Главная Как создать свой бизнес? Как разработать систему внутреннего контроля. Структура системы внутреннего контроля

Как разработать систему внутреннего контроля. Структура системы внутреннего контроля

Бухгалтерский учет в ближайшие два года – одна из наиболее кардинально реформируемых областей. Так, с 1 января 2013 года вступил в силу новый закон о бухгалтерском учете. Помимо этого, начиная с этого года существенные преобразования ждут ПБУ, а к 2016 году планируется окончательный переход на МСФО.

В 2013 году впервые в системе организации бухгалтерского учета компании появилось понятие внутреннего контроля. Этому роду деятельности посвящена отдельная ст. 19 нового Федерального закона от 6 декабря 2011 г. № 402-ФЗ (далее – Закон № 402-ФЗ).

Каждый экономический субъект должен осуществлять внутренний контроль совершаемых фактов хозяйственной жизни, а если бухгалтерская (финансовая) отчетность компании подлежит обязательному аудиту, то компания обязана проводить внутренний контроль ведения бухгалтерского учета и составления бухгалтерской (финансовой) отчетности, за исключением тех случаев, когда ее руководитель принял обязанность ведения бухгалтерского учета на себя.

Новый Закон № 402-ФЗ выводит этот вопрос из разряда рекомендуемых на уровень обязательных .
Некоторые организации должны были организовать службу внутреннего контроля в рамках других законодательных актов. Например, компании, осуществляющие операции с денежными средствами или иным имуществом, а именно: кредитные организации, страховые и лизинговые компании, организации федеральной почтовой связи, ломбарды и т.п. (ст. 7 Федерального закона от 7 августа 2001 г. № 115-ФЗ с изменениями). С 2003 года указанные организации должны были разработать правила внутреннего контроля при осуществлении операций с денежными средствами или иным имуществом. А на основании Постановления Правительства РФ от 30 июня 2012 г. № 667 указанные правила должны были быть приведены в соответствии с новыми требованиями в течение одного месяца.

Давно существуют другие нормативные документы, которые компании должны учесть в процессе организации работы службы внутреннего контроля. Одним из них является Постановление Правительства РФ от 23 сентября 2002 г. № 696 "Об утверждении Федеральных правил (стандартов) аудиторской деятельности" с изменениями. В стандарте № 8 говорится, что система внутреннего контроля представляет собой процесс, организованный и осуществляемый представителями собственника, руководством, а также другими сотрудниками аудируемого лица, для того чтобы обеспечить достаточную уверенность в достижении целей с точки зрения надежности финансовой (бухгалтерской) отчетности, эффективности и результативности хозяйственных операций и соответствия деятельности аудируемого лица нормативным правовым актам. Это означает, что организация системы внутреннего контроля и ее функционирование направлены на устранение каких-либо рисков хозяйственной деятельности, которые угрожают достижению любой из поставленных целей.

Организация службы внутреннего контроля в компании
На практике может быть несколько вариантов структуры самой службы внутреннего контроля. Может быть организовано отдельное структурное подразделение или выделено должностное лицо для выполнения процедур внутреннего контроля. Перечень функций и задач, возлагаемых на службу, определяется в локально-нормативном документе – например, в положении или внутренней процедуре. Также обязанности по осуществлению функций внутреннего контролера должны быть указаны в трудовых договорах и должностных инструкциях работников подразделения.

Но есть и другая возможность – заключить соответствующий договор с контрагентом, который специализируется на оказании услуг внутреннего контроля. Вполне вероятно, что с учетом новых требований аутсорсинговые компании будут предлагать услугу по внутреннему контролю. Какие это будут функции, и в каком объеме они могут осуществляться, определяет договор оказания услуги между контрагентами.

Основные функции службы внутреннего контроля
Функции службы внутреннего контроля:
1. Мониторинг эффективности процедур внутреннего контроля . Постановка необходимых систем бухгалтерского учета и внутреннего контроля входит в обязанности руководства, и этому следует постоянно уделять соответствующее внимание, а на службу внутреннего контроля обычно возлагаются обязанности по проверке этих систем, мониторингу эффективности их функционирования, а также представлению рекомендаций по их усовершенствованию.
2. Исследование финансовой и управленческой информации . Эта функция включает в себя обзорную проверку средств и способов, используемых для сбора, измерения, классификации этой информации и составления отчетности на ее основе, а также специфические запросы в отношении отдельных ее составляющих частей, включая детальное тестирование операций, остатков по счетам бухгалтерского учета и других процедур.
3. Контроль экономности, эффективности и результативности , включая нефинансовые средства контроля проверяемого лица.
4. Контроль за соблюдением законодательства Российской Федерации, нормативных актов и прочих внешних требований , а также внутренних требований руководства.
Цели службы внутреннего контроля
Главной целью службы внутреннего контроля в отношении работы бухгалтерского подразделения является координация по вопросам постановки бухгалтерского учета, налогового учета и, в отдельных случаях, управленческого учета, обеспечение единого подхода при отражении на счетах бухгалтерского учета, в регистрах налогового учета хозяйственных операций . Проведение внутрисистемного аудита по вопросам соблюдения положений по учетной политике для целей бухгалтерского и налогового учета, исполнения норм законодательства Российской Федерации и внутренних локально-нормативных актов. Осуществление полного контроля за конечными результатами деятельности при соблюдении установленной методологии бухгалтерского и налогового учета. Именно внутренний контроль должен способствовать объединению всей совокупности финансово-хозяйственной деятельности организации в единую систему и обеспечивать ее бесперебойное функционирование.
Объем и задачи внутреннего контроля могут различаться в зависимости от структуры проверяемого лица и требований его руководства, а также особенностей деятельности организации.

Краеугольным мероприятием внутреннего контроля является внутренний аудит. Нормативные документы в отношении внешнего обязательного аудита мы можем применить и к организации внутренних контрольных мероприятий. Более того, в стандарте № 29 "Рассмотрение работы внутреннего аудита", утвержденным от 23 сентября 2002 г. № 696 описаны основы внутреннего аудита. Под ним понимается контрольная деятельность, осуществляемая внутри аудируемого лица его подразделением – службой внутреннего аудита. Функции службы внутреннего аудита включают мониторинг адекватности и эффективности системы внутреннего контроля.

Внутренний контроль должен рассматриваться не как однократные или периодические мероприятия, а чтобы иметь представление о состоянии дел на каждом участке работы, как постоянные процедуры. Частота проведения повторных аудитов зависит от масштабов организации и количества сотрудников в службе внутреннего контроля. Можно выделить предварительный, текущий и последующий виды контроля, что означает соблюдение непрерывности процесса аудита.
Предварительный контроль осуществляется до начала совершения хозяйственной операции. Он предполагает экспертизу будущих результатов, которые ожидаются от свершения таких операций, предупреждение нарушений.

При текущем контроле происходит отслеживание совершаемых хозяйственных операций. Он осуществляется на всех стадиях движения денежных средств компании.

Последующий контроль проводится по итогам совершения хозяйственных операций. Он осуществляется путем проверки бухгалтерских документов, регистров и отчетности. При текущем и последующем контроле выявляются допущенные нарушения и принимаются меры к их устранению.

Во время проведения внутреннего контроля проверяемые обязательно уделяют внимание следующим моментам:

Соблюдается ли действующее законодательство РФ, локально-нормативные акты, организационно-распорядительные документы, учетные политики по бухгалтерскому и налоговому учету.
Правильно и своевременно ли отражены все хозяйственные операции на счетах бухгалтерского учета и в налоговых регистрах.
В полном размере и правильно ли документально оформлены хозяйственные операции.
Правильно ли отражены в бухгалтерском и налоговом учете доходы и расходы.
Обеспечена ли сохранность всех активов организации.
Правильно ли составлена бухгалтерская, налоговая и статистическая отчетность организации.

По результатам проведения внутреннего контроля оформляется отчет. В нем по каждому объекту проверки приводится описание выявленных недочетов и нарушений в процессе ведения бухгалтерского и налогового учета, даются рекомендации по порядку исправления ошибок и устранению недочетов, указывают сроки, в течение которых эти ошибки должны быть исправлены. Отчет, составленный по результатам внутреннего аудита, может быть использован при проведении обязательного аудита бухгалтерской (финансовой) отчетности, если внешний аудитор будет уверен в эффективной организации системы внутреннего контроля.

Различают плановый и внеплановый контроль. При плановых проверках составляется график их проведения. В него включаются участки учета, подлежащие проверке, начальные и конечные даты ее проведения, срок написания отчета по проверке, ответственные лица за ее проведение, методы проверки. График доводится до всех заинтересованных лиц. При внеплановых проверках контролируются участки учета, в отношении которых есть информация о возможных нарушениях и злоупотреблениях. Инициируется такая проверка, как правило, Приказом руководителя организации, с указанием предпосылок проведения внеплановой проверки.

А уже на основании отчета разрабатывается график мероприятий по устранению выявленных недостатков и нарушений, назначаются сроки и ответственные лица. Причем проверка соблюдения данного графика также возлагается на службу внутреннего контроля.

Для организации эффективного внутреннего контроля крайне важно обеспечить его проведение методологически. Все инструменты, сроки, документация, особенности выборки должны быть отражены во внутреннем регламентирующем документе – стандарте проведения аудиторской проверки.

