Оценка системы внутреннего контроля. Система организации внутреннего контроля и методы ее оценки

Вопросы организации внутреннего контроля у экономических субъектов отдельных организационно-правовых форм регламентируются следующими законодательными актами РФ:

  1. Федеральным законом от 26.12.1995 №208-ФЗ «Об акционерных обществах», пункт 1 ст. 85;
  2. Федеральным законом от 08.02.1998 №14-ФЗ «Об обществах с ограниченной ответственностью», пункт 1 ст. 47;
  3. Федеральным законом от 08.05.1996 №41-ФЗ «О производственных кооперативах», пункт 1 ст. 18;
  4. Федеральным законом от 08.12.1995 №193-ФЗ «О сельскохозяйственной кооперации», пункт 1 ст. 30.

Необходимо отметить, что в текстах указанных законодательных актов отождествляются понятия «внутренний контроль» и «ревизия». По своему содержанию данные понятия достаточно близки друг другу, что подтверждает п. 18.1 Информации Минфина России №ПЗ-11/2013 .

Учитывая сказанное ранее, можно сделать вывод о необходимости регламентирования и закрепления в распорядительной информации экономического субъекта обязанностей в части внутреннего контроля.

Внутренний контроль - это процесс, направленный на достижение достаточного уровня уверенности в том, что экономический субъект обеспечивает: эффективность и результативность своей деятельности, в том числе достижение финансовых и операционных показателей, сохранность активов; достоверность и своевременность бухгалтерской (финансовой) и иной отчетности; соблюдение применимого законодательства, в том числе при совершении фактов хозяйственной жизни и ведении бухгалтерского учета.

В настоящее время методология проведения внутреннего контроля, как и методика оценки эффективности внутреннего контроля, законодательно не установлены и являются объектом исследований многих ученых и специалистов, в числе которых Р.А. Алборов , В.Б. Ивашкевич, Н.Н. Хорохордин и В.Г. Широбоков .

К сожалению, не во всех экономических субъектах, особенно в компаниях из сегмента малого бизнеса, в настоящее время созданы службы внутреннего контроля. При этом в тех компаниях, где внутренний контроль организован, анализ его эффективности зачастую не проводится.

Внутренний контроль является одной из основных функций менеджмента , при отсутствии которой невозможно эффективное управление экономическим субъектом. Именно внутренний контроль позволяет разрабатывать и вводить в действие решения по эффективному использованию ресурсов. Процесс управления финансово-хозяйственной деятельностью можно охарактеризовать и как взаимосвязанное, единовременное или периодическое целенаправленное воздействие совокупности его функций на объект, и как процесс, осуществляемый во временном аспекте и в пространственной иерархии.

Система управления любым экономическим субъектом неразрывно связана с системами учета и контроля. Наличие учета и контроля в корпоративном управлении объясняется необходимостью формирования информации по каждому факту хозяйственной жизни, в том числе связанному с использованием материальных, трудовых и финансовых ресурсов, что позволяет повысить эффективность финансово-хозяйственной деятельности экономического субъекта.

Необходимо отметить, что не все группы пользователей имеют равный доступ к информации, формируемой службами внутреннего контроля и бухгалтерского учета. Как правило, неограниченный доступ к информации может иметь администрация, частичный - собственники. Поэтому внутренний контроль необходимо организовать таким образом, чтобы реализовать возможность предоставления необходимой информации для целей управления на разных уровнях иерархии, с различными требованиями к ее полноте, форме и содержанию. Внутренний контроль в системе управления экономического субъекта может эффективно функционировать только во взаимосвязи с другими функциями управления. Связь контрольного, учетного и аналитического процессов позволяет наилучшим образом решить проблему информационного обеспечения управления.

Взаимодействие полномочий контрольных органов реализуется посредством функции управления экономическим субъектом, что достаточно полно раскрывают в своей работе С.Р. Концевая, В.А. Карасев и Н.К. Костенкова . Взаимосвязь функций управления, отраженная этими учеными в своей работе в виде схемы (рис. 1).

Рисунок 1. Взаимосвязь функций управления коммерческой организации при осуществлении контроля

Таким образом, взаимное влияние функций управления неоспоримо, что необходимо указывать в ходе оценки эффективности внутреннего контроля организации.

Цель внутреннего контроля определяется каждым экономическим субъектом самостоятельно. Так, согласно информации Минфина России №ПЗ-11/2013 внутренний контроль способствует достижению экономическим субъектом целей своей деятельности и должен обеспечивать предотвращение или выявление отклонений от установленных правил и процедур, а также искажений данных бухгалтерского учета, бухгалтерской (финансовой) и иной отчетности. Реализация контрольных действий невозможна без рассмотрения его составляющих.

В указанной информации Минфина РФ в качестве основных элементов внутреннего контроля экономического субъекта выделяет:

  • контрольную среду;
  • оценку рисков;
  • процедуры внутреннего контроля;
  • информацию и коммуникацию;
  • оценку внутреннего контроля.

Анализ вышеуказанного документа и работ отдельных специалистов позволяет сформировать данные для характеристики элементов внутреннего контроля, в том числе и использования ресурсов организации, которые систематизированы в табл. 1.

Таблица 1. Характеристика элементов системы внутреннего контроля

Контрольная среда Оценка рисков Процедура внутреннего контроля Информация и коммуникация Оценка внутреннего контроля
Совокупность принципов и стандартов деятельности экономического субъекта Процесс выявления и анализа рисков Действия, направленные на минимизацию рисков, влияющих на достижение целей экономического субъекта Обеспечивает функционирование внутреннего контроля и возможность достижения поставленных целей Осуществляется в отношении элементов внутреннего контроля с целью определения их эффективности и результативности, а также необходимости изменения
Целенаправленность. Своевременность. Действенность. Объективность. Системность. Конфиденциальность. Гибкость. Простота Возникновение и существование. Полнота. Права и обязательства. Оценка и распределение. Представление и раскрытие Документальное оформление. Подтверждение соответствия между объектами (документами) или их соответствия установленным требованиям. Санкционирование (авторизация) сделок и операций, обеспечивающее подтверждение правомочности их совершения. Сверка данных. Разграничение полномочий и ротация обязанностей. Процедуры контроля фактического наличия и состояния объектов, в том числе физическая охрана, ограничение доступа, инвентаризация. Надзор, обеспечивающий оценку достижения поставленных целей или показателей. Процедуры, связанные с компьютерной обработкой информации и информационными системами Информационные системы экономического субъекта. Распространение информации Мониторинг внутреннего контроля. Периодическая оценка внутреннего контроля

Отметим что, в элементах внутреннего контроля недостаточно проработан вопрос оценки эффективности внутреннего контроля, как для целей управления, так и для целей независимого аудита финансовой отчетности. Как следствие, отсутствует методологическая база, позволяющая компаниям проводить эффективную работу над ошибками и влияющая на принятие управленческих решений. Поэтому для целей управления экономическим субъектам наиболее значимо и необходимо формировать систему показателей и критериев оценки эффективности внутреннего контроля использования ресурсов, в том числе материальных, трудовых и финансовых.

Другой проблемой является отсутствие в РФ общих критериев оценки эффективности, что объясняется отсутствием стандартов внутреннего контроля или недостаточной их разработанностью. Как отмечает в своей работе Р.О. Костирко, вопрос оценки качества деятельности субъектов внутреннего контроля осложняется тем, что «в экономической литературе недостаточно разработаны вопросы теории эффективности контроля и обобщения характеристик его качества». Для оценки эффективности внутреннего контроля отечественные ученые предлагают использовать отдельные частные показатели, а предложенные рекомендации, направленные на повышение действенности контроля, имеют локальный характер. Имеющиеся методики оценки эффективности внутреннего контроля ограничиваются оценкой эффективности внутреннего контроля из-за снижения риска .

В последние годы повышенное внимание внутреннему контролю уделяется и на международном уровне. Итогом работы в этой области стала разработка ряда документов, делающих попытки определить, оценить, описать и выявить направления совершенствования внутреннего контроля. Краткое описание отдельных документов представлено в табл. 2.

