутренних аудиторов предлагает установить в компании систему, при которой внутренний аудит должен находиться в административном подчинении у исполнительных органов, а в функциональном - у Комитета по аудиту Совета директоров.
Современные законодательные нормы устанавливают высокие требования к порядку составления финансовой отчётности и степени ответственности руководства компании за её достоверность. В настоящее время внутренний аудит должен давать дополнительные гарантии Совету директоров и руководству компании в эффективности системы внутреннего контроля и достоверности финансовой отчётности, что невозможно обеспечить без учёта данных системы управления рисками.
Но и самому внутреннему аудиту, как одному из бизнес-процессов компании присущи специфические риски, влияющие на эффективность остальных бизнес-процессов управления компанией в целом, и управление которыми является частью системы управления рисками (риск-менеджмента).
Второй задачей решённой в диссертационной работе является определение сущности риска: рассматривается методология управления рисками, которую возможно использовать для управления рисками внутреннего аудита, в том числе приводятся определения «риск» и «риск-менеджмент», исследуется место и роль риск-менеджмента в системе управления компании, определяются
14
общие методологические подходы к классификации внутренних рисков компании.
В настоящее время имеется достаточное количество литературы и публикаций по теме «риск-менеджмент», как зарубежных, так и отечественных авторов. Среди исследователей нет единого мнения относительно определения понятия «риск». Каждый автор стремится дать свое определение понятиям «риск», «управление рисками», выстроить свою классификацию возможных рисков и т.д., т.е. на сегодняшний день не существует однозначного понимания сущности риска. Это объясняется, в частности, практически полным игнорирование его нашим хозяйственным законодательством в реальной экономической практике и управленческой деятельности. Пока ни теория финансового менеджмента, ни российское законодательство не выработали четких, однозначных понятий «риск», «уровень риска», «риск-менеджмент», «система риск-менеджмента», «процессы риск-менеджмента», «управление рисками». Соответственно, каждая компания выстраивает систему управления рисками исходя из собственного видения развития бизнеса, зачастую «изобретая велосипед».
Можно дать следующее определение понятию «риск», а именно: Риск -любое событие или действие в будущем, которое может как неблагоприятно, так и положительно отразиться на достижении компанией её деловых целей.
В условиях объективного существования различных рисков в бизнес-среде компаний, связанных с ними вероятности различного рода потерь (финансовых, моральных) или возможности получения дополнительной прибыли, возникает потребность в определённом механизме, который позволил бы наилучшим из возможных способов с точки зрения поставленных компанией деловых целей, учитывать риски при принятии и реализации хозяйственных решений.
Таким механизмом является риск-менеджмент компании - система управления рисками и экономическими (прежде всего финансовыми) отношениями, возникающими в процессе этого управления.
Риск-менеджмент должен включать разработку стратегии и тактики управления рисками компании. Под стратегией подразумеваются направление и способы использования средств для достижения поставленной цели. Стратегия риск-менеджмента базируется на долговременных целях компании и оценках неопределённости хозяйственных ситуаций, на эффективных методах достижения таких целей в течение продолжительного времени. Стратегия - это наука и искусство управления рисками компании, основанные на долгосрочном прогнозировании, стратегическом планировании, выработке обоснованной концепции и программы, адаптированной к неопределённости предпринимательской деятельности, позволяющей не допускать, или уменьшать неблагоприятное воздействие
15
источников рисков на результаты финансово-хозяйственной деятельности компании и, главное, получать в конечном счёте высокий предпринимательский доход. Стратегия помогает сконцентрировать усилия на различных вариантах решения, не противоречащих генеральной линии стратегии, и отбросить все остальные варианты. После достижения поставленной цели данная стратегия прекращает своё существование, поскольку новые цели выдвигают задачу разработки новой стратегии.
Стратегия риск-менеджмента предопределяет тактику, т.е. совокупность методов, приёмов, используемых в конкретных условиях хозяйственных операций для достижения деловых целей, не противоречащим целям долговременным.
Тактика достижения деловых целей может быть самой разнообразной, поэтому риск-менеджмент обладает многовариантностью, предполагающей использование стереотипных и неординарных (но оптимальных) рисковых решений.
Исходя из определения понятия «риск» можно дать следующее определение: Цель риск - менеджмента компании заключается в создании, защите и росте богатства акционеров с помощью управления факторами неопределенности, которые могу как негативно, так и положительно повлиять на достижение компанией своих целей.
В диссертационной работе делается вывод, что в первую очередь компании необходимо обратить внимание на управление внутренними рисками бизнес-процессов компании. Внешние риски трудно достоверно оценить и организовать управление ими, что требует больших материальных затрат. Как показывает мировая практика, именно внутренние риски бизнес-процессов привели к корпоративным скандалам и банкротству крупнейших международных компаний (Enron, Worldcom, Parmalat и др.).
Кроме того, внутренние риски бизнес-процессов компании проще выявить, так как они понятны менеджерам компании, качественно и количественно оценить, а также выбрать оптимальные методы управления рисками, то есть ими можно реально и эффективно управлять, а, имея количественные (денежные) оценки, и оценивать эффективность программы управления внутренними рисками компании.
Риски внутреннего аудита относятся именно к внутренним рискам бизнес-процессов компании. В целях комплексного изучения рисков внутреннего аудита компании необходимо все возможные внутренние риски классифицировать в различные группы в зависимости от классификационного признака.
Классификация по связи с конкретным бизнес-процессом. Данный классификационный признак является основным для составления классификации рис-
16
ков внутреннего аудита. Классификация по данному классификационному признаку основывается на группировке всех рисков внутреннего аудита по связи с конкретными бизнес-процессами (процессами).
Классификация по специфике источника возникновения. Данная классификация позволяет разделить все риски внутреннего аудита по специфике источника их возникновения: профессиональные риски, аналогичные рискам внешнего аудита, и остальные риски, к которым применима теория управления рисками.
Классификация по типу ущерба. Данная классификация позволяет объединить риски внутреннего аудита но направлению возможного ущерба
Классификация по степени зависимости ущерба от исходного события. В рамках данной классификации рассматриваются две группы рисков внутреннего аудита: первичные риски и вторичные риски.
Классификация по уровню возникновения риска. В соответствии с данной классификацией риски могут возникать на разных уровнях управления внутренним аудитом компании: на уровне компании, службы внутреннего аудита, отдельного сотрудника.
Классификация в зависимости изменения от времени. Всегда существуют риски внутреннего аудита, изменение которых каким-либо образом зависит от времени, поэтому необходимо все риски классифицировать по двум группам: статические риски и динамические риски.
Классификация по фазам. Частным случаем классификации рисков внутреннего аудита в зависимости изменения от времени является классификация по фазам выполнения бизнес-процесса (процесса): планирование, реализация, завершение.
Классификация по степени распространенности риска. Классификация необходима при поиске информации в целях проведения количественной оценки рисков внутреннего аудита. Выделяются две группы рисков: массовые и уникальные.
В диссертационной работе проведена классификация рисков внутреннего аудита по двум классификационным признакам: по связи с бизнес-процессом и по специфике источника возникновения.
Третьей задачей, решенной в диссертационной работе, является разработка копцепции риск-ориентированного внутреннего аудита.
Разработка концепции построения риск-ориентированного внутреннего аудита должна проводиться в рамках концепции «Управление рисками организации. Интегрированная модель» Комитета COSO (Комитет спонсорских организаций Комиссии Тредвея) с учётом следующих условий:
Внутренняя среда - основа всех остальных компонентов процесса управле-
17
ния внутренним аудитом. Оценка внутренней среды компании говорит о понимании представителей собственников и руководства компании сущности риска и риск-менеджмента, а также месте, роли и задачах внутреннего аудита в системе управления компании, обеспечена организационная независимость внутреннего аудита, утверждены Положение о внутреннем аудите и Кодекс этики, разработаны требования к квалификации и профессионализму внутренних аудиторов.
Постановка целей. Цели развития компании определены, в том числе разработана стратегия развития компании с учётом возможного влияния внешних и внутренних рисков на достижение целей развития компании. Цели и задачи внутреннего аудита определяются в зависимости от установленных компанией целей (стратегических, операционных, в области подготовки отчётности и области соблюдения законодательства). Постановка правильных целей внутреннего аудита является предпосылкой эффективного определения источников рисков внутреннего аудита и возможных рисковых событий, проведение оценки собственных рисков и влияет на выбор способов реагирования на риск.
Определение событий. Ранее был сделан вывод, что в первую очередь основные усилия необходимо направлять на управление внутренними рисками бизнес-процессов. Именно источники внутренних рисков приводят к возникновению рисковых событий, оказывающих значительное влияние на результаты финансово-хозяйственной деятельности компании. Для выявления источников рисков (рисковых зон) и определения перечня рисков, актуальных для управления, необходимо описать модели процессов внутреннего аудита
Модели процессов внутреннего аудита представляют собой составленные графические схемы моделей, а также их текстовые и табличные описания. Результаты анализа моделей процессов позволяют установить последовательность управленческих действий при проведении внутреннего аудита, определить рисковые зоны и идентифицировать риски по процессам, установить причинно-следственные связи между этими рисками и, в итоге, провести отбор внутренних рисков, актуальных для управления.
Информация системы управления рисками о выявленных источниках внутренних рисков и возможных рисковых событиях в других бизнес-процессах компании используется для планирования работы внутреннего аудита.
Оценка рисков. На данном этапе проводится качественная и количественная оценка рисков внутреннего аудита, актуальных для управления.
Назначение оценки рисков заключается в предоставлении заинтересованным лицам объективной информации о значимых рисках, возникающих в процессах внутреннего аудита (данные о наиболее слабых местах (рисковых зонах) процессов внутреннего аудита и возможных рисковых
18
последствиях) для принятия управленческих решений по реагированию на риск.
Качественная оценка рисков внутреннего аудита. Методология качественной оценки рисков определяется с учетом того, что результатом такой оценки должно стать выделение (с использованием рейтинговых оценок) из рисков внутреннего аудита актуальных для управления наиболее значимых рисков.
Уточнение рейтинговых оценок рисков проводится уже в рамках количественной (стоимостной) оценки рисков, требующей существенно больших затрат временных и других ресурсов. Поэтому ключевой задачей качественной оценки помимо определения значимости рисков является «отсечение» тех рисков, которые с высокой степенью вероятности не оправдают дальнейших затрат на их изучение и управление ими.