Результаты контроля служат предпосылкой для проведения других мероприятий внутреннего контроля: обучения сотрудников, консультационной поддержке и т.п.

Консультация и тренинг – инструменты службы внутреннего контроля
Оказание методологической и консультационной помощи сотрудникам бухгалтерской службы по разным направлениям учета, по вопросам постановки бухгалтерского и налогового учета, обеспечение единого подхода к отражению хозяйственных операций на счетах бухгалтерского учета является одним из инструментов контроля, ведь сотрудник службы внутреннего контроля анализирует ситуацию и предоставляет готовое решение по спорному вопросу. Консультационная поддержка сотрудников требует определенной регламентации. Поступающие от бухгалтеров запросы необходимо фиксировать и анализировать для принятия дальнейших решений. При проведении аудиторских мероприятий в первую очередь стоит обратить внимание на запросы из разряда рисковых и сложных, также они послужат материалом для проведения обучающих мероприятий.

Таким образом, еще одним инструментом службы внутреннего контроля является обучение сотрудников бухгалтерской службы . Целью проведения обучающих мероприятий является своевременное ознакомление сотрудников с изменениями в законодательстве, с новыми процедурами работы, обсуждение систематических ошибок или проблем, возникших в процессе ведения бухгалтерского и налогового учета, разрешение спорных вопросов.

К еще одному инструменту контроля можно отнести участие сотрудников службы внутреннего контроля в проведении инвентаризации имущества и прочих активов организации, в качестве членов инвентаризационной комиссии. Целью такого мероприятия является осуществление контроля за рациональным использованием и сохранностью имущества организации, выявление фактического наличия имущества, сопоставление фактических данных с данными бухгалтерского учета, определения порядка отражения результатов инвентаризации в бухгалтерском и налоговом учете.

Служба внутреннего контроля может привлекаться к участию в налоговых проверках для предоставления устных и письменных пояснений в ходе проверки, а по ее окончании принимать непосредственное участие в подготовке возражений по акту проверки.

Из всего вышесказанного становится понятно, что сотрудники службы внутреннего контроля должны обладать обширными знаниями и хорошо ориентироваться в бухгалтерском, налоговом, гражданском и трудовом законодательствах. Они должны постоянно поддерживать высокий уровень своих профессиональных знаний и умений. И это тоже должна учитывать компании при организации работы сотрудников службы внутреннего контроля.

Внутренний контроль - это важнейшая часть современной системы управления, позволяющая достичь целей, поставленных собственниками, с минимальными затратами. Эффективность функционирования хозяйствующих субъектов во многом зависит от грамотно организованного контроля, так как он не только призван выявить недостатки и нарушения, но и предупреждать их, а также способствовать их своевременному устранению.

До 2013 г. вопрос создания службы внутреннего контроля являлся правом организаций (за исключением кредитных организаций, для которых это обязанность).

С 1 января 2013 г. согласно ст. 19 Федерального закона от 6.12.11 г. № 402-ФЗ «О бухгалтерском учете» (далее - Закон № 402-ФЗ) все экономические субъекты должны осуществлять внутренний контроль совершаемых фактов хозяйственной жизни, а те, которые подлежат обязательному аудиту, - также и внутренний контроль ведения бухгалтерского учета и составления бухгалтерской отчетности (за исключением случаев, когда руководитель принял обязанность ведения бухгалтерского учета на себя). Решение о введение бухгалтерского учета им самим может принять руководитель субъекта малого и среднего предпринимательства, соответственно в такой организации необходимо осуществлять только внутренний контроль совершаемых фактов хозяйственной жизни.

Каким образом, по мнению финансистов, внутренний контроль должен быть организован на практике, сегодня сказать затруднительно, поскольку Минфин России до сих пор не разработал рекомендации для хозяйствующих субъектов по организации и осуществлению ими внутреннего контроля ведения бухгалтерского учета и составления бухгалтерской отчетности, которые планировалось выпустить сразу после принятия Закона № 402-ФЗ. При этом в информации Минфина России № ПЗ-10/2012 «О вступлении в силу с 1 января 2013 г. Федерального закона от 6 декабря 2011 г. № 402-ФЗ «О бухгалтерском учете» отмечается, что законодательством Российской Федерации о бухгалтерском учете не установлены какие-либо ограничения на порядок, способы, процедуры осуществления внутреннего контроля.

Систему внутреннего контроля можно определить как систему финансового и прочего контроля, организованную руководством в целях осуществления упорядоченной и эффективной работы организации, обеспечения соблюдения политики руководства, охраны активов, полноты и точности документов.

Каким образом будет организован внутренний контроль, решается в самом хозяйствующем субъекте (например, путем создания отдела внутреннего контроля, внутреннего аудита, ревизионного отдела или заключения договора со сторонней организацией). Основной принцип должен быть следующим: всем придерживаться разумности и сопоставлять трудозатраты при осуществлении контроля с полученным результатом. При построении системы внутреннего контроля необходимо использовать наиболее эффективные подходы с учетом масштабов организации и стремиться к тому, чтобы с разумными затратами (на штатных работников, консультантов, аутсорсинг и используемые программы) проводить необходимый, но достаточный объем контроля.

Краткие сравнительные характеристики служб внутреннего аудита, внутреннего контроля и контрольно-ревизионной службы представлены в табл. 1. Следует иметь в виду, что различие между функциями, выполняемыми службами, в первую очередь определяется теми задачами, которые ставит перед этими подразделениями руководство.

Таблица 1

Сравнительные характеристики служб внутреннего аудита, внутреннего контроля и контрольно-ревизионной службы<1>

_________________________

<1> Кабашкин В.А., Мышов В.А. Повышение роли внутреннего аудита и контроля в условиях рыночной экономики // Международный бухгалтерский учет. 2011. № 13. С. 36-46.

Характеристика	Служба внутреннего аудита		Контрольно-ревизионная служба
Цель	Повышение эффективности деятельности организации	Построение и поддержание эффективной системы внутреннего контроля	Недопущение неэффективного использования ресурсов, выявление и предотвращение злоупотреблений
Основные заказчики (клиенты)	Совет директоров и высшее исполнительное руководство	Линейное (операционное) руководство	Высшее исполнительное руководство
Специфика	Ориентация на перспективу, т.е. на анализ бизнес-процессов и выявление рисков	Анализ бизнес-процессов в целях построения системы контроля	Ориентация на ретроспективу, т.е. на уже произошедшие события и их последствия

В общем случае работа контрольно-ревизионных служб фокусируется на вопросах проверки сохранности товарно-материальных ценностей, эффективности использования ресурсов, выполнения распоряжений вышестоящих органов, а также на расследовании случаев мошенничества.

Задачей службы внутреннего контроля может быть построение системы внутреннего контроля организации (точнее, активное содействие менеджменту в построении системы), а задачей внутреннего аудита - проведение оценки надежности и эффективности этой системы.

Внутренний аудит призван выполнять более широкие задачи по оценке процедур внутреннего контроля, процессов управления рисками, корпоративного управления. Однако в зависимости от уровня развития корпоративной культуры (в том числе среды контроля) приоритетом для службы внутреннего аудита может стать выполнение задач, обычно стоящих перед контрольно-ревизионной службой.

Например, если в организации отсутствует эффективная система внутреннего контроля, то внутренний аудит в меньшей степени будет заниматься оценкой системы внутреннего контроля и в большей - вопросами сохранности активов и выявлением случаев мошенничества. В данной ситуации по мере построения системы внутреннего контроля потребность во внутреннем аудите как в функции независимой оценки эффективности контроля будет со временем возрастать.

Система внутреннего контроля в организации распространяется на все возникающие бизнес-процессы, начиная с планирования деятельности и заканчивая составлением финансовой отчетности.

Финансовый контроль, в том числе контроль за полнотой и достоверностью бухгалтерских записей и составлением финансовой отчетности, является важным элементом внутреннего контроля.

Эффективная структура внутреннего контроля предполагает разумное разграничение полномочий и разделение несовместимых функций. Последние несовместимы, если их сосредоточение у одного лица в любых комбинациях не только потенциально приведет к совершению непреднамеренных ошибок, но и затруднит их выявление. К несовместимым функциям относятся<2>: непосредственный доступ к активам; разрешение на осуществление операций с активами; непосредственное осуществление хозяйственных операций; отражение хозяйственных операций в бухгалтерском учете.

<2> Гусарова Л.В. Организация внутреннего аудита в некоммерческих организациях // Бухгалтерский учет в бюджетных и некоммерческих организациях. 2012. № 1. С. 32-37.

Концепция внутреннего контроля включает несколько основных элементов:

внутренняя среда организации, т.е. этические ценности, стиль управления, процесс принятия решений, делегирование полномочий и принятие ответственности, политика в отношении персонала, компетентность сотрудников и отношение управленческого аппарата организации к внутреннему контролю;

определение, анализ и управление рисками, стоящими перед организацией на пути достижения своих целей;

повседневное осуществление контроля, т.е. учет и отчетность, разделение полномочий, права доступа к активам, мониторинг;

система санкционированного доступа к информации;

мониторинг самой системы внутреннего контроля, необходимый для определения его эффективности.

