Распоряжение ОАО РЖД от 26.01.2009 N 122р

ОАО "РОССИЙСКИЕ ЖЕЛЕЗНЫЕ ДОРОГИ"

РАСПОРЯЖЕНИЕ
от 26 января 2009 г. N 122р

ОБ УТВЕРЖДЕНИИ ФУНКЦИОНАЛЬНОЙ СТРАТЕГИИ ПОСТРОЕНИЯ ЕДИНОЙ СИСТЕМЫ ВНУТРЕННЕГО АУДИТА И КОНТРОЛЯ В ХОЛДИНГЕ "РЖД"

В соответствии с решением правления ОАО "РЖД" (протокол от 30 сентября 2008 г. N 33):
1. Утвердить прилагаемую функциональную стратегию построения единой системы внутреннего аудита и контроля в холдинге "РЖД".
2. Первому вице-президенту Морозову В.Н., старшим вице-президентам Андрееву Ф.Б., Гапановичу В.А. и Лапидусу Б.М., вице-президентам, начальникам департаментов и управлений, филиалов и других структурных подразделений ОАО "РЖД" принять утвержденную настоящим распоряжением стратегию к руководству и исполнению.
3. Старшему вице-президенту Лапидусу Б.М., главному бухгалтеру Крафт Г.В., вице-президенту Решетникову В.И., начальнику Центра "Желдорконтроль" Иванову О.Б., начальникам департаментов Илларионову А.В., Мачерету Д.А. и Федулову Г.М. разработать и до 30 марта 2009 г. представить план мероприятий по реализации стратегии, утвержденной настоящим распоряжением, с учетом основных этапов построения корпоративной системы внутреннего аудита и контроля в холдинге "РЖД".
4. Контроль за исполнением настоящего распоряжения возложить на старшего вице-президента Лапидуса Б.М.

 

Президент ОАО "РЖД"
В.И.Якунин

 

УТВЕРЖДЕНА
распоряжением ОАО "РЖД"
26 января 2009 г. N 122р

ФУНКЦИОНАЛЬНАЯ СТРАТЕГИЯ
ПОСТРОЕНИЯ ЕДИНОЙ СИСТЕМЫ ВНУТРЕННЕГО АУДИТА И КОНТРОЛЯ В ХОЛДИНГЕ "РЖД"

Глоссарий

Основные термины и определения, применяемые в функциональной стратегии построения единой системы внутреннего аудита и контроля в холдинге "РЖД".
Анализ риска - систематическое использование имеющейся в ОАО "РЖД" информации (данных) для определения причин возникновения риска, его идентификации и оценки.
Аудит на соответствие (комплаенс аудит) - проверка соблюдения компанией требований действующего законодательства, а также внутренних нормативных документов компании: регламентов, положений, стандартов и т.д.
Бизнес-единица - часть организации, которая обладает полным уникальным набором признаков самостоятельной компании: специфические виды деятельности, обеспечивающий их имущественный комплекс, специализированные производственные и управленческие технологии, персонал, структура управления, бизнес-процессы управления и пр.
Бизнес-процесс устойчивая целенаправленная совокупность взаимосвязанных действий (последовательность работ), которая по определенной технологии преобразует входы в выходы, представляющие ценность для потребителя.
Внутренний аудит деятельность, направленная на обеспечение соответствия внутренних процессов законодательству, предоставление руководству достоверной информации о фактах финансово-хозяйственной деятельности, оценку эффективности систем внутреннего контроля и управления рисками.
Внутренний контроль - специфический вид и неотъемлемая часть управленческой деятельности, задачей которой является вскрытие отклонений от принятых стандартов, выявление нарушений законности, эффективности и целевого использования финансовых и материальных ресурсов, с тем чтобы принять корректирующие меры, привлечь виновных к ответственности, получить компенсацию за причиненный ущерб, осуществить мероприятия по предотвращению таких нарушений в будущем.
Единая система внутреннего аудита и контроля (ЕС ВАК) -совокупность внутреннего аудита, систем внутреннего контроля и управления рисками, направленная на повышение финансовой устойчивости, эффективности и инвестиционной привлекательности компании и являющаяся источником информационного обеспечения управления и механизмом обратной связи в процессе принятия и исполнения управленческих решений.
Корпоративная система управления рисками ОАО "РЖД" - комплекс взаимосвязанных утвержденных процедур, методов и соответствующих инструментов управления рисками ОАО "РЖД", реализуемых на основе регламентированного взаимодействия структурных подразделений и подразделений аппарата управления ОАО "РЖД".
Контрольная среда осведомленность и действия руководства экономического субъекта, направленные на установление и поддержание системы внутреннего контроля, а также понимание важности такой системы.
COSO (Committee of Sponsoring Organizations of the Treadway Commission Комитет спонсорских организаций комиссии Трэдвэя) -международная организация, содействующая компаниям в улучшении качества финансовой отчетности путем развития деловой этики, повышения эффективности системы внутреннего контроля и корпоративного управления. В качестве методологических рекомендаций COSO выпустил стандарты "Управление рисками организации. Интегрированная модель" и "Внутренний контроль. Интегрированная модель", призванные содействовать компаниям в проведении оценки и совершенствовании систем внутреннего контроля.
Менеджмент - совокупность лиц, идентифицируемых с менеджерами, а также с аппаратом управления, осуществляемых деятельность, направленную на достижение определенных целей путем рационального использования материальных и трудовых ресурсов с применением определенных принципов, функций и методов.
Мониторинг СВК - управленческая и надзорная деятельность, оценивающая качество и эффективность работы системы внутреннего контроля во времени.
Операционный аудит - аудит бизнес-процессов финансово-хозяйственной деятельности компании, например, таких, как снабжение, производство, логистика, маркетинг, сбыт и др., направленный на повышение эффективности деятельности компании.
Оценка риска - выявление и определение количественных и временных параметров риска.
Проверка - система обязательных контрольных действий, осуществляемых сплошным или выборочным методом, по документальной и фактической проверке законности и обоснованности хозяйственных и финансовых операций, совершенных подразделениями в проверяемом периоде, правильности их отражения в бухгалтерском учете и отчетности, а также законности действий должностных лиц, на которых в соответствии с законодательством Российской Федерации и внутренними документами ОАО "РЖД" возложена ответственность за осуществление хозяйственных и финансовых операций.
Риск - потенциально существующая вероятность потери ресурсов или неполучения доходов.
Система бухгалтерского учета - совокупность форм и методов, обеспечивающих для организации возможность вести учет своего имущества и обязательств посредством сплошного, непрерывного, документального и взаимосвязанного их отражения в учетных регистрах на основании первичных документов, а также формировать финансовую (бухгалтерскую) отчетность.
Система бухгалтерского внутреннего контроля - совокупность взаимодействующих элементов в виде организационных мер, методик и процедур, используемых бухгалтерской службой предприятия в качестве средств предотвращения, выявления и исправления ошибок в бухгалтерском и налоговом учете (в том числе в налоговых декларациях), а также своевременной подготовки достоверной бухгалтерской отчетности. Система включает в себя также налоговый внутренний контроль в части достоверного отражения операций в налоговом учете и налоговых декларациях.
Система внутреннего контроля - совокупность организационных мер, методик и процедур, используемых руководством экономического субъекта для упорядоченного и эффективного ведения хозяйственной деятельности, обеспечения сохранности активов, выявления, исправления и предотвращения ошибок и искажения информации, а также своевременной подготовки достоверной финансовой (бухгалтерской) информации.
Система управления - совокупность бизнес-процессов управления хозяйственным комплексом, организационной структуры и управленческих технологий компании.
Управление риском - процесс принятия решений по управлению выявленным риском и выбор конкретных действий из ряда потенциально возможных.
Финансовый аудит - аудит системы бухгалтерского внутреннего контроля и контроля за составлением финансовой отчетности, направленный на повышение эффективности системы контроля и обеспечение достоверности финансовой отчетности компании.
Холдинг "РЖД" (холдинг, группа компаний "РЖД") - компания холдингового типа "Российские железные дороги", включающая в себя основное общество - ОАО "РЖД" и группу его дочерних и зависимых обществ, связанных имущественными и договорными отношениями, едиными стратегическими целями развития и корпоративными ценностями. В целях настоящей стратегии рассматриваются компании, входящие в группу компаний РЖД с долей участия свыше 50% плюс 1 акция.