Количественная оценка рисков внутреннего аудита. Количественная оценка рисков внутреннего аудита проводится с целью получения стоимостных характеристик рисковых последствий при возможном наступлении рискового события (ожидаемого ущерба), необходимых, как для определения самых существенных (значимых) рисков, так и для анализа эффективности контрольных мероприятий и системы управления рисками компании в целом:
Выбор методов управления рисками реализует элемент концепции «Управление рисками организаций. Интегрированная модель» - реагирование на риск. На основании результатов количественной оценки рисков выбираются методы управления значимыми рисками внутреннего аудита (уклонение от риска, сокращение, перераспределение или принятие)
Следует отметить, что руководству компании необходимо определить уровень допустимого (остаточного) риска, так как полное устранение риска практически невозможно, из-за больших, чаще всего, неоправданных затрат. Исходя из уровня допустимого риска, разрабатываются контрольные мероприятия для управления рисками внутреннего аудита.
Средства контроля представляет собой разработку методологии и технологии управления внутренним аудитом (стандартов и методик), а также внутренних документов, регламентирующих порядок управления значимыми рисками внутреннего аудита и предоставления отчётной информации.
Информация и коммуникации. Для эффективного управления внутренним аудитом (в т.ч. рисками внутреннего аудита) необходимо разработать внутренний документооборот, обеспечивающий своевременный сбор, документирование и передачу информации для обеспечения деятельности внутреннего аудита.
Мониторинг эффективности деятельности внутреннего аудита. Данный компонент предполагает разработку критериев и методов по оценке эффектив-
19
ности внутреннего аудита. Такая оценка должна постоянно проводиться руководителем внутреннего аудита в рамках контроля качества работ, периодически в рамках самооценки и аттестации внутренних аудиторов, а также сотрудниками компании и/или независимыми (внешними) экспертами, уполномоченными руководством компании, и, кроме того, внешним аудитом при определении возможности использования работы внутреннего аудита в целях внешнего аудита.
Для решения четвёртой задачи - проведения предварительного анализа рисков были разработаны соответствующие модели процессов внутреннего аудита, представляющих собой графические схемы моделей процессов бизнес-процесса «Внутренний аудит», являющегося одним из бизнес-процессов управления компанией, а также их текстовые и табличные описания, с помощью которых были выявлены риски внутреннего аудита актуальные для управления.
Изучение научных работ и публикаций, касающихся темы внутреннего аудита, а также современного практического опыта работы служб внутреннего аудита различных российских компаний, позволяет представить модель бизнес-процесс «Внутренний аудит» в виде ряда моделей процессов (бизнес-процессов второго уровня): планирование работы службы внутреннего аудита, проведение проверки объекта, подготовка дополнений к программе управления рисками, подготовка информационных материалов для Комитета по аудиту и руководства компании, контроль выполнения решений по устранению нарушений, подготовка информации о типичных нарушениях, оказание внутренним аудитом сопутствующих услуг, планирование развития нормативной базы внутреннего аудита, разработка нормативных документов внутреннего аудита, организация взаимодействия с внешним аудитом, взаимодействие с внешним аудитом и анализ его работы.
Составление графических схем процессов осуществляется по принцип)' процессных цепочек. Один из вариантов построения процессных цепочек используется в программной среде ARIS Toolset. Это расширенная событийно-ориентированная модель еЕРС (extended Event Driven Process Chain - расширенная нотация описания цепочки процесса, управляемого событиями). Модели потоков ARIS позволяют отобразить последовательность выполнения отдельных функций процесса.
На Рисунке 3 в качестве примера представлена схема процесса «Проведение проверки объекта».
Рисунок 3. Схема процесса "Проведение проверки объекта '
Одновременно с составлением графических схем моделей процессов внутренние аудита проводится их текстовое и табличное описание.
После составления моделей процессов внутреннего аудита можно приступать к выполнению компонентов процесса управления рисками внутреннего аудита, а именно выявлению рисков внутреннего аудита, актуальных для управления, качественной и количественной оценке рисков, а также к выбору методов управления рисками и контрольных мероприятий (реагирование на риск), разработке средств контроля, организации обмена информацией и мониторингу эф-фектитюсти внутреннего аудита (в том числе и эффективности управления собственными рисками).
Пятой задачей решённой в диссертационной работе является практическое применение предложенной концепции риск-ориентированного внутреннего аудита для проведения качественной и количественной оценки рисков с целью выявления рисков внутреннего аудита, значимых для управления.
Проведённый анализ моделей внутреннего аудита позволил разделить риски внутреннего аудита на две большие группы, определённые как риски профессиональной деятельности внутреннего аудита и риски, сопутствующие профессиональной деятельности внутреннего аудита (остальные риски).
Сложность исследования рисков внутреннего аудита заключается в разной природе их возникновения. К рискам профессиональной деятельности внутреннего аудита относятся риски при проведении проверок и оказания сопутствующих услуг, связанных с проверками достоверности финансовой отчётности или
21
её отдельных статей. Эти риски идентичны профессиональным рискам, учитываемым при проведении внешнего аудита, и к которым относятся: аудиторский риск, неотъемлемый риск, риск средств контроля, риск необнаружения, риск аналитического рассмотрения.
К этим рискам неприменима классическая методология управления рисками. Для проведения оценки рисков профессиональной деятельности внутреннего аудита в диссертационной работе использована традиционная методология внешнего аудита, на основе которой разработаны практические методы оценки данных рисков. Определённым шагом в развитии методологии является предложенная корректировка процента выборки при выборочном внутреннем аудите с применением коэффициента риска ошибок и мошенничества, что отражает современные тенденции в развитии теории организации работы внутреннего аудита.
К рискам, сопутствующим профессиональной деятельности внутреннего аудита, относятся остальные риски и часть рисков профессиональной деятельности внутреннего аудита (например, риски оценки инвестиционных проектов, риски планирования внутреннего аудита, риски выполнения работ по специальным заданиям) применимы методологические основы теории управления рисками. С учётом результатов анализа моделей процессов внутреннего аудита был составлен перечень рисков, актуальных для управления.
Для проведения качественной оценки рисков внутреннего аудита выбирались факторы степени компетентности экспертов, проводилось анкетирование необходимого числа экспертов компаний, после чего полученные данные обобщались, а риски из сформированного перечня были проранжированы с учётом установленных рейтинговых оценок вероятности наступления рисковых событий и существенности их последствий.
Для оценки вероятности и существенности рисков может применяться рейтинговая (от одного до пяти) оценка рисковых событий, которую предлагается использовать для проведения качественной оценки рисков внутрегаюго аудита (Таблице 3).
При этом под незначительной существенностью риска процесса понимаются последствия от риска, которые отсутствует или пренебрежимо малы. Таким риском можно пренебречь.
Под умеренной суи^ественностъю понимаются последствия от риска, которые незначительны и/или легко устранимы.
Под большой существенностью риска понимаются последствия, которые существенно влияют на выполнение процесса, в котором он выявлен, но ликвидация последствий не связана с крупными затратами.
22
Таблица 3. Рейтинговая сценка рисковых событий.
Уровень вероятности Описание Пояснение Существенность Описание
5 Высокая вероятность Событие почти обязательно произойдет 5 Катас тро ф нч сская
4 Вероятно вероятность того, что событие произойдет, велика 4 Значительная
3 Возможно Возможно, что событие произойдет 3 Большая
г Низкая вероятность Низкая вероятность того* что событие произойдет 2 Умеренная
1 Отдаленная вероятность Событие произойдет только в исключительных обстоятельствах 1 Незначительная
Значительная существенность - такие последствия, которые существенно влияют на результаты деятельности компании в целом и ликвидация последствий связана с крупными затратами.
Катастрофическая собственность риска - такие последствия, которые могут не позволить выполнить стратегические цели бизнеса компаний (привести к банкротству).
По результатам анкетирования выявляются риски процессов внутреннего аудита с наиболее высокой рейтинговой оценкой существенности и вероятности. Такие риски подлежа]' управлению в первую очередь.
На данном этапе оценки рисков внутреннего аудита автором диссертации применена собственная математическая модель и методика определения рейтинговой значимости рисков с использованием линейной кар™ рисков, отличной от классической матричной формы такой карты представленной на Рисунке 4.
Е 7
Э 5 в
С 10 3 2
в 4 1
А 8
1 и III IV V -►
Существенность
Рисунок 4. Матричная карта рисков.
Арабские цифры на карте - обозначения рисков, которые были классифицированы по пяти категориям вероятности и пяти категориям существенности, причем так, чтобы каждому сочетанию вероятность/существенности соответствовал один вид риска. Такая классификация, размещающая каждый риск в специфическую отдельную «коробочку» не является обязательной, но позволяет установить приоритеты, показывая положение каждого риска относительно других (увеличивает разрешающую способность данного метода).
Жирная ломаная линия - критическая граница терпимости к риску, определяемая руководством компании.
Риски бизнес-процессов, находящиеся выше этой границы, считаются непереносимыми. Например, при разработке стратегии компании, по выявлеЕшым непереносимым рискам до принятия данной стратегии требуется понять, как уменьшить или передать такие риски, в то время как риски ниже границы являются управляемыми в рабочем порядке.
Но всё же, общая картина расположения рисков на предложенной карте рисков недостаточно информативна для иллюстрации значимости рисков для компании. Кроме того, для вычисления значимости рисков при их качественной оценке используется понятие математического ожидания, применяемое для количественной оценки рисков, соответственно, значимость рисков обычно определяется как произведение средневзвешанных рейтинговых оценок вероятности возникновения рискового события и существенности при его наступлении. Значимость рисков, определённая как произведение двух величин позволяет отобразить эту величину на карте рисков, но не даёт полного представления о действительной значимости рисков для бизнес-процесса.
По мнению автора диссертационной работы, для определения значимости рисков при их качественной оценке и построению карты рисков целесообразно применять теорию решения многокритериальных задач выбора эффективных решений.
Данная теория предполагает решение задач многокритериальной оптимизации - задач с несколькими критериями, которые с разных сторон характеризуют различные решения. Чаще всего заранее выделено направление улучшения каждого критерия, например его увеличение. Но одновременное увеличение всех критериев практически всегда невозможно. Для данной теории характерно решение следующего неравенства:
С > А + В, причём А > 0 и В > О
На Рисунке 5 показана треугольная область ABO, любая точка внутри ко-
торой удовлетворяет этому нестрогому неравенству, причём сторона ОА треугольника равна стороне ОВ (равнобедренный треугольник). Все границы включены в область допустимых значений, а по линии АВ расположено предельное значение величины С. Как видно из Рисунка 5, значения А и В не могут одновременно иметь максимальные значения. Необходимо соблюдать условия неравенства - при увеличении одного показателя необходимо снижать другой, чтобы сумма А и В была меньше С.
Рисунок 5. Соотношение между величинами А и В.
Поэтому в многокритериальных задачах речь ведут не об оптимальных решениях, а об эффективных. Эффективные решения - это такие решения, которые не могут быть улучшены (принять максимальное значение) сразу по всем критериям.
