Прежде всего, давайте определимся с терминологией. Например, обратимся к определению из Википедии:
Стандарт (от англ. standard — норма, образец) в широком смысле слова — образец, эталон, модель, принимаемые за исходные для сопоставления с ними других подобных объектов.
Концепция (от лат. conceptio «система понимания») — комплекс взглядов чего-либо, связанных между собой и вытекающих один из другого; определённый способ понимания, трактовки каких-либо явлений; основная точка зрения.
Определение из Глоссария ГОСТ:
Стандарт — нормативный документ по стандартизации, разработанный, как правило, на основе согласия, характеризующегося отсутствием возражений по существенным вопросам у большинства заинтересованных сторон, принятый (утвержденный) признанным органом (предприятием).
Можно сделать следующий вывод:
Стандарты и концепции разрабатываются авторитетными ассоциациями и комиссиями с привлечением представителей и организаций, имеющих практический опыт в разрабатываемом вопросе. Эти документы являются обобщением лучших практик и опыта, и нацелены на распространение примеров применяемых методов и положительных результатов среди широкого круга пользователей.
Существуют стандарты обязательного и добровольного использования. Стандарты обязательного использования содержат обязательные требования, регламентированные законом. Стандарты добровольного использования содержат требования рекомендательного характера.
В российской действительности крупные компании и коммерческие банки, пользуются как обязательными, так и рекомендованными стандартами и концепциями в качестве методических документов в ходе своей хозяйственной деятельности. В то же время малый и средний бизнес используют в основном только стандарты обязательного характера и нормативные документы, несоблюдение которых ведет к нарушениям законодательства и может явиться причиной прекращения деятельности, наложения штрафов и пр.
При этом игнорируются стандарты добровольного применения, целью которых является повышение эффективности деятельности любого предприятия.
«Если это необязательно, за это не штрафуют и не наказывают, то, наверное, нам и не надо» — к сожалению, это типичный подход большинства предприятий. В итоге малый и средний бизнес не в полной мере пользуется методологией и рекомендациями, существующими в информационном пространстве, что может негативно сказываться на их хозяйственной деятельности. Подобная ситуация складывается по ряду причин, в том числе по причине информационной изоляции, отсутствия практики систематического повышения квалификации персонала, нехватки кадров и перегруженности работников текущими задачами, а также отсутствия понимания степени потребности применения международной практики и опыта.
То же происходит и в вопросе построения системы внутреннего контроля и управления рисками. Во исполнение 402-ФЗ «О бухгалтерском учете», средний и малый бизнес ориентируются на рекомендации Минфина России ПЗ-11/2013. При этом, крупные компании в своей деятельности часто применяют международно-признанную концепцию COSO, банки инструктируются ЦБ, государственные учреждения пользуются документами Минфина России по «внутреннему финансовому контролю» (надо сказать подробными), компании с государственным участием получают методологическую поддержку от Росимущества.
Акционерные общества и госкорпорации также применяют положения Кодекса корпоративного управления, в котором указано следующее:
«п.252. При создании системы управления рисками и внутреннего контроля рекомендуется применять общепринятые концепции и практики работы в области управления рисками и внутреннего контроля. По ссылке к пункту 252 приводятся следующие документы: — Интегрированная концепция построения системы внутреннего контроля COSO; Концепция (COSO) “Управление рисками организаций. Интегрированная модель” Комитета спонсорских организаций Комиссии Трэдвэй (The Committee of Sponsoring Organizations of the Treadway Commission); Международный стандарт ИСО 31000 “Менеджмент риска. Принципы и руководящие указания”; Международный стандарт ИСО 31010 “Менеджмент риска. Техники оценки рисков” и др.
Надо отметить, что документ Минфина России ПЗ-11/2013 основан на уже упомянутой Концепции COSO. Противоречий между этими двумя документами нет, но и подробных разъяснений в документе Минфина явно недостаточно. Так, например, элемент «Контрольная среда» прописан в ПЗ-11/2013 следующим образом: «Контрольная среда представляет собой совокупность принципов и стандартов деятельности экономического субъекта, которые определяют общее понимание внутреннего контроля и требования к внутреннему контролю на уровне экономического субъекта в целом. Контрольная среда отражает культуру управления экономическим субъектом и создает надлежащее отношение персонала к организации и осуществлению внутреннего контроля». Возникает вопрос, а что конкретно и где должно быть прописано или исполнено, чтобы при оценке внутреннего контроля, например, аудитором, можно было бы сделать вывод о сильной или надежной контрольной среде? Концепция COSO в описании этого же элемента более подробно раскрывает основополагающие принципы для целей создания сильной контрольной среды.
Концепции COSO есть и на тему внутреннего контроля COSO IC IF (Internal Control – Integrated Framework), и на тему управления рисками COSO ERM (ERM– Enterprise Risk Management). По управлению рисками есть и другие качественные и эффективные в применении стандарты, например европейский стандарт FERMA, создан Федерацией Европейских Ассоциаций риск-менеджеров или Международный стандарт ИСО 31000. Эти стандарты и их применение будут обязательно рассмотрены в статьях об управлении рисками.
Читайте предыдущую статью >