Введение

Настоящая функциональная стратегия построения единой системы внутреннего аудита и контроля в холдинге "РЖД" (далее - Стратегия) разработана в соответствии с Концепцией формирования единой системы внутреннего аудита и контроля в ОАО "РЖД", принятой за основу решением правления ОАО "РЖД" 30 сентября 2008 г. и базируется на положениях проекта Стратегической программы до 2010 года и основных направлениях развития ОАО "Российские железные дороги" на период до 2015 года и Стратегии развития железнодорожного транспорта в Российской Федерации до 2030 года.
Стратегия направлена на достижение следующих целей холдинга "РЖД":
обеспечение экономической стабильности;
достижение финансовой прозрачности;
повышение инвестиционной привлекательности и кредитного рейтинга компаний, входящих в холдинг.
Достижение поставленных целей возможно только при условии создания эффективных инструментов корпоративного управления.
Внутренний аудит и контроль - это составная и неотъемлемая часть корпоративного управления, а создаваемая согласно настоящей Стратегии единая система внутреннего аудита и контроля является одним из инструментов корпоративного управления.
Роль и место Стратегии в корпоративной системе стратегического управления ОАО "РЖД" определяются ее взаимосвязью с другими функциональными стратегиями.
В Стратегии учтены положения Международных профессиональных стандартов внутреннего аудита (The Institute of Internal Auditors), "Руководства по внутреннему контролю" - модель COSO ERM - Integrated Framework (ERM - enterprise risk model), ГОСТ Р ИСО 9000-2001 "Система менеджмента качества (Quality management system)", Кодекса корпоративного поведения, одобренного Правительством Российской Федерации, Правил (стандартов) аудиторской деятельности, утвержденных постановлениями Правительства Российской Федерации.

1. Анализ существующей системы внутреннего аудита и контроля в ОАО "РЖД"