Цель хозяйствующего субъекта - не создание системы контроля, которая бы полностью гарантировала отсутствие отклонений, ошибок и неэффективности в работе, а система, которая помогала бы их своевременно выявлять и устранять, способствуя повышению эффективности работы. Основной принцип организации внутреннего контроля заключается в том, что не нужно концентрироваться на экспертном контроле операций, а необходимо контролировать то, как построен и работает сам процесс и какие качественные изменения в нем происходят. Повышение эффективности процесса внутреннего контроля состоит в повышении качества внутреннего контроля, а не в увеличении количества перепроверенных операций.

Функционирование системы внутреннего контроля будет результативным, если в процессе ее работы соблюдены следующие основные принципы<3>:

1) ответственности - каждый субъект внутреннего контроля за ненадлежащее выполнение контрольных функций, предусмотренных должностными обязанностями, должен нести экономическую и (или) дисциплинарную ответственность;

2) сбалансированности - субъекту внутреннего контроля нельзя поручать выполнение функций, не обеспеченных соответствующими организационными (приказ, распоряжение) и техническими (программы, счетные и мерные устройства) средствами для их надлежащего исполнения;

3) своевременного сообщения о выявленных существенных отклонениях - информация о них должна быть оперативно доведена до лиц, непосредственно принимающих решения по данным отклонениям;

4) соответствия контролирующей и контролируемой систем - степень сложности системы внутреннего контроля хозяйствующего субъекта должна в каждый конкретный момент времени соответствовать степени сложности его бизнеса;

5) постоянства - система внутреннего контроля должна действовать на постоянной основе, что позволит своевременно выявлять отклонения от плановых заданий и норм;

6) комплексности - весь комплекс объектов внутреннего контроля в хозяйствующем субъекте должен быть охвачен его различными формами в зависимости от уровня риска;

7) распределения обязанностей - функции работников аппарата управления распределяются между ними таким образом, чтобы выполнялись требования к формированию контрольной среды.

С учетом указанных принципов разрабатываются конкретные требования к участникам процесса внутреннего контроля, среди которых можно выделить следующие<4>:

________________

<4> Соколов Б. Внутренний контроль и аудит // Аудит и налогообложение. 2008. № 12.

1) требование подконтрольности каждого субъекта внутреннего контроля, работающего в организации. Выполнение одним субъектом контрольных функций должно быть в обязательном порядке подконтрольно на предмет качества другому субъекту внутреннего контроля;

2) требование ущемления интересов. С помощью нормативных документов создаются условия, при которых любые отрицательные отклонения ставят конкретного работника в экономически невыгодное положение, что стимулирует его к устранению отрицательных отклонений и вызвавших их причин;

3) недопущение сосредоточения прав контроля на всех его объектах в руках одного лица. В системе внутреннего контроля могут действовать независимо различные субъекты контроля. Несоблюдение этого требования создает условия для необъективного отражения в отчетных материалах результатов проверок;

4) требование заинтересованности руководства хозяйствующего субъекта. Эффективное функционирование системы внутреннего контроля невозможно без должной заинтересованности и участия в ее работе представителей собственников и топ-менеджмента хозяйствующего субъекта;

5) требование компетентности, добросовестности и честности внутренних контролеров хозяйствующего субъекта. Если сотрудники организации, в служебные функции которых входит осуществление внутреннего контроля, не обладают указанными характеристиками, то даже идеально организованная система не сможет работать эффективно;

6) требование пригодности методик и программ, применяемых в работе системы внутреннего контроля. Методики и программы должны быть целесообразны и рациональны, так как благодаря применению в минимальной степени будет снижаться эффективность работы объектов внутреннего контроля, а последний будет рационален, т.е. не станет нести излишних затрат труда и средств;

7) требование единичной ответственности. Недопустимо закрепление одной и той же контрольной функции за несколькими субъектами контроля, так как это неизбежно приведет к безответственности, затрате излишних сил и средств;

8) требование функционального потенциального замещения. Временное выбытие отдельных субъектов контроля (например, в отпуск) не должно прерывать контрольные процедуры или затруднять их выполнение. Для снижения влияния этого фактора необходимо добиться того, чтобы каждый субъект контроля умел выполнять в должной степени контрольную работу вышестоящего и одного-двух работников своего уровня;

9) требование регламентации. Эффективность функционирования системы внутреннего контроля напрямую зависит от наличия, качества и уровня утверждения регламентов (правил, стандартов), которыми руководствуются и точно выполняют субъекты контроля;

10) требование взаимодействия и координации. Система внутреннего контроля должна функционировать на основе четкого взаимодействия всех подразделений и служб хозяйствующего субъекта. Такого взаимодействия можно добиться путем разработки комплекса нормативных документов, регламентирующих контрольную деятельность структурных подразделений и руководителей хозяйствующего субъекта.

Функция внутреннего контроля может быть реализована несколькими способами, и поэтому, для того чтобы пользоваться преимуществами, которые дает организации эффективный внутренний контроль, необязательно создавать отдельное подразделение. При этом функцию внутреннего контроля может выполнять внешний консультант или специализированная компания при условии недопущения конфликта интересов.

Можно выделить три основных подхода к построению функции внутреннего контроля:

создание собственной службы внутреннего контроля, если организация для этого обладает необходимыми ресурсами;

аутсорсинг - выполнение функции внутреннего контроля полностью передается специализированной компании (внешнему консультанту);

косорсинг - служба внутреннего контроля создается в рамках организации; к выполнению заданий также привлекаются эксперты специализированной компании (внешнего консультанта), обладающие соответствующими знаниями и опытом.

Указанные подходы могут применяться в хозяйствующих субъектах в различных комбинациях. При выборе из возможных вариантов следует оценить преимущества и недостатки каждого из них (табл. 2).

Таблица 2

Преимущества	Недостатки
Служба внутреннего контроля
Сотрудники хорошо знакомы с внутренней культурой и особенностями деятельности хозяйствующего субъекта, его подразделений и филиалов Навыки и опыт внутренних аудиторов остаются внутри хозяйствующего субъекта	Сравнительно высокий уровень затрат на формирование службы
Аутсорсинг, косорсинг
Возможность использовать услуги экспертов в различных областях Доступ к высокопрофессиональным аудиторским кадрам Гибкость в вопросе использования привлеченных аудиторских ресурсов Доступ к передовым технологиям и методикам проведения внутреннего аудита	Стороннему человеку или организации трудно «почувствовать» хозяйствующий субъект изнутри

Организация, цели и функции внутреннего контроля определяются руководством и (или) собственником экономического субъекта в зависимости от организационно-правовой формы и сложившейся системы управления, содержания, специфики и масштабов деятельности, состояния внутреннего контроля и объемов финансово-экономической деятельности.

Служба внутреннего контроля создается в основном хозяйствующими субъектами крупного и среднего бизнеса при наличии следующих условий: стремления собственников и высшего руководства получить достоверную информацию и оценку действий руководителей всех уровней управления; усложненной структуры; наличия филиалов и дочерних компаний; разнообразия видов деятельности.

Возможности аутсорсинга и косорсинга используют как небольшие организации, у которых нет достаточных финансовых ресурсов для создания собственной службы внутреннего контроля, так и крупные, имеющие в своем штате соответствующие структуры. Последним такие услуги, как правило, нужны для проведения отдельных контрольных мероприятий или в «пиковые» периоды нагрузки на штатных внутренних контролеров.

Формирование службы (отдела) внутреннего контроля следует начинать с подбора кандидатуры руководителя службы. Наилучшим вариантом является ситуация, когда руководитель службы внутреннего контроля функционально подчиняется совету директоров, а административно - генеральному директору организации. Если в хозяйствующем субъекте отсутствуют совет директоров или аналогичный орган, службу внутреннего аудита следует подчинить как функционально, так административно высшему должностному лицу организации. В идеальной ситуации служба внутреннего контроля отчитывается перед высшим руководством и освобождается от другой управленческой подотчетности.

К числу внутренних нормативных документов, регламентирующих деятельность службы внутреннего контроля и аудита, относятся:

положение о службе внутреннего контроля (определяет миссию, цели и задачи, ответственность и полномочия);

руководство службы внутреннего аудита (содержит вопросы организации работы службы и взаимодействия с другими подразделениями);

внутрифирменные стандарты (содержат типовые формы и методики проведения проверок и других задач);

должностные инструкции сотрудников службы.

Численность службы внутреннего контроля должна зависеть от поставленных задач, состояния контрольной среды и степени подверженности организации разного рода рискам. Численность определяется прежде всего исходя из количества подразделений и бизнес-процессов, имеющихся в организации, и временными затратами на контроль и аудит каждого из них.

Как показывает практика, основными ошибками при создании службы внутреннего контроля, снижающими эффективность контроля либо сводящими его на нет, являются:

низкая культура внутреннего контроля;

неадекватное отношение к риску на фоне высоких финансовых результатов;

игнорирование принципа разделения полномочий;

неадекватные каналы передачи информации;

бездействие руководства в отношении выявленных проблем.

Внутренний контроль не дает ожидаемых результатов в случаях, когда руководство демонстрирует свое пренебрежительное отношение к нему и своевременно не предпринимает мер по исправлению обнаруженных недостатков.