Таблица 2. Характеристика моделей внутреннего контроля

Документ (модель) Краткое описание
Стандарт «Цели контроля при использовании информационных технологий» (Control Objectives for Informatio№and Related Technology, COBIT) Разработан Ассоциацией аудита и контроля информационных систем ISACA (Informatio№Systems Audit and Control Foundation"s Control Objectives for Informatio№and Related Technology). Содержит инструментарий для полного и эффективного исполнения обязанностей по контролю за безопасностью информационных систем
Доклад «Контроль и аудит систем» (Security access control, SAC) Подготовлен Исследовательским фондом Института внутренних аудиторов (Institute of Internal Auditors Research Foundation"s Systems Auditability and Control). Содержит разъяснения для внутренних аудиторов по вопросам контроля и аудита информационных систем и технологий
Доклад «Внутренний контроль: интегрированный подход» (модель COSO - Committee of Sponsoring Organizations of the Treadway Commission) Подготовлен Комитетом спонсорских организаций Комиссии Тридуэя (Committee of Sponsoring Organizations of the Treadway Commission"s Internal control - Integrated Framework). Содержит рекомендации менеджменту по вопросам оценки, описания и совершенствования систем контроля
Указание о рассмотрении структуры внутреннего контроля при аудите финансовой отчетности (Statement on Auditing Standards 55, SAS 55) Утверждено Американским институтом дипломированных бухгалтеров (America№Institute of Certified Public Accountants" Consideration of the Internal Control Structure i№a Financial Statement Audit) с внесенными позднее изменениями (SAS 78). Документы SAS 55 и SAS 78 содержат руководящие указания внешним аудиторам относительно влияния внутреннего контроля на планирование и проведение аудита финансовой отчетности организации

Поскольку перечисленные документы разрабатывались различными органами для разных целевых групп, между ними возможны некоторые несоответствия. Однако каждый документ фокусируется на внутреннем контроле и конкретной целевой группе. Сравнение документов показывает, что каждый из них использует идеи предыдущих документов.

Заслуживает внимания сопоставление концепций внутреннего контроля, которое приведено сайте Bankir.ru (табл. 3).

Таблица 3. Сравнительный анализ концепций внутреннего контроля

Критерий сравнения Регулирующий документ
COBIT SAC COSO SAS 55/78
Основная целевая группа Менеджмент. Пользователи. Аудиторы информационных систем Внутренние аудиторы Менеджмент Внешние аудиторы
Внутренний контроль Совокупность процессов, включая нормы, процедуры, приемы и организационные структуры Совокупность процессов, подсистем и людей Процесс Процесс
Организационные цели внутреннего контроля Эффективные и результативные операции. Конфиденциальность, целостность и доступность информации. Надежная финансовая отчетность. Соблюдение законов и правил Эффективные и результативные операции. Надежная финансовая отчетность. Соблюдение законов и правил Надежная финансовая отчетность. Эффективные и результативные операции. Соблюдение законов и правил
Компоненты или зоны Зоны: планирование и организация; приобретение и внедрение; доставка и поддержка; мониторинг Компоненты: среда контроля; ручные и автоматические системы; процедуры контроля Компоненты: среда контроля; риск-менеджмент; действия по осуществлению контроля; информация и коммуникация; мониторинг Компоненты: среда контроля; оценка риска; действия по осуществлению контроля; информация и коммуникация; мониторинг
Фокус Информационные технологии Информационные технологии Вся организация Финансовая отчетность
Оценка эффективности внутреннего контроля За период времени За период времени На момент времени За период времени
Ответственность за внутренний контроль Руководство Руководство Руководство Руководство

Оценку эффективности внутреннего контроля необходимо начинать с ее организации, поскольку эффективной может быть только хорошо организованная система. Достаточно подробные требования для организации внутреннего контроля изложены в уже упоминавшийся информации Минфина России №ПЗ-11/2013.

Система внутреннего контроля за использованием ресурсов не может быть эффективной без четко разграниченных полномочий органов контроля экономического субъекта. Разграничение контрольных полномочий подразделений является внутренним делом каждой организации и всецело зависит от взаимодействия корпоративного управления, системы риск-менеджмента и собственно внутреннего контроля. Организация результативного взаимодействия подразделений, занятых в управлении, является еще одной проблемой при оценке эффективности внутреннего контроля. Схема взаимодействия подразделений экономического субъекта при осуществлении контрольных мероприятий представлена на рис. 2.

Рисунок 2. Взаимодействие компетенций (полномочий) контрольных подразделений организации

При формировании методики оценки эффективности внутреннего контроля необходимо четко сформулировать методы его проведения в зависимости от целей, поставленных корпоративным управлением. Ввиду этого контрольные мероприятия могут различаться. Вместе с тем перечни применяемых в рамках каждого мероприятия процедур оценки эффективности внутреннего контроля будут аналогичны:

  • контроль и утверждение документов;
  • проверка арифметических записей;
  • ведение и проверка аналитических ведомостей;
  • подготовка и утверждение отчетов, а также доведение отчетов до сведения руководства.

При оценке эффективности внутреннего контроля может быть использована иерархическая «лестница» приемов и способов оценки, приведенная на рис. 3.

Рисунок 3. Иерархия приемов и способов оценки эффективности внутреннего контроля

Процедуры внутреннего контроля представляют собой действия, направленные на минимизацию рисков, которые оказывают влияние на возможность достижения целей экономического субъекта.

Опрос персонала экономического субъекта проводится для того, чтобы оценить его знания и квалификацию, а также получить информацию о порядке совершения фактов хозяйственной жизни и функционирования внутреннего контроля. Наблюдение за совершением фактов хозяйственной жизни и осуществлением внутреннего контроля позволяет подтвердить факт его существования и действенность. Аналитические приемы применяются при необходимости выделения формализованных показателей оценки внутреннего контроля.

Проверка доказательств осуществления внутреннего контроля и его результатов применяется в случае, если его результаты были задокументированы.

Повторное проведение процедуры внутреннего контроля применяется, если все остальные способы не смогли обеспечить достаточного доказательства эффективности внутреннего контроля и его документальное оформление отсутствует.

Мнение проверяющего, которое формируется в ходе оценки эффективности внутреннего контроля, служит основанием для принятия на его основе каких-либо решений.

Как считают авторы, результаты оценки эффективности внутреннего контроля должны быть задокументированы. Особых требований к оформлению итогового документа по результатам оценки внутреннего контроля нет. Вместе с тем необходимо отметить, что формируемый документ должен быть достаточным и уместным и отвечать таким критериям, как: простота; наглядность; понятность; нейтральность информации и др.

Целесообразно проводить оценку внутреннего контроля исходя из следующих требований к проведению контрольных мероприятий: доли выборки документов или объектов контроля; обоснованности выявленных отклонений; рассмотрения возможных причин возникновения ошибок; разработки рекомендаций по исправлению ошибок; оценки влияния ошибок на принятие управленческих решений (риски неэффективности управленческих решений, причиной которых являются не выявленные ошибки).

На основании данных критериев контрольные показатели следует обобщить на специальном контрольном листе. Оценка внутреннего контроля осуществляется в процентном соотношении. 100% присваивается в случае, если проверены все документы и отсутствуют какие-либо замечания по результатам контроля. Соответственно, ноль процентов присваивается, если контрольные мероприятия по какому-либо направлению не проводились.

Как видно из указанного файла, в п. 1 контрольного листа результат оценки в 80% получен следующим путем:

  • контрольным действиям подверглись 100% имеющейся выборки (документов) в части регламентации внутреннего контроля;
  • проверяющие при проведении внутреннего контроля представили рекомендации по устранению нарушений;
  • специалисты службы внутреннего контроля решили, что 80% рекомендаций выполнимо и эффективно.

Итого 80% (80% x 100%).

На основании данных, изложенных в контрольном листе, необходимо провести оценку эффективности внутреннего контроля организации на основе профессионального суждения лица, осуществляющего оценку эффективности. Как отмечают в своих работах Н.В. Генералова и С.Н. Карельская, одно из наиболее часто цитируемых определений «профессиональное суждение» представлено Л.З. Шнейдманом:

Профессиональное суждение - это мнение, заключение, являющееся основанием для принятия решения в условиях неопределенности. Оно базируется на знаниях, опыте и квалификации соответствующих специалистов .

В статье отмечено, что «профессиональное суждение можно охарактеризовать как обоснованное мнение профессионального бухгалтера, высказанное в условиях неопределенности при квалификации, стоимостном измерении, классификации и оценке значимости фактов хозяйственной жизни для целей бухгалтерской отчетности, основанное на доступной, на данный момент времени полной, достоверной и объективной информации, а также особенностях функционирования хозяйствующего субъекта». По мнению авторов, с точки зрения оценки внутреннего контроля никто не сможет характеризовать внутренний контроль более достоверно, чем профессиональный бухгалтер или аудитор.

