Image

Risk management and audit

Василий Кудрин. Практическое управление рисками: участники и инициаторы | Vasily Kudrin. Practical risk management: participants and initiators
Author: Vasily KudrinTheme: Practical risk management: participants and initiators. Автор: Василий КудринТема: Практическое управление рисками: участники и инициаторы.
Conference: “International experience in risk management and features of emerging markets” Конференция: “Международный опыт риск-менеджмента и особенности развивающихся рынков”
Date: June 09, 2009 Дата: 09 июня 2009 года
  • Main stages of corporate risk management implementation;
  • Risk assessment in the context of the actualization of the crisis;
  • Role of internal audit in corporate risk management;
  • Risk management as a business tool.
  • Основные стадии внедрения корпоративного управления рисками;
  • Оценка рисков в условиях актуализации кризиса;
  • Роль внутреннего аудита в корпоративном управлении рисками;
  • Риск-менеджмент как бизнес-инструмент.
Link: Presentation (RUS) Ссылка: Презентация (РУС)

Need to develop an internal audit plan to grow your business?
Необходимо разработать план внутреннего аудита, обеспечивающий рост бизнеса?
Contacts Контакты

Image

Риски консигнационных операций (закупки)

В помощь внутреннему аудитору: риски консигнационных операций (закупки)

Василий Кудрин, дипломированный внутренний аудитор (CIA), дипломированный специалист по самооценке контроля (CCSA)

Для начала:
(1) Конкретизируем ситуацию посредством формулирования допущений (assumptions);
(2) Смоделируем бизнес-процесс и цели процессов, его составляющих.

Поскольку риск суть то, что ограничивает возможность компании достигать поставленные цели, сформулировать риски можно только после того, как буду поняты бизнес-цели, с которыми риски ассоциируются.

I. Допущения касательно бизнес-процесса – объекта аудита

1. Консигнационные операции – это, по сути, комиссионные операции, при которых одна сторона (консигнант) поручает другой (консигнатору), распорядиться товаром со склада от своего имени и за счет консигнанта. Эти товары остаются собственностью консигнанта до момента их распоряжения, в частности производственного потребления.

2. В роли консигнатора выступает рассматриваемая Компания.

3. Компания характеризуется консервативным уровнем риск-аппетита и в частности консервативным риск-порогом для совокупности рисков, ассоциируемых с данным бизнес-процессом.

4. В качестве бизнес-процесса, напрямую связанного с консигнационными операциями, рассматривается (ограничивающийся именно связью с консигнационными схемами) процесс, который включает:
(а) закупки по консигнационным схемам,
(б) логистику закупок (логистика, связанная с работой консигнационных складов),
(в) соответствующую контрактацию,
(г) краткосрочное планирование работы по консигнационным схемам,
(д) оплату по заявкам на закупку по консигнационным схемам.

Следует иметь в виду, что сама по себе консигнационная схема в МТО (материально-техническом обеспечении) позволяет избегать некоторые виды рисков, которые могут быть присущи закупкам без использования консигнационных контрактов, например, риск значимого превышения бюджета на логистику или риск излишних запасов.

Хронологически бизнес-процесс может быть представлен следующим образом:

Закупки с использованием консигнационных схем:
П1. Организация закупок
П2. Контрактация
П3. Краткосрочное планирование
П4. Логистика
П4.1. Создание заявки на закупку
П4.2. Приемка/получение МТР
П4.3. Поставка на склады Компании:
– консигнационные,
– производственные.
Примечение: при поставке на производственные склады – наступает процесс П4.5.
П4.4. Хранение на консигнационных складах.
П4.5. Распоряжение (прим. в этот момент происходит переход права собственности)
П5. Оплата

В данном случае именно процесс «П4» является наиболее специфичным при рассмотрении консигнационных схем, а остальные процессы могут и не иметь существенной специфики и реализуются в рамках аналогичных стандартных процессов (например, заключение контракта осуществляется по стандартной схеме, но со специфическим, специально разработанным шаблоном). Тем не менее, поскольку специфика консигнационных схем влияет на совокупность (множество) рисков (risk universe), процессы П1-П3 и П5 также необходимо охватывать – включать в фокус проекта внутреннего аудита.