В настоящее время внутренний контроль в ОАО "РЖД" реализуется через систему ответственности руководства департаментов аппарата управления, филиалов и других структурных подразделений.
Особая роль в системе внутреннего аудита и контроля принадлежит подразделениям, которые проводят независимую оценку деятельности структурных подразделений и информируют топ-менеджмент компании о результатах проверок - Центру "Желдорконтроль", Центру технического аудита и др.
см. схему- Процесс внутреннего аудита и контроля ОАО "РЖД"
При этом в сфере финансово-хозяйственного контроля деятельности ОАО "РЖД" функции внутреннего контроля также осуществляются департаментами аппарата управления в соответствии с полномочиями, возложенными на них в установленном порядке:
Бухгалтерская служба - контроль за ведением бухгалтерского и налогового учета;
Департамент корпоративных финансов - контроль за финансами;
Департамент "Казначейство" - контроль за платежной дисциплиной;
Департамент управления имуществом - контроль за использованием недвижимого имущества;
Департамент безопасности - контроль за экономической безопасностью;
Департамент планирования и бюджетирования - контроль за бюджетной дисциплиной и т.д.
Процесс внутреннего контроля включает в себя:
предварительный контроль, который осуществляется причастными подразделениями компании до совершения финансово-хозяйственных операций на стадии принятия управленческих решений по формированию и утверждению бюджетов, платежных балансов, заключения соглашений, при проведении тендеров и экспертиз на основе учета требований законодательных, нормативных и правовых актов;
текущий контроль, который осуществляется в процессе совершения финансово-хозяйственных операций по использованию финансовых и материальных ресурсов в целях предотвращения нарушений при расходовании этих средств и соблюдения финансово-хозяйственной дисциплины;
последующий контроль, который возложен на Центр "Желдорконтроль" и проводится в соответствии с Положением о порядке организации и проведения внутреннего аудита и контроля Центром "Желдорконтроль".
Проведенный мониторинг причинно-следственных связей системных нарушений с акцентом на определение ответственности менеджмента за состояние внутреннего контроля позволил выделить следующие проблемы организационно-структурного и функционального характера в существующей системе внутреннего контроля ОАО "РЖД":
недостаточное понимание менеджментом своей роли в формировании системы внутреннего контроля. Имеет место практика оправдания менеджментом неправомерных действий с целью сокрытия небрежности, недобросовестности;
совмещение осуществления и контроля исполнения хозяйственных операций в одном подразделении;
наличие нескольких центров ответственности за проведение контрольных мероприятий по отдельным хозяйственным операциям;
действующая система проведения менеджментом контрольных мероприятий не обеспечивает осуществление постоянного и объективного контроля за соблюдением порядка исполнения установленных бизнес-процессов, а также не позволяет контролировать результативность и эффективность осуществления самих бизнес-процессов ОАО "РЖД";
существующая контрольная среда не учитывает человеческий фактор, который может включать в себя системные ошибки или ошибки при использовании автоматизированных средств контроля, а также преднамеренный сговор лиц, осуществляющих текущий контроль, на различных уровнях управления;
осуществление контрольных функций департаментами и другими структурными подразделениями компании разобщено и не составляет единого комплекса;
сложившаяся система внутреннего контроля не позволяет вскрыть причины возникновения негативных фактов хозяйственной деятельности, выявить существенные их свойства и установить закономерную связь между ними;
в недостаточной степени реализуются меры по своевременному и гибкому реагированию на возникновение экономических рисков в связи с отсутствием единой корпоративной системы управления рисками;
отсутствие качественного первичного документооборота и ответственности работников и менеджмента за оформление хозяйственных операций первичными учетными и иными оправдательными документами;
слабая степень автоматизации бизнес-процессов, низкая степень автоматизированного контроля и интеграции управленческих и учетных автоматизированных систем;
объем выявляемых финансовых потерь за последние годы не снижается. Многие нарушения в финансово-хозяйственной деятельности постоянно повторяются и являются характерными для большинства филиалов и других структурных подразделений, то есть носят системный характер.
Сложившаяся система внутреннего контроля не обеспечивает в полной мере соблюдения исполнительской дисциплины, выявления и пресечения фактов злоупотреблений, а также не предотвращает противоправных действий сотрудников. По результатам внутренних аудиторских проверок менеджментом в большинстве случаев не принимаются адекватные выявленным нарушениям меры по недопущению их в дальнейшем.
В условиях рыночной экономики организация только ревизионной работы не обеспечивает комплексного подхода к решению проблемы наиболее полной мобилизации экономических ресурсов. Переход от сегодняшней организации компании к вертикально структурированному холдингу требует развития новых форм и направлений осуществления внутреннего аудита и контроля.
Необходимо формирование системы внутреннего аудита и контроля в ОАО "РЖД", включающей механизм не только выявления нарушений и недостатков, но и предоставления гарантий и рекомендаций по улучшению в сферах внутреннего контроля, управления рисками и корпоративного управления.
Опыт работы крупных компаний свидетельствует, что наиболее эффективной формой организации является единая система внутреннего аудита и контроля (ЕС ВАК), включающая в себя подразделение внутреннего аудита как центральное звено и структурные подразделения, ответственные за функциональные направления деятельности.

2. Цель, задачи и основные направления Стратегии

Цель Стратегии - построение единой риск-ориентированной системы внутреннего аудита и контроля, направленной на достижение стратегических целей компании - экономической стабильности, финансовой прозрачности, повышения инвестиционной привлекательности - и обеспечение совета директоров ОАО "РЖД" и высшего исполнительного руководства холдинга "РЖД" необходимой информацией для принятия эффективных управленческих решений.
Реализация данной цели должна достигаться решением следующих задач:
проведение организационно-функциональных преобразований, направленных на формирование и укрепление контрольной вертикали в холдинге "РЖД";
развитие и совершенствование новых направлений внутреннего аудита и контроля (финансовый аудит, операционный аудит, аудит на соответствие и др.);
выявление и предупреждение возникновения рисков на основе их систематического прогнозирования и оценки;
создание механизма проведения внутреннего аудита надежности и эффективности системы внутрикорпоративного контроля и системы управления рисками холдинга "РЖД";
разработка регламента внутреннего контроля и управления рисками холдинга "РЖД" с определением центров ответственности за процесс внутреннего контроля и управления рисками;
создание на основе принципа экономического единства холдинга "РЖД" при множественности юридических участников механизма прямого контроля финансово - хозяйственной деятельности дочерних обществ;
разработка и реализация комплексной программы предупреждения и пресечения злоупотреблений в финансовой деятельности и обеспечения соблюдения экономических интересов компании.
Исходя из цели и задач, настоящая Стратегия предусматривает осуществление прорывных преобразований по основным направлениям построения единой системы внутреннего аудита и контроля:
формирование риск-ориентированной системы внутреннего контроля (СВК) в ОАО "РЖД" и постоянное улучшение ее качества;
развитие и совершенствование направлений осуществления внутреннего аудита в ОАО "РЖД" на условиях централизации и укрепления контрольной вертикали.

3. Структура внутреннего аудита и контроля в холдинге "РЖД"