Если учесть требования, предъявляемые к внутреннему контролю, то можно сформулировать отдельные подходы к стандартизации качества оценок для формирования профессионального суждения проверяющего:

  • обоснованность профессионального суждения (основывается на документированных и подтвержденных результатах);
  • непротиворечивость (полученные данные оценки эффективности не противоречат другой релевантной информации);
  • системность (оценка эффективности основана на системе показателей и критериев, закрепленных внутренними документами в организации);
  • соблюдение приоритета экономического содержания перед формой (возвышение экономической информации над правовой в ходе оценки системы внутреннего контроля);
  • объективность (всестороннее рассмотрение критериев и показателей оценки эффективности системы внутреннего контроля экономического субъекта).

Порядок проведения оценки внутреннего контроля целесообразно закрепить в локальном нормативном акте организации. Это может быть как учетная политика, так и отдельный документ, например положение о внутреннем контроле, наиболее рациональным представляется формирование второго документа.

В положении о внутреннем контроле организации должны быть закреплены внутренние принципы проведения проверок фактов хозяйственной жизни и других объектов бухгалтерского учета, отраженные в 402-ФЗ и иных федеральных стандартах бухгалтерского учета. Разработка внутренних стандартов контроля требует существенных затрат труда и финансовых ресурсов.

В положении о внутреннем контроле организации либо в другом локальном акте экономического субъекта необходимо определить те показатели, которые проверяющий будет использовать для оценки эффективности внутреннего контроля. Так, для крупных организаций предпочтительным видится создание отдельного стандарта, для малых и средних предприятий - введение отдельного параграфа. Помимо этого, менеджменту организации очень важно проводить работу, направленную на повышение качества внутреннего контроля. Целесообразно осуществлять дополнительные мероприятия: опрос работников, анализ архивных данных и проведение статистических исследований, в рамках которых может анализироваться процент правильно оформленных документов, процент претензий инспекции Федеральной налоговой службы (ИФНС), которые удалось отстоять в рамках досудебного оспаривания решений, и пр.

Экономическому субъекту необходимо проводить работу, направленную на интеграцию отдельных компонентов внутреннего контроля в единую среду и единое информационное поле. Все функции контролирующих подразделений должны быть четко определены (закреплены в локальном акте, отражающем их взаимодействие и функции) и дополнять друг друга, создавая единое защитное пространство. Кроме этого, представляется целесообразным создать единую автоматизированную систему по контролю за рисками, включая единую базу рисковых событий экономического субъекта. Последнее, несомненно, будет способствовать предотвращению рисков и повышению эффективности функционирования внутреннего контроля экономического субъекта. Для оценки эффективности внутреннего контроля целесообразно, по мнению авторов, использовать тесты, разработанные профессором Р.А. Алборовым и применяемые в практических проверках многими аудиторскими фирмами.

Из анализа представленных данных тестирования следует, что в данном примере уровень организации внутреннего контроля за вопросами исследования низкий и ниже среднего. Основной недостаток внутрихозяйственного контроля - отсутствие фактического контроля поступления, наличия и использования материалов.

Если в ходе изучения и оценки эффективности системы внутреннего контроля будут выявлены отдельные недостатки, рекомендуется использовать следующие процедуры:

  • рассмотрение характера и причин неэффективности внутреннего контроля;
  • проведение дополнительной проверки или тестирования системы (если проверяющий посчитает это необходимым);
  • определение направлений и формулирование рекомендаций в части устранения выявленных недостатков.
  • При формировании рекомендаций по устранению выявленных недостатков во внутреннем контроле необходимо:
  • описать недостаток внутреннего контроля и сопутствующий ему риск;
  • описать действия, которые необходимо предпринять для устранения недостатка;
  • назначить лицо, ответственное за устранение недостатка;
  • установить сроки устранения недостатка.

Необходимо отметить, что внутренний контроль должен быть направлен на выявление и предотвращение всех ошибок, как существенных, так и несущественных. Внутренний контроль осуществляют как бухгалтерская служба, так и служба внутреннего контроля или ревизионные отделы, и если служба внутреннего контроля при проверках может применять выборочные методы, то бухгалтерской службе присущ способ сплошной проверки.

Рекомендуемый рабочий документ, формируемый в системе внутреннего контроля, содержащий рекомендации по устранению выявленных недостатков в системе внутреннего контроля на примере использования материалов, представлен на следующем примере.

Таким образом, в ходе оценки контрольных процедур очень важно свести до минимума риски, связанные с ведением учета, что достигается формированием рекомендаций по устранению выявленных недостатков в системе внутреннего контроля.

Рисунок 4. Схема формирования информационных потоков в процессе оценки эффективности системы внутреннего контроля

В заключение следует отметить, что из-за отсутствия четко сформулированного стандарта в части оценки эффективности внутреннего контроля экономическим субъектам приходится самостоятельно формировать мнение о соответствии внутреннего контроля целям и задачам своей деятельности, а также проводить проверку эффективности контрольных мероприятий по своему профессиональному суждению.

Список литературы:

  1. Алборов Р.А. Аудит в организациях промышленности, торговли и АПК: Учеб. пособие. М.: Дело и Сервис, 2003. 464 с.
  2. Белик В.Д., Скакун Л.С. Развитие методических подходов к оценке качества деятельности субъектов внутреннего контроля: применение квалиметрических методов // Международный бухгалтерский учет. 2012. №42. С. 48-57.
  3. Генералова Н.В., Карельская С.Н. Применение профессионального суждения в разные периоды развития нормативного регулирования бухгалтерского учета в России // Международный бухгалтерский учет. 2013. №33.
  4. Городилов М.А. Международный стандарт аудита №610 «Использование результатов работы внутренних аудиторов»: новая редакция // Аудитор. 2013. №8. С. 56-63.
  5. Губайдуллина А.Р. Принципы учета, определяющие применение профессионального суждения бухгалтера в условиях перехода к международным стандартам финансовой отчетности // Международный бухгалтерский учет. 2012. №28.
  6. Концевая С.Р., Карасев В.А., Костенкова Н.К. Развитие внутреннего контроля в системе управления сельскохозяйственным производством // Международный бухгалтерский учет. 2014. №2.
  7. Котлячков О.В. Критерии и оценочные показатели в аудите эффективности использования инвестиционных средств // Вестник ИПБ. 2013. №4. С. 39-48.
  8. Остаев Г.Я., Концевая С.Р., Галлямова Т.Р. Формирование и стандартизация внутреннего аудита в коммерческих организациях // Международный бухгалтерский учет. 2012. №45.
  9. Широбоков В.Г., Кателикова Т.И. Направления ревизии снабженческо-сбытовых сельскохозяйственных потребительских кооперативов // Бухучет в сельском хозяйстве. 2012. №4.
  10. Хорохордин Н.Н. Служба внутреннего аудита: этапы создания, цели и задачи // Аудиторские ведомости. 2007. №10.
  11. Костирко Р.О. Оцiнка ефективностi внутрiшнього контролю в управлiннi витратами пiдприемства.

Аудитор должен обладать знаниями о системе внутреннего контроля, необходимыми для проведения аудита, и использовать их для выявления возможных искажений при рассмотрении факторов, которые оказывают влияние на риски существенного искажения информации, и при планировании характера, сроков и объема дальнейших аудиторских процедур. Федеральное правило (стандарт) №8 "Понимание деятельности аудируемого лица, среды, в которой она осуществляется, и оценка рисков существенного искажения аудируемой финансовой (бухгалтерской) отчетности (в ред. Постановления Правительства РФ от 19.11.2008 N 863) регулирует оценку системы внутреннего контроля.

Система внутреннего контроля представляет собой процесс, организованный и осуществляемый представителями собственника, руководством, а также другими сотрудниками аудируемого лица, для того чтобы обеспечить достаточную уверенность в достижении целей с точки зрения надежности финансовой (бухгалтерской) отчетности, эффективности и результативности хозяйственных операций и соответствия деятельности аудируемого лица нормативным правовым актам. Это означает, что организация системы внутреннего контроля и ее функционирование направлены на устранение каких-либо рисков хозяйственной деятельности, которые угрожают достижению любой из этих целей.

Система внутреннего контроля включает следующие элементы:

Контрольная среда;

Процесс оценки рисков аудируемым лицом;

Информационная система, в том числе связанная с подготовкой финансовой (бухгалтерской) отчетности;

Контрольные действия;

Мониторинг средств контроля.

Разделение системы внутреннего контроля на 5 элементов предоставляет аудиторам удобный подход для анализа того, каким образом различные элементы системы внутреннего контроля аудируемого лица могут влиять на аудит. Аудитору важно установить, что конкретные средства контроля эффективно предотвращают или выявляют и устраняют существенные искажения на уровне предпосылок подготовки финансовой (бухгалтерской) отчетности в группах однотипных операций, остатках по счетам бухгалтерского учета или случаях раскрытия информации.