5. Частью процесса, несомненно, может являться EDI (электронный обмен данных) между сторонами, однако предлагаю не рассматривать его в рамках задачи, т.к. это ИТ-процесс и, соответственно, риски, ему присущие, достаточно стандарты, равно как общие и прикладные контроли.

Для понимания рисков EDI и аналогичных процессов рекомендуется использовать стандарты ISACA и, следовательно, соответствующую модель контроля. В частности, CobiT 4.0.

6. Соответствующие процессы долгосрочного планирования не рассматриваются, так же, как и не рассматриваются связанные стратегические риски.

7. Учетный процесс затрагивается только на стадиях «инициации» и «регистрации» проводок.

II. Допущения касательно структурирования рисков 

8. Риски описываются в форме WCGW («What Could Go Wrong») и ассоциируются с бизнес-целями, присущими рассматриваемому процессу (хозяйственной операции).

Этот метод позволяет формулировать риски в формате «причина – следствие», где WCGW – причина риска, а следствие – это недостижение определенной бизнес-цели.

9. Бизнес-цели делятся на три категории:
(1) операционные,
(2) в области подготовки финансовой отчетности,
(3) соответствия нормам законодательства.

10. Соответственно,

(а) риски в области подготовки финансовой отчетности описываются в категориях WCGW по отношению к так называемым «утверждениям менеджмента» (management assertions) относительно достоверности предоставляемой отчетности, а именно:

  • «Оценка стоимости и распределение сумм» (правильно ли отражены в финансовой отчетности суммы статей активов, обязательств, акционерного капитала, выручки и расходов);
  • «Полнота информации» (отражены ли в финансовой отчетности все операции и счета, которые должны быть включены в нее);
  • «Права и обязательства» (представляют ли собой активы права компании, а пассивы – обязательства компании по состоянию на данную дату);
  • «Представление и раскрытие информации» (содержится ли в финансовой отчетности надлежащая классификация и характеристика определенных компонентов финансовой отчетности, раскрыта ли вся необходимая информация по данным компонентам).

В рамках данной задачи приведены примеры только нескольких существенных рисков в области подготовки финансовой отчетности, так как методология их идентификации очень комплексна и сильно зависит от правил учета (требований учетной политики). Кроме того, структурирование этих рисков осуществляется не только в разрезе “утверждений менеджмента”, но и стадий процесса учета и формирования отчетности (“инициация“, “регистрация“, “обработка“, “формирование отчетности“).

(б) риски, подвергающие угрозе достижение целей соответствия законодательства, описываются в категориях нарушения конкретных норм законодательства о договоре комиссии и (некоторых) других норм;

(в) риски, ассоциируемые с операционными бизнес-целями (эффективность и результативность операций), рассматриваются на процессном уровне (см. “Операционные бизнес-цели” ниже) и зависят от того, как определены операционные бизнес-цели. Притом, очень важно, чтобы бизнес-цели были не только специфично определены, но и измеримы, связаны по времени, согласованы с вышестоящими целями (более высокого уровня, вплоть до стратегических), а также реалистичны для достижения.

11. Необходимо также отметить, что поскольку одной из наиболее важных концептуальных целей внедрения консигнационных операций является возможность организации поставок “точно в срок”, существенная часть операционных бизнес-целей так или иначе связана с фактором времени – своевременностью и быстротой.

III. Операционные бизнес-цели

Для решения настоящей задачи (с учетом вышеприведенных допущений) предлагаю рассматри вать следующие операционные бизнес-цели.

Бизнес-цели для процессов:

П1. Организация закупок
БЦ1.1. Своевременно идентифицируются все возможные потенциальные консигнанты.
БЦ1.2. Выбираются выгодные консигнанты, соответствующие критериям: надежность, минимальные цены, на МТР, соответствие характеристик МТР требуемым и т.п.
БЦ1.3. Обеспечены равные условия для эквивалентных потенциальных консигнантов при организации.
БЦ1.4. Решение об авторизации консигнантов принимается быстро, своевременно, непредвзято.

П2. Контрактация
БЦ2.1. Необходимые консигнационные контракты оформляются аккуратно, быстро (с минимальными затратами времени), своевременно.

Также этому процессу свойственны цели соответствия нормам законодательства РФ, в частности такую цель можно сформулировать таким образом: «Положения консигнационных контрактов соответствует нормам законодательства РФ».

