Внутренний контроль: теория и организация

Внутренний (внутрихозяйственный) контроль как вид финансового контроля находит отражение в исследованиях Э.А. Аренса, Д.К. Лоббека, Р. Адемса и многих других ученых. Чаще всего понятия «внутрихозяйственный» Так, например Р.

Исходя из анализа структурных компонентов системы внутреннего контроля можно выделить несколько подходов к определению сущности внутреннего контроля: учетный, специальный, системный.

В рамках учетного подхода процедуры системы внутреннего контроля направлены на изучение особенностей бухгалтерского учета, как инструмента, позволяющего обобщить и отразить все факты хозяйственной деятельности.

В рамках специального подхода процедуры контроля направлены на изучение отдельных элементов, например, организационной структуры, бизнес-процессов, объектов учета или анализа и других.

Системный подход позволяет получить целостное представление об эффективности системы внутреннего контроля.

По мнению Дж. Робертсона, система внутреннего контроля представляет собой процедуры и политику компании, направленные на предотвраще- 46

ние, выявление и исправление существенных ошибок и искажений информации в финансовой отчетности.

В соответствии с федеральным правилом (стандартом) аудиторской деятельности № 8 система внутреннего контроля (далее СВК) представляет собой процесс, организованный и осуществляемый представителями собственника, руководством, а также другими сотрудниками организации, для того чтобы обеспечить достаточную уверенность в достижении целей с точки зрения надежности финансовой (бухгалтерской) отчетности, эффективности и результативности хозяйственных операций и соответствия деятельности организации нормативным правовым актам.

К основным функциям внутреннего контроля можно отнести:

• повышение эффективности системы управления;

• обеспечение сохранности активов организации;

• повышение эффективности и качества бизнес-процессов;

• оперативное выявление и устранение фактов недобросовестных действий и ошибок;

• выявление и управление рисками организации;

• формирование достоверной финансовой информации, позволяющей на ее основе всем группам пользователям принимать рациональные управленческие и экономические решения.

Система внутреннего контроля состоит из следующих элементов:

• контрольная среда;

• процесс оценки рисков сотрудниками самой организации;

• информационная система, в том числе связанная с подготовкой финансовой (бухгалтерской) отчетности;

• контрольные действия;

• мониторинг средств контроля.

Охарактеризуем подробнее каждый элемент.

Контрольная среда. Контрольная среда включает позицию, осведомленность и действия представителей собственника и руководства относительно системы внутреннего контроля организации, а также понимание значения такой системы для деятельности организации

Контрольная среда включает следующие составляющие:

• доведение до всеобщего сведения и поддержание принципа честности и других этических ценностей;

• профессионализм (компетентность сотрудников);

• участие собственника или его представителей;

• компетентность и стиль работы руководства;

• организационная структура;

• наделение ответственностью и полномочиями;

• кадровая политика и практика.

Процесс оценки рисков. Оценка рисков организацией представляет собой процесс выявления и, по возможности, устранения рисков хозяйственной деятельности, а также их возможных последствий. Важным является вопрос, каким образом в процессе оценки рисков руководство выявляет риски, имеющие отношение к финансовой (бухгалтерской) отчетности, определяет их значение, оценивает вероятность их возникновения и принимает решение относительно того, как управлять ими.

Вместе с тем организация осуществляет свою деятельность в условиях нестабильной среды и поэтому риски могут возникать или изменяться вследствие следующих обстоятельств:

• изменения в окружении (макроэкономические изменения, в том числе связанные с изменениями в нормативной среде, могут привести к изменениям в конкурентном давлении и к значительным изменениям рисков);

• ротация персонала (новые сотрудники могут иметь иную точку зрения на систему внутреннего контроля или иные приоритеты);

• внедрение новых или изменение уже применяемых информационных систем (значительные и быстрые изменения в информационных системах могут изменить и риски, связанные с системой внутреннего контроля);

• быстрый рост и развитие организации (действующие средства контроля могут не справиться с возросшим объемом операций и способствовать росту риска их несоответствия новым условиям деятельности);

• новые технологии (внедрение новых технологий в производственные процессы или информационные системы может изменить риск, связанный с системой внутреннего контроля);

• реорганизация, сопровождающаяся сокращением численности персонала и изменениями в распределении обязанностей, а также выполняемых сотрудниками контрольных функциях, которые также могут повлиять на риск, связанный с системой внутреннего контроля и др. Информационная система, связанная с подготовкой финансовой (бухгалтерской) отчетности. Функционирование информационных систем, связанных с подготовкой финансовой (бухгалтерской) отчетности, обеспечивается:

а) техническими средствами;

б) программным обеспечением;

в) персоналом;

г) соответствующими процедурами;

д) базами данных.

Контрольные действия. Контрольные действия включают политику и процедуры, которые помогают удостовериться, что распоряжения руководства выполняются, например, что необходимые меры предприняты в отношении рисков, которые могут препятствовать достижению целей организации. Контрольные действия, осуществляемые вручную или с применением информационных систем, имеют различные цели и применяются на различных организационных и функциональных уровнях.