В целях создания единой системы внутреннего аудита и контроля, адекватной происходящим в компании функционально-структурным преобразованиям, необходимо укрепить контрольную вертикаль для координации действий структурных подразделений и дочерних компаний холдинга (бизнес-единиц) в рамках осуществления ими отдельных функций контроля.
Выполнение советом директоров ОАО "РЖД" функций внутреннего контроля за финансово-хозяйственной деятельностью компании осуществляется через специально созданный комитет по аудиту совета директоров, в компетенцию которого входят оценка эффективности действующих в ОАО "РЖД" процедур внутреннего контроля и подготовка предложений по их совершенствованию.
Комитет по аудиту совета директоров ОАО "РЖД" осуществляет методологическое обеспечение службы внутреннего аудита, подготовку рекомендаций по направлениям проверок службы, выработку рекомендаций по внесению изменений во внутренние документы, регулирующие деятельность службы внутреннего аудита.
Информацию о состоянии систем внутреннего контроля и управления рисками, необходимую для обеспечения деятельности комитета по аудиту совета директоров, на основе взаимодействия предоставляет структурное подразделение внутреннего аудита (здесь и далее - Центр "Желдорконтроль").
В целях соблюдения требований международных профессиональных стандартов по обеспечению принципов независимости и объективности, подразделение внутреннего аудита подчиняется напрямую единоличному исполнительному органу - президенту ОАО "РЖД".
На региональном уровне функции проведения внутреннего аудита и проверок финансово-хозяйственной деятельности железных дорог, других филиалов и структурных подразделений компании Центр "Желдорконтроль" осуществляет через свои региональные управления.
В настоящее время одним из основных способов контроля финансово-хозяйственной деятельности дочерних обществ является участие представителей ОАО "РЖД" в ревизионных комиссиях этих обществ.
На современном этапе реформирования ОАО "РЖД" в целях усиления контрольной вертикали в холдинге "РЖД" и соблюдения экономических интересов материнской (головной) компании следует разработать также механизм прямого (оперативного) контроля финансово-хозяйственной деятельности дочерних обществ, которые оказывают существенное влияние на основные результаты деятельности ОАО "РЖД".
Механизм прямого контроля не должен подменять и дублировать функции служб внутреннего контроля дочерних обществ и ревизионных комиссий и должен осуществляться компетентными специалистами в области аудита, ревизий и контроля в установленном порядке с использованием методов и принципов внутреннего аудита на основании планов внутреннего аудита и контроля, утверждаемых президентом ОАО "РЖД".
Вопросы обеспечения единства подходов, устранения пересечения зон ответственности органов внутреннего аудита и контроля дочерних обществ (ревизионной комиссии, комитета по аудиту совета директоров, службы внутреннего контроля) с целями и задачами прямого контроля материнской компании будут рассмотрены в рамках пилотных проектов, реализуемых в ряде дочерних обществ.
Основными направлениями работы при формировании моделей взаимодействия Центра "Желдорконтроль" с дочерними обществами в области внутреннего аудита и контроля должны стать:
методологическое обеспечение и мониторинг организации и осуществления внутреннего аудита и контроля в дочернем обществе;
проведение проверок финансово-хозяйственной деятельности по поручениям президента и руководства ОАО "РЖД", с привлечением при необходимости специалистов департаментов и управлений ОАО "РЖД";
координация Центром "Желдорконтроль" деятельности органов внутреннего аудита и контроля дочерних и зависимых обществ при организации и проведении проверочных мероприятий.
В структурных подразделениях и бизнес-единицах ОАО "РЖД" при необходимости создаются специальные подразделения, отвечающие за осуществление функций внутреннего контроля.

4. Формирование риск-ориентированной системы внутреннего контроля в холдинге "РЖД"

В холдинге "РЖД" необходимо выстроить риск-ориентированную систему внутреннего контроля, основанную на интеграции двух систем -внутреннего контроля и управления рисками.
В настоящее время система управления рисками ОАО "РЖД" находится на этапе своего становления.
Организационная инфраструктура системы управления рисками должна включать в себя организационные документы корпоративной системы управления рисками ОАО "РЖД":
корпоративный регламент управления рисками ОАО "РЖД", определяющий порядок взаимодействия подразделений аппарата управления и структурных подразделений ОАО "РЖД" в процессе управления рисками с учетом вероятности возникновения системных (взаимоналагающихся) рисков;
положения о структурных подразделениях, определяющие реализуемые каждым структурным подразделением задачи и функции по управлению рисками;
должностные инструкции работников, определяющие в том числе их основные функции и обязанности по осуществлению процедур управления рисками в соответствующих структурных подразделениях;
методологические и нормативные документы в области рисков подразделений аппарата управления.
Российскими стандартами аудиторской деятельности определено, что система внутреннего контроля - это совокупность организационных мер, методик и процедур, используемых руководством экономического субъекта для упорядоченного и эффективного ведения хозяйственной деятельности, обеспечения сохранности активов, выявления, исправления и предотвращения ошибок и искажения информации, а также своевременной подготовки достоверной финансовой (бухгалтерской) отчетности.
Построение и поддержание эффективной системы внутреннего контроля - это прямая и непосредственная обязанность менеджмента компании. Ответственность за выполнение этой функции менеджмент не должен возлагать на кого-либо, в частности на отдельное подразделение, так как:
наличие полномочий должно сопровождаться соответствующей ответственностью;
делегирование менеджментом ответственности за построение системы контроля трансформируется в снятие ответственности с себя;
осуществление внутреннего контроля это задача каждого сотрудника компании независимо от занимаемой должности и в соответствии с его полномочиями и должностными обязанностями;
формальное наделение ответственностью за внутренний контроль отдельного подразделения приводит к снижению ответственности менеджмента и других работников компании.
На уровне корпоративного центра построение системы внутреннего контроля ОАО "РЖД" должно осуществляться по функциональным направлениям (центрам ответственности) соответствующими подразделениями аппарата управления аналогично уже созданной системе бухгалтерского внутреннего контроля в ОАО "РЖД".
Система бухгалтерского внутреннего контроля является составной частью системы внутреннего контроля компании и представляет собой совокупность организационных мер, методик и процедур (в том числе процедур автоматизированного контроля) в качестве средств предотвращения, выявления и исправления ошибок в бухгалтерском и налоговом учете, а также своевременной подготовки достоверной бухгалтерской отчетности.
В рамках формирования единой системы внутреннего аудита и контроля первостепенной задачей подразделений аппарата управления является создание подобных системе бухгалтерского внутреннего контроля подсистем внутреннего контроля компании. По каждому функциональному направлению (департаменту, службе) руководители должны решать конкретные задачи по построению системы внутреннего контроля и нести персональную ответственность за их выполнение.
В случае создания региональных центров корпоративного управления, возникает необходимость создания центров ответственности, в функции которых должны входить:
координация построения менеджментом риск-ориентированной системы внутреннего контроля;
разработка рекомендаций по оптимизации бизнес-процессов, документооборота и снижению рисков;
анализ должностных полномочий на наличие несовместимых полномочий;
содействие менеджменту во внедрении процедур внутреннего контроля;
мониторинг эффективности процедур внутреннего контроля и процесса управления рисками;
взаимодействие со структурными подразделениями компании по вопросам выстраивания системы внутреннего контроля.
Центры ответственности (службы внутреннего контроля) бизнес-единиц в рамках своей деятельности по построению менеджментом риск-ориентированной системы внутреннего контроля взаимодействуют по функциональным направлениям с причастными подразделениями (центрами ответственности) аппарата управления компании.
Центр "Желдорконтроль" осуществляет оценку эффективности риск-ориентированной системы внутреннего контроля холдинга "РЖД" и надзор за внедрением и применением процедур внутреннего контроля.