Контрольная среда включает позицию, осведомленность и действия представителей собственника и руководства относительно системы внутреннего контроля аудируемого лица, а также понимание значения такой системы для деятельности аудируемого лица. Контрольная среда аудируемого лица оказывает влияние на сознательность сотрудников в отношении контроля. Она является основой для эффективной системы внутреннего контроля, обеспечивающей поддержание дисциплины и порядка. Контрольная среда включает следующие элементы:

1) доведение до всеобщего сведения и поддержание принципа честности и других этических ценностей.

2) профессионализм (компетентность сотрудников). Профессионализм - это профессиональные знания и навыки, необходимые для выполнения задач, которые определяют суть деятельности конкретного работника. Приверженность профессионализму отражает мнение руководства об уровне профессиональных знаний, необходимом для выполнения соответствующих видов работ, и о том, каким образом этот уровень устанавливается в качестве квалификационных требований;

3) участие собственника или его представителей. Представители собственника в значительной степени оказывают влияние на сознательность сотрудников аудируемого лица в отношении контроля.

4) компетентность и стиль работы руководства. Компетентность и стиль работы руководителей имеют широкий диапазон характеристик.

5) организационная структура. Организационная структура аудируемого лица представляет собой систему, в рамках которой планируется, осуществляется, контролируется и отслеживается деятельность аудируемого лица для достижения стоящих перед ним целей. Аудируемое лицо разрабатывает организационную структуру, соответствующую его потребностям. Надлежащий характер организационной структуры аудируемого лица зависит в том числе от характера и масштабов его деятельности;

6) наделение ответственностью и полномочиями. Предполагает разделение ответственности и полномочий в ходе осуществления деятельности и установление иерархии подотчетности сотрудников, а также охватывает политику в отношении надлежащей деловой практики, знаний и опыта ключевого персонала и предоставляемые для выполнения обязанностей возможности. Он включает систему информирования персонала о целях аудируемого лица, взаимосвязи индивидуальных действий каждого сотрудника с действиями других сотрудников, участии каждого сотрудника в достижении целей аудируемого лица;

7) кадровая политика и практика.

Оценка рисков аудируемым лицом представляет собой процесс выявления и, по возможности, устранения рисков хозяйственной деятельности, а также их возможных последствий. Для целей финансовой (бухгалтерской) отчетности важен вопрос, каким образом в процессе оценки рисков аудируемым лицом руководство выявляет риски, имеющие отношение к финансовой (бухгалтерской) отчетности, определяет их значение, оценивает вероятность их возникновения и принимает решение относительно того, как управлять ими.

При выявлении возможных рисков руководство рассматривает степень их важности, вероятность их возникновения и способы управления ими. Руководство может составлять планы, программы, осуществлять соответствующие действия для устранения этих рисков или принять решение игнорировать риски из-за дороговизны возможных средств контроля в отношении этих рисков либо по другим причинам. Риски могут возникать или изменяться вследствие следующих обстоятельств:

Изменения в окружении аудируемого лица;

Новый персонал;

Внедрение новых или изменение уже применяемых информационных систем;

Быстрый рост и развитие аудируемого лица;

Новые технологии;

Новые подходы к ведению хозяйственной деятельности, новые виды товаров, работ, услуг;

Реорганизация аудируемого лица может сопровождаться сокращением численности персонала и изменениями в распределении обязанностей, а также выполняемых сотрудниками контрольных функциях, которые также могут повлиять на риск, связанный с системой внутреннего контроля;

Расширение операций за рубежом;

Новые принципы, стандарты, положения, инструкции в области ведения бухгалтерского учета и подготовки отчетности.

Базовые принципы процесса оценки рисков аудируемым лицом являются уместными для любого хозяйственного субъекта независимо от масштабов его деятельности, однако процесс оценки рисков является, вероятно, менее формальным и менее структурированным у субъектов малого предпринимательства. Все хозяйственные субъекты определяют цели финансовой (бухгалтерской) отчетности, однако у субъектов малого предпринимательства они могут быть обозначены не столь четко, как в хозяйственных субъектах более крупного размера, что не мешает руководству субъектов малого предпринимательства быть осведомленными о рисках, связанных с этими целями, без применения формализованных методов .

Функционирование информационных систем, связанных с подготовкой финансовой (бухгалтерской) отчетности, обеспечивается:

Техническими средствами;

Программным обеспечением;

Персоналом;

Соответствующими процедурами;

Базами данных.

Большинство информационных систем активно использует компьютерные средства и информационные технологии.

Система информирования обеспечивает понимание персоналом роли своего участия в процессе подготовки финансовой (бухгалтерской) отчетности, того, каким образом его действия в информационной системе связаны с работой других сотрудников, а также понимание способов доведения до руководителей соответствующего уровня информации о каких-либо исключительных ситуациях. Открытые каналы связи должны способствовать тому, чтобы в отношении исключительных ситуаций принимались бы соответствующие меры.

Информационные системы, связанные с подготовкой финансовой (бухгалтерской) отчетности субъектов малого предпринимательства, являются менее формальными, чем у аудируемых лиц более крупного размера, однако их роль также является важной. В субъектах малого предпринимательства при наличии добросовестно работающего руководства может отсутствовать детальное описание учетных процедур. Система взаимосвязи между сотрудниками в субъекте малого предпринимательства может быть менее формальной и более легко устанавливаемой благодаря меньшему числу административных уровней, а также благодаря возможности руководства охватить наблюдением все, что происходит в деятельности аудируемого лица.

Контрольные действия включают политику и процедуры, которые помогают удостовериться, что распоряжения руководства выполняются, например, что необходимые меры предприняты в отношении рисков, которые могут препятствовать достижению целей аудируемого лица. Контрольные действия, осуществляемые вручную или с применением информационных систем, имеют различные цели и применяются на различных организационных и функциональных уровнях.

Общие средства контроля в информационных системах представляют собой политику и процедуры, которые имеют широкие области применения и предназначены для обеспечения эффективного функционирования прикладных средств контроля, помогая удостовериться в правильном бесперебойном функционировании информационных систем.

Прикладные средства контроля применяются к обработке отдельных видов информации. Эти средства контроля помогают удостовериться, что осуществленные хозяйственные операции были санкционированы, в полном объеме и точно зафиксированы и обработаны.

Степень, в какой средства контроля в отношении наличия и состояния объектов учета могут предотвратить присвоение активов, важна для подготовки надежной финансовой (бухгалтерской) отчетности и, соответственно, аудит зависит от таких обстоятельств, как высокая подверженность активов незаконному присвоению.

Контрольные действия, осуществляемые субъектами малого предпринимательства, аналогичны тем, которые проводят хозяйствующие субъекты более крупного размера, однако уровень формального подхода, применяемого теми и другими, является различным. Кроме того, субъекты малого предпринимательства могут посчитать, что некоторые виды контрольных действий являются ненадлежащими вследствие контрольных средств, применяемых руководством.

Важной обязанностью руководства является создание и поддержание системы внутреннего контроля в режиме непрерывной работы. Мониторинг средств контроля включает наблюдение за тем, функционируют ли они и были ли они изменены надлежащим образом в случае необходимости, и может включать такие мероприятия, как наблюдение руководства за тем, своевременно ли подготавливаются выверки расчетов с банками, оценка внутренними аудиторами соответствия действий персонала, занимающегося продажами, политике аудируемого лица в отношении определенных условий договоров с покупателями, осуществление надзора за соответствием действий персонала политике аудируемого лица в области этики или деловой практики.

Мониторинг средств контроля представляет собой процесс оценки эффективного функционирования системы внутреннего контроля во времени. Он включает регулярную оценку организации и применения средств контроля, а также осуществление необходимых корректирующих мероприятий в отношении средств контроля вследствие изменения условий деятельности. Мониторинг осуществляется с целью обеспечения непрерывной эффективной работы средств контроля. Например, если не осуществлять мониторинг за своевременностью и точностью выверки расчетов с банками, то персонал, возможно, прекратит заниматься их подготовкой. Мониторинг средств контроля осуществляется путем проведения непрерывных мероприятий, отдельных проверок или сочетания того и другого.

Мониторинговые мероприятия могут включать использование информации, полученной извне. Эта информация может указывать на проблемы или важные области, требующие улучшения. Клиенты косвенно подтверждают данные счетов, оплачивая их. Руководство, осуществляя мониторинг, может также учитывать сообщения внешних аудиторов, касающиеся системы внутреннего контроля.

Непрерывный мониторинг, осуществляемый субъектами малого предпринимательства, в большей степени является неформальным и обычно осуществляется как часть общего руководства деятельностью аудируемого лица. Непосредственное участие руководства в операциях, как правило, позволяет выявлять серьезные отклонения от ожидаемых показателей и неточности в финансовых данных, что ведет к принятию мер для корректировки средств контроля.