Контрольные действия могут быть сгруппированы по следующим категориям методов и процедур:

а) проверка выполнения.

Такие контрольные действия включают:

• обзорные проверки и анализ фактических показателей в сравнении со сметными и прогнозными показателями;

• обзорные проверки и анализ фактических показателей в сравнении с показателями за предыдущие периоды;

• соотнесение между собой различных данных (управленческих и финансовых), анализ их соответствия, выводы об обнаруженных расхождениях и предпринимаемые в этих случаях корректирующие действия;

• сопоставление внутренних данных со сведениями, полученными из внешних источников информации;

• проверка результатов деятельности по областям, подразделениям, направлениям и т.п.

б) обработка информации.

Разнообразные контрольные процедуры в части обработки информации выполняются для проверки точности, полноты и санкционирования операций и делятся в области информационных систем на две большие группы средств контроля:

1) общие средства контроля;

2) прикладные средства контроля.

Общие средства контроля в информационных системах представляют собой политику и процедуры, которые имеют широкие области применения и предназначены для обеспечения эффективного функционирования прикладных средств контроля, помогая удостовериться в правильном бесперебойном функционировании информационных систем.

Прикладные средства контроля применяются к обработке отдельных видов информации. Эти средства контроля помогают удостовериться, что осуществленные хозяйственные операции были санкционированы, в полном объеме и точно зафиксированы и обработаны.

в) проверка наличия и состояния объектов.

Указанные контрольные действия направлены на обеспечение сохранности активов, включая:

• меры предосторожности, ограничивающие доступ к активам или бухгалтерским записям;

• санкционирование допуска к компьютерным программам и файлам с данными;

• проведение периодических инвентаризаций (например, сравнение результатов пересчета наличных денежных средств, ценных бумаг и товарно-материальных запасов с данными бухгалтерского учета).

г) разделение обязанностей.

Наделение разных сотрудников полномочиями санкционирования операций (выдачи разрешения на совершение операции), регистрации операций в учете и хранения активов имеет целью уменьшить возможность совершения и утаивания ошибки или недобросовестных действий в процессе обычного выполнения персоналом своих обязанностей.

Мониторинг средств контроля. Важной обязанностью руководства является создание и поддержание системы внутреннего контроля в режиме непрерывной работы. Мониторинг средств контроля включает наблюдение за тем, функционируют ли они и были ли они изменены надлежащим образом в случае необходимости, и может включать такие мероприятия, как наблюдение руководства за тем, своевременно ли подготавливаются выверки расчетов с банками, оценка внутренними аудиторами соответствия действий персонала, занимающегося продажами, политике организации в отношении определенных условий договоров с покупателями, осуществление надзора за соответствием действий персонала политике организации в области этики или деловой практики.

На организацию системы внутреннего контроля оказывают влияние следующие факторы:

а) принципы и политика управления;

б) структура организации;

в) характер деятельности организации, включая особенности его организационной структуры и формы собственности;

г) сложность и специфика бизнес-процессов;

д) применяемые требования нормативных правовых актов;

е) специфика информационных систем, которые являются частью системы внутреннего контроля и прочие факторы.

Роль системы внутреннего контроля возросла после череды скандальных банкротств крупнейших мировых корпораций, среди которых энергетическая компания Энрон, прекратившая свое существование в 2001 году. Это было вызвано тем, что все аудиторские заключения обанкротившейся корпорации Энрон были безоговорочно- положительными за все периоды проверок. К сожалению, данный случай не был единственным. Так, Microstrategy, аудит которой

осуществляла Pricewaterhouse Coopers, была вынуждена внести изменения в 52

отчетность за 2000 год; в марте 2003 года KPMG согласилась выплатить 200 млн долларов за досудебное урегулирование споров вокруг ошибок, допущенных при аудите компаний Rite Aid и Oxford Health.

В связи с этим были приняты ответные меры на борьбу с корпоративными недобросовестными действиями. В 2001 году в США был принят Закон Сарбейнса-Оксли (Закон SOX), согласно которому значительно повышалась ответственность руководителей и представителей собственников за создание эффективной системы внутреннего контроля, позволяющей предотвратить факты недобросовестных действий и усилить контроль за формированием достоверной финансовой отчетности. Закон устанавливал дополнительные требования при подготовке корпоративной отчетности не только в отношении менеджмента и представителей собственников организаций, но и внешних аудиторов.

Позднее американская Комиссия по ценным бумагам и биржам (SEC) получила большие полномочия по контролю за деятельностью аудиторских организаций. При этом данный закон затронул и неамериканские организации, акции которых обращаются на американском фондовом рынке^[58].

События, связанные с банкротством крупнейшей корпорации Энрон показали, что ни внутренний, ни внешней аудит в полной мере не могут защитить бизнес от недобросовестных действий, а пользователей отчетности от негативных последствий, связанных с недостоверным отражением данных в финансовой отчетности. В связи с этим были пересмотрены принципы работы служб внутренних аудиторов.