Отсутствие процедур контроля, относящихся к какому-либо из направлений деятельности, замедляет процесс развития или вовсе останавливает его. Так, если малые предприятия целиком сосредоточатся на защите активов и предотвращении мошенничества, при этом не обращая внимания на мотивацию сотрудников, начнется текучка кадров, меньше станет инициатив. Если сконцентрироваться на оптимизации налогообложения и не обращать внимания на обеспечение прозрачности организации и управленческий учет, то менеджмент не будет иметь достоверных данных для необходимой аналитической работы, благодаря которым можно гибко реагировать на изменение внешней среды.

Типичными проблемами в деле организации систем внутреннего контроля, характерными для российских организаций, являются <5>:

<5> Шуклов Л.В. Постановка внутреннего контроля как основа для перехода на МСФО: типичные проблемы и пути их решения // Международный бухгалтерский учет. 2011. № 38. С. 2-11.

отсутствие какого-либо вида процедур контроля применительно к какому-либо процессу;

излишняя бюрократизация контроля на малых предприятиях, концентрация внутреннего контроля только на защите активов, конфиденциальности, подготовке управленческих отчетов;

недостаток полномочий для осуществления контроля, конфликт интересов в системе контроля;

недостаток какого-либо вида процедур в исследуемом центре ответственности;

использование устаревших или не согласованных с другими подразделениями контрольных процедур.

Несмотря на то что организация системы внутреннего контроля сама по себе не гарантирует автоматического достижения целей, ее отсутствие создает больше возможностей для совершения ошибок или их необнаружения. Создавая систему внутреннего контроля, организации должны избегать применения правил и практики, которые могут неумышленно создавать стимулы или соблазн для совершения неправомерных действий. В частности:

чрезмерный акцент на достижении показателей или других операционных результатов, особенно имеющих краткосрочный характер и игнорирующих более долговременные риски;

схемы вознаграждения сотрудников, чрезмерно ориентированные на краткосрочные показатели;

неэффективное распределение обязанностей или контроля, которое создает возможности для неправильного использования ресурсов либо для сокрытия отрицательных показателей;

слишком незначительные или, напротив, непомерно строгие наказания за нарушения и злоупотребления.

Множество компаний во всем мире страдает от неэффективного использования разного рода ресурсов - людских, финансовых, материальных, от недостатка необходимой для принятия правильных решений информации, непреднамеренного и преднамеренного искажения отчетности, прямого мошенничества со стороны персонала и управляющих. Подобных проблем можно избежать путем создания внутри самих компаний эффективной системы внутреннего контроля. Какова же роль и значимость внутреннего контроля?

Любая деятельность в организации происходит в рамках двух систем. Одна - это операционная (организационная) система, построенная для достижения заданных целей. Другая система - это система контроля, пронизывающая операционную систему. Она состоит, в общем виде, из политики, процедур, правил, инструкций, бюджетов, системы учета и отчетности. Эта система направлена, в конечном итоге, на создание необходимых предпосылок и повышение вероятности того, что компания в целом и менеджеры в частности достигнут поставленных целей.

Внутренний контроль есть процесс, направленный на достижение целей компании, и являющийся результатом действий руководства по планированию, организации, мониторингу деятельности компании в целом и ее отдельных подразделений. Менеджеры компании должны, во-первых, поставить цели и определить задачи компании и отдельных подразделений и построить соответствующую этому структуру организации. И, во-вторых, обеспечить функционирование эффективной системы документирования и отчетности, разделения полномочий, авторизации, мониторинга для достижения поставленных целей и решения стоящих задач.

Внутренний контроль - это контроль изнутри компании, в противоположность внешним видам контроля, таким как законодательное регулирование, контроль со стороны внешних контролирующих организаций и т.п. в данном контексте понятие внутреннего контроля синонимично понятиям управленческого контроля, операционного контроля.

Необходимо также отметить такую важную деталь, что внутренний контроль полезен только в том случае, если направлен на достижение конкретных целей и, прежде чем оценивать результаты контроля, необходимо определить эти цели.

внутренний контроль акт

1. Объекты внутреннего контроля

Система внутреннего контроля организуется руководством предприятия. Это первое и основное отличие внутреннего контроля от прочих видов контроля.

Независимый аудит проводится независимым аудитором, формы, и виды контрольных действий также определяются аудитором (п.9 Временных правил аудиторской деятельности в Российской Федерации и п. Закона “Об аудиторской деятельности”). Ревизия проводится штатным ревизором какого-либо ведомства, формы, и виды контрольных действий также определяются этим ведомством.

Внутренний контроль - это система мер, организованных руководством предприятия и осуществляемых на предприятии с целью наиболее эффективного выполнения всеми работниками своих обязанностей при совершении хозяйственных операций. Внутренний контроль определяет законность этих операций и их экономическую целесообразность для предприятия.

Целями организации системы внутреннего контроля на предприятии являются:

1) осуществление упорядоченной и эффективной деятельности предприятия;

2) обеспечение соблюдения политики руководства каждым работником предприятия;

3) обеспечение сохранности имущества предприятия.

Для достижения вышеперечисленных целей необходимым условием является согласованность системы бухгалтерского учета (более широко - Учета) и системы внутреннего контроля, так как система двойной записи, лежащая в основе любой системы бухгалтерского учета (в том числе автоматизированных систем бухгалтерского учета), определяет порядок регистрации хозяйственных операций и обеспечивает надлежащий контроль.

Для достижения целей организации системы внутреннего контроля необходимо решение отдельных задач. Руководство предприятия обязано обеспечить организацию и поддержание на должном уровне такой системы внутреннею контроля, которая являлась бы достаточной для того, чтобы:

* в бухгалтерскую (финансовую) отчетность было включено все, что должно быть в нее включено, и не включено ничего из того, что не должно быть в нее включено, а то, что включено в отчетность, было бы правильно определено, классифицировано, оценено и зарегистрировано;

* бухгалтерская (финансовая) отчетность давала верное и объективное представление о предприятии в целом;

* компьютерные программы, контролирующие функционирование учетной системы, включающие формирование первичных документов, их анализ и разноску по счетам, не могли быть сфальсифицированы;

* средства предприятия не могли быть незаконно присвоены или неэффективно использованы;

* все отклонения от планов своевременно выявлялись, анализировались, а виновные несли ответственность;

* внутренняя отчетность оперативно передавалась лицам, уполномоченным принимать управленческие решения, для ее оптимального использования. Из перечисленных выше задач руководства предприятия по организации внутреннего контроля видна неразрывная связь системы внутреннего контроля с двумя видами бухгалтерского учета; бухгалтерским финансовым и бухгалтерским управленческим учетом.

Первые три задачи обеспечиваются связью системы внутреннего контроля с системой бухгалтерского финансового учета, а три последние с системой бухгалтерского управленческого учета.

Именно поэтому в дальнейшем мы будем различать две системы:

* систему внутреннего финансового контроля;

* систему внутреннего управленческого контроля.

Как видно из содержания поставленных задач, создание системы внутреннего контроля - это достаточно сложный процесс, а сама система внутреннего контроля - это очень сложный и тонкий организм, неотъемлемыми частями которого являются абсолютно все подразделения предприятия, все сферы его деятельности и деятельность каждого работника-предприятия. Система внутреннего контроля - это своеобразная организация внутри организации (предприятия).

Степень сложности внутреннего контроля должна соответствовать организационной структуре предприятия, численности персонала, разветвленности сети филиалов и подразделений, степени централизации бухгалтерского учета и другим характеристикам предприятия в целом.

Объектами внутреннего контроля являются циклы деятельности организации - циклы снабжения, производства и реализации. Важнейшей функцией внутреннего контроля является обеспечение соблюдения работниками предприятия своих должностных обязанностей,

Методы, используемые при осуществлении внутреннего контроля, весьма разнообразны и включают элементы таких методов, как:

* бухгалтерский финансовый учет (счета и двойная запись, инвентаризация

и документация, балансовое обобщение);

* бухгалтерский управленческий учет (выделение центров ответственности,

нормирование издержек);

* ревизия, контроль, аудит (проверка документов, проверка арифметических расчетов, проверка соблюдения правил учета отдельных хозяйственных операций, инвентаризация, устный опрос персонала, подтверждение и прослеживание);

* теория управления.

Все вышеперечисленные методы интегрируются в единую систему и используются в целях управления предприятием.

В современных условиях в жизнь предприятий постепенно входит новое понятие, называемое “эккаунтингом" (accounting). Это чрезвычайно емкое экономическое понятие, в основе которого лежит счетоводство - ведение бухгалтерского учета в соответствии с общепринятыми нормами. Однако счетоводство - это лишь основополагающий элемент эккаунтинга. Посредством счетоводства создается информационная база, необходимая для управления предприятием.

Профессиональная деятельность, связанная с формированием этой информационной

базы, и называется эккаунтингом.

В это понятие входит работа:

* плановая;

* по составлению отчетности;

* контрольная;

* аналитическая.

Таким образом, контроль является неотъемлемой частью эккаунтинга.

В некоторых случаях акты не только фиксируют установленные факты и события, но и содержат выводы, рекомендации и предложения (акты проверок, обследований, ревизий и т.п.).

Акты отличаются широким разнообразием по своему назначению и содержанию:

· сдачи-приемки (работ, материальных ценностей, документов);

· обследования (состояния техники безопасности, противопожарной безопасности; условий труда; результатов деятельности);

· испытаний (образцов, систем, технологий);

· выделения к уничтожению (материальных ценностей, документов);

· передачи (структурного подразделения из одной организации в другую);

· нарушения установленных правил;

· ревизии, инвентаризации;

· расследования аварий, несчастных случаев;

· ликвидации организации и т.д.