Рассмотренная теория как нельзя лучше подходит для проведения иллюстрации ранжирования рисков. В качестве показателя А будем понимать значения вероятности наступления рискового последствия, а в качестве показателя В -значения существенности при наступлении рискового события, тогда сумма этих двух показателей будет равна рейтинговой оценке значимости риска (показатель С), причём показатели А и В не могут быть более пяти. Это новая методология, нигде в научной литературе не описанная.
Данные тезисы можно проиллюстрировать на примере линейной карты рисков имеющей новую методологию составления (с учётом рейтинговых оценок) (Рисунок 6).
Существенность
Рисунок 6. Линейная кар га рисков с показателями значимости.
Определение рейтинговой значимости рисков относительно друг друга можно провести точнее, чем при применений традиционной матричной карты рисков (Рисунок 4), Задав допустимое значение значимости, можно определить категорию значимости риска.
Например, определив допустимое значение значимости равным четырём, мы увидим, что для выполнения условий неравенства максимальное значение вероятности может быть равным четырём при нулевой существенности, а максимальное значение существенности может быть равным четырём при нулевой вероятности.
Все риски внутри треугольника 4-0-4 будут иметь значимость меньше допустимой. Если при каких-либо значениях вероятности и существенности риск окажется выше границы допустимой значимости риска (линия 4-4), то значимость данного риска выше. При значении вероятности выше четырёх риск будет иметь большую значимость при любом значении существенности, а при значении Существенности выше четырёх риск также будет иметь большую значимость при любом значении вероятности.
Па Рисунке 6: риски в зоне выше 8-8 - что катастрофические риски, требующие принятия решений по управлению рисками на уровне Совета директоров; риски в от этой зоны до 4-4 - это значительные и большие риски, требующие управления на уровне руководства компании: риски от этой зоны до 2-2 -это умеренные риски, требующие управления на уровне менеджмента; риски в зоне ниже 2-2 - низкие риски, которые управляются в рамках операционной деятельности.
Формулу расчёта значимости рисков можно представить в следующем виде;
Значимость = ср. Существенность + ср. Вероятность, где ср. Существенность - средневзвешенная (экспертная) рейтинговая оценка существенности при наступлении рискового события;
ср. Вероятность - средневзвешенная (экспертная) рейтинговая оценка вероятности наступления рискового события.
Применение данной методологии позволяет более просто провести необходимые расчёты и наглядно представить результаты качественной рейтинговой оценки рисков для принятия решений об их реальной значимости для компании.
Предложенный качественный метод оценки данных рисков с помощью рейтинговых оценок и факторного метода анализа на основе экспертных оценок является дальнейшим развитием известных методов качественной оценки рисков.
Количественная (экспертная) оценка проводится с целью получения стоимостных характеристик, необходимых, как для определения самых существенных (значимых) рисков, так и для анализа эффективности контрольных мероприятий и системы управления рисками компании в целом.
Разработанная математическая модель количественной оценки рисков использует методологию теории вероятностей и известных математико-экономических методов, но содержит совершенно новые идеи. Автором диссертационной работы предложена методология интерпритации (пересчёта) качественных рейтинговых оценок внутренних рисков в количественную, прежде нигде не описанная в научной литературе. Разработанная методология позволяет с высокой степенью достоверности проводить количественную оценку, а также ранжирование внутренних рисков по степени опасности (величины возможного ущерба) для компании с привязкой к стоимостным показателям, определяющим имущественное и/или финансово-экономическое состояние компании. Ранжирование рисков внутреннего аудита в зависимости от стоимостной величины ущерба при возможном наступлении рискового события показывает значимость каждого отдельного риска для компании и позволяет правильно выбрать метод (методы) управления рисками.
Для проведения расчётов предлагается использовать следующую методологию:
Вероятность: Необходимо установить шкалу пересчёта экспертных (рейтинговых) качественных оценок вероятности наступления рисковых событий в соответствующие количественные значения в процентах. Предполагается, что данный процесс имеет вид линейной функции и шаг пересчёта рейтингового значения вероятности наступления рискового события в процентное значение
равен 20 при условии, что рейтингу один соответствует вероятность 20%, а рейтингу 5 - максимальная в сто процентов.
Таким образом, качественные (рейтинговые) оценки вероятности соответствуют следующей количественной шкале (Таблица 4):
Таблица 4. Количественная шкала интерпретации вероятности
1 Уровень 1
вероятности 2 3 4 5
% вероятности 20% 40% 60% 80% 100%
Для применения данной шкалы к рейтинговым средневзвешанным оценкам вероятности наступления рискового события, определённым по результатам качественного анализа, используется формула: Р = 20% х Хвер,
где Р - количественная оценка вероятности наступления рискового события в единичном цикле процесса, выраженная в процентах;
Хвер — средневзвешанная (качественная) оценка вероятности соответствующего риска, определенная по результатам анкетирования (экспертного опроса).
Существенность. Необходимо установить шкалу пересчёта экспертных (рейтинговых) качественных оценок существенности наступления рисковых событий в соответствующие количественные значения в стоимостном (денежном) выражении.
Для проведения процесса пересчёта рейтинговых оценок в количественные (стоимостные) можно использовать метод корреалиционно-регрессионного анализа, который является одним из методов статистического анализа взаимозависимости нескольких признаков.
С помощью данного метода статистического анализа можно установить зависимость изменения показателя при относительном изменении другого. В случае исследования связи между двумя показателями - результативным (стоимостная оценка) и факторным (рейтинговая оценка) - регрессивная зависимость (приращение показателя) может быть выражена следующей (линейной) формулой для некоторых интервалов значений:
У = аО + ш х,
где У - количественная (стоимостная) оценка существенности (в денежных единицах);
аО - стоимостная оценка для начального значения интервала;
т х - приращение стоимостной оценки показателя а, где т разница между стоимостными оценками начального и конечного значений интервала, х - факторный показатель, являющийся разницей между показателем качественной рейтинговой оценки в интервале и качественной рейтинговой оценкой начального значения интервала.
Количественные значения предельных значений областей рисков каждой компанией выбираются в зависимости от вида деятельности компании и внутренней философии представителей собственников (Совета директоров), а так же руководства компании к определению приемлемого риска и готовности идти на риск.
Таким образом, предполагается, что экспертные качественные оценки существенности соответствуют следующей количественной шкале, выраженной в денежных единицах (российские рубли, доллары США, евро) (Таблица 5):
Таблица 5. Количественная шкала интерпретации существенности
Уровень существенности 1 2 3 4 5
Стоимостная оценка Ш аг аз Ж а$
В качестве предельных значений т могут приниматься различные значения, определяемые на основе количественных показателей, характеризующих результаты финансово-хозяйственной деятельности компании и её имущественное состояние. Количественные значения должны выбираться с привязкой к показателям применяемых в компании (например, показателям финансовой отчётности, системе сбалансированных показателей, ключевым показателям эффективности (КПЭ)).
В качестве примера примем следующие количественные показатели:
1. значение а5 (катастрофический риск) - стоимость имущества компании или стоимость бизнеса компании (оценивается лицензированными оценщиками);
2. значение а4 (критический риск) - величина выручки компании (по форме № 2 финансовой отчётности);
3. значение аЗ (большой риск) - величина прибыли до налогообложения (по форме № 2 финансовой отчётности);
4. значение а2 (допустимый риск) - величина чистой прибыли (по форме № 2 финансовой отчётности);
5. значение а1 (приемлемый риск) - величина равная одной двенадцатой величины чистой прибыли.
Применение данной стоимостной шкалы позволяет при попадании риска в
определённый интервал стоимостных значений оценить значительности ущерба
29
при наступлении рискового события, а также сделать достоверные выводы о вероятной значимости отдельного риска (в стоимостной оценке) и степени влияния его последствий на результаты финансово-хозяйственной деятельности компании.
Математическое ожидание ущерба: Математическое ожидание ущерба при наступлении рискового события определяется по формуле:
М(х) = (Р хХ)/100,
где М(х) - математическое ожидание ущерба (в денежных единицах);
Р - количественная оценка вероятности наступления рискового события в единичном цикле процесса, %;
X - количественная оценка соответствующего риска (в денежных единицах);
Достоинствами разработанных математических методов приметаемых для качественной и количественной оценки рисков, оценки затрат и эффективности программы управления рисками является их теоретическая (научная) обоснованность, простота расчётов не требующих больших затрат, и высокая: достоверность получаемых результатов, на основе которых принимаются управленческие решения.
Проведённая количественная оценка рисков внутреннего аудита позволяет построить перечень значимых рисков и процессов внутреннего аудита, представляющий собой перечень актуальных (современных) сфер деятельности внутреннего аудита, ранжированный по величине средней количественной оценки (значимости) рисков внутреннего аудита (Таблица 6). Все расчёты проведены с использованием методологии, предложенной в диссертационной работе (в качестве примера, критическая существенность сц принималась в размере 5 500 ООО У-е-)-
В целом риски первых шести процессов бизнес-процесса «Внутренний аудит» из Таблицы № 6, которым ранее не уделялось особого внимания, заслуживают такого внимания со стороны Советов директоров и руководства компаний и подлежат управлению в первую очередь с целью минимизации действия источников рисков внутреннего аудита.
Управление, в первую очередь, рисками этих процессов позволит организовать работу внутреннего аудита с учётом передового российского и зарубежного опыта работы, что позволит качественно повысить эффективность работы внутреннего аудита.
Таблица 6. Средние количественные оценки существенности, вероятности и значимости рисков процессов внутреннего аудита.
Наименование процесса Количество рисков в процессе -—-—1 Средняя количественная оценка для рисков процесса
Существенность (в у. е.) Вероятность (% /100) Значимость (в у. е.)
Оказание внутренним аудитом сопутствующих услуг б 3 196 ООО 0,538 1 719448
Организация взаимодействия СВА с внешним аудитом 1 1 530 ООО 0,856 1 309 680
Контроль выполнения решений по устранению нарушений 1 2 332 ООО 0,516 1 203 312
Подготовка дополнений к программе управления рисками 1 2 844 ООО 0,404 1 148 976
Подготовка информационных материалов для Комитета по аудиту и руководства компании 1 2 652 ООО 0,43 ! 140 360
Проведепие проверки объекта 13 2 460 ООО 0,44 1 082 400
Планирование работы службы внутреннего аудита 4 2 460 ООО 0,414 1 018 440
Взаимодействие с внешним аудитом и анализ его работы 2 2 223 ООО 0,404 898 000
Разработка нормативных документов внутреннего аудита 1 2 113 000 0,402 849 426
Планирование развития нормативной базы СВА 1 1 959 000 0,414 811026
Подготовка информации о типичных нарушениях 1 1 585 000 0,486 770 310
Результатами решения шестой задачи являются: критерии для выбора методов управления рисками и необходимых контрольных мероприятий для управления рисками внутреннего аудита, а также практические подходы к оценке эффективности контрольных мероприятий и оценке эффективности риск-ориентированного внутреннего аудита компании.