см. рис.1 - Структура риск-ориентированной системы внутреннего контроля в холдинге "РЖД"

В целях формирования адекватной риск-ориентированной корпоративной системы внутреннего контроля в холдинге "РЖД" необходимо реализовать стратегию постоянного улучшения качества на основе модели COSO ERM - Integrated Framework (ERM - enterprise risk model), которая объединяет в себе компоненты систем внутреннего контроля и управления рисками.

см. рис.2 - Элементы систем внутреннего контроля и управления рисками холдинга "РЖД" согласно модели COSO

Система внутреннего контроля холдинга "РЖД", созданная по модели COSO, будет включать в себя восемь взаимосвязанных компонентов:
1. Внутренняя среда. Представляет собой атмосферу в компании и определяет, каким образом риск воспринимается сотрудниками холдинга "РЖД" и как они на него реагируют. Внутренняя среда - это политика управления рисками и уровень риска, который готова принимать компания, честность и этические ценности.
2. Постановка целей. Цели должны быть определены до того, как менеджмент компании начнет выявлять события, которые потенциально могут оказать влияние на их достижение. Процесс управления рисками предоставляет разумную гарантию того, что руководство компании имеет правильно организованный процесс выбора и формирования целей и эти цели соответствуют миссии ОАО "РЖД".
3. Определение событий. Внутренние и внешние события, оказывающие влияние на достижение целей холдинга "РЖД", должны определяться с учетом их разделения на риски или возможности. Возможности должны учитываться руководством компании в процессе формирования стратегии и постановки целей.
4. Оценка рисков. Риски анализируются менеджментом компании с учетом вероятности их возникновения и влияния с целью определения действий, которые в отношении них необходимо предпринять.
5. Реагирование на риск. Определяется метод реагирования на риск -уклонение от риска, принятие, сокращение или перераспределение риска, разрабатываются мероприятия, которые позволят привести выявленный риск в соответствие с его допустимым уровнем.
6. Средства контроля. Политика и процедуры разработаны и установлены таким образом, чтобы обеспечивать разумную гарантию того, что реагирование на возникающий для холдинга "РЖД" риск происходит эффективно и своевременно.
7. Информация и коммуникации. Необходимая информация определяется, фиксируется и передается в такой форме и в такие сроки, которые позволяют сотрудникам компании выполнять их функциональные обязанности. Также осуществляется эффективный обмен информацией в рамках холдинга "РЖД", как по вертикали сверху вниз и снизу вверх, так и по горизонтали.
8. Мониторинг. Весь процесс управления рисками в холдинге "РЖД" отслеживается и при необходимости корректируется. Мониторинг осуществляется в рамках текущей деятельности менеджмента компании и путем проведения периодических оценок.
Для построения эффективной риск-ориентированной системы внутреннего контроля контроль должен быть встроен в инфраструктуру компании ("встроенный" контроль), являться частью корпоративного управления в холдинге "РЖД".
Совместное действие перечисленных компонентов создает на основе интеграции двух систем (внутреннего контроля и управления рисками) риск-ориентированную систему, которая адекватно реагирует на изменения условий деятельности компании.
Компетенцию субъектов внутреннего контроля в ОАО "РЖД" необходимо разграничить следующим образом:
совет директоров ответственен за общее состояние бизнеса, в том числе за уровень контроля в компании и утверждение политики контроля;
менеджмент и подразделения контроля ответственны за разработку, утверждение и проведение контрольных процедур, ежедневный мониторинг их работоспособности и эффективности;
Центр "Желдорконтроль" как орган внутреннего аудита ответственен за оценку эффективности системы внутреннего контроля, выстроенной менеджментом компании, и своевременное информирование о результатах аудита президента и, через него, совет директоров ОАО "РЖД".
При построении интегрированной системы внутреннего контроля и управления рисками ОАО "РЖД", носящей предупредительный характер, использующей инструменты превентивного контроля и оценки рисков при реализации стратегии постоянного улучшения качества системы, необходимо обеспечить соблюдение следующих условий:
1. Советом директоров ОАО "РЖД" утверждаются документы, определяющие стратегию и политику компании в области внутреннего контроля, определяются основные методы и структура контроля и устанавливаются приемлемые уровни риска для достижения поставленных целей.
2. Утвержденная стратегия и политика проводится менеджментом ОАО "РЖД" на базе оценки рисков:
утверждается структура рисков и распределение полномочий;
разрабатываются необходимые процедуры и процессы, направленные на выявление рисков и отслеживание их изменений;
планируется и контролируется мониторинг эффективности системы внутреннего контроля;
формируется контрольная среда, которая выражает и показывает важность внутреннего контроля и соблюдения этических норм.
3. Создана необходимая инфраструктура, позволяющая обеспечить эффективность контроля в ОАО "РЖД":
контроль проводится на всех уровнях управления;
мероприятия контроля встроены в ежедневные операции;
проверки обеспечения соответствия всех областей деятельности проводимой политике и установленным процедурам осуществляются периодически;
обязанности персонала разделены и отсутствуют конфликты интересов при выполнении персоналом своих обязанностей;
финансовая и управленческая отчетность адекватна, полна и достоверна;
операции соответствуют законодательству Российской Федерации.
4. Созданы эффективные и безопасные каналы доведения информации:
персонал предупрежден о проводимой политике и установленных процедурах, касающихся его обязанностей и ответственности;
необходимая информация доводится оперативно до соответствующего персонала;
обеспечено соответствие уровня информационных систем и всех видов деятельности компании;
безопасность информационных систем обеспечена, и периодически осуществляется ее проверка.
5. Проводится независимый мониторинг и оценка эффективности системы внутреннего контроля ОАО "РЖД":
мониторинг наиболее рискованных операций проводится ежедневно;
эффективный и всеобъемлющий внутренний аудит эффективности системы внутреннего контроля проводится функционально независимым подразделением ОАО "РЖД";
информация о существенных недостатках системы внутреннего контроля и оценке ее эффективности регулярно доводится до президента и совета директоров ОАО "РЖД".
Создание эффективной риск-ориентированной системы внутреннего контроля в холдинге "РЖД" позволит:
обеспечить эффективное функционирование, устойчивость и максимальное развитие компании;
своевременно выявить и минимизировать коммерческие, финансовые, налоговые и иные риски в управлении;
обеспечить повышение экономической устойчивости, прозрачности финансовой деятельности, инвестиционной привлекательности и рыночной стоимости компании, сохранность, целевое и эффективное использование финансовых и материальных ресурсов;
сформировать адекватную современным постоянно меняющимся условиям хозяйствования систему информационного обеспечения всех уровней управления, позволяющую своевременно адаптировать функционирование компании к изменениям во внутренней и внешней среде.