Акты составляются коллегиально (не менее двух составителей). Нередко акты составляются комиссиями, специально создаваемыми, состав которых утверждается распорядительным документом руководителя организации. Акты могут составляться и постоянно действующими комиссиями на регулярной основе.

Главное при составлении акта - установление фактического состояния дел и объективное отражение в акте. Акт составляется на основе черновых записей, которые ведутся во время работы комиссии или группы лиц и содержат фактические данные, количественные показатели и другие сведения.

Система внутреннего контроля - это система мер, направленных на выявление и устранение финансовых, правовых, производственных и прочих рисков, а также на выявление фактов хозяйственной деятельности, связанных с преднамеренным или непреднамеренным нарушением сотрудниками своих обязанностей, повлекшим за собой ухудшение финансового состояния предприятия или его деловой репутации.

Система внутреннего контроля может включать в себя:

· контроль соответствия деятельности предприятия российскому законодательству;

· контроль сохранности активов предприятия;

· контроль процесса материально-технического снабжения;

· контроль процесса производства(продажи) продукции(услуг);

· контроль рационального и экономного расходования ресурсов;

· контроль исполнения приказов и распоряжений;

· контроль эффективности и исполнения отдельных договоров/групп договоров;

· внутренний аудит;

· мониторинг внешней и внутренней среды предприятия на предмет выявления угроз безопасности;

· другие направления исходя из потребностей предприятия.

Сколько и какие органы контроля иметь в компании - определяется, в первую очередь, требованиями законодательства. Например, для акционерных обществ законодательством предусмотрено наличие совета директоров (наблюдательного совета) и ревизионной комиссии.

Собственники и менеджмент компании, исходя из своих потребностей, могут создавать и другие органы контроля. Выбор богатый: контрольно-ревизионная служба, служба внутреннего контроля, служба внутреннего аудита, служба безопасности, отдел контроля качества . Другое дело, что, подчас, по-разному называющиеся органы контроля в значительной мере дублируют работу друг друга. Это, как правило, приводит к экономической неэффективности их деятельности.

Немалую роль в принятии решения о структуре органов контроля играет состояние контрольной среды в компании и, если говорить более широко, уровень развития ее корпоративной культуры.

Поскольку построение системы внутреннего контроля есть процесс трудоемкий и длительный, наличие в компании отдельного контрольно-ревизионного подразделения (контрольно-ревизионной службы) является объективной необходимостью на определенном этапе. Данное подразделение приобретает особую значимость, если у руководства компании нет возможности и/или желания строить эффективную систему контроля и создавать высокоразвитую корпоративную культуру. В данном случае контрольно-ревизионное подразделение будет фокусироваться на выявлении ошибок и злоупотреблений, исполняя роль корпоративного полицейского в «чистом виде». Но следует помнить, что ревизионная деятельность, по своей сути, направлена на ретроспективу, т. е. на уже произошедшие события и их последствия. Внутренний аудит ориентирован на перспективу, т. е. на анализ будущих событий, которые могут неблагоприятным образом сказаться на деятельности отдельных подразделений и/или компании в целом.

Иначе говоря, ревизия оценивает последствия уже материализовавшихся рисков, в то время как внутренний аудит оценивает возможность и предлагает пути снижения рисков и/или негативных эффектов их воздействия. Наличие в компании контрольно-ревизионного подразделения ни в коей мере не означает ненадобности во внутреннем аудите и других формах контроля. Все определяется тем, на каком этапе своего развития находится компания и в каком направлении, с точки зрения внутренней корпоративной культуры, она будет двигаться.

Кроме того, контрольно-ревизионная деятельность и внутренний аудит не охватывают остальных направлений контроля, в частности: технологический контроль, управленческий контроль, контроль угроз безопасности и т.д. Следовательно, подход к организации системы внутреннего контроля предприятия должен носить комплексный характер.

Согласно методологии COSO , существуют три основных цели внутреннего контроля:

· проверка эффективности хозяйственных операций;

· проверка соответствия операций и учета требованиям законов;

· проверка обеспечение достоверности финансовой отчетности.

Соответственно, задача построения эффективной системы внутреннего контроля состоит в том, чтобы структурировать все контрольные процедуры для всех важных бизнес-процессов, дабы выполнить три этих "сверхзадачи". В качестве примера покажем методологию организацию системы внутреннего контроля на основе модели COSO.

Модель COSO состоит из пяти ключевых компонентов:

· контрольной среды;

· оценки рисков;

· контролирующих мероприятий;

· внутренних коммуникаций;

· мониторинга.

1. Эффективная внутренняя контрольная среда - это фундамент системы внутреннего контроля. Она включает: корпоративную культуру, управленческий стиль высшего менеджмента, кадровую политику, корпоративный кодекс, организационную форму и полномочия структур внутреннего контроля, содержание программ по противодействию внутреннему мошенничеству, хищениям, системы бюджетирования, политики в сфере ИТ, закупок, сбыта и т.п. Весь свод внутренних писаных и неписаных правил формирует контрольную среду и в конечном счете предопределяет качество отчетности и эффективность хозяйственных процессов.

2. Рациональный риск-менеджмент . Система контроля должна начинаться с зон повышенного риска, с тех участков деятельности компании, где существует наибольшая угроза финансовых потерь: хищения, порча сырья или готовой продукции, нерациональное расходование средств, значительные убытки из-за налоговых штрафов и так далее. Поэтому важной составляющей систем внутреннего контроля является риск-менеджмент. Его задача - идентифицировать риски и составить "карту рисков", выделить наиболее критичные риски с точки зрения потенциального ущерба (при отсутствии должного контроля), разработать пути их минимизации, и, наконец, проводить ежегодную переоценку рисков. Процесс анализа должен быть осмысленным, например риск хищений в столовой путем подписания фальшивых платежек имеет высокую вероятность наступления, но небольшой ущерб. Если затраты на устранение риска превышают размер потенциального ущерба, не имеет смысла им заниматься.

3. Разработка контрольных процедур "на все случаи жизни". Когда приоритеты системы внутреннего контроля благодаря риск-менеджменту расставлены и выявлены бреши в системе контроля, наступает черед конкретных мер по усилению контроля. Модель COSO предусматривает девять видов контролирующих воздействий, то есть способов реагирования на недостатки. Вот несколько примеров. Неясно, кто за что отвечает - нужно четко разграничить сферы ответственности; трудно определить виновников ущерба - нужно придумать способы авторизации операций, контрактов, изменений в документах. Если слишком много лиц имеют доступ к конфиденциальным данным или ценным активам - следует ограничить доступ; а когда намечаются расхождения между реальными и отчетными запасами на складах - провести инвентаризацию складских остатков.

4. Система внутренней коммуникации. Речь идет о том, чтобы в компании были созданы условия для получения полных и достоверных данных, их хранения и обработки, а главное - для полноценного информационного обмена между подразделениями и различными уровнями руководства.

5. Мониторинг. Сюда относятся способы контроля высших уровней управления за работой низших. Часто мониторинг проводится для того, чтобы найти какие-либо отклонения от стандартных показателей или правил. Поэтому основой мониторинга являются различные корпоративные нормативы, например, по складским остаткам или же срокам закрытия бухгалтерских книг.

Рис.1. Структура системы внутреннего контроля предприятия

Из предложенной методологии логически складывается система внутреннего контроля предприятия, структурная схема представлена на рис.1. Субъекты и объекты внутреннего контроля включают: структурные подразделения предприятия, которые предназначены для организации и проведения контрольных мероприятий, контролируемые подразделения и бизнес-процессы. Политика предприятия в сфере внутреннего контроля формулирует цели и задачи, достижения которых должна обеспечить система внутреннего контроля распределение функций между участниками контроля и методы контроля. Формулировка политики внутреннего контроля - является основополагающим аспектом в организации системы, т.к. именно в ней определяется отношений к ней собственника.

Следует отметить, что политика предприятия в сфере внутреннего контроля отражает и отношение к нему собственников.

СВК на предприятии является важнейшей частью современной системы управления, позволяющей достичь целей, поставленных собственниками с минимальными затратами.

Основная задача СВК состоит в обеспечении наблюдения и (или) проверки функционирования любого объекта внутреннего контроля (предприятия в целом, его подразделений и филиалов, иных объектов внутреннего контроля) на предмет соответствия их деятельности законам, стандартам, планам, нормам, правилам, приказам, принимаемым управленческим решениям. Устанавливая отклонения от требований этих документов и выявляя причины их возникновения, СВК способствует своевременной разработке собственниками и/или исполнительными органами управления предприятием мероприятий по их устранению. На рис. 2. показано место СВК в системе управления предприятием.

Рис.2. Место СВК в системе управления

Наличие эффективно работающей СВК является важнейшим фактором роста конкурентоспособности предприятия. Как показывает международная практика, наличие СВК создает реальные предпосылки успешного развития бизнеса, в связи с:

· появлением возможности на выгодных условиях привлекать инвестиции путем повышения качества финансовой (бухгалтерской) отчетности хозяйствующего субъекта;

· появлением возможности эффективно управлять использованием материальных и трудовых ресурсов хозяйствующего субъекта и проводить эффективную ценовую политику.