По крайней мере, количественный показатель ущерба при возможном или фактическом наступлении рискового события можно использовать в качестве оценки эффективности комплексной программы управления рисками компании в целом, а управление рисками внутреннего аудита - часть этой системы.
Общая оценка эффективности применения (внедрения) программы управления рисками в целом выполняется исходя из суммарных значений количест-веипых характеристик рисковых последствий до и после выполнения контрольных мероприятий. Показатели исходных значений (значений до) рассчитываются после диагностики бизнес-процессов и проведения количественно оценки рисков.
Показатели итоговых значений (значений после) определяются в ходе про-
31
гнозного анализа и оценки возможного эффекта от применения контрольных мероприятий (прогнозная величина), выполняемых с привлечением экспертов компании или на основании фактических данных о величине полученного суммарного ущерба (фактическая величина).
В общем виде, определение показателя эффективность программы управления рисками (отдельного риска или группы рисков) можно провести с использованием формулы:
ЭП = (ВУ1 - ВУ2) - С, где ЭП - количественный (стоимостной) показатель эффективности программы управления рисками (в денежных единицах);
ВУ1 - рассчитанный вероятный ущерб (исходное значение) до внедрения контрольных мероприятий (в денежных единицах);
ВУ2 - прогнозная или фактическая величина ущерба (итоговое значение) после внедрения контрольных мероприятий (в денежных единицах);
С - стоимость затрат на разработку и внедрение контрольных мероприятий по управлению рисками (в денежных единицах).
Следует отметить, что показатель С при разработке и внедрении контрольных мероприятий по управлению рисками внутреннего аудита будет включать лишь зарплату сотрудников внутреннего аудита и некоторых других сотрудников компании (например, сотрудников отдела управления рисками), а также возможные командировочные расходы (при наличии отдалённых филиалов и дочерних компаний), что не приведёт к значительным финансовым затратам для компании.
Как правило, если показатель ЭП больше нуля, то применяемые контрольные мероприятия для снижения риска (группы рисков) оправданны. Если же ЭП оказывается отрицательным, то это фактически означает, что меры по снижению риска (группы рисков), хотя и позволяют снизить вероятный ущерб, но не могут быть оправданны из-за сравнительно высоких издержек на их реализацию.
Диссертационная работа носит ярко выраженный прикладной характер для решения важных задач - создания риск-ориентированной службы внутреннего аудита компании и управления рисками собственной деятельности.
Использование разработанных в диссертационной работе концепции риск -ориентированного внутреннего аудита, моделей соответствующих процессов, методологии и практических подходов к выявлению актуальных для управления рисков, их качественной и количественной оценке рисков, организации управления внутренними рисками, позволит службам внутреннего аудита компаний перестроить свою работу в соответствии с международными стандартами, снизить
свои риски с одновременным повышением качества выполняемых работ, предоставлять дополнительные гарантии представителям собственников и руководству компаний в достоверности финансовой отчётности, эффективности систем внутреннего контроля и управления рисками, выполнении требований законодательства и внутренних регламентирующих документов, а так же усилить предупредительный характер работы по выявлению источников рисков возникновения различных нарушений и мошенничества.
Кроме того, результаты диссертационной работы могут быть направлены в Совет по аудиторской деятельности при Министерстве финансов Российской Федерации в качестве предложений для разработки на законодательном уровне стандартов внутреннего аудита, а также в профессиональные аудиторские объединения для оказания помощи в разработке внутренних стандартов по взаимодействию между внешним и внутренним аудитом.
По теме диссертации опубликованы следующие работы:
1. Орлов С.Н. Внутренний аудит и Комитет по аудиту в системе корпоративного управления // Реформирование бухгалтерского учёта, аудита и бухгалтерского образования в соответствии с международными стандартами: Материалы научно-практической конференции «Татуровские чтения», МГУ им. М.В. Ломоносова, Экономический факультет / Под ред. заслужешюго профессора МГУ А.Д. Шеремета. - М.: МАКС-Пресс, 2004, 30,5 п.л., (лично автора - 0,3 п.л.)
2. Орлов С.Н. Роль внутреннего аудита в совершенствовании системы управления рисками компании // Теоретические основы бухгалтерского учёта, анализа и аудита: Материалы научно-практической конференции «Татуровские чтения», МГУ им. М.В. Ломоносова, Экономический факультет / Под ред. заслужешюго профессора МГУ А.Д. Шеремета. - М.: МАКС-Пресс, 2005, 30,5 п.л. (лично автора - 0,2 п.л.)
3. Орлов С.Н. Павлов М.И. Корпоративное управление, внутренний контроль и внутренний аудит для предприятий рыбной отрасли // Научно-практический журнал «Морское право и практика», 2005, №4, 0,16 п.л.
4. Орлов С.Н. Роль внутреннего аудита в совершенствовании системы управления рисками компании // Ежеквартальный обзор Ассоциации Независимых Директоров «Независимый директор», Осень 2005, №12, 0,12 п. л.
5. Орлов С.Н. Роль внутреннего аудита в совершенствовании системы управления рисками компании // Бюллетень «Круглый стол». Проект «"Корпоративное развитие в Украине" Международной финансовой корпорации (IFC). - Киев (Республика Украина), 2006, №1, 0,12 п.л.
33
6. Орлов С.Н. Методы оценки эффективности программы управления рисками внутреннего аудита // Журнал «Экономика и финансы», 2006, №4, 0,3 п.л.
7. Орлов С.Н Место и роль внутреннего аудита в системе управления компании // Ежеквартальный обзор Ассоциации Независимых Директоров «Независимый директор», Зима 2006, №13, 0,16 п. л.
8. Орлов С.Н. Количественная оценка рисков внутреннего аудита // Журнал «Экономика и финансы», 2006, №5,0,4 пл.
9. Орлов С.Н. Сочетание внешнего аудита с системой внутреннего аудита компании // Журнал «Аудиторские ведомости», 2006, № 7,0,2 п.л.
10. Орлов С.Н. Выход на фондовый рынок: роль внутреннего аудита // Журнал «Гражданская авиация», 2006, № 8, 0,1 п.л.
Напечатано с готового оригинал-макета
Издательство ООО "МАКС Пресс" Лицензия ИДК 00510 от01.12.99 г. Подписано к печати 3 0.11.2006 г. Формат 60x90 1/16. Усл.печл. 1,5. Тираж 100 экз. Заказ 860. Тел. 939-3890. Тел./факс 939-3891. 119992, ГСП-2, Москва, Ленинские горы, МГУ им. М.В. Ломоносова, 2-й учебный корпус, 627 к.
Диссертация: содержание автор диссертационного исследования: кандидата экономических наук, Орлов, Сергей Николаевич
Введение.
Глава 1. Риск-ориентированный внутренний аудит и риск-менеджмент в системе управления компании.
1.1. Предпосылки возникновения и развития внутреннего аудита.
1.2. Сущность внутреннего аудита.
1.3. Определение места, роли и основных задач риск-ориентированного внутреннего аудита в системе управления компании с учётом международных стандартов.
1.4. Сущность риска и риск-менеджмента.
1.5. Определение места и роли риск-менеджмента в системе управления компании.
1.6. Классификация рисков внутреннего аудита.
1.6.1.Методологические подходы к классификации рисков.
1.6.2.Классификация рисков внутреннего аудита компании.
Глава 2. Концепция и модели процессов риск-ориентированного внутреннего аудита.
2.1. Разработка концепции риск - ориентированного внутреннего аудита.
2.2. Модели процессов для реализации концепции риск - ориентированного внутреннего аудита.
2.2.1. Алгоритм описания моделей процессов.
2.2.2.Описание моделей процессов риск-ориентированного внутреннего аудита.
2.2.2.1. Проведение проверки объекта.
2.2.2.2.Подготовка дополнений к программе управления рисками компании.
2.2.2.3. Оказание внутренним аудитом сопутствующих услуг.
2.2.2.4.Организация взаимодействия службы внутреннего аудита с внешним аудитом.
2.2.2.5. Взаимодействие с внешним аудитом и анализ его работы.
Глава 3. Управление рисками внутреннего аудита.
3.1. Определение событий (выявление рисков внутреннего аудита).
3.1.1.Классификация рисков процессов бизнес - процесса «Внутренний аудит».
3.1.2. Формирование перечня внутренних рисков процессов.
3.2. Оценка рисков.
3.2.1. Оценка рисков процессов профессиональной деятельности внутреннего аудита.
3.2.2. Проведение качественной оценки рисков процессов.
3.2.3. Проведение количественной оценки рисков процессов.
3.2.3.1. Математическая модель количественной оценки рисков.
3.2.3.2. Количественная оценка рисков.
3. 3. Реагирование на риск.
3.3.1. Методы управления рисками.
3.3.2. Выбор методов управления рисками.
3.3.3.Формирование перечня контрольных мероприятий по управлению рисками.
3.4. Мониторинг эффективности внутреннего аудита.
Диссертация: введение по экономике, на тему "Риски внутреннего аудита"
Актуальность темы. В марте 2005 года в США вступили в силу новые стандарты раскрытия информации публичными акционерными компаниями установленные Законом Сарбейнса - Оксли1, где фактически во главу угла поставлена обязанность для высшего руководства компании лично подтверждать достоверность финансовой отчётности, а также подтверждать свою ответственность за создание, поддержание процедур раскрытия информации и сопутствующих средств внутреннего контроля, в первую очередь при подготовке финансовой отчётности.
Появление закона Сарбейнса-Оксли было вызвано чередой корпоративных скандалов и банкротством крупнейших мировых компаний (Enron, Worldcom, Parmalat и др.), вызванных выявлением фактов подготовки недостоверной финансовой отчётности, вводившей инвесторов в заблуждение относительно реальных результатов финансово-хозяйственной деятельности компаний, и, соответственно, неэффективной системой внутреннего контроля.
Таким образом, в 2005 году фондовый рынок вступил в новую эру, где центральным вопросом для инвесторов становится вопрос эффективности систем внутреннего контроля -прекрасных финансовых результатов и блестящего фасада корпоративного управления оказывается недостаточно, чтобы защитить инвестиции миноритарных акционеров.