5. Совершенствование и развитие внутреннего аудита в холдинге "РЖД" Этапы развития, цели и основные направления внутреннего аудита

Под внутренним аудитом в ОАО "РЖД" понимается деятельность, направленная на обеспечение соответствия внутренних процессов законодательству, предоставление руководству достоверной информации о фактах финансово-хозяйственной деятельности, оценку эффективности систем внутреннего контроля и управления рисками.
Внутренний аудит является неотъемлемой составной частью корпоративного управления холдингом "РЖД".
Развитие и становление внутреннего аудита происходит в несколько этапов, отличающихся по той роли, которую внутренний аудит играет на каждом из них.
На начальном этапе внутренний аудит в ОАО "РЖД" решал традиционные задачи, которые заключались в выполнении ревизионной функции - проверке отдельных вопросов финансово-хозяйственной деятельности, в том числе сохранности товарно-материальных ценностей, эффективности использования финансовых средств, обеспечения соответствия законодательству.
В настоящее время, на переходном этапе, или этапе "переходной роли", внутренний аудит наряду с проверками финансово-хозяйственной деятельности совершенствует формы и методы, а также проводит оценку эффективности систем внутреннего контроля и управления рисками в рамках всей компании.
В дальнейшем функции внутреннего аудита будут постоянно развиваться, соответствуя уровню построения и эффективности систем внутреннего контроля и управления рисками. При построении в компании эффективной риск-ориентированной системы внутреннего контроля, носящей предупредительный характер и использующей инструменты превентивного контроля, деятельность внутреннего аудита будет окончательно сориентирована на совершенствование процессов внутреннего контроля, управления рисками и корпоративного управления.
Объем и цели внутреннего аудита включают следующие основные элементы:
а) мониторинг эффективности процедур внутреннего контроля;
б) исследование финансовой и управленческой информации;
в) контроль экономии средств и ресурсов, эффективности и результативности деятельности, включая нефинансовые средства контроля;
г) контроль за соблюдением законодательства Российской Федерации, а также политики, директив и прочих внутренних требований руководства.
Указанные цели, стоящие перед внутренним аудитом в ОАО "РЖД", группируются по следующим основным стратегическим направлениям:
анализ и оценка систем внутреннего контроля, управления рисками;
финансовый аудит;
операционный аудит финансово-экономической составляющей бизнес-процессов компании, таких, как грузовые и пассажирские перевозки, инвестиции, снабжение и др., направленный на повышение эффективности деятельности компании;
аудит на соответствие (комплаенс-аудит) - проверка соблюдения компанией требований действующего законодательства, а также внутренних нормативных документов компании - положений, регламентов, стандартов и т.д.;
расследование случаев противоправных действий и злоупотреблений.
Оценка эффективности систем внутреннего контроля и управления рисками
Внутренний аудит эффективности систем внутреннего контроля и управления рисками проводится по следующей схеме:
определение объема проведения оценки с учетом категорий задач, компонентов систем внутреннего контроля и управления рисками и направлений деятельности (бизнес-процессов), которые подлежат оценке;
определение механизма проведения мониторинга, на основе которых регулярно предоставляются данные об эффективности систем внутреннего контроля и управления рисками бизнес-процесса;
выделение существенных направлений, компонентов или областей высокого риска, которые требуют незамедлительного внимания к данному бизнес-процессу;
анализ документации систем внутреннего контроля и управления рисками бизнес-процесса, в том числе положений и регламентов, утвержденных технологий и схем организации процесса, должностных инструкций, схем информационных систем и т.п.;
определение методологии и контрольных процедур внутреннего контроля и управления рисками;
разработка программы внутреннего аудита по оценке эффективности систем внутреннего контроля и управления рисками бизнес-процесса;
определение критериев существенности рисков;
документирование и анализ результатов процесса оценки, в том числе описание проведенных в ходе оценки проверок и анализов;
составление письменного отчета о проведенной оценке эффективности системы внутреннего контроля бизнес-процесса;
представление рекомендаций и консультирование по вопросам повышения эффективности внутреннего контроля бизнес-процесса.
В целях обеспечения достаточных гарантий эффективности систем внутреннего контроля и управления рисками необходимо периодически проверять выполнение и определять достаточность проводимых контрольных процедур.
Внутренний аудит в области управления рисками должен проводить оценку надежности и эффективности системы управления рисками компании на основе анализа применяемых в процессе управления рисками процедур, методов и технологий в каждой функциональной области возникновения рисков и управления ими на различных этапах и уровнях.
Оценка эффективности системы управления рисками со стороны внутреннего аудита должна быть комплексной и опираться на анализ, проводимый по следующим основным направлениям:
своевременность и полнота оценки влияния выявленных рисков на достижение целевых стратегических ориентиров компании, определенных стратегией ОАО "РЖД";
анализ степени разработки и использования количественных критериев оценки рисков и их допустимых уровней;
обоснованность и правильность ранжирования рисков и приоритетности воздействия на них, обоснованность выбора с учетом сравнительной эффективности метода воздействия на риск;
правильность определения эффекта от реализации управленческих решений в области управления рисками;
регулярность мониторинга динамики уровня рисков и эффективности мероприятий по их снижению.
Внутренний аудит должен эффективно содействовать менеджменту компании на каждом этапе построения корпоративной системы управления рисками по следующим направлениям:
1) на первом этапе - предоставление информации о существующих и вновь выявленных рисках, требующих принятия мер по их снижению. Это позволит сформировать наиболее полный реестр типовых рисков ОАО "РЖД", который будет способствовать обеспечению единого методологического подхода к выявлению, оценке и управлению рисками;
2) на втором этапе - систематизация и передача накопленного опыта по процедурам выявления и анализа рисков и их последовательности, а также проведению оценки эффективности осуществленных антирисковых мероприятий в отдельных функциональных областях управления рисками;
3) на третьем этапе - рекомендации по формированию системы управления рисками, мониторинга и информационной поддержки процесса управления рисками, в рамках которой будет консолидироваться вся корпоративная информация по рискам с целью ее последующего анализа соответствующими структурными подразделениями и представления руководству ОАО "РЖД" отчетных данных об уровне рисков и эффективности осуществленных мероприятий по их снижению. При этом для внутреннего аудита особый интерес представляют сведения о подразделениях, деятельность которых содержит наиболее существенные риски, и динамика изменений этих рисков за отчетный период. Данная информация будет использоваться при планировании внутренних аудиторских проверок;
4) на четвертом этапе - представление предложений по формированию корпоративного регламента управления рисками ОАО "РЖД" и определения места и роли Центра "Желдорконтроль" как органа внутреннего аудита, осуществляющего независимую оценку надежности и эффективности системы управления рисками компании;
5) на пятом, заключительном, этапе - участие в разработке порядка взаимодействия подразделений ОАО "РЖД" с Центром "Желдорконтроль" при осуществлении процедур управления рисками.
Финансовый аудит
В рамках системы внутреннего контроля ОАО "РЖД" должен проводиться аудит системы бухгалтерского внутреннего контроля (СБВК) по следующим направлениям:
оценка эффективности механизма бухгалтерского внутреннего контроля, изучение и оценка контрольных процедур в филиалах, структурных подразделениях и дочерних обществах, в том числе проверка системы идентификации и оценки рисков, связанных с ведением бухгалтерского и налогового учета и подготовкой отчетности;
оценка эффективности использования программных продуктов и средств автоматизированного контроля;
тестирование эффективности контроля существенных рисков;