П3. Краткосрочное планирование
БЦ3.1. Своевременно составляются реалистичные помесячные и понедельные планы закупок (заявок) по консигнационным схемам.
БЦ3.2. Краткосрочные планы согласуются с планами производства.

П4. Логистика

П4.1. Создание заявки на закупку
БЦ4.1.1. Заявки готовятся в случае необходимости.
БЦ4.1.2. Заявки создаются и принимаются к исполнению быстро и своевременно.

П4.2. Приемка/получение МТР
БЦ4.2.1. Принимаются качественные МТР согласно заявкам.
БЦ4.2.2. Приемка/получение осуществляется быстро и своевременно.

П4.3. Поставка (передача/транспортировка) на склады Компании
БЦ4.3.1. Поставка осуществляется своевременно (“точно в срок”) и быстро.
БЦ4.3.2. Минимизируются издержки поставки.
БЦ4.3.3. Обеспечивается сохранность МТР при такой поставке (передаче/транспортировке).

П4.4. Хранение на консигнационных складах
БЦ4.4.1. Срок хранения МТР не более 1 дня.
БЦ4.4.2. Поддерживаются необходимые условия хранения.
БЦ4.4.3. Обеспечивается сохранность МТР при хранении.

П4.5. Распоряжение
БЦ4.5.1. Расходуются только необходимые МТР.
БЦ4.5.2. Своевременное формирование налогооблагаемой базы по налогу на прибыль.

П5. Оплата
БЦ5.1.1. Оплата осуществляется только по факту распоряжения.
БЦ5.1.2. Оплата осуществляется согласно положениям контрактов.
БЦ4.5.3. Своевременное формирование налогооблагаемой базы по НДС.

Таблица рисков:

Пояснения относительно ИН (идентификационного номера) риска.
1. Первые две (три – для процесса 4) цифры соответствуют номеру операционной бизнес-цели.
2. Для рисков, относящихся к целям финансовой отчетности, цифры означают соответствие тому или иному бизнес-
процессу, в то время как сами цели стандартизированы в формате «утверждений менеджмента» (см. выше).
3. Буква в идентификационном номере риска означает принадлежность к категории бизнес-цели:
О – операционные;
Ф – относящийся к целям финансовой отчетности,
Н – нормативный.
4. Маленькая буква в рисках типа «Ф» означает принадлежность к стадии процесса подготовки отчетности:
и – «инициация»,
о – «регистрация»,
также есть стадии «обработка» и «отчетность», но они не свойственны именно для рассматриваемой ситуации и отно-
сятся непосредственно к учету и формированию отчетности.
5. Также малая латинская буква в рисках типа «Ф» означает принадлежность к «утверждению менеджмента»:
v – «Оценка стоимости и распределение сумм»;
с – «Полнота информации»;
r – «Права и обязательства»;
d – «Представление и раскрытие информации».

Процесс П1. Организация закупок по консигнационным схемам

Р1.1.1(О). Мероприятия по выявлению новых выгодных потенциальных консигнантов не эффективны.
Р1.1.2(О). Информация, необходимая для выявления новых выгодных потенциальных консигнантов, неточна, ненадежна, поступает несвоевременно.
Р1.1.3(О). Работа по стимулированию выгодных поставщиков к переходу
на консигнационные схемы не ведется или неэффективна.
Р1.2.1(О). Критерии выбора консигнантов неспецифичны, неточны, двусмысленны, что увеличивает возможность (риск) выбора невыгодных консигнантов.
Р1.3.1(О). Конфликт интересов при выборе авторизованных поставщиков, допускаемых к консигнационным схемам, в результате чего выбираются невыгодные поставщики по консигнационным схемам.
Р1.4.1(О). Решение об авторизации выбранных консигнантов затягивается
отдельными участниками процесса авторизации.
Р1.4.2(О) Авторизуются консигнанты, не прошедшие требуемые процедуры отбора.

Процесс П2. Контрактация

Р2.1.1(О). Оформление консигнационных контрактов затягивается.
Р2.1.2(О). Экспертиза консигнационных контрактов некачественна.
Р2.1.3(О). Консигнационные контракты заключаются с невыгодными поставщиками.
Р2.1.4(О). Консигнационные контракты заключаются на невыгодных условиях.
Р2.1(Н). Положения консигнационных контрактов не соответствуют нормам законодательства РФ о договоре комиссии [можно конкретизировать наиболее критичные нормы:
– …
– …
– …
или расписать риски в разрезе конкретных норм, в том числе, возможно,
в зависимости от вида закупаемого МТР
]
Р2(Ф-и-с). Информация о новом консигнанте несвоевременно вносится в соответствующие справочники, в результате чего учетная информация может быть искажена.