В России так же предпринимаются меры по повышению ответственности Советов директоров и руководства компаний за эффективность систем внутреннего контроля. Так Постановление Федеральной службы по финансовым рынкам «Об утверждении Положения
0 деятельности по организации торговли на рынке ценных бумаг» № 04-1245/пз-н от 15 декабря 2004 года требует наличия в компаниях-эмитентах утверждённого Советом директоров Положения о внутреннем контроле. Кроме того, в компании необходимо создать отдельное структурное подразделение, которое должно контролировать выполнение такого Положения и докладывать о результатах Комитету по аудиту Совета директоров. Таким отдельным структурным подразделением и является служба внутреннего аудита
Необходимость совершенствования корпоративного управления, повышает роль внутреннего аудита в компании. Для решения этой задачи необходимо совершенствовать работу в области организации и методологии внутреннего аудита. Следует подчеркнуть, что
1 Закон Сарбейнса-Оксли (Закон 107-204) «О защите инвесторов за счет улучшения точности и достоверности раскрытия корпорациями данных, которые предусмотрено раскрывать в соответствии с законодательством о ценных бумагах и по другим основаниям», принят Сенатом и Палатой Представителей США на 107 сессии Конгресса 30 июля 2002 г. сферами внимания современного внутреннего аудита должны быть все бизнес-процессы компании, причём для компании результатом работы внутреннего аудита должны стать не констатация фактов нарушений и суммы установленного ущерба, а усиление предупредительного характера работы, создание условий для недопущения нарушений, что приведёт к увеличению эффективности (уровня полезности) внутреннего аудита для системы управления компании.
Повышение эффективности внутреннего аудита во многом зависит от правильной организации его работы. Тотальный контроль за финансово - хозяйственной деятельностью компании, который хотелось бы иметь собственникам, в современных условиях невозможен. Передовые российские компании активно внедряют системы управления рискам, представляющие собой особый подход к управлению компанией, состоящий в предвидении и уменьшении негативных последствий неопределенности ожидаемых результатов деятельности. Для выполнения своих современных задач, внутренний аудит должен строить свою работу на основе использования данных системы управления рисками компании для эффективного планирования своей работы.
Но и собственная деятельность внутреннего аудита сопряжена с определёнными рисками. В отличие от внешнего аудита, высказывающего мнение о достоверности финансовой отчётности с разумной степенью уверенности, внутренний аудит должен предоставлять определённые гарантии в её достоверности и нести за это ответственность, что увеличивает профессиональные риски. Кроме того, необходимость развития новых направлений деятельности внутреннего аудита таких, как оценка эффективности систем внутреннего контроля и управления рисками компании, внутренний аудит инвестиционных проектов и выполнение работ по специальным заданиям, подготовка предложений для Совета директоров (Комитета по аудиту), организация контроля за подготовкой управленческой отчётности, организация более тесного взаимодействия с внешним аудитом, значительно расширяют перечень рисков, способных повлиять на успешное выполнение проверок (работ), а также на объективность и обоснованность выводов внутреннего аудита.
Инструментом внутреннего аудита должна стать теория управления рисками и выстроенная на ее базе методология внутреннего аудита, что позволит своевременно выявлять и анализировать проблемы, формировать рациональный план проверки (выполнения работ) и эффективно распределять ресурсы, выявлять в ходе проверки случайную ошибку исполнителя или случаи мошенничества, определять нарушения при выполнении внутренних процедур.
Управление собственными рисками - важнейшая задача внутреннего аудита. Для выполнения этой задачи необходимы научно обоснованные методы выявления рисков, проведения оценки и ранжирования их по степени значимости для компании, наличие критериев выбора эффективных методов управления, контрольных мероприятий, а также оценки эффективности деятельности риск-ориентированного внутреннего аудита.
Степень разработанности темы. Актуальность исследования темы рисков внутреннего аудита обусловлена и тем, что в отличие от внешнего аудита, внутренний аудит в российских коммерческих компаниях не регулируется законодательными органами. В связи с этим понятие «внутренний аудит» законодательно не закреплено (так же как и понятие «риск»).
Отсутствуют отечественные стандарты внутреннего аудита, а существующие профессиональные стандарты Международного института внутренних аудиторов и рекомендации других международных организаций относительно современного внутреннего аудита необходимо адаптировать к российским условиям ведения бизнеса. Всё это является предпосылкой для проведения данного диссертационного исследования.
Если по теме «управление предпринимательскими рисками» существует много научных исследований и различных публикаций, около шестидесяти которых использовано при написании диссертации, то по теме «внутренний аудит» и «риски внутреннего аудита» имеется ограниченное число современных исследователей (авторов): Андреев В.Д., Богомолов A.M., Голощапов Н.А, Макальская А.К., Соколов Б.Н., Сотникова JI.B. Тема внутреннего аудита фрагментарно затрагивается в различных учебниках, посвященных внешнему аудиту и внутреннему контролю, а также в публикациях в периодической печати. В отдел диссертаций Российской государственной библиотеки (бывшая Государственная библиотека СССР им. В.И. Ленина) за последние десять лет поступило семнадцать диссертаций посвященных внутреннему аудиту, при ежегодном поступлении 15-20 тысяч диссертаций. Из них пять исследуют внутренний аудит в кредитных организациях, а остальные посвящены вопросам организации и методологии внутреннего аудита в компании (формирование службы, планирование и проведение проверок, подготовка отчётов и т.п.).
Тема рисков внутреннего аудита в контексте и объёме, предложенном в диссертации, не рассматривалась ни в одном известном научном исследовании. Лишь различными авторами, считавшими внутренний аудит в компании аналогом внешнего аудита, проводилось сравнение отдельных рисков внутреннего аудита с рисками внешнего аудита (аудиторский риск, неотъемлемый риск, риск средств контроля, риск необнаружения).
Сложившаяся ситуация во многом объясняется недопониманием многими специалистами роли внутреннего аудита и степени значимости рисков внутреннего аудита для современной системы управления компании и, в конечном счёте, для результатов её финансово-хозяйственной деятельности. По-прежнему, считая внутренний аудит второстепенной сервисной функцией узкого контрольного характера, они не учитывают причинно-следственные связи между рисками компании и возможный косвенный ущерб при наступлении рисковых событий, инициированных и рисками внутреннего аудита. Например, риск неправильной оценки прогнозной финансовой информации не остановит начало реализации убыточного инвестиционного проекта имеющего скрытые катастрофические последствия для финансового состояния компании, риск пропуска существенных нарушений не позволит сделать правильные выводы о наличии значительных рисков мошенничества, риск предоставления неточных рекомендаций может привести к принятию неправильных управленческих решений, результатами которых могут быть потери активов компании и т.п.
Конечно, данная тема в первую очередь актуальна для крупных холдинговых структур и средних компаний, разместивших (или планирующих размещение) свои ценные бумаги на российских и/или международных фондовых биржах. Но для динамичного развития бизнеса в условиях сильной конкурентной среды, проблемы проведения эффективного внутреннего аудита и управления рисками необходимо будет решать всем хозяйствующим субъектам. Можно будет лишь выбирать форму внутреннего аудита: создание собственной службы или привлечение специализированных компаний (экспертов).
Предметом исследования являются методологические и практические аспекты применения теории управления рисками при организации современного риск-ориентированного внутреннего аудита компаний.
Объектом исследования является деятельность служб внутреннего аудита компаний телекоммуникационной и металлургических отраслей промышленности, а также консалтинговых компаний, оказывающих услуги в области внутреннего аудита.
Цели и задачи исследования. Целью диссертационного исследования является разработка концепции риск - ориентированного внутреннего аудита, теоретическое обоснование классификации рисков внутреннего аудита, а так же разработка методологического аппарата и практических методов для управления рисками внутреннего аудита.
Исходя из выбранных целей, в исследовании поставлены и решены следующие задачи, определяющие логику и структуру диссертационной работы:
Исследовать сущность, задачи, место и роль риск-ориентированного внутреннего аудита в системе управления компании с учётом международных стандартов;
Определить сущность риска и методологические подходы к классификации рисков внутреннего аудита компании;
Разработать концепцию риск - ориентированного внутреннего аудита;
Предложить методологию предварительного анализа рисков внутреннего аудита с использованием моделей бизнес-процессов для выявления рисков, актуальных для управления;
Разработать практические методы для проведения качественной и количественной оценки рисков внутреннего аудита;
Обосновать критерии выбора методов управления рисками и контрольных мероприятий по управлению рисками, а также предложить практические подходы для оценки эффективности риск-ориентированного внутреннего аудита.
Теоретической и методологической основой проведённого исследования послужили труды отечественных и зарубежных учёных и специалистов в области внутреннего и внешнего аудита, управления рисками, управленческого консультирования. Кроме того, в ходе диссертационного исследования автором был использован широкий круг источников, в той или иной мере освещающих изучаемый вопрос (публикации в периодических изданиях, материалы конференций и презентаций). Содержательной базой исследования являлись действующие (по состоянию на 01.11.2006 года) Международные стандарты аудита, Международные профессиональные стандарты внутреннего аудита, Федеральные правила (стандарты) аудиторской деятельности, внутренние стандарты Ассоциации бухгалтеров и аудиторов «Содружество»2.
Методологической основой исследования являлись работы по теории внутреннего и внешнего аудита, управления рисками, корпоративного управления, методологии описания бизнес-процессов, а также математический аппарат, включающий отдельные положения теории вероятностей, математико-экономические методы анализа и методы проведения экспертного опроса.
Научная новизна диссертационной работы состоит в разработке современной концепции риск - ориентированного внутреннего аудита, конкретных методологических приёмов и практических методов для управления рисками внутреннего аудита: выявления, оценки, ранжирования и разработки контрольных мероприятий для управления рисками. В результате диссертационного исследования получены следующие результаты, имеющие научную новизну:
У дано определение понятию «риск-ориентированный внутренний аудит», отражающее его сущность в современных условиях ведения бизнеса, а также разработана классификация рисков внутреннего аудита компании;
2 Полный перечень Стандартов, использованных в качестве информационной базы диссертации, приведён в библиографическом списке. разработана концепция построения риск - ориентированного внутреннего аудита компании с использованием современной концепции «Управление рисками организации. Интегрированная модель» Комитета COSO (Комитет спонсорских организаций л
Комиссии Тредвея) . разработаны методологические основы анализа и выявления рисков внутреннего аудита, актуальных для управления, с использованием расширенной событийно-ориентированной модели еЕРС (extended Event Driven Process Chain - расширенная нотация описания цепочки процесса, управляющего событиями)4; технология проведения качественной оценки рисков внутреннего аудита с использованием специальной рейтинговой шкалы, математических методов факторного анализа (с применением количественной шкалы выбора факторов) и новой модели карты рисков для определения значимости рисков; технология проведения количественной оценки рисков внутреннего аудита с использованием математической модели интерпретации результатов качественной (рейтинговой) оценки рисков в количественную (стоимостную) оценку.