проверка качества (в том числе полноты и своевременности) мониторинга работы СБВК, проводимого бухгалтерской службой;
проверка устранения недостатков в контроле, выявленных по результатам мониторинга работы СБВК;
разработка рекомендаций по оптимизации мониторинга работы СБВК и повышению ее эффективности.
Развитие и внедрение финансового аудита позволит повысить финансовую прозрачность компании и получить достаточную степень уверенности в достоверности и надежности применяемых процедур внутреннего бухгалтерского контроля.
Операционный аудит
Главной задачей операционного аудита является контроль бизнес-процессов компании в соответствии с принятыми стратегиями по основным направлениям реформирования хозяйственного комплекса компании, в том числе стратегии:
эффективного обеспечения потребностей ОАО "РЖД" в материальных ресурсах и технических средствах (Снабжение);
повышения эффективности услуг на рынке грузовых перевозок, в том числе контейнерных, перевозок нефти и нефтепродуктов, угля, готовой продукции и транзитных перевозок через территорию России (Грузы);
оптимизации структуры активов и повышения эффективности их использования (Активы);
ресурсосбережения и оптимизации производственных издержек ОАО "РЖД" (Издержки);
инвестиционной (Инвестиции);
управления финансами (Финансы);
управления рисками в ОАО "РЖД".
В дальнейшем развитие операционного аудита в компании будет осуществляться по следующим направлениям:
1) разработка аудиторских процедур, позволяющих подтвердить и гарантировать непрерывность деятельности компании и экономическую состоятельность бизнеса;
2) оценка целесообразности и эффективности совершаемых сделок, эффективность управления ресурсами компании, в том числе материальными, финансовыми и трудовыми;
3) формирование для руководства компании обоснованных предложений по повышению эффективности бизнеса, в том числе за счет совершенствования его организационной и финансовой структуры, более качественного управления активами и капиталом.
Создание механизма контроля предупреждения и пресечения злоупотреблений в финансово - хозяйственной сфере деятельности
Важным направлением становления и развития единой системы внутреннего аудита и контроля в ОАО "РЖД" является создание механизма контроля предупреждения и пресечения злоупотреблений в финансово-хозяйственной сфере деятельности.
Проведение работы по профилактике и предупреждению злоупотреблений и противоправных действий напрямую зависит от создания, внедрения и реализации в ОАО "РЖД" единой специализированной комплексной программы, содержащей в себе четкий план действий, направленных на достижение намеченных целей, обеспечение значительного снижения существенности рисков.
Построение, поддержание и планомерное совершенствование единой комплексной программы по профилактике, предупреждению и пресечению злоупотреблений и противоправных действий в финансово-хозяйственной сфере деятельности - прямая обязанность менеджмента компании.
Политика компании должна преследовать цель внедрить такой подход, который бы уменьшил давление внешних обстоятельств, возможности для совершения злоупотреблений и нахождения самооправданий. При этом крайне важно, чтобы предусмотренные единой комплексной программой нормы, правила, стандарты и рекомендации были обязательными для исполнения и применения на практике всеми сотрудниками и менеджментом компании.
Формирование в компании атмосферы честности и открытости предполагает соблюдение пяти основных условий:
проведение специальной подготовки на предмет противостояния мошенничеству;
формирование соответствующей трудовой атмосферы;
наличие всеми принимаемого и соблюдаемого кодекса чести - своего рода нравственного кодекса компании;
создание специальной программы помощи сотрудникам, которая позволит в определенной степени снизить влияние на них одного из трех элементов мошенничества;
формирование в коллективах убежденности, что нечестность наказуема, а наказание неотвратимо.
Устранение возможностей для совершения злоупотреблений и противоправных действий включает в себя:
создание эффективной системы внутреннего контроля, формирование у сотрудников ОАО "РЖД" понимания того, что их работа и действия могут быть проверены в любое время;
обеспечение максимальной прозрачности бизнес-процессов, проверки контрагентов на возможную неформальную связь с сотрудниками и менеджментом компании с целью предотвращения возможного сговора между сотрудниками компании и ее клиентами или поставщиками;
четкое информирование всех партнеров и контрагентов ОАО "РЖД" о ее политике в отношении мошенничества и злоупотреблений;
использование "горячих линий" и специальных программ, определяющих методы и способы сбора сведений о совершаемых в ОАО "РЖД" злоупотреблениях и противоправных действиях.
При построении и реализации программы по профилактике, предупреждению и пресечению фактов злоупотреблений и противоправных действий Центр "Желдорконтроль" должен способствовать профилактике этих негативных явлений путем проведения проверок и оценки адекватности и эффективности внутрикорпоративных контрольных мероприятий, соотнося их с потенциальным риском, присущим отдельным направлениям деятельности ОАО "РЖД".
Повышение качества и эффективности внутреннего аудита
Эффективность функционирования системы внутреннего аудита напрямую связана с тем, насколько стандартизирована и подчинена регламенту контрольная деятельность в компании. Если эти стандарты не соблюдаются либо отсутствуют, функционирование внутреннего аудита будет неэффективным.
Поэтому одной из задач по обеспечению соблюдения предъявляемых требований к качеству проведения внутреннего аудита в холдинговой компании является разработка стандартов, определяющих его деятельность.
Цель системы стандартов достигается формированием и применением внутрифирменных стандартов, которые детализируют и регламентируют единые требования к выполнению аудиторских проверок и организации деятельности.
Стандарты обеспечивают однозначное понимание результатов проверок как менеджментом компании, так и руководителями объектов проверки, упорядочивают проведение контрольных процедур и требования к ним, определяют основные принципы, правила и этические нормы, которые должны соблюдаться при осуществлении внутреннего аудита и контроля, обеспечивают качество проверок.
Применение стандартов позволит:
сделать организацию проведения внутреннего аудита более рациональной и эффективной, обеспечить дополнительный контроль за работой сотрудников Центра;
содействовать возможности использования в работе научных достижений и новых технологий;
укрепить в ОАО "РЖД" престиж внутреннего аудита;
унифицировать, регламентировать и стандартизировать процедуры внутреннего аудита;
обеспечить высокое качество внутреннего аудита и способствовать его совершенствованию, а также применению новых подходов к его организации.
Разработка стандартов внутреннего аудита будет осуществляться с учетом национального стандарта Российской Федерации ГОСТ Р ИСО 19011-2003, отвечающего всем требованиям международных стандартов ИСО серий 9000 и специфике бизнес-процессов компании.
Другой задачей внутреннего аудита является повышение уровня профессиональной подготовки кадров и внедрение соответствующей системы мотивации их труда.
Учитывая требования, позволяющие эффективно решать задачи, стоящие перед внутренним аудитом, в качестве первоочередных мер в области работы с кадрами должна осуществляться подготовка и повышение квалификации сотрудников, осуществляющих внутренний аудит, в том числе в специализированных центрах подготовки внутренних аудиторов.
Немаловажное значение в решении кадровой проблемы имеет привлечение на работу в сферу внутреннего аудита наиболее подготовленных выпускников отраслевых и профильных вузов Российской Федерации, в том числе в рамках реализации программы "Молодежь ОАО "РЖД".
Повышению эффективности аудиторской деятельности в компании также будет способствовать введение профессии "внутренний аудитор" для работников подразделений внутреннего аудита и контроля.
В связи с этим предполагается разработка стандарта внутреннего аудита "Качество работы службы внутреннего аудита", который будет включать, в частности:
квалификационные требования к сотрудникам (с точки зрения выполняемых ими аудиторских функций);
требования к должностным инструкциям сотрудников в отношении аудиторских заданий;
критерии для оценки результатов выполнения сотрудниками аудиторских заданий;
систему оценки качества и эффективности деятельности службы внутреннего аудита.

