Экономические науки/7. Учет и аудит
К.э.н., доцент
Долгих Т.В.
ст. преподаватель Григорьева Е.А.
Кемеровский институт (филиал) РГТЭУ, Россия
Подходы к постановке систем
внутрихозяйственного контроля в коммерческих организациях
Для
принятия и реализации, наиболее эффективных с точки зрения стратегического
развития экономического субъекта управленческих решений, необходим
постоянный и эффективный внутрихозяйственный контроль на всех этапах процесса
управления организацией.
Являясь одним из важнейших элементов управления, внутрихозяйственный контроль
обеспечивает не только возможность принятия эффективных управленческих решений,
но также их исполнение. Эти стороны внутрихозяйственного контроля находятся в
неразрывном единстве и динамическом взаимодействии в циклах управленческих
процессов.
В настоящее время
признано, что эффективный процесс внутрихозяйственного контроля играет
важнейшую роль в способности организации выполнять поставленные цели и
сохранять финансовую жизнеспособность. При этом эффективный внутрихозяйственный
контроль обязательно должен быть системным.
Следует констатировать,
что ученые и практики дают различные определения системе внутрихозяйственного
контроля. На наш взгляд система
внутрихозяйственного (внутреннего) контроля (СВК) представляет собой
политику и процедуры, принятые руководством хозяйствующего субъекта для
упорядоченного и эффективного ведения финансово-хозяйственной деятельности,
включая строгое следование политике руководства, обеспечение сохранности
активов, предотвращение и обнаружение фактов наличия злоупотреблений и ошибок,
точности и полноты бухгалтерских записей и подготовки достоверной финансовой
информации.
Начиная с 80-х годов XX в. внутреннему контролю уделялось повышенное внимание
со стороны аудиторов, менеджеров, бухгалтеров, юристов. В результате
продолжающейся работы было выпущено
несколько документов, представляющих собой попытки определить, оценить, описать
и усовершенствовать внутренний контроль.
В 1985 г. в США при
участии и на средства пяти профессиональных саморегулируемых организаций -
AICPA, Американской ассоциации по учету и отчетности (AAA), FEI (Financial
Executives Institute), Института внутренних аудиторов (IIA) и Института
специалистов управленческого учета (IMA) - была создана национальная комиссия по
борьбе с недостоверной финансовой отчетностью, известная как «Комиссия Тредуэя».
Результатом работы этой комиссии в 1992 г стал документ под названием «Интегрированная
концепция внутреннего контроля», который принято кратко называть по
наименованию комитета-организатора концепцией COSO. Модель COSO и ее принципы
лежат в основе всех моделей контроля, предложенных позднее. В 2004 г. комиссия
выпустила более общий документ «Управление рисками организации. Интегрированный
подход» (COSO ERM).
Доклад COSO определяет
внутренний контроль, как процесс, осуществляемый советом директоров
организации, менеджментом, другим персоналом, предназначенный для обеспечения
разумной гарантии достижения целей в следующих категориях:
·
эффективность и
результативность операций;
·
надежность финансовой
отчетности;
·
соблюдение
соответствующих законов и правил.
В докладе
подчеркивается, что СВК – это инструмент управления, а средства контроля должны
быть встроены в операционную деятельность.
В 1996 г. Ассоциацией
аудита и контроля информационных систем (ISACA) был разработан и принят стандарт «Цели контроля при
использовании информационных технологий» (COBIT). Данный документ предназначен для использования в
качестве основы общеприменимых правил надежности и контроля информационных
систем в целях контроля информационной технологии (ИТ). Стандарт COBIT,– это системный подход, обеспечивающий владельцев
бизнес - процессов инструментом для полного и эффективного исполнения
обязанностей по контролю за безопасностью информационных систем.
Согласно документу COBIT контроль - это нормы, процедуры, приемы и
организационные структуры, разработанные для обеспечения разумной гарантии в
том, что бизнес - цели будут достигнуты, а нежелательные события будут
предотвращены или обнаружены и исправлены. Цели ИТ контроля, согласно документу
COBIT состоят
в заявление желаемого результата или цели, которую нужно достичь посредством
внедрения процедур контроля в конкретной ИТ деятельности. Стандарт COBIT подчеркивает роль и влияние ИТ контроля, так как это
имеет отношение к бизнес – процессам, и очерчивает область применения
независимых целей ИТ контроля.