Практическая значимость диссертационной работы заключается в том, что результаты исследования могут быть использованы в практической деятельности компаний, как при организации и совершенствовании риск-ориентированного внутреннего аудита в современных условиях, управления рисками внутреннего аудита, так и для проведения диагностики всех бизнес-процессов компании и организации управления внутренними рисками в масштабах всей компании. Кроме того, проведённая работа позволяет устранить неоднозначности в понятийном аппарате по вопросам внутреннего аудита и управления рисками. Отдельные результаты диссертационного исследования будут полезны внешним аудиторам при планировании своей работы и специалистам в области корпоративного управления. Практическую значимость имеют: сформулированное автором определение «риск-ориентированный внутренний аудит», а также разработанная классификация рисков внутреннего аудита компании;
У концепция построения риск - ориентированного внутреннего аудита компании с использованием концепции «Управление рисками организации. Интегрированная модель» Комитета COSO; графические схемы процессов внутреннего аудита, их текстовые и табличные описания, применяемые для выявления рисков внутреннего аудита, актуальных для управления;
3 Данная работа была опубликована в сентябре 2004 года, сайт www.coso.org.
4 Данная модель используется программной средой ARIS Toolset. метод корректировки процента выборки в зависимости от коэффициента риска ошибок и мошенничества в компании при проведении проверок (работ) аналогичных внешнему аудиту; шкала специальных рейтинговых оценок, количественная шкала выбора факторов и разработанная новая модель карты рисков с соответствующей математической моделью для проведения качественной оценки рисков; математическая модель и схема для интерпретации результатов качественной (рейтинговой) оценки рисков в количественную (стоимостную) оценку, а также результаты ранжирования рисков и процессов внутреннего аудита по степени значимости для компании; методы определения критериев для выбора методов и соответствующих контрольных мероприятий для управления рисками, а также практические подходы к оценке эффективности внутреннего аудита.
Апробация работы. В настоящее время полученные результаты исследования используются автором для создания системы внутреннего аудита ОАО «АВТОВАЗ», а также в учебном процессе кафедры «Учёт, анализ и аудит» экономического факультета МГУ им. М.В. Ломоносова.
Отдельные результаты диссертационной работы использовались ЗАО «Аудиторско -консультационная группа «Развитие бизнес-систем» при проведении презентаций и подготовки предложений компаниям для выполнения консультационных проектов в областях внутреннего аудита, управления рисками, совершенствовании систем внутреннего контроля.
Публикация результатов исследования. Основные положения и результаты диссертационной работы отражены в десяти публикациях общим объёмом 2,06 п.л.
Структура диссертационной работы обусловлена целями исследования и решаемыми в работе задачами. Диссертационная работа изложена на 198 страницах, содержит 31 рисунок и 25 таблиц. Диссертационная работа состоит из введения, трёх глав, заключения, библиографического списка использованной литературы и десяти Приложений.
Диссертация: заключение по теме "Бухгалтерский учет, статистика", Орлов, Сергей Николаевич
Заключение.
Целью диссертационного исследования являлись: обобщение опыта организации внутреннего аудита и управления рисками, разработка риск - ориентированной концепции внутреннего аудита, теоретическое обоснование классификации рисков внутреннего аудита, разработка методологического аппарата и практических методов для процедур выявления рисков внутреннего аудита, проведения оценки и ранжирования значимых рисков по степени значимости (существенности) для компании, разработки контрольных мероприятий по управлению рисками, оценке эффективности внутреннего аудита.
Темам внутреннего аудита и управления рисками по отдельности посвящено достаточное количество научных публикаций российских и зарубежных авторов, но тема рисков внутреннего аудита практически не описана в научной литературе.
В диссертационной работе, с точки зрения автора, были определены понятия «внутренний аудит» и «риск», показана значимость внутреннего аудита в системе управления компанией с описанием его новых задач в современных условиях ведения бизнеса. Понятие «внутренний аудит» трактуется в широком смысле, процессы внутреннего аудита должны охватывать все стороны деятельности компании: стратегическое планирование, корпоративное управление, операционную деятельность, подготовку финансовой и управленческой отчётности, а также проверку выполнения требований законодательства и внутренних регламентирующих документов. Новый подход к организации внутреннего аудита в компании заключается в использовании методологии управления рисками, на основе которой выстраивается методология самого внутреннего аудита.
В большей степени реализуется предупреждающая роль внутреннего аудита, выражающаяся в организации работы по оценке эффективности систем внутреннего контроля и управления рисками компании, усилении контроля за своевременным устранением нарушений и их предупреждению в дальнейшем. Современные законодательные нормы устанавливают высокие требования к порядку составления финансовой отчётности и степени ответственности руководства компании за её достоверность. В настоящее время внутренний аудит должен давать дополнительные гарантии Совету директоров и руководству компании в эффективности системы внутреннего контроля и достоверности финансовой отчётности, что невозможно обеспечить без учёта данных системы управления рисками.
В современных условиях возрастает роль процесса организации более эффективного взаимодействия между внешним и внутренним аудитами. Широкое использование результатов работы внутреннего аудита позволит внешнему аудиту снизить аудиторский риск, сократить сроки проведения аудита при повышении качества работ, а компаниям - в следующие периоды времени оправданно снижать затраты на внешний аудит. Естественно, что при этом работа внутреннего аудита должна быть организована с учётом международных стандартов, а риски внутреннего аудита должны управляться.
В первую очередь компании необходимо обратить внимание на управление внутренними рисками бизнес-процессов, управлять которыми можно реально и эффективно. Внешние риски трудно достоверно оценить и организовать управление ими, что требует больших материальных затрат. Как показывает практика, именно внутренние риски бизнес-процессов привели к большому количеству корпоративных скандалов и банкротству крупнейших международных компаний (Enron, Worldcom, Parmalat и др.).
Для организации работы современного внутреннего аудита на основе концепции «Управление рисками организации. Интегрированная модель» Комитета COSO была разработана концепция риск-ориентированного внутреннего аудита, позволяющая перестроить работу внутреннего аудита в соответствии с рекомендациями Международного института внутренних аудиторов и других международных организаций.
В рамках этой концепции в диссертации предложена методология анализа рисков при проведении диагностики бизнес-процессов компании и выявления актуальных для управления внутренних рисков процессов, методы качественной и количественной оценки рисков, применимые для рисков внутреннего аудита. В данном описании методологии использованы современные подходы российских и зарубежных исследователей, а также собственные разработки автора диссертации. Новаторским является применение методологии процессного управления компанией для выявления внутренних рисков: на основе данных диагностики бизнес-процессов (графического, текстового и табличного описания) выявляются рисковые зоны при управлении процессами, источники рисков внутреннего аудита и возможные рисковые события.
Проведённая диагностика процессов внутреннего аудита позволила разделить риски внутреннего аудита на две большие группы, определённые автором как риски профессиональной деятельности внутреннего аудита и риски, сопутствующие профессиональной деятельности внутреннего аудита (остальные риски).
Сложность исследования рисков внутреннего аудита заключается в разной природе их возникновения. К рискам профессиональной деятельности внутреннего аудита относятся риски при проведении проверок и оказания сопутствующих услуг, связанных с проверками достоверности финансовой отчётности или её отдельных статей. Эти риски идентичны профессиональным рискам, учитываемым при проведении внешнего аудита и к которым относятся: аудиторский риск, неотъемлемый риск, риск средств контроля, риск необнаружения, риск аналитического рассмотрения.
К этим рискам неприменимы классическая методология управления рисками. Для проведения оценки рисков профессиональной деятельности внутреннего аудита в диссертационной работе использована традиционная методология внешнего аудита, на основе которой разработаны практические методы оценки данных рисков. Определённым шагом в развитии методологии является предложенная корректировка процента выборки с применением коэффициента риска ошибок и мошенничества, что отражает современные тенденции в развитии теории организации работы внутреннего аудита.
Для проведения качественной оценки остальных рисков внутреннего аудита были разработаны факторы степени компетентности экспертов, проведено анкетирование необходимого числа экспертов компаний, после чего полученные данные были обобщены, а риски из сформированного перечня были проранжированы с учётом установленных рейтинговых оценок вероятности наступления рисковых событий и существенности их последствий.
На данном этапе оценки рисков внутреннего аудита автором диссертации применена собственная математическая модель и методика определения рейтинговой значимости рисков с использованием линейной карты рисков, отличной от классической матричной формы такой карты. Применение данной методологии позволяет более просто провести необходимые расчёты и наглядно представить результаты качественной рейтинговой оценки рисков для принятия решений об их реальной значимости для компании.
Предложенная методология качественной оценки рисков с помощью рейтинговых оценок и факторного метода анализа на основе экспертных оценок, а также линейной карты рисков, является дальнейшим развитием известных методологии качественной оценки рисков.
Разработанная математическая модель количественной оценки рисков использует методологию теории вероятностей и известных математико-экономических методов, но содержит совершенно новые идеи. Автором диссертации предложена собственная методология интерпретации (пересчёта) качественных рейтинговых оценок внутренних рисков в количественную, прежде нигде не описанная в научной литературе. Разработанная методология позволяет с высокой степенью достоверности проводить количественную оценку, а также ранжирование внутренних рисков по степени опасности (величины возможного ущерба) для компании с привязкой к стоимостным показателям, определяющим имущественное и/или финансово-экономическое состояние компании. Ранжирование рисков внутреннего аудита в зависимости от стоимостной величины ущерба при возможном наступлении рискового события показывает значимость каждого отдельного риска для компании и позволяет правильно выбрать метод (методы) управления рисками.
Достоинствами разработанных математических методов применяемых для качественной и количественной оценки рисков, оценки затрат и эффективности программы управления рисками является их теоретическая (научная) обоснованность, простота расчётов не требующих больших затрат, и высокая достоверность получаемых результатов, на основе которых принимаются управленческие решения.
В диссертации приведён конкретный перечень методов управления рисками и определены критерии для их выбора с целью управления рисками внутреннего аудита. Кроме того, быль определены критерии выбора контрольных мероприятий для управления рисками и описаны практические подходы к оценке эффективности внутреннего аудита.
Следует отметить, что в результате количественной оценки рисков внутреннего аудита были определены наиболее значимые риски, относящиеся к следующим процессам: оказание внутренним аудитом сопутствующих услуг, организация взаимодействия с внешним аудитом, контроль выполнения решений по устранению нарушений, подготовка дополнений к программе управления рисками и подготовка информационных материалов для Комитета по аудиту и руководства компании.
Данный перечень процессов представляет собой перечень актуальных (современных) сфер деятельности внутреннего аудита, которым ранее не уделялось большого внимания со стороны Советов директоров и руководства компаний и, в основном, не входившим в круг обязанностей российских служб внутреннего аудита. Управление, в первую очередь, рисками этих процессов позволит организовать работу внутреннего аудита с учётом передового российского и зарубежного опыта работы, что позволит качественно повысить эффективность работы внутреннего аудита, а также обеспечить предупредительный характер работы.