Как провести оценку системы внутреннего контроля компании: основные этапы диагностики, как проанализировать результаты и понять, что исправить.

Систему внутреннего контроля можно назвать «подушкой безопасности» для бизнеса и его финансового учета, так как ее задачи это:

  • исключить искажение хозяйственных операций еще до того, как они попали в оперативный, бухгалтерский учет,
  • обеспечить руководство и акционеров достоверной учетной информацией,
  • не допустить снижение прибылей бизнеса от таких негативных явлений как злоупотребления сотрудников с активами, мошенничество, зависимости бизнеса от менеджмента, а также от внешних рисков.

Зачем проводить оценку системы внутреннего контроля

Перед тем как говорить об оценке системы внутреннего контроля , я хочу привести примеры из моей практики по диагностике контрольной среды организаций.

Пример первый. В одной торговой компании существует постоянный спор: кто собирает акты сверки с покупателями, кто ответственен за состояние дебиторской задолженности – менеджеры или бухгалтерия? Известная для многих ситуация, не правда ли? В компании эта проблема не находит решения который год. Но наступает и в этом году момент сдачи годовой бухгалтерской отчетности. И бухгалтеру приходится собирать дебиторскую задолженность как есть, проверяя наспех имеющиеся акты сверки и отмечая, что многие из задолженностей год и более остаются «без движения». Бухгалтер подписывает ведомость инвентаризации дебиторской задолженности, ставя в ней отметку, что вся задолженность «текущая», вносит в бухгалтерский баланс общую сумму о дебиторской задолженности. Отчетность сделана и сдана в налоговую инспекцию в срок. После приходят на проверку аудиторы (компания впервые проводит ) и выявляют существенно недостоверную строки бухгалтерского баланса - дебиторскую задолженность. Почему? Часть ее является безнадежной и подлежала списанию еще в прошлом году, часть – сомнительной, под которую не создан резерв, а по некоторым долгам акты сверок не совпадают с цифрами бухгалтерского учета.

А вот еще пример. Молодая производственная компания, делает медицинские приборы и комплектует их индивидуально под каждого заказчика. В ней быстрый темп работы, чувствуется драйв, азарт работы инженеров, производителей, коммерсантов. Главный бухгалтер уже три года буквально упрашивает делать производственников производственные отчеты, но всем некогда. Ему говорят, что это «не первоочередная задача», и что «бухгалтер сам должен что-то придумать». А в бухгалтерию приносят только следующие документы из производства: накладные от поставщиков на материалы и накладные на отгрузку уже готовых изделий. А отчитываться по налогам надо и аудит проходить обязало руководство. И главный бухгалтер делает следующее: распечатывает ведомость по материалам из бухгалтерского учета и просит отметить в ней начальника производства что было списано в текущем квартале. Согласно этих отметок бухгалтер и списывает материалы на себестоимость в бухгалтерском и налоговом учете. Так же он подписывает ведомости на списание материалов. Сам составляет ведомость о выпуске из производства уже проданных изделий, тоже подписывает ее и подписывает у генерального директора. Что в итоге: получено аудиторское заключение с оговоркой о недостоверности себестоимости и финансовых результатов и доначислен налог на прибыль при выездной налоговой проверке по лишнему списанию материалов в производство, по выявлению незавершенного производства и фальсификации производственных документов.

И еще отмечу, что ни одна из приведенных компаний не имела целью сокрытия хозяйственных операций от бухгалтерского учета, обе организации исправно платили налоги в достаточно больших для этих организаций размерах.

Что в этих примерах общего? А общее вот что:

  • не определены ответственные должностные лица за эти бизнес-процессы,
  • бухгалтер вынужден замкнуть проблемы контроля в бизнес-процессах на себя,
  • подобные ситуации – это благодатная почва для , когда нет контроля и отчеты формальны,
  • внутренние противоречия повлекли внешние риски: налоговые доначисления по документальной необоснованности расходов и недостоверность бухгалтерской отчетности.

Но самое главное, что в обеих организациях пассивно руководство и владельцы к источникам внутренних проблем. Вот так «повторяющийся хаос становится порядком», как сказал немецкий ученый Вильгельм Швёбель. А причина этих бед в обеих компаниях – одна: отсутствует системный внутренний контроль.

И, увы, подобные примеры встречаются достаточно часто, особенно в малом и среднем бизнесе.

Полезные документы

Принципы эффективной системы внутреннего контроля

Эффективность системы внутреннего контроля базируется на пяти принципах:

  1. Рациональность – должна быть соразмерна бизнесу, но расходы на ее создание не должны превышать стоимость от ее выгоды, тормозить процессы развития.
  2. Независимость – ключевой принцип, без соблюдения которого трудно представить эффективную систему внутреннего контроля.
  3. Регулярность – контроль от случая к случаю сведет на нет любые хорошо прописанные регламенты.
  4. Гибкость – система внутреннего контроля должна быстро подстраиваться к переменам в компании.
  5. Заинтересованность собственника – только при личной заинтересованности собственника система внутреннего контроля даст свои плоды.

Система внутреннего контроля охватывает два аспекта деятельности организации – это повышение эффективности бизнес-процессов (в том числе снижение затрат) и управление рисками. Для этого в первую очередь необходимо диагностировать текущие бизнес-процессы с целью оценки их эффективности и определения всех потенциально возможных рисков. Результаты такой диагностики должны стать основой для разработки плана мероприятий по созданию системы внутреннего контроля и снижению выявленных рисков.

Этапы диагностики системы внутреннего контроля

Что включает в себя сама процедура диагностики системы внутреннего контроля?

  1. Анализ основных бизнес-процессов компании.
  2. Анализ и его организации в бизнес-процессах.
  3. Анализ распределения функциональных обязанностей сотрудников в бизнес-процессах.
  4. Экспресс-анализ бухгалтерского, налогового, кадрового, оперативного и управленческого, учетов.
  5. Экспресс-анализ используемых программных продуктов.
  6. Интервьюирование сотрудников и руководства.
  7. Проведение выборочных контрольных процедур, а также сопоставление и анализ данных, полученных из разных источников.

Из моего практического опыта систему внутреннего контроля разных компаний независимо от масштаба и экономического вида деятельности можно оценить по 5-ти бальной системе (см. таблицу).

Таблица . Оценка системы внутреннего контроля

Оценка в баллах

Уровень СВК

Характеристика уровня

Начальный

Система контролей отсутствует полностью или применяется бессистемно, в небольшой части бизнес-процессов, на уровне отдельных сотрудников, имеет серьезные ошибки. Нет формализованных стандартов и принципов контрольной среды.

Определяющий

Существуют практические элементы системы контроля в основных бизнес-процессах, но не формализованы в систему, применяются элементы контроля эпизодически.

Стандартизированный

Определены стандарты, процессы и структуры системы контроля, но только «на бумаге». В реальности часть их не работает. Фактические процессы контроля не соответствуют формализованным стандартам, охватывают не все бизнес-процессы.

Управляемый

Существуют регламенты и стандарты системы контроля. Определены структура, функции и процессы системы контроля. Внутренний контроль – на уровне системы, которая реально работает во всей компании и дает результаты – снижает риски. Но существуют не решенные проблемы в области взаимодействия и внутреннего контроля в основных и вспомогательных процессах.

Оптимальный

Система контролей не просто снижает риски, а является инструментом, который позитивно влияет на эффективность деятельности.

Каждому уровню системы контроля присущи свои элементы, свои «болезни» и свои особенности. Рассмотрим их подробнее.

Оценка 1 – начальный уровень системы внутреннего контроля

Эта оценка может быть присвоена тем компаниям, в которых нарушены основные принципы системы внутреннего контроля. В таких компаниях обычно финансовый учет не отражает реальных бизнес-процессов и находится в крайне неудовлетворительном состоянии. Отсутствует реальная оценка зарабатываемой бизнесом прибыли. В безналичных и наличных денежных расчетах смешиваются выплаты по бизнесу и личные расходы, денежные расходы не планируются, имеют системный характер. Документооборот не полный, качество документов низкое (отсутствуют подписи, даты и т.п.), это влечет потенциальные налоговые риски и проигрыши в судебных спорах с контрагентами. Складской учет отсутствует в принципе. Отсутствует юридическая материальная ответственность фактических материально-ответственных лиц. Инвентаризации товаров, дебиторской задолженности (периодические, выборочные, внезапные) не проводятся. Совмещаются несовместимые функциональные обязанности на одних и тех же сотрудниках по учету, распоряжению, доступу к активам (основные средства, деньги, товары, материалы, предоставление скидок покупателям). Неэффективное использование трудовых ресурсов, система КPI не мотивирует сотрудников, затраты на премии не создают благ для компании. Крайне низкая IT-безопасность. Результаты бизнеса слабо контролируется на уровне топ-менеджеров и на уровне акционеров (владельцев).