Процесс П3. Краткосрочное (помесячно, понедельно) планирование

Р3.1.1(О). Краткосрочное планирование формально и нереалистично.
Р3.1.2(О). Понедельное и помесячное планирование не согласуются между собой.
Р3.2.1(О). Краткосрочные планы производства нереалистичны, в результате чего возникают затруднения при их согласовании с краткосрочными планами закупок по консигнационным схемам.

Процесс П4. Логистика

Р4.1.1.1(О). При формировании заявки предпочтение отдается какому-либо консигнанту из числа равноприемлемых для конкретной ситуации.
Р4.1.2.1(О). Недостаточная квалификация сотрудников, создающих заявки на закупку по консигнационной схеме.
Р4.1.2.2(О). Отсутствие должной координации при создании и принятии заявки к исполнению.
Р4.1.1.3(О). Утечка информации из базы заявок.
Р4.2.1.1(О). Проверку качества МТР по заявкам осуществляет специалист, не обладающий требуемыми компетенциями.
Р4.2.1.2(О). При приемке МТР по заявкам отсутствуют необходимые критерии качества, или они неточны, двусмысленны.
Р4.2.2.1(О). Приемка/получение МТР затягивается в связи с отсутствием необходимых исполнителей.
Р4.2.2.2(О). Приемка/получение МТР затягивается в связи с отсутствием необходимых МТР у консигнанта.
Р4.22.3(О). Отказ консигнантов работать с Компанией из-за плохой коммуникации.
Р4.3.1.1(О). Поставка (передача/транспортировка) МТР на склады затягивается в связи с отсутствием необходимого транспорта или исполнителей.
Р4.3.2.1(О). При поставке на склады Компании приоритет отдается в пользу консигнационного склада Компании, а не производственного (при прочих равных условиях).
Р4.3.2.2(О). Нерациональное использование бюджета поставки.
Р4.3.3.1(О). Воровство/подмена МТР при поставке (передаче/транспортировке МТР на склады.
Р4.4.3.1(О). Хранение МТР, закупаемых по консигнационным схемам, не согласуется с производственными потребностями, в результате чего хранение МТР на консигнационном складе консигнатора превышает 1 день.
Р4.4.3.2(О). Условия хранения не соотносятся с требованиями, предъявляемыми к хранению закупаемых МТР.
Р4.4.3.3(О). Воровство/подмена МТР при хранении.
Р4.5.1.1(О). Подмена цели расходования МТР при отпуске в производство.
Р4.5.1.2(О). Информация о расходе несвоевременная, в результате чего может быть искажена налогооблагаемая база по налогу на прибыль (что чревато налоговыми санкциями).
Р4.5(Ф-р-с). Списание отражается несвоевременно, в результате чего операция не регистрируется в соответствующем отчетном периоде.
Р4.5(Ф-р-v). Списание отражается по ценам, не соответствующим требованиям учетной политики.
Р4.5(Ф-р-r). Списание отражается несвоевременно, в результате чего переход права собственности.
Р4.5(Н). Списание отражается несвоевременно, в результате чего нарушаются требования законодательства РФ о договоре комиссии
[можно конкретизировать наиболее критичные нормы:
– …
– …
– …
или расписать риски в разрезе конкретных норм, в том числе, возможно,
в зависимости от вида закупаемого МТР
]

Процесс П5. Оплата

Р5.1.1(О). Поступает искаженная информация о факте распоряжения (списания МТР, закупаемого по консигнационной схеме в производство).
Р5.2.1(О). Более 90% платежей осуществляется в нарушение условий шаблонных договоров, являющихся критериев при отборе консигнантов.
Р5.2.2(О). При оплате отдается предпочтение одним консигнантам перед другими (при прочих равных условиях). Конфликт интересов при оплате.
Р5.3.1(О). Информация об оплате поступает несвоевременно, в результате чего может быть искажена налогооблагаемая база по налогу НДС, что чревато налоговыми санкциями.
Р5(Ф-р-с). Оплата отражается несвоевременно, в результате чего операция
не регистрируется в соответствующем отчетном периоде.