Организация управления рисками внутреннего аудита в современных условиях ведения бизнеса позволит службам внутреннего аудита компаний перестроить свою работу в соответствии с международными стандартами (рекомендациями), снизить свои риски с одновременным повышением качества выполняемых работ, и, накапливая статистическую информацию, обобщая результаты выполненных работ и предоставляя своевременные рекомендации управленческому аппарату и собственникам компании, постоянно совершенствовать методологию и практику управления внутренними рисками компании для успешного достижения компанией целей своего бизнеса.
Диссертация: библиография по экономике, кандидата экономических наук, Орлов, Сергей Николаевич, Москва
1. Абрамов В.Ю. Страховой риск: понятие и оценка. Правовые аспекты. М.: «Анкил», 2006.- 128 с.
2. Абчук В.А. Риски в бизнесе, менеджменте и маркетинге. СПб.: Издательство Михайлова В.А.2006. - 480 с.
3. Алёшин А.В. Управление рисками совместных проектов зарубежной кооперации в России. М.: Издательство «Консалтинговое Агентство «КУБС Групп - Кооперация, Бизнес-Сервис, 2001.-228 с.
4. Андреев В.Д. Внутренний аудит: Учебное пособие. М.: Финансы и статистика, 2003. -464 с.
5. Аудит: Учебник. 5-е изд., перераб. и доп. / А.Д. Шеремет, В.П. Суйц. - М.: Инфра -М„ 2005.-448 с.
6. Аудит системы внутреннего контроля в среде компьютерной обработки данных: Практическое пособие / Е.В. Кузнецова, Л.В.Сотникова / Под ред. Проф. В.И. Подольского.- М„ ЮНИТИ ДАНА, 2004. - 112 с.
7. Аудит и контроллинг персонала: Учебное пособие / Ю.Г. Одегов, Т.В. Никонова. -М.: Издательство «ЭКЗАМЕН», 2002. 448 с.
8. Балабанов И.Т. Риск менеджмент. - М.: Издательство «Финансы и статистика», 1996.-188 с.
9. Балдин К.В. Риск менеджмент: Учебное пособие. М.: Эксмо, 2006. - 368 с.
10. Без риска нет кайфа: Путь к собственному бизнесу / К. Кобьёлл., Д. П. Хайнке; Пер. с немец. М.: Альпина Бизнес Букс, 2005. -202 с.
11. Бизнес-процессы: Регламентация и управление: Учебник / В.Г. Елиферов, В.В. Репин.- М.: ИНФРА-М, 2005.-319 с.
12. Бланк И.А. Управление финансовыми рисками. К.: Ника-Центр, 2005. - 600 с.
13. Богомолов A.M. Внутренний аудит. Словарь-справочник. М.: «Издательство ПРИОР», 2002.-336 с.
14. Боровкова В.А. Управление рисками в торговле. СПб.: Питер, 2004. - 288 с.
15. Брег С. Настольная книга финансового директора: Пер. с англ. 2-е изд., испр. и доп.- М.: Альпина Бизнес Букс, 2005. 536 с.
16. Воронцовский А.В. Управление рисками: Учебное пособие. 2-е изд., испр. и доп. -СПб.: Изд-во С.-Петерб. ун-та, 2000; ОЦЭиМ, 2004. - 458 с.
17. Галиц JI. Финансовая инженерия: инструменты и способы управления финансовым риском: Пер. с англ. под ред. A.M. Зубкова. М.: Научное издательство ТВП, 1998. - 576 с.
18. Глущенко В.В. Управление рисками. Страхование. г. Железнодорожный Моск. обл.: ТОО НПЦ «Крылья», 1999. - 336 с.
19. Гранатуров В.М., Экономический риск: сущность, методы измерения, пути снижения: Учебное пособие. 2-е изд., перераб. и доп. - М.: Издательство «Дело и Сервис», 2002. - 160 с.
20. Дайле А. Практика контроллинга: Пер. с нем. / Под ред. и предисл. M.JL Лукашевича, Е.Н. Тихоненковой. М., Финансы и статистика, 2001. - 336 с.
21. Догиль Л.Ф. Управление хозяйственным риском: Учебное пособие. Минск: «Книжный дом «Мисанта». 2005. - 224 с.
22. Ендовицкий Д.А. Комплексный анализ и контроль инвестиционной деятельности / Под ред. проф. Л.Т. Гиляровской. М.: «Финансы и статистика», 2001. - 400 с.
23. Ермасова Н.Б. Риск-менеджмент организации. М., Альфа-Пресс, 2005. - 240 с.
24. Комплексный подход к риск-менеджменту: стоит ли этим заниматься / Т. Бартон, У. Шенкир, П . Уокер.: пер. с англ. М.: Издательский дом «Вильяме», 2003. - 208 с.
25. Корнилова Т.В. Психология риска и принятия решений: Учебное пособие. М.: Аспект Пресс, 2003. -286 с.
26. Королёв Д. Эффективное управление проектами. М., издательство ОЛМА ПРЕСС Инвест: Институт экономических стратегий, 2003. - 128 с.
27. Макальская А.К. Внутренний аудит: Учебно-практическое пособие. 2 изд., перераб. и доп. - М.: Издательство <Дело и Сервис», 2001. - 112 с.
28. Методы анализа и управления эколого-экономическими рисками: Учебное пособие / Н.П. Тихомиров, И.М. Потравный, Т.М. Тихомирова. М., ЮНИТИ, 2003. - 350 с.
29. Методы социологического исследования: Учебник / В.И. Добреньков., А.И. Кравченко. М.: ИНФРА-М. 2004. - 768 с.
30. Моделирование рисковых ситуаций в экономике и бизнесе: Учебное пособие / A.M. Дубров, Б.А. Лагоша, Е.Ю. Хрусталёв, Т.П. Барановская / Под. ред. Б.А. Лагоши. 2-е изд., перераб. и доп. - М.: Финансы и статистика, 2001. -224 с.
31. Москвин В.А. Управление рисками при реализации инвестиционных проектов. М.: Финансы и статистика, 2004. - 352 с.
32. Найт Ф.Х. Риск, неопределённость и прибыль.:пер. с англ., русский перевод М.Я. Каждан, В.Г. Гребенщиков. М., «Дело», 2003. -360 с.
33. Никитина Т.В. Страхование коммерческих и финансовых рисков: Учебник. СПб.: ПИТЕР, 2002.-240 с.
34. Основы управления рисками фирмы / В.Н. Вяткин, Ю.Ю. Екатеринославский, Дж. Дж. Хэмтон. М.: Издательство ГАСИС, 2002. -211 с.
35. Островская Э. Риск инвестиционных проектов: пер. с польского. М.: ЗАО «Издательство «Экономика», 2004. - 269 с.
36. Пикфорд Д. Управление рисками: Пер. с англ. О.Н. Матвеевой. М., ООО «Вершина», 2004. -352 с.
37. Планирование и контроллинг: Учебник / Ю.П. Анискин, A.M. Павлова. М.: ОМЕГА -Л, 2005.-280 с.
38. Практика контроля и ревизии: Учебное пособие / Н.Л. Маренков, Т.Н. Веселова. М., КНОРУС, 2005.-352 с.
39. Принятие финансовых решений в управлении бизнесом: концепции, задачи, ситуации: Учебник / В.Н. Вяткин, Д. Д. Хэмптон, А.Ю. Казак М.-Екатеринбург: ЗАО «Издательский дом «ЯВА», 1998. -256 с.
40. Ревизия и контроль: Учебное пособие / М.В. Мельник, А.С. Пантелеев, А.Л. Звездин / Под. ред. проф. М.В. Мельник. М., ИД ФБК-ПРЕСС, 2004. - 520 с.
41. Риск. Управление риском на уровне топ-менеджеров и совета директоров / М.П. Маккарти, Т.П. Флинню.: пер. с англ. М., Альпина Бизнес Букс, 2005. - 234 с.
42. Риск-анализ инвестиционного проекта: Учебник / М.В. Грачёва, С.Я. Бабаскин, И.М. Волков и др. / Под. ред. М.В. Грачёвой. М.: ЮНИТИ-ДАНА, 2001. - 351 с.
43. Риски в аудиторской деятельности / С.М. Бычкова, Л.Н. Растамханова / Под. ред. проф. С.М. Бычковой. М.: Финансы и статистика, 2003. - 416 с.
44. Риск в многокритериальных и конфликтных системах при неопределённости / В.И. Жуковский, Л.В. Жуковская / Под ред. B.C. Молостова. М.: Едиториал УРСС, 2004. - 272 с.
45. Риск в социальном пространстве / Под ред. А.В. Мозговой. М.: Издательство Института социологии РАН, 2001. - 347 с.
46. Риски в экономической деятельности: Учебное пособие / Е.В. Цветкова, И.О. Арлюкова. СПб.: ИВЭСЭП, Знание, 2002 г. -64 с.
47. Риск-менеджмент: Учебное пособие / К.В. Балдин, С.Н. Воробьёв М.: ГАРДАРИКИ, 2005.-285 с.
48. Риск-менеджмент: Учебное пособие / B.C. Ступаков, Г.С. Токаренко М.: Финансы и статистика, 2005. - 288 с.
49. Риск менеджмент: Учебное пособие / Л.П. Гончаренко, С.А. Филин / Под редакцией Е.А. Алейникова. - М.: КНОРУС, 2006. - 216 с.
50. Риск-менеджмент: Учебник / В.Н. Вяткин, И.В. Вяткин, В.А. Гамза, Ю.Ю. Екатеринославский, Дж. Дж. Хэмптон / Под. ред. И. Юргенса. М.: Издательско-торговая корпорация «Дашков и К», 2003. - 512 с.
51. Риск-менеджмент: Учебное пособие / Н.Н. Малашихина, О.С.Белокрылова. Ростов н/Д, «Феникс», 2004. - 320 с.
52. Рисковый спектр коммерческих организаций / В.А. Гамза, Ю.Ю. Екатеринославский; Рос. Академия предпринимательства. М., ЗАО «Издательство «Экономика», 2002. - 108 с.
53. Рискология (управление рисками): Учебное пособие / В.П. Буянов, К.А. Кирсанов, J1.M. Михайлов. М.: Издательство «Экзамен», 2003. - 384 с.
54. Русанов Ю.Ю. Теория и практика риск-менеджмента кредитных организаций России. М.: Экономисть, 2004. - 190 с.
55. Севрук В.Т. Риски финансового сектора Российской Федерации: Практическое пособие. М., ЗАО «Финстатинформ», 2001. - 175 с.
56. Скатерщиков С. С. Прививка от Enron: Практическое руководство по организации комитета по аудиту, внутреннего контроля и внутреннего аудита в акционерных обществах. -М., Альпина Бизнес Букс, 2005. 180 с.
57. Соколов Б.Н. Внутренний контроль в коммерческой организации (организация, ' методики, практика). М., «ROFER», 2006. - 250 с.