6. Целевое состояние единой системы внутреннего аудита и контроля в холдинге "РЖД"

Целевое состояние корпоративной системы внутреннего аудита и контроля будет соответствовать следующим характеристикам:
единая система внутреннего аудита и контроля интегрирована с корпоративной системой управления холдинга "РЖД" и является одним из инструментов, обеспечивающих поддержку процесса принятия управленческих решений на всех уровнях управления ОАО "РЖД";
корпоративная система внутреннего аудита и контроля ориентирована на достижение ОАО "РЖД" целей, определенных стратегической программой развития ОАО "РЖД";
процесс внутреннего аудита и контроля в ОАО "РЖД" осуществляется непрерывно в соответствии с утвержденными стандартами, методиками, процедурами и регламентами;
реализуемые в системе корпоративного внутреннего аудита и контроля процедуры выявления и причинно-следственного анализа нарушений, мониторинг и аудит эффективности риск-ориентированной системы внутреннего контроля осуществляются комплексно и взаимосвязанно по всем функциональным направлениям деятельности ОАО "РЖД";
результаты, формируемые в единой системе внутреннего аудита и контроля ОАО "РЖД", обязательны для учета в процессе стратегического планирования и принятия долгосрочных управленческих решений.
Реализация настоящей функциональной стратегии в холдинге "РЖД" на основе укрепления контрольной вертикали, соблюдения принципов независимости и объективности внутреннего аудита и контроля позволит обеспечить:
достижение целевых ориентиров, определенных стратегической программой развития ОАО "РЖД", за счет заблаговременного выявления внешних и внутренних рисков;
экономическую стабильность, повышение инвестиционной привлекательности и рыночной стоимости компании, кредитного рейтинга и деловой репутации холдинга "РЖД";
выявление и мобилизацию неиспользованных внутренних резервов компании;
полное и своевременное возмещение недополученных доходов и необоснованно произведенных расходов по основной и прочим видам деятельности холдинга "РЖД";
устранение причин установленных нарушений в финансово-хозяйственной деятельности и принятие мер по недопущению их впредь;
существенное снижение рисков потери доходов и совершения непроизводительных расходов, злоупотреблений и других противоправных действий;
сохранность, целевое и эффективное использование финансовых и материальных ресурсов.

7. Механизм реализации функциональной стратегии

Организация эффективно функционирующей единой системы внутреннего аудита и контроля - это сложный многоступенчатый процесс.
Основные положения стратегии при ее реализации будут детализированы по иерархическому принципу, а затем адаптированы к конкретным условиям организации внутреннего аудита и контроля, учитывающим происходящие кардинальные изменения в системе корпоративного управления ОАО "РЖД".