Риски

Таким образом, в компаниях с оценкой системы контроля «1» созданы все условия для мошенничества, хищений и злоупотреблений сотрудников, а также высокие внешние риски значительных налоговых доначислений при проверках, угрозы прерывания деятельности и угрозы банкротства. Все бизнес-процессы и контроль в них требуют кардинальной перестройки.

Оценка 2 – определяющий уровень СВК

Дается в основном тем компаниям, в которых внутреннего контроля на уровне системы не создано. Организационная структура таких компаний не формализована или имеет неверную структуру подчиненности, что уже закладывает почву для внутренних рисков злоупотреблений должностными полномочиями и мошенничества. Именно поэтому, очень часто оперативное управление бизнесом попадает под значительное влияние отдельных топ-менеджеров, это делает бизнес зависимых от них.

Отсутствуют утвержденные регламенты работы сотрудников с их четким функционалом, а также по взаимодействию между подразделениями.

Результаты оперативного складского, производственного учета, учета продаж представляются топ-менеджерам не в режиме реального времени и не дают возможность быстро реагировать на изменения внутренних и внешних условий деятельности. Акционеры и топ-менеджеры получают не полноценные результаты о деятельности бизнеса из системы управленческого учета.

Очень часто руководство компаний с оценкой «2» системы внутреннего контроля имеют дифференцированные результаты по зарабатываемой бизнесом прибыли и активно анализируют их, но не контролируют состояние активов и обязательств (дебиторской и кредиторской задолженностей, запасов, основных средств), не требуют этого от соответствующих топ-менеджеров.

В ряде компаний с данной оценкой системы внутреннего контроля имеют существенные недостатки IT-безопасности, которые приводят к высоким рискам утечки информации (баз данных, технологий) и делают бизнес не защищенным от внешних конкурентов.

Риски

Несмотря на то, что бизнес компаний с оценкой «2» системы внутреннего контроля может быть прибыльным, но ему присущи все следующие виды рисков с высокой вероятностью их наступления:

  • риск потерь основного актива (в зависимости от характера деятельности компании – это может быть недвижимость, оборудование, товары);
  • риски налоговых доначислений при проверках;
  • риск недостоверной информации по данным оперативного, бухгалтерского и ;
  • риск зависимости от человеческого фактора: бизнес-процессы недостаточно формализованы и сильно сконцентрированы на отдельном топ-менеджере.

В ряде ключевых бизнес-процессов контрольные функции недостаточны и не соразмерны масштабам деятельности. Нередко компаниям с оценкой системой контроля «2» характерно сосредоточение максимальных контрольных функций на одном-двух бизнес-процессах в ущерб всем другим процессам. Некоторые бизнес-процессы требуют перестройки (реинжиниринга). Процессы планирования недостаточны для текущих потребностей бизнеса. Контрольные функции по всем бизнес-процессам в настоящее время замыкаются на акционерах (владельцах) бизнеса.

Оценка 3 – стандартизированный уровень системы внутреннего контроля

На сегодняшний день самая распространенная среди компаний среднего бизнеса (этот вывод я сделала из своей практической работы за пять последних лет). Ей характерно формальное существование стандартов внутреннего контроля и других процессов. А также не редко встречается вместе с этим формальное проведение контролей.

У топ-менеджеров компаний с оценкой «3» есть понимание бизнеса. Задачи собственников каскадируются в менеджмент (хотя и не формализованы часто в качестве стратегии), задачи исполняются, анализируются, по ним принимаются управленческие решения.

Все бизнес-процессы работают сбалансировано. Контрольные функции присутствуют в каждом бизнес-процессе. Среда внутреннего контроля в таких компаниях создана, но система внутреннего контроля недостаточна для масштабов бизнеса: имеет рисковые зоны, не защищает в полной мере активы от их утраты (хищения, злоупотребления), а прибыль от снижения.

Созданы формализованные, утвержденные регламенты работы и методики:

  • по управленческому учету;
  • по системе заработной платы и KPI;
  • по графику документооборота;
  • по технологическим потерям и браку и другие.

Полезные документы

В утвержденных регламентах распределение функциональных обязанностей, организационная структура, кадровая политика, и функционал работников также сбалансированы. Но фактически бизнес-процессы могут отличаться от утвержденных на бумаге, или не применяться вовсе. Частой причиной этого является недостаточное выражение воли акционеров (владельцев) в сочетании с отсутствием системы планирования внедрения изменений и системы мотивации. Как следствие этих недостатков системы контролей, фактическое оперативное управление бизнесом иногда в компаниях с оценкой системы внутреннего контроля «3» находится под значительным влиянием отдельных топ-менеджеров.

, планирования и анализа не позволяют в полной мере осуществлять мониторинг результатов деятельности. Отсутствуют единые требования и стратегии в части ведения управленческого учета. Процессами планирования охвачены не все центры финансовой ответственности, бизнес-процессы. Принимаемые управленческие решения могут быть не верными. Вместе с тем акционеры и топ-менеджеры таких компаний в основном получают реальные результаты о деятельности бизнеса из системы управленческого учета.

Риски

Акционеры значительно погружены в ее операционную деятельность компании, что не позволяет им уделять должного внимания процессам развития и контролировать бизнес удаленно без потерь прибылей.

Оценка 4 – управляемый уровень СВК

Эту оценку ставят тем компаниям, в которых внутренний контроль действует на уровне системы (системного подхода), то есть связывает перекрестными контрольными функциями все бизнес-процессы организации без исключения. Обычно такие компании (исключая небольшой частный бизнес со штатом до 20 человек) имеют в штате внутреннего контролера (аудитора) или службу внутреннего контроля, независимых от активов, процессов и учета. В таких компаниях цели акционеров каскадируются в менеджмент, а топ-менеджеры понимают поставленные перед бизнесом задачи.

Система внутреннего контроля создана, соответствует масштабам бизнеса, защищает в активы от их утраты, а прибыль от снижения, но имеет рисковые зоны. Можно говорить о высокой оценке существующих внутренних контролей только тогда, когда «три кита» такой системы действуют эффективно, то есть:

  • рационально распределение функциональных обязанностей сотрудников,
  • хозяйственные операции обеспечены качественным документооборотом и регламентами,
  • учетная система обеспечена программным обеспечением и методиками, регулярно представляет достоверные результаты акционерам и топ-менеджерам о прибылях, активах и денежных средствах, имеет стратегическое планирование и анализ.

В компаниях с уровнем контроля «Управляемый» сочетаются регулярные (запланированные) и внезапные контрольно-ревизионные процедуры с оформлением документов. Проведение контрольных мероприятий не формальное. Их результаты не замалчиваются, а анализируется топ-менеджментом, отражаются в финансовом учете, принимаются решения и действия, направленные на исключение негативных явлений в будущем.

Для топ-менеджемента и основных акционеров построены логичные и прозрачные регламенты управления по направлениям:

  • продажи;
  • сервис;
  • закупки;
  • производство и обеспечение качества;
  • финансы и экономика;
  • инвестиции.

Выделены центры финансовой ответственности согласно стратегическим задачам бизнеса. Процессы планирования (производства, продаж, закупок, финансов) удовлетворяют потребностям бизнеса.

Риски

Риски внутренних злоупотреблений с активами и мошенничества сведены к минимуму, но система внутреннего контроля все же не исключает зависимость компании от топ-менеджмента.

IТ-безопасность не соответствует уровню лидеров отрасли.

Служба внутреннего контроля (внутреннего аудита) и служба экономической безопасности созданы. Но взаимодействие между ними и с другими службами организовано не достаточно оптимально и нередко рождает конфликты между руководителями подразделений не принося эффективности компании в целом. Отчеты служб внутреннего контроля (внутреннего аудита) и экономической безопасности нельзя назвать регулярными (1-2 раза в год). Данные службы оперативно представляют руководству только докладные записки по фактам выявленных экстремальных ситуаций. Только генеральный директор и собственник вправе решать, как распорядиться этой информацией: какие действия предпринять, какие санкции применять или не применять.

Акционеры (владельцы) имеют возможность контролировать бизнес удаленно по контрольным точкам без ущерба для операционной деятельности компании.