58. Соложенцев Е.Д. Сценарное логико-вероятностное управление риском в бизнесе и технике. С.-Птб.: издательский дом «Бизнес-пресса», 2004.-432 с.
59. Сотникова J1.B. Оценка состояния внутреннего аудита: Практическое пособие / Под ред. проф. В.И. Подольского.- М., ЮНИТИ ДАНА, 2005. - 143 с.
60. Станиславчик Е.Н. Риск менеджмент на предприятии. Теория и практика. М.: «Ось-89», 2002. - 80 с.
61. Стратегический управленческий учёт / О.Е. Николаева, О.В. Алексеева. М.: Едиториал УРСС, 2003. - 304 с.
62. Теория и управление рисками в страховании / В.В.Шахов, В.Г. Медведев, А.С. Миллерман. М.: Финансы и статистика, 2002. - 224 с.
63. Теория риска и моделирование рисковых ситуаций: Учебник / А.С. Шапкин, В.А. Шапкин. М.: Издательско-торговая корпорация «Дашков и К», 2005. -880 с.
64. Техногенный риск. Анализ и оценка: Учебник / В.Т. Алымов, Н.П. Тарасова. М.: ИКЦ «Академкнига», 2005. - 118 с.
65. Тэпман J1.H. Риски в экономике: Учебное пособие / Под ред. проф. В.А. Швандара. -М.: ЮНИТИ ДАНА, 2002. - 380 с.
66. Управление проектами: Учебное пособие / И.И. Мазур, В.Д. Шапиро, Н.Г. Ольдерогге / Под ред. И.И. Мазура. М.: ЗАО «Издательство «Экономика», 2001. - 574 с.
67. Управление рисками: Учебное пособие / Г.В. Чернова, А.А. Кудрявцев. М.: ТК Велби, Изд-во Проспект, 2003. - 160 с.
68. Управление рисками предприятия: Учебно-практическое пособие / Э.А Уткин, Д.А. Фролов. М.: ТЕИС, 2003. - 247 с.
69. Фомичёв А.Н. Риск-менеджмент: Учебное пособие. М.: Издательско-торговая корпорация «Дашков и К», 2004. - 292 с.
70. Хмельницкий В.А. Ревизия и аудит: Учебный комплекс. Мн.: Книжный Дом, 2005. -480 с.
71. Хохлов Н.В. Управление риском: Учебное пособие. М.: ЮНИТИ - ДАНА, 2001. -239 с.
72. Чернова Г.В. Практика управления рисками на уровне предприятия, СПб.: ПИТЕР, 2000 г.-176 с.
73. Черкасов В.В. Проблемы риска в управленческой деятельности. М.: «Рефл-бук», К.: «Ваклер», 2002. - 320 с.
74. Шапкин А.С. Экономические и финансовые риски. Оценка, управление, портфель инвестиций. М.: Издательско-торговая корпорация «Дашков и К», 2003. - 544 с.
75. Шеер Август-Вильгельм. Моделирование бизнес-процессов: Пер. с англ. 2-е изд., перераб. и доп. - М.: Весть МетаТехнология, 2000. - 205 с.
76. Шоломицкий А.Г. Теория риска. Выбор при неопределённости и моделирование риска: Учебное пособие. М.: Издательский дом ГУ ВШЭ, 2005. - 400 с.
77. Энциклопедия финансового риск-менеджмента / В.Е. Барбаумов, М.А. Рогов, Д.Ф. Щукин, А.А. Лобанов и др. / Под общей редакцией А.А. Лобанова, А.В. Чугунова, М.: Альпина-Паблишер, 2003. - 786 с.
78. Федеральный закон «Об акционерных обществах» №208 ФЗ от 26.12.1996 г. (с дополнениями).
79. Федеральный закон «Об аудиторской деятельности» № 119-ФЗ от 07.08.2001 г. (с дополнениями).
80. Федеральный закон «О бухгалтерском учёте» № 129-ФЗ от 21.11.1996 г. (с дополнениями).
81. Федеральный закон «О рынке ценных бумаг» №39-Ф3 от 20.03.1996 г. (в редакции от 27.12.2005 г.).
82. Постановление Федеральной службы по финансовым рынкам «Об утверждении Положения о деятельности по организации торговли на рынке ценных бумаг» № 04-1245/пз-н от 15 декабря 2004 г.
83. Кодекс корпоративного поведения, рекомендован к применению распоряжением Федеральной комиссии по рынку ценных бумаг (ФКЦБ) от 04.04.2002 г.
84. Пособие по корпоративному управлению. М., «Альпина Бизнес Букс», 2004 г., подготовлено Международной финансовой корпорацией (IFC) и Ассоциацией Независимых Директоров (АНД).
85. Международные профессиональные стандарты внутреннего аудита, приняты Международным институтом внутренних аудиторов (Institute of Internal Auditors, США) и' вступили в действие с 01 января 2004 г. (с учётом дополнений от декабря 2003 г.).
86. Международный стандарт аудита 200 «Цель и общие принципы аудита финансовой отчётности».
87. Международный стандарт аудита 210 «Условия аудиторских заданий».
88. Международный стандарт аудита 220 «Контроль качества аудиторской работы».
89. Международный стандарт аудита 240 «Ответственность аудитора по рассмотрению мошенничества и ошибок в ходе аудита финансовой отчётности».
90. Международный стандарт аудита 240А «Мошенничество и ошибка».
91. Международный стандарт аудита 260 «Сообщение аспектов аудита лицам, наделённым руководящими полномочиями».
92. Международный стандарт аудита 300 «Планирование».
93. Международный стандарт аудита 310 «Знание бизнеса».
94. Международный стандарт аудита 320 «Существенность в аудите».
95. Международный стандарт аудита 400 «Оценка рисков и внутренний контроль».
96. Международный стандарт аудита 500 «Аудиторские доказательства».
97. Международный стандарт аудита 530 «Аудиторская выборка и другие процедуры выборочного тестирования».
98. Международный стандарт аудита 610 «Рассмотрение работы внутреннего аудита».
99. Международный стандарт аудита 620 «Использование работы эксперта».
100. Международный стандарт аудита 700 «Аудиторское заключение по финансовой отчётности».
101. Международный стандарт аудита 800 «Аудиторский отчёт (заключение) по аудиторским заданиям для специальных целей».
102. Международный стандарт аудита 810 «Исследование ожидаемой финансовой информации».
103. Федеральное правило (стандарт) аудиторской деятельности №1 «Цель и общие принципы аудита финансовой (бухгалтерской) отчётности» (введено в действие Постановлением Правительства РФ № 696 от 23.09.2002 г.).
104. Федеральное правило (стандарт) аудиторской деятельности №3 «Планирование аудита» (введено в действие Постановлением Правительства РФ № 696 от 23.09.2002 г.).
105. Федеральное правило (стандарт) аудиторской деятельности №4 «Существенность в аудите» (введено в действие Постановлением Правительства РФ № 696 от 23.09.2002 г.).
106. Федеральное правило (стандарт) аудиторской деятельности №5 «Аудиторские доказательства» (введено в действие Постановлением Правительства РФ № 696 от 23.09.2002 г.).
107. Федеральное правило (стандарт) аудиторской деятельности №6 «Аудиторское заключение по финансовой (бухгалтерской) отчётности» (введено в действие Постановлением Правительства РФ №696 от 23.09.2002 г.).
108. Федеральное правило (стандарт) аудиторской деятельности №7 «Внутренний контроль качества аудита» (введено в действие Постановлением Правительства РФ №405 от 04.07.2003 г.).
109. Федеральное правило (стандарт) аудиторской деятельности №8 «Оценка аудиторских рисков и внутренний контроль, осуществляемый аудируемым лицом» (введено в действие Постановлением Правительства РФ №405 от 04.07.2003 г.).
110. Федеральное правило (стандарт) аудиторской деятельности №12 «Согласование условий проведения аудита» (введено в действие Постановлением Правительством РФ №532 от 07.11.2004 г.).
111. Федеральное правило (стандарт) аудиторской деятельности №13 «Обязанности аудитора по рассмотрению ошибок и недобросовестных действий в ходе аудита» (введено в действие Постановлением Правительства РФ № 532 от 7 октября 2004 г.)
112. Федеральное правило (стандарт) аудиторской деятельности №15 «Понимание деятельности аудируемого лица» (введено в действие Постановлением Правительства РФ № 532 от 7 октября 2004 г.).
113. Федеральное правило (стандарт) аудиторской деятельности №16 «Аудиторская выборка»» (введено в действие Постановлением Правительства РФ № 532 от 7 октября 2004 г.).
114. Федеральное правило (стандарт) аудиторской деятельности №22 «Сообщение информации, полученной по результатам аудита, руководству аудируемого лица и представителям его собственника» (утверждено Постановлением Правительства РФ № 228 от 16.04.2005 г.).
115. Федеральное правило (стандарт) аудиторской деятельности № 29 «Рассмотрение работы внутреннего аудита» (утверждено Постановлением Правительства РФ № 523 от 25.08.2006 г.).
116. Временное правило (стандарт) аудиторской деятельности «Изучение и использование работы внутреннего аудита» (одобрено Комиссией по аудиторской деятельности при Президенте Российской Федерации, Протокол №3 от 27 апреля 1999 г.).
117. Временное правило (стандарт) аудиторской деятельности «Использование работы эксперта» (одобрено Комиссией по аудиторской деятельности при Президенте РФ 25.12.1996 г., Протокол №6).
118. Временное правило (стандарт) аудиторской деятельности «Проверка прогнозной финансовой информации» (одобрено Комиссией по аудиторской деятельности при Президенте РФ 20.08.1999 г., Протокол №5).
119. Временное правило (стандарт) аудиторской деятельности «Заключение аудиторской организации по специальным аудиторским заданиям» (одобрено Комиссией по аудиторской деятельности при Президенте РФ 20.10.1999 г., Протокол №6).
120. Временное правило (стандарт) аудиторской деятельности «Порядок заключения договоров на оказание аудиторских услуг» (одобрено Комиссией по аудиторской деятельности при Президенте Российской Федерации 20 октября 1999 г., Протокол N 6),
121. Стандарт №27 «Использование работы эксперта» Аудиторской деятельности Ассоциации бухгалтеров и аудиторов «Содружество».
122. Стандарт №31 «Заключение аудиторской организации по специальным аудиторским заданиям» Аудиторской деятельности Ассоциации бухгалтеров и аудиторов «Содружество».
123. Стандарт №32 «Проверка прогнозной финансовой информации» Аудиторской деятельности Ассоциации бухгалтеров и аудиторов «Содружество».
124. Economist Intelligence Unit, Managing Business Risks An Integrated Apporoach, 1995.
125. Enterprise Risk Management. Committee of Sponsoring Organizations of the Treadway Commission (COSO), сентябрь 2004.