· появлением у собственников возможности контролировать деятельность топ-менеджмента на соответствие его действий целям бизнеса хозяйствующего субъекта, а у топ менеджмента - эффективности работы филиалов и структурных подразделений хозяйствующего субъекта.

Рассмотрим сущность этих предпосылок.

Привлечения инвестиций. Невозможно получить на льготных условиях кредиты в международных и транснациональных банках и фондах без наличия СВК. Это требование международных финансовых организаций, таких как Международный банк реконструкции и развития или Международный валютный фонд вытекает из положений Закона Сарбейнса - Оксли» (раздел 404 «Оценка руководства и внутренний контроль»). В нем определено, что годовые отчеты публичных компаний, подписанные ее руководством, должны в обязательном порядке содержать проверенный внешним аудитором отчет о внутреннем контроле, в котором должна содержаться следующая информация:

1) о деятельности руководства компании по созданию и обеспечению функционирования адекватной бизнесу структуры внутреннего контроля, а также процедур формирования финансовой отчетности;

2) об оценке эффективности (по состоянию на конец последнего финансового года компании) структуры внутреннего контроля и процедур, применяемых ею по отношению к финансовой отчетности.

Совершенствование системы управления. СВК путем выявления резервов повышения эффективности использования материальных и трудовых ресурсов стимулирует разработку мероприятий по снижению себестоимости выпускаемой продукции, т.е. повышает финансовую устойчивость хозяйствующего субъекта и его конкурентоспособность..

Усиление контрольных функций позволяет собственникам хозяйствующего субъекта своевременно принимать меры по дальнейшему развитию бизнеса в направлении достижения намеченных программных целей, а самому топ менеджменту своевременно выявлять зоны максимального риска.

Конечная цель организации СВК - выполнение контрольных функций непосредственно на предприятии и обеспечение готовности к ревизиям и проверкам, проводимыми внешними контрольными органами. Для этого необходимо создать гибкую систему контрревизионных мероприятий, внутреннего финансового и хозяйственного контроля, которая предусматривает и регламентирует следующие стратегически важные функций контроля и контрревизионных мероприятий :

Выше было сказано, что в структуру СВК входят пять составляющих. Рассмотрим подробнее первые три:

1. Контрольная среда.

2.Механизмы и средства внутреннего контроля.

3.Система оценки рисков.

Рассмотрим основные характеристики каждой из этих частей.

Контрольная среда в соответствии с международными стандартами внутреннего аудита - это общее отношение высших органов управления хозяйствующим субъектом к необходимости осуществления внутреннего контроля и предпринимаемые в связи с этим действия. Правильно сформированная контрольная среда позволяет обеспечить необходимую процедуру и предпосылки для эффективной работы СВК с помощью комплекса внутренних нормативных документов в обязательном порядке предусматривающих разделение несовместимых функций, позволяющих руководителям хозяйствующих субъектов всех уровней принимать комплексные управленческие решения, касающиеся, в первую очередь, использования его активов, в том числе, через систему визирования документов.

Под вышеупомянутыми несовместимыми функциями понимаются те из них, сосредоточение которых у одного лица в любых комбинациях может способствовать совершению им случайных или умышленных ошибок, а также затруднять их обнаружение.

Сюда следует отнести:

1) непосредственный доступ к активам;

2) разрешение на осуществление операций с активами;

3)непосредственное осуществление хозяйственных операций;

4) отражение хозяйственных операций в бухгалтерском учете.

Контрольная среда включает в себя следующие элементы:

1) этические ценности;

2) философию и стиль управления;

3) организационная структура;

4) процесс распределения полномочий и ответственности;

5) политику и практику управления персоналом;

6) компетентность персонала.

Механизмы внутреннего контроля, главным из которых является система бухгалтерского учета, должны обеспечивать достижение следующих целей:

1)финансово-хозяйственные операции выполняются с разрешения уполномоченных на то руководителей;

2) все операции фиксируются в бухгалтерском учете в правильных суммах, на надлежащих счетах бухгалтерского учета, в правильном периоде времени, в соответствии с принятой хозяйствующим субъектом учетной политикой, что обеспечивает возможность подготовки достоверной финансовой (бухгалтерской) отчетности;

3)непосредственный доступ к активам разрешен регламентирующими документами строго определенному кругу сотрудников хозяйствующего субъекта;

4)соответствие зафиксированных в бухгалтерском учете и фактически имеющихся в наличии активов методами инвентаризации определяется руководством с установленной нормативными документами периодичностью и, в случае расхождения, оно предпринимает надлежащие действия.

Правильное применение хозяйствующим субъектом механизмов контроля призвано обеспечить удержание рисков потерь в допустимых пределах, установленных в рамках действующей системы управления рисками.

Система оценки рисков должна выявлять и предупреждать возможность появления финансовых или иных потерь связанных с внутренними и внешними факторами. Оценка рисков в рамках СВК осуществляется с помощью проверок эффективности работы бухгалтерии, наличия контрольной среды, механизмов и системы средств внутреннего контроля, результативности их деятельности. Цель этой системы - выявлять потенциальные объекты внутреннего контроля, отклонения в работе которых от регламентированных параметров могут существенным образом негативно отразиться на финансово-хозяйственной деятельности предприятия в целом.

Функционирование СВК, сформированной в соответствии с вышеприведенной структурой, будет приносить предприятию реальную пользу, если в процессе ее работы будут соблюдаться следующие основные принципы:

1. Принцип ответственности состоит в том, что каждый субъект внутреннего контроля, т.е. внутренний аудитор или внутренний контролер, за ненадлежащее выполнение контрольных функций, предусмотренных должностными обязанностями, должен нести экономическую и \ или дисциплинарную ответственность. В противном случае этот субъект не будет в должной мере выполнять возложенные на него функции.

2. Принцип сбалансированности означает, что субъекту внутреннего контроля нельзя поручать выполнение функций, не обеспеченных соответствующими организационными (приказ, распоряжение) и техническими (программами, счетными и мерными устройствами) средствами для их надлежащего исполнения.

3. Принцип своевременного сообщения о выявленных существенных отклонениях гласит, что информация о них должна быть оперативно доведена до лиц, непосредственно принимающих решения по данным отклонениям.

4. Принцип соответствия контролирующей и контролируемой систем гласит, что степень сложности СВК хозяйствующего субъекта должна в каждый конкретный момент времени соответствовать степени сложности его бизнеса.

5. Принцип постоянства определяет, что СВК действует на постоянной основе. Это позволит своевременно выявлять отклонения от плановых заданий и норм.

6. Принцип комплексности определяет, что весь комплекс объектов внутреннего контроля в хозяйствующем субъекте должен быть им охвачен его различными формами в зависимости от уровня риска.

7. Принцип распределения обязанностей гласит, что функции работников аппарата управления распределяются между ними таким образом, чтобы выполнялись требования к формированию контрольной среды.

С учетом указанных принципов разработчики СВК разрабатывают конкретные требования к участникам процесса внутреннего контроля и аудита. Они могут выглядеть следующим образом:

1. Требование подконтрольности каждого субъекта внутреннего контроля, работающего в хозяйствующем субъекте. Выполнение одним субъектом контрольных функций должно быть в обязательном порядке подконтрольно на предмет качества другому субъекту внутреннего контроля.

2. Требование ущемления интересов.

С помощью нормативных документов создаются условия, при которых любые отрицательные отклонения ставят конкретного работника в экономически невыгодное положение. Это стимулирует его к устранению отрицательных отклонений и вызвавших их причин.

3. Недопущение сосредоточения прав контроля на всех его объектах в руках одного лица.

В СВК могут действовать независимо различные субъекты контроля. Несоблюдение этого требования создает условия для необъективного отражения в отчетных материалах результатов проверок.

4. Требование заинтересованности руководства хозяйствующего субъекта.

Эффективное функционирование СВК невозможно без должной заинтересованности и участия в ее работе представителей собственников и топ менеджмента хозяйствующего субъекта.

5. Требование компетентности, добросовестности и честности внутренних аудиторов и внутренних контролеров хозяйствующего субъекта.

Если сотрудники хозяйствующего субъекта, в служебные функции которых входит осуществление внутреннего контроля, не обладают вышеуказанными характеристиками, то даже идеально организованная СВК не сможет работать эффективно.

6. Требование пригодности методик и программ, применяемых в работе СВК.

Методики и программы должны быть целесообразны и рациональны. В результате их применения в минимальной степени будет снижаться эффективность работы объектов внутреннего контроля, а сам внутренний контроль будет рационален, т.е. и не вызывает излишних затрат труда и средств.

7. Требование единичной ответственности.

Недопустимо закрепление одной и той же контрольной функции за несколькими субъектами контроля, так как это неизбежно приведет к безответственности, затрате излишних сил и средств.

8. Требование функционального потенциального замещения.

Временное выбытие отдельных субъектов контроля (например, в отпуск) не должно прерывать контрольные процедуры или затруднять их выполнение. Для снижения влияния этого фактора необходимо добиться, чтобы каждый субъект контроля умел выполнять в должной степени контрольную работу вышестоящего и одного - двух работников своего уровня.

9. Требование регламентации.