Оценка 5 – оптимальный уровень системы внутреннего контроля

Отличной оценки удостаиваются в основном компании с иностранным управлением, участием или в крупных компаниях-холдингах. Из моей практической работы за последние 5 лет по диагностикам контрольных систем это единичные случаи. Однако на данном этапе развития системы контролей существует опасность увлечься контрольными процедурами в ущерб процессов развития компаний.

Все бизнес-процессы и контроль в них соответствует стратегии компании.

Для компаний с оценкой «5» системы внутреннего контроля характерно, прежде всего, создание рациональной организационной структуры компании и формализованных основных процедур управленческого взаимодействия. В среднем и крупном бизнесе эти задачи решает служба корпоративного управления. Также спланированная работа независимых служб внутреннего контроля и экономической безопасности при правильной подчиненности в организационной структуре (согласно профилю деятельности, масштабу компании, структуры владения акционерами) - осуществляют контроль над бизнесом. Правильная организация финансово-экономической службы позволяет добиться существенного роста прибыли без серьезных дополнительных вложений и технологических инноваций. Более того, часть данных финансово-экономическая служба получает от службы внутреннего контроля и службы экономической безопасности. Регулярные процессы создания полноценной управленческой отчетности, планирования и позволяют принимать правильные управленческие и стратегические решения. Сочетание регулярных текущих и внезапных контрольно-ревизионных процедур дают разумную уверенность в достоверности активов компании. Юридическая служба и служба по экономической безопасности «держат руку на пульсе» по предотвращению сделок недружественного поглощения. Информационная IT-безопасность на высоком уровне и также защищает компанию от внутренних и внешних рисков.

Генеральный директор компании и ее основной собственник (собственники) регулярно получают от службы внутреннего контроля и экономической безопасности аналитическую информацию (в виде отчетов и докладных записок по экстремальным ситуациям) о внешней и внутренней среде компании.

Служба внутреннего контроля также является обязательным участником в разработке и изменений регламентов управления для таких коммерчески важных управленческих процессов, как: «Закупки», «Продажи», «Производство и качество продукции», «Финансы», «Инновации и инвестиции» и некоторых других процессов.

Такой алгоритм совместной работы всех подразделений компании совместно со службой внутреннего контроля позволяет своевременно отсекать случайные или злонамеренные учетные ошибки, попытки совершить сделки от имени компании на невыгодных для нее условиях, более осмотрительно и тщательно подходить к выбору поставщиков и покупателей, к принятию решений о вступлении в долгосрочные и стратегические сделки. Однако, вместе с тем, в таких компаниях не создана атмосфера «тотальной слежки», а главный акционер или по его поручению топ-менеджеры при формировании служб контроля «не перегибают палку». Методы контроля сочетаются с методами мотивации менеджеров всех уровней, что обеспечивает работу только на благо компании.

Акционеры (владельцы) контролируют бизнес удаленно по контрольным точкам и концентрируются на процессах развития бизнеса и инвестиционных процессах.

В заключении я приведу неоспоримый факт: бизнес не может существовать абсолютно бесконтрольно. Намного выгоднее предотвращать возможные риски, чем устранять возникшие негативные последствия в виде финансовых и репутационных потерь. Хорошо отлаженная система внутреннего контроля реально позволяет повысить эффективность бизнеса, за счет минимизации рисков финансовых потерь, злоупотреблений и мошенничества, недобросовестного отношения сотрудников, нерационального использования внутренних и внешних ресурсов. Не выгодна система контролей только тому, кто заинтересован в хаосе. По понятным причинам в хаосе проще утаить то, что не должно быть найдено. Как показывает практический опыт многих успешных компаний, при правильном подходе эффект от функционирования системы внутреннего контроля намного превышает сумму затрат на ее внедрение.

Контроль необходим всегда, пока есть деньги, бизнес и конкурентная борьба!

Должен оценить состояние среды контроля, эффективность построения учетной системы, а также надежность системы внутреннего контроля организации. Это необходимо для определения вероятности возникновения искажений в учете клиента и построения дальнейшей работы аудитора.

Среда контроля - это обстоятельства и факторы, непосредственно не связанные с учетом, но оказывающие значительное влияние на его эффективность.

Аудитор изучает среду контроля уже с момента первого знакомства с предприятием (его руководителем, бухгалтером). Основными моментами, которые от должен выяснить, являются:

    • Влияние организационной структуры, вида и масштабов деятельности предприятия на особенности бухгалтерского учета;
    • Структура управленческой системы, разделение полномочий и ответственности;
    • Особенности взаимоотношений собственников с непосредственными управляющими делами, между директором и главным бухгалтером, степень взаимного доверия;
    • Отношение администрации, директоров и владельцев организации к вопросам бухгалтерского учета;
    • Отношение учетного персонала к своим обязанностям.

Необходимую информацию по перечисленным вопросам получают в результате наблюдения, личных бесед, ознакомления с учредительными документами.

Субъективно оценив среду, в которой функционирует учетная система, аудитор изучает саму систему учета. А именно: соответствие организации бухгалтерского учета на конкретном предприятии его отраслевой принадлежности, масштабам деятельности; действующим нормативным актам, регламентирующим в РФ (Закону "О бухгалтерском учете", Положению по бухгалтерскому учету и отчетности в РФ). Особое внимание нужно обратить на уровень профессионализма бухгалтеров, определить их компетентность и, по возможности, честность. В большей степени именно эти качества определяют эффективность роботы всей учетной системы.

Система внутреннего контроля - это специальные процедуры, введенные руководством (собственниками, директором, главным бухгалтером) для недопущения либо оперативного выявления и устранения как случайных, так и умышленных искажений в учете и отчетности; обеспечения сохранности имущества организации.

Система внутреннего контроля строится на:

    1. разделении обязанностей . Для предотвращения злоупотреблений и хищений необходимо разделение обязанностей по хранению материальных ценностей, совершению сделок и учету. Кроме того, в случае, когда каждый отдел будет вести учет своей деятельности полностью, то возрастает опасность предоставления им ложных данных с целью улучшения показателей.
    2. наличии эффективных процедур санкционирования операций. Для осуществления операций необходимо наличие решения ответственных лиц, выполнения всех формальностей.
    3. своевременном надлежащем документировании операций. При большом интервале времени между совершением операции и фактом ее учета возрастает вероятность ошибки.
    4. фактическом контроле за имуществом и документацией. То есть использование технический средств и процедур, предотвращающих утерю, изъятие или неправомерное изменение учетной документации.
    5. осуществлении независимых проверок. Это одна из функций внутреннего аудита.

Аудитору следует изучить и понять каждый из элементов системы внутреннего контроля на данном предприятии. При этом аудитор должен принять во внимание два аспекта: какие именно методы и процедуры предусмотрены на предприятии и применяются ли они на практике.

В ходе исследования внутреннего контроля аудитору необходимо принимать во внимание присущие любой системе внутреннего контроля изъяны. Не может быть системы эффективной на сто процентов. Наиболее очевидное ограничение обусловлено необходимостью удерживать в разумных, т.е. экономичных, пределах затраты на проведение контрольных процедур, с тем чтобы эти затраты не оказались несоразмерными по отношению к выявляемым убыткам от ошибок и мошенничеств. К числу факторов, сдерживающих эффективность внутреннего контроля, относятся: ориентация большей части видов внутреннего контроля на ожидаемые типы операций, а не на редкие операции; возможность ошибки, которая может быть допущена персоналом внутреннего контроля вследствие небрежности, рассеянности, заблуждения или неверного понимания инструкций; вероятность того, что лицо, ответственное за осуществление контроля, может злоупотребить своим положением. Наконец, внутренний контроль может быть обойден в результате тайного мошеннического сговора ряда лиц как внутри предприятия, так и с участием внешних сторон.

Однако, несмотря на присущие любой системе контроля изъяны, наличие даже простых видов контроля может способствовать достижению аудитором уверенности в том, что все операции надлежащим образом записаны в учетных регистрах. При оценке внутреннего контроля цель аудитора - определение уровня доверия, которое он может оказать этому контролю. Результаты исследования системы внутреннего контроля влияют на определение типа, времени и масштаба независимых аудиторских процедур.

Контроль и учет являются взаимозависимыми и взаимодополняющими инструментами управления. При этом эффективность управленческого учета во многом определяется надежностью системы внутреннего контроля организации.

С 1 января 2013 г. вступил в силу Федеральный закон "О бухгалтерском учете" от 6 декабря 2011 г. (далее Закон № 402-ФЗ). Согласно ст. 19 Закона № 402-ФЗ экономические субъекты обязаны организовать и осуществлять внутренний контроль совершаемых фактов хозяйственной жизни.