Так, внутренний аудит (внутренняя проверка), представляя собой элемент системы внутреннего контроля, не является независимой проверкой, и в этом смысле не соответствует сущности аудита, поскольку отличительной

особенностью аудита, согласно требованиям Федерального закона «Об аудиторской деятельности», является его независимость. В последние годы понятие внутреннего аудита широко используется в сфере деятельности органов исполнительной власти. Согласно положениям статьи 270.1 Бюджетного кодекса Российской Федерации внутренний финансовый аудит (контроль) - контроль внутри органов исполнительной власти (органы местной администрации), которые вправе создавать подразделения внутреннего финансового аудита (внутреннего контроля), осуществляющие разработку и контроль за соблюдением внутренних стандартов и процедур составления и исполнения бюджета, составления бюджетной отчетности и ведения бюджетного учета, а также подготовку и организацию осуществления мер, направленных на повышение результативности (эффективности и экономности) использования бюджетных средств^[59].

Ввиду того, что службы внутреннего аудита не могли в полной мере справиться с поставленными перед ними задачами, положения Закона SOX, усилили процедуры, связанные с функционированием системы внутреннего контроля. Так, все организации, акции которых котировались на бирже, обязаны были создавать комитеты по аудиту, в состав которых, должны были войти представители собственников и члены совета директоров.

Такая мера призвана повысить ответственность за принимаемые решения и степень доведения к данным, содержащимся в финансовой отчетности. В российском законодательстве императивных норм по формированию системы внутреннего контроля не предусмотрено (за исключением банковской сферы и бюджетных учреждений). Вместе с тем обычаи делового оборота привели к тому, что большинство крупных российских организаций создают комитеты по аудиту, с участием представителей собственников. Но, к сожалению, практика

показывает, что в условиях российской действительности, созданные комитеты по аудиту часто не выполняют функции, изначально задекларированные в политике и процедурах управления, и тем самым система внутреннего контроля часто не соответствует специфике и характеру деятельности компании.

Несмотря на то что многие специалисты проводят разграничения между внутренним аудитом и ревизорами общества^[60], Федеральный закон «Об акционерных обществах» регламентирует только порядок назначения ревизора в обществе; функции, должностные обязанности других специалистов, осуществляющих внутренний контроль за деятельностью общества, нормативно не урегулированы.

Изменения также коснулись внешнего аудита, как независимой формы финансового контроля. Аудит перешел из подтверждающей стадии в системно-ориентированный аудит^[61], нацеленный на выявление узких мест во внутреннем контроле аудируемого лица, как индикаторов проблемных областей функционирования организации как системы.

Системно-ориентированный аудит в России также остается в большей мере формальным. Так как многих организациях система внутреннего контроля является неэффективной и неформализованной, ввиду отсутствия законодательных требований по ее функционированию и отсутствия заинтересованности менеджмента организации к формированию надлежащей системы внутреннего контроля.

Следующей стадией развития аудита стала нацеленность процедур проверки на выявление рисков, так называемый риск-ориентированный аудит. России в большей мере развитие получил именно риск-ориентиро- ванный аудит, но, к сожалению направленный в основном на оценку налоговых рисков^[62].

Вместе с тем, в последнее время наблюдается смешение акцента с подтверждающего на консалтинговый аудит. С этой тенденцией на Западе принято активно бороться, так как это угрожает принципу независимости аудиторской деятельности. Так, Еврокомиссия назвала бизнес-консультирование «источником конфликта интересов»^[63]. Проектом закона Еврокомиссии предусмотрено, что «крупные аудиторские фирмы не могут оказывать иные услуги, которые не указаны в уставе аудиторской работы, например, консультации». Эффективность системы внутреннего контроля во многом зависит от политики менеджмента, мотивации руководителей, стратегических целей организации.

Ответственность представителей собственника и руководства организации. Менеджмент и представители собственника в соответствии с законодательством Российской Федерации несут ответственность за предотвращение и обнаружение недобросовестных действий и ошибок. Представители собственника обязаны осуществлять надзор за обеспечением надежности системы ведения бухгалтерского учета и составления финансовой (бухгалтерской) отчетности и обеспечивать работоспособность средств контроля.

Менеджменту организации необходимо создать контрольную среду и поддерживать политику и процедуры, обеспечивающие максимальное достижение поставленных целей упорядоченной и эффективной деятельности организации путем внедрения и обеспечения непрерывности функционирования системы бухгалтерского учета и внутреннего контроля, предназначенной для предотвращения и обнаружения фактов недобросовестных действий и ошибок. Такая система снижает, но не устраняет полностью риск искажений из-за ошибок и недобросовестных действий.

Выводы. Основанная роль системы внутреннего контроля - это способность выявлять риски, как в системе управления, так и в финансовохозяйственной деятельности организации. Являясь индикатором рисков, эффективная СВК сигнализирует менеджменту о необходимости адекватного реагирования на появившиеся проблемы и оказывает существенное влияние на бизнес-процессы организации, в связи с чем вопросы, связанные с оценкой надежности СВК играют важнейшую роль при диагностике возможных причин неблагоприятных явлений, особенно в условиях нестабильной внешней среды.