Эффективность функционирования СВК напрямую зависит от наличия, качества и уровня утверждения регламентов (правил, стандартов), которыми она руководствуется, а также от их точного выполнения субъектами контроля.

10. Требование взаимодействия и координации.

СВК должна функционировать на основе четкого взаимодействия всех подразделений и служб хозяйствующего субъекта. Такого взаимодействия можно добиться путем разработки комплекса нормативных документов, регламентирующих контрольную деятельность структурных подразделений и руководителей хозяйствующего субъекта.

Как показывает практика на российских предприятиях в СВК применяются следующие организационные структуры. Это:

1. Служба внутреннего аудита (СВА).

2. Наблюдательный совет.

3. Ревизионная комиссия и контрольно-ревизионная служба (КРС);

4. Службы и отделы предприятия (включая службу безопасности).

Следует подчеркнуть, что вышеуказанные формы могут применяться в хозяйствующих субъектах в различных комбинациях. При выборе из возможных альтернатив следует оценить преимущества и недостатки каждой из них.

СВА обладает следующими преимуществами:

· сотрудники СВА хорошо знакомы с внутренней культурой и особенностями хозяйствующего субъекта, его подразделений и филиалов;

· навыки и опыт внутренних аудиторов остаются внутри хозяйствующего субъекта.

Как недостаток следует отметить сравнительно высокий уровень затрат на формирование СВА, что, в конечном счете приводит к возникновению дополнительных общезаводских затрат, распределяемых между видами производимой продукции (работ, услуг).

СВА, как показала практика, организуется, в основном, хозяйствующими субъектами крупного и среднего бизнеса, при наличии следующих условий:

· стремления собственников и высшего руководства получить достоверную информацию и оценку действий руководителей всех уровней управления;

· усложненной структуры;

· наличия филиалов и дочерних компаний;

· разнообразия видов деятельности.

Результативность работы СВА будет во многом определяться ее подчиненностью, которая, безусловно, определяется собственником предприятия. Однако, как показывает практика, деятельность СВА наиболее эффективна, если она подчиняется функционально Комитету по аудиту Совета директоров или другому органу, представляющему интересы собственника при их наличии, а административно - представителю высшего исполнительного руководства хозяйствующего субъекта, определенному собственником.

Это утверждение справедливо, так как указанный Комитет использует результаты деятельности СВА для того, чтобы:

· увеличивать общественное доверие к надежности и объективности публикуемой финансовой (бухгалтерской) отчетности хозяйствующего субъекта, т.е. повысить его инвестиционную привлекательность;

· усиливать независимую позицию внешних аудиторов путем представления им дополнительного канала получения достоверной информации;

· содействовать взаимодействию СВА и руководителей всех уровней управления хозяйствующего субъекта.

В предприятиях среднего и малого бизнеса наиболее часто используется структурно-функциональная форма СВК. Ее преимущество перед СВА в меньшей затратности. Эта форма внутреннего контроля предусматривает разработку специалистами хозяйствующего субъекта, как правило, совместно с внешними аудиторами или консультантами комплекса нормативных документов, регламентирующих порядок взаимодействия его структурных единиц и руководителей в части проведения внутреннего контроля, оформления его результатов, а также подготовки рекомендаций по устранению выявленных недостатков и осуществление последующего контроля над их устранением.

Недостаток этой формы в том, что, она недостаточно эффективна на стадии формирования планов проверок и последующего контроля над устранением выявленных недостатков.

Весьма перспективным, как показывает практика, является сочетание СВА со структурно-функциональной формой внутреннего контроля. Такой гибрид весьма полезен с точки зрения экономии затрат при обеспечении достаточно высокой степени эффективности СВК, поскольку небольшая СВА играет роль разработчика, организатора и методолога контрольной работы, проводимой, в основном, силами внутренних контролеров.

В этом случае СВА выполняет следующие организационные функции:

1. Выбор объектов проверки и их предварительное изучение.

2. Разработка общих планов и программ проведения проверки.

3. Формирование команды проверяющих из внутренних аудиторов и внутренних контролеров.

4. Согласование направления и цели проверки с ее заказчиком.

5. Подготовка заключительных материалов по результатам проверки.

6. Составление плана последующего контроля над устранением выявленных недостатков и проверка хода его выполнения, информирования об этом заказчика.

продолжение в ближайших выпусках

Система внутреннего контроля на основе SOX

Сегодня для большинства крупных международных компаний актуальной задачей является обеспечение соответствия требованиям внешнего законодательства разных стран с помощью системы внутреннего контроля. Наиболее жесткими считаются требования, которые вступили в силу в марте 2005 г. в США с принятием закона Сарбейнса-Оксли. Данным законом руководству компаний была вменена обязанность подтверждать правильность финансовой отчетности лично, а также свою ответственность за эффективность системы внутреннего контроля и в первую очередь при подготовке финансовой отчетности. Помимо этого для соответствия закону необходимо получить заключение внешнего аудитора об эффективности системы внутреннего контроля компании.
Законодательство подобного рода существует во многих странах, например в Великобритании, Канаде и др. В России также предпринимаются меры в данном направлении. Примером является постановление Федеральной службы по финансовым рынкам от 15.12.04 г. N 04-1245/пз-н «Об утверждении Положения о деятельности по организации торговли на рынке ценных бумаг», предусматривающее наличие в компаниях-эмитентах положения о внутреннем контроле, утвержденного советом директоров. Кроме того, в компании необходимо создать отдельное подразделение, которое должно контролировать выполнение этого положения и докладывать о результатах комитету по аудиту.

Основные документы в области создания системы внутреннего контроля

В настоящее время сообщества аудиторов, менеджеров, бухгалтеров и ИТ-специалистов активно работают над совершенствованием систем внутреннего контроля. В результате этой работы были созданы следующие документы:
стандарт «Цели контроля при использовании информационных технологий» (COBIT) — (the Information Systems Audit and Control Foundation»s Control Objectives for Information and related Technology) — обеспечивает решение вопросов о соответствии применяемых информационных технологий существующим бизнес-процессам и является основой для создания общих правил надежности и механизма контроля за эффективностью использования информационных систем. COBIT позволяет применять лучшую практику в области управления ИТ, определить «зрелость» ИТ-процессов и адекватный уровень надежности и контроля при использовании информационных технологий. Аудиторам в области ИТ он помогает сформировать мнение об эффективности внутреннего контроля;
документ «Внутренний контроль: интегрированный подход» (COSO) — (the Committee of Sponsoring Organizations of the Treadway Commission»s Internal control — Integrated Framework) — содержит основные принципы организации системы внутреннего контроля в компании и является верхнеуровневым руководством для ее создания и совершенствования;
документ «Контроль и аудит систем» (SAC) — (the Institute of Internal Auditors Research Foundation»s Systems Auditability and Control) — предлагает поддержку внутренним аудиторам в вопросах контроля и аудита информационных систем. В документе дается определение системы внутреннего контроля и описывается ее состав, а также приводятся классификации средств контроля, его цели и риски;
Указание о рассмотрении структуры внутреннего контроля при аудите финансовой отчетности (SAS 55, 78) — (the American Institute of Certified Public Accountants» Consideration of the Internal Control Structure in a Financial Statement Audit) — является руководством для внешних аудиторов в части анализа эффективности системы внутреннего контроля, необходимой для обеспечения корректности финансовой отчетности.
Перечисленные документы включают общие концепции внутреннего контроля, при этом более поздние документы построены на принципах, разработанных в более ранних. В связи с этим они применяются разными группами сотрудников и внешних специалистов. Так, COBIT ориентирован на руководство, ИТ-специалистов и аудиторов в области ИТ, COSO — на топ-менеджмент компании, SAC — на внутренних аудиторов, а SAS 55 и 78 — на внешних аудиторов.
Если говорить о практике использования данных документов, то в большинстве случаев они содержат лишь основные принципы системы внутреннего контроля, что требует уточнений для каждого предприятия и привлечения специалистов с опытом работы в этой области. Однако необходимо отметить, что в основе системы внутреннего контроля заложена система управления операционными рисками. Это методологически упрощает работу по ее созданию и совершенствованию.
На основании требований к системе внутреннего контроля можно определить основные принципы ее построения:

организация внутренней/управленческой среды в компании;
установление целей развития компании;
определение методов идентификации рисков и методов их оценки;
выбор методов управления рисками (уклонение от риска, сокращение, перераспределение или принятие);
установление основных принципов организации контрольных процедур;
определение средств коммуникации и обмена информацией, а также средств тестирования системы внутреннего контроля.

Создание системы внутреннего контроля

Для определения основных точек контроля внутри компании используется методология управления процессами и рисками. Главный этап — анализ бизнес-процессов и выявление операционных рисков на основании описания процессов и взаимодействия с экспертами.
В любой деятельности присутствуют риски, и задачей сотрудников является управление этими рисками, однако не все могут и хотят этим заниматься. Цель внутреннего контроля при построении системы управления рисками — это внедрение в текущие процессы контрольных процедур, что позволяют минимизировать вероятность наступления риска либо его последствия, т. е. фактически система внутреннего контроля «заставляет» сотрудников управлять рисками. Для обеспечения возможности проверки эффективности существующих и создаваемых контрольных процедур в процессах предусматривается формирование документального подтверждения выполнения всех требований контрольной процедуры. В дальнейшем с помощью тестирования проверяется эффективность выполнения контроля через анализ существующих подтверждений правильности выполнения контрольной процедуры.
Что касается построения системы внутреннего контроля над формированием финансовой отчетности (SOX), то этому процессу можно дать следующее определение — процесс, инициируемый советом директоров, руководством и иными сотрудниками, направленный на получение достаточной степени уверенности относительно достоверности финансовой отчетности в соответствии с общепринятыми принципами ее формирования для внешних пользователей, включая политики и процедуры в следующих областях:

все операции и сделки компании соответствующим образом авторизованы;
активы компании защищены от несанкционированного использования;
все операции нашли соответствующее отражение в учетных регистрах и финансовой отчетности.