В свою очередь, контроль позволяет менеджменту организации получить информацию о реальном положении объекта управления, оценить качество результатов принятых решений и внести необходимые корректировки. Определение СВК также приведено в федеральном правиле (стандарте) аудиторской деятельности № 8.

Под СВК понимается совокупность процедур и мероприятий, разработанных и утвержденных руководством организации с целью предотвращения ошибок и недобросовестных действий, формирования условий, способствующих достижению запланированных целей, предотвращению кризисных явлений и повышению эффективности финансово-хозяйственной деятельности. Организация системы внутреннего контроля и ее функционирование направлены на устранение каких-либо рисков хозяйственной деятельности, которые угрожают достижению стратегических целей.

К основным функциям внутреннего контроля можно отнести:

  • повышение эффективности системы управления;
  • обеспечение сохранности активов организации;
  • повышение эффективности и качества бизнес-процессов;
  • оперативное выявление и устранение фактов недобросовестных действий и ошибок;
  • выявление и управление рисками организации;
  • формирование достоверной финансовой информации, позволяющей на ее основе всем группам пользователям принимать рациональные управленческие и экономические решения.

Элементами системы внутреннего контроля являются:

  • контрольная среда;
  • процесс оценки рисков сотрудниками самой организации;
  • информационная система;
  • контрольные действия;
  • мониторинг средств контроля.

Роль системы внутреннего контроля возросла после череды скандальных банкротств крупнейших мировых корпораций, среди которых энергетическая компания "Энрон", прекратившая свое существование в 2001 г., несмотря на то, что аудиторские заключения обанкротившейся корпорации "Энрон" были безоговорочно положительными за все периоды проверок. К сожалению, данный случай не единственный. В связи с этим были приняты ответные меры по борьбе с корпоративными недобросовестными действиями. В 2001 г. в США был принят Закон Сарбейнса – Оксли, согласно которому значительно повышалась ответственность руководителей и представителей собственников за создание эффективной системы внутреннего контроля, позволяющей предотвратить факты недобросовестных действий и усилить контроль за формированием достоверной финансовой отчетности. Закон устанавливал дополнительные требования при подготовке корпоративной отчетности в отношении не только менеджмента и представителей собственников организаций, но и внешних аудиторов. Позднее американская Комиссия по ценным бумагам и биржам (SEC) получила большие полномочия по контролю за деятельностью аудиторских организаций. Данный закон затронул и неамериканские организации, акции которых обращаются на американском фондовом рынке. События, связанные с банкротством крупнейшей корпорации "Энрон", показали, что ни внутренний, ни внешний аудит в полной мере не может защитить бизнес от недобросовестных действий, а пользователей отчетности – от негативных последствий, связанных с недостоверным отражением данных в финансовой отчетности. В связи с этим были пересмотрены принципы работы служб внутренних аудиторов.

Так, внутренний аудит (внутренняя проверка), представляя собой элемент системы внутреннего контроля, не является независимой проверкой и в этом смысле не соответствует сущности аудита, поскольку отличительной особенностью аудита, согласно требованиям Федерального закона "Об аудиторской деятельности", является его независимость. В последние годы понятие внутреннего аудита широко используется в сфере деятельности органов исполнительной власти. Согласно положениям ст. 270.1 Бюджетного кодекса Российской Федерации внутренний финансовый аудит (контроль) – это контроль внутри органов исполнительной власти (органы местной администрации), которые вправе создавать подразделения внутреннего финансового аудита (внутреннего контроля), осуществляющие разработку и контроль за соблюдением внутренних стандартов и процедур составления и исполнения бюджета, составления бюджетной отчетности и ведения бюджетного учета, а также подготовку и организацию осуществления мер, направленных на повышение результативности (эффективности и экономности) использования бюджетных средств. Из-за того, что службы внутреннего аудита не могли в полной мере справиться с поставленными перед ними задачами, положения Закона Сарбейнса – Оксли усилили процедуры, связанные с функционированием системы внутреннего контроля. Так, все организации, акции которых котировались на бирже, обязаны были создавать комитеты по аудиту, в состав которых должны были войти представители собственников и члены совета директоров. Такие меры призваны повысить ответственность за принимаемые решения и степень доведения к данным, содержащимся в финансовой отчетности. В российском законодательстве императивных норм по формированию системы внутреннего контроля не предусмотрено (за исключением банковской сферы и бюджетных учреждений). Вместе с тем обычаи делового оборота привели к тому, что многие крупные российские организации создают комитеты по аудиту с участием представителей собственников. Несмотря на то что многие специалисты проводят разграничения между внутренним аудитом и ревизорами общества, Федеральный закон "Об акционерных обществах" от 26 декабря 1995 г. (в ред. от 28 декабря 2013 г.) регламентирует только порядок назначения ревизора в обществе. Функции, должностные обязанности других специалистов, осуществляющих внутренний контроль за деятельностью общества, нормативно не урегулированы. Эффективность системы внутреннего контроля во многом зависит от политики менеджмента, мотивации руководителей, стратегических целей организации.

На практике надежность системы внутреннего контроля оценивается посредством тестирования. При этом анализируются следующие элементы:

  • наличие формализованной структуры управления предприятием;
  • наличие положений, приказов, должностных инструкций, где определены функции, права и обязанности следующих органов: совета директоров, ревизионной комиссии, администрации организации, руководства филиалами, руководства подразделениями;
  • информированность о локальных нормативных актах сотрудников соответствующих служб;
  • наличие плана-графика распределения обязанностей по выполнению учетных работ между сотрудниками бухгалтерии и других смежных служб;
  • наличие плана переподготовки и повышения квалификации кадров и степень его выполнения;
  • распределение функций инициирования сделок, подготовки исходной документации, договорной работы, хранения документации, изменения рабочей документации, корректировки допущенных ошибок;
  • степень охвата структурных подразделений контролем;
  • изменения в структуре внутреннего контроля в отчетном периоде и причины этих изменений;
  • корректирующие воздействия по результатам проверок внутренних контролеров;
  • факты организационных (кадровых) выводов на основании результатов внутреннего контроля;
  • меры по предотвращению несанкционированного доступа к информационным система, документам;
  • инвентаризация активов и финансовых обязательств организации.

По результатам тестирования следует оценить надежность системы внутреннего контроля (применяется балльный метод с учетом весовых коэффициентов). Общепринятой считается трехуровневая градация: высокоэффективная, среднеэффективная и низкоэффективная. Если по результатам тестирования система внутреннего контроля является ненадежной (низкоэффективной), необходимо принять меры по устранению недостатков. Пример теста по оценке надежности СВК представлен в табл. 7.3.

Таблица 7.3

Пример теста по оценке надежности системы внутреннего контроля (извлечение)

Оцениваемый компонент

Надежность компонента

Определение (делегирование) полномочий и ответственности

Не определены/не делегированы

Частично определены/делегированы

Делегированы полномочия, ответственность определена

Анализ соответствия организационной структуры характеру деятельности

Не соответствует

Не в полной мере соответствует

Соответствует

Участие высшего руководства в контрольных процедурах

Недостаточное

Умеренное

Активное

Анализ должностных инструкций

Отсутствуют

Частично разработаны

Разработаны

Кадровая политика

Определена и формализована

Частично определена

Определена и утверждена

Разработка локальных нормативных актов (коллективный договор, правила внутреннего распорядка и т.д.)

Отсутствуют

Разработаны частично

Разработаны и установлены в полной мере

Анализ текучести кадров

Умеренная

Оценка состояния риск-менеджмента (внутренняя оценка рисков)

Неэффективная

Недостаточно эффективная

Эффективная. Отслеживаются изменения и принимаются необходимые меры

Меры по защите от несанкционированного и нежелательного доступа

Не установлены

Частично установлены, нерегулярное проведение

Установлены постоянное проведение и контроль

Проводится ли анализ выявленных отклонений

Не проводится

Проводится нерегулярно

Производится

постоянно

По результатам проведенного тестирования можно сделать вывод о том, что в целом система внутреннего контроля является надежной
Ответственность представителей собственника и руководства организации

Менеджмент и представители собственника ответственны за надлежащую организацию системы внутреннего контроля.

Таким образом, основанная роль системы внутреннего контроля – это способность выявлять риски как в системе управления, так и в финансово-хозяйственной деятельности организации. Являясь индикатором рисков, эффективная СВК сигнализирует менеджменту о необходимости адекватного реагирования на появившиеся проблемы и оказывает существенное влияние на бизнес-процессы организации, в связи с чем вопросы, связанные с оценкой надежности СВК, играют важнейшую роль при диагностике возможных причин неблагоприятных явлений, особенно в условиях нестабильной внешней среды.