Исходя из данного определения можно сделать вывод, что для создания системы внутреннего контроля в целом для компании необходимо построить процесс, направленный на формирование норм, процедур, приемов и организационных структур, разработанных для обеспечения разумной гарантии того, что бизнес-цели будут достигнуты, а нежелательные события — предотвращены или обнаружены и исправлены (COBIT).
На рисунке представлены основные этапы проекта по внедрению системы внутреннего контроля, направленной на обеспечение достоверности финансовой отчетности.
(Рисунок)
В общем случае внедрение системы внутреннего контроля в компании включает следующие этапы:

Идентификация критических процессов

Необходимо определить перечень внешних нормативных актов, которым нужно соответствовать, а также требования регулирующих законов, которые должны быть выполнены в данном случае. Далее следует установить критичные области в информационном окружении, бизнес-процессах и инфраструктуре.
Часто для российских представительств западных компаний требования внутреннего контроля «спускаются сверху», где они формируются централизованно на уровне корпорации, что не всегда соответствует реальным бизнес-процессам компании и реалиям российской действительности. В связи с этим задачей данного этапа является определение того, что именно из «спущенного сверху» имеет отношение к реально существующим процессам.

Формализация процессов

Проводится описание существующих процессов компании, критичных с точки зрения системы внутреннего контроля, что дает основу для идентификации рисков. Для решения данной задачи целесообразно двигаться «сверху-вниз», формализуя деятельность с верхнего уровня до уровня рабочих мест, описывая поток работ между исполнителями, а также входящую и исходящую информацию. Такой уровень детализации требуется для дальнейшего анализа рисков в процессах и формирования контрольных процедур. На данном этапе можно использовать инструментальные системы для описания бизнес-процессов: ARIS или, в более простых случаях, VISIO.

Идентификация рисков в процессах

Следует определить, насколько существующие процессы в компании рискованны с точки зрения невыполнения требований регулирующих законов. Так, для удовлетворения требований SOX необходимо принимать во внимание все риски, способные привести к умышленному или случайному искажению финансовых данных и соответственно финансовой отчетности, а также к мошенничеству. Если сравнивать общее число критичных рисков и рисков, влияющих на финансовую отчетность, то можно сделать вывод, что риски в области финансовой отчетности составляют, как минимум, четверть от всех операционных рисков компании. Число рисков может превышать тысячу, что обусловливает объем проекта по построению системы внутреннего контроля.
Идентификация рисков проводится на основании анализа детального описания процессов. По его результатам формируется список рисков, привязанных к процессам и функциям, где они были обнаружены. Процедура формирования этого списка на основании только опроса экспертов и без анализа процессов, как правило, не позволяет достичь его полноты. Это приводит к тому, что при внешнем аудите обнаруживается множество неучтенных рисков, и система внутреннего контроля признается неэффективной.

Оценка рисков

Определяется эффективная стратегия минимизации и предотвращения рисков, при этом оценка рисков позволяет ранжировать их по степени критичности и исключить не опасные для компании риски. Управление всеми рисками экономически невыгодно для компании, поскольку для части рисков проще согласиться с убытками, чем создавать и внедрять контрольную процедуру. В данном случае чаще всего применяется метод качественных оценок, позволяющий ранжировать риски по критериям «вероятность» и «убытки» на основании экспертного мнения. Он используется для составления перечня (с использованием рейтинговых оценок) всех идентифицированных операционных рисков, которые актуальны для системы внутреннего контроля.

В дальнейшем уточнение качественных оценок операционных рисков проводится уже в рамках их количественной (стоимостной) оценки, требующей больших временных затрат. Поэтому ключевой задачей качественной оценки помимо определения значимости рисков является «отсечение» тех рисков, которые с высокой степенью вероятности не оправдают дальнейших затрат на их минимизацию или не влияют на критичную информацию. Метод количественных оценок, основанный на расчете ущерба и вероятности риска, в данном случае сложен в применении.

Разработка контрольных процедур

Деятельность по оптимизации процессов всегда присутствует (скрыто или явно) в любой компании. Но обычно она вызвана внутренними побуждениями: стремлением повысить эффективность работы, снизить трудозатраты, контролировать деятельность. Появление внешних требований, обязательных для выполнения, является с этой точки зрения мощным дополнительным импульсом для развития или расширения данного направления деятельности в компании.

Существуют четыре стратегии управления операционными рисками:

принимать: низкая вероятность — низкие убытки. Эта стратегия наиболее простая — риски принимаются к сведению, но какие-либо действия по их компенсации принимать нерентабельно;
страховать: низкая вероятность — высокие убытки. Для данной стратегии требуется страхование рисков с помощью страховых компаний;
избегать: высокая вероятность — высокие убытки. Стратегия предлагает отказаться от рискованных процессов или сосредоточить максимальные усилия на их совершенствовании;
предотвращать: высокая вероятность — низкие убытки. Для этой стратегии требуется построение контрольных процедур, направленных на минимизацию рисков.

Таким образом, в рассматриваемом случае применимы две последние стратегии, и на их достижение направлены такие виды деятельности, как оптимизация процессов, внедрение контрольных процедур и тестирование.
Наиболее простой способ — оценка рисков с помощью метода качественных оценок и их дальнейшая минимизация.
Целью и критерием успешного совершенствования процессов в части организации системы внутреннего контроля является минимизация обнаруженных операционных рисков путем создания и внедрения в процессы контрольных процедур.

Наиболее результативными считаются превентивные контрольные процедуры, которые позволяют минимизировать саму вероятность наступления рискового события, однако для повышения надежности процесса их часто применяют одновременно с проверочными процедурами. Например, наряду с процедурой удаления карточки-пропуска при увольнении сотрудника должна существовать контрольная процедура сверки списка сотрудников, обладающих карточкой-пропуском, со списком уволенных за определенный период.
Риск можно определить через понятие контрольного действия: недостаток системы контроля существует тогда, когда дизайн или выполнение контроля не позволяют руководству или сотрудникам компании предотвратить или своевременно обнаружить искажение финансовой отчетности в рамках реализации своих повседневных обязанностей.
В зависимости от обнаруженного недостатка необходимо воздействовать либо на процесс, либо на сотрудника, его выполняющего, поэтому для обеспечения оценки эффективности контрольных процедур должны создаваться документальные подтверждения работоспособности каждой контрольной процедуры — так называемые свидетельства контроля.

Тестирование контрольных процедур

Чтобы быть уверенным в том, что система внутреннего контроля эффективна, необходимо с определенной периодичностью проверять, насколько хорошо выполняются существующие контрольные процедуры.

Данная проверка осуществляется с помощью набора тестов, которые состоят из нескольких последовательных шагов:
устанавливается наличие основного документа (политики, регламента), где определяются порядок и правила выполнения данного процесса;
проверяется выполнение на практике требований, описанных в основном документе, и документируются конкретные примеры выполнения.
По результатам теста принимается решение об эффективности или неэффективности данной контрольной процедуры. Число тестов зависит от числа процессов, проходящих через проверяемую контрольную процедуру. Периодичность проведения тестирования устанавливается в зависимости от критичности процесса и может варьировать.

Дополнительной сложностью в организации процесса тестирования может быть требование, чтобы тестирование проводилось сотрудниками, не участвующими в проверяемых процессах. Тысяча тестов, которые необходимо выполнить в течение месяца, — это нормальная ситуация для системы внутреннего контроля крупной компании. Понятно, что всем этим многообразием нужно управлять и документировать эту работу. Для данной задачи может быть использован продукт ARIS Audit Manager, который позволяет автоматизировать процедуры тестирования и создания отчетности для внешних аудиторов.
В существующих условиях количество трансакций в деятельности компании достигает сотен тысяч в секунду, а число рисков превышает тысячу, при этом достаточно сложно обеспечить эффективность выполнения контрольных процедур «на ручном уровне», поэтому единственным эффективным путем является автоматизация как процессов, так и контрольных процедур.

В настоящее время существует достаточное количество программных продуктов импортного производства (ERP, DMS и т. д.), обеспечивающих решение этой задачи в части внедрения контрольных процедур в функционал информационных систем. Однако, даже внедрив решение определенного поставщика, можно не получить эффективную систему внутреннего контроля, поскольку для большинства контрольных процедур все еще будут требоваться ручное исполнение и фиксация, что оставляет большой потенциал для совершенствования разработчиками своих ИТ-решений в данной области.
В заключение хочется отметить, что внутренний контроль должен быть регулярным процессом. Как всякий процесс, он требует правильного планирования, выполнения, проведения и совершенствования.

А. КОПТЕЛОВ , директор департамента ИТ консалтинга компании «IDS Scheer Россия и страны СНГ»