Доклад «Контроль и
аудит систем» (SAC), подготовленный
Исследовательским фондом Института внутренних аудиторов. Документ SAC (1991 г., с изменениями, внесенными в 1994 г.)
предлагает поддержку внутренним аудиторам в вопросах контроля и аудита
информационных систем и технологии. SAC
определяет СВК как совокупность процессов, функций, действий, подсистем и
людей, объединенных вместе или сознательно разделенных, предназначенная для
обеспечения эффективного достижения целей и задач.
Указание о рассмотрении
структуры внутреннего контроля при аудите финансовой отчетности содержится в
документах SAS 55 (1988 г.) и SAS 78 (1995 г.), утвержденных Американским Институтом
дипломированных бухгалтеров. Данные документы дают руководства внешним
аудиторам относительно влияния внутреннего контроля на планирование и
проведение аудита финансовой отчетности организации. Документ SAS 78 содержит определение СВК из доклада COSO, за исключением того, что SAS 78 делает акцент на цели «надежность финансовой
отчетности», ставя ее на первое место.
Требования к системе
внутреннего контроля в последние годы становятся более строгими. Так, в 2002 г.
в США был принят закон Сарбейнса-Оксли - самый масштабный в Америке
законодательный акт о ценных бумагах после Закона о фондовых биржах 1934 г.
Действие этого закона распространяется не только на американские компании, но и
на все компании, ценные бумаги которых зарегистрированы в Комиссии США по ценным
бумагам и биржам (SEC). Законом введен ряд новых требований к публичным
компаниям в отношении расширенного объема раскрываемой в финансовой отчетности
информации, определена персональная ответственность (вплоть до уголовной)
генерального и финансового директоров за достоверность финансовой отчетности
компании. Теперь комитеты по аудиту компаний, зарегистрированных в SEC,
отвечают за механизмы внутреннего контроля и управления рисками, а также за
назначение внешнего аудитора и контроль за его деятельностью.
Появление закона
Сарбейнса-Оксли было вызвано чередой корпоративных скандалов и банкротством
крупнейших мировых компаний (Enron, Worldcom, Parmalat и др.), вызванных
выявлением фактов подготовки недостоверной финансовой отчётности, вводившей
инвесторов в заблуждение относительно реальных результатов
финансово-хозяйственной деятельности компаний, и, соответственно, неэффективной
системой внутреннего контроля.
Положения закона
Сарбейнса-Оксли в отношении аудиторских компаний распространились не только на
аудиторов США, но и на международные и национальные аудиторские компании: любая
аудиторская компания подпадает под действие закона, если дает аудиторское
заключение компании, зарегистрированной в SEC. Кроме аудиторского заключения по
финансовой отчетности аудитор публичной компании обязан представлять заключение
по системе внутреннего контроля аудируемой компании.
Данным законом
руководству компаний была вменена обязанность подтверждать правильность
финансовой отчетности лично, а также свою ответственность за эффективность
системы внутреннего контроля и в первую очередь при подготовке финансовой
отчетности. Помимо этого для соответствия закону необходимо получить заключение
внешнего аудитора об эффективности системы внутреннего контроля компании.
Законодательство
подобного рода существует во многих странах, например в Великобритании, Канаде
и др. В России также предпринимаются меры в данном направлении. Примером
является Постановление Федеральной службы по финансовым рынкам от 15.12.2004 № 04-1245/пз-н
«Об утверждении Положения о деятельности по организации торговли на рынке
ценных бумаг», предусматривающее наличие в компаниях-эмитентах положения о
внутреннем контроле, утвержденного советом директоров. Кроме того, в компании
необходимо создать отдельное подразделение, которое должно контролировать
выполнение этого положения и докладывать о результатах комитету по аудиту.
Сравнение основных документов
показывает, что каждый из них использует идеи предыдущих документов. COBIT включает материалы первоисточников COSO и SAC. Определение
контроля по COBIT берется из COSO, а определение целей ИТ контроля – из SAC. SAC включает концепции внутреннего контроля,
разработанные в SAS 55, COSO использует концепции внутреннего контроля из обоих
документов SAS 55 и SAC, а SAS 78 вносит
изменения в SAS 55, отражая вклад COSO в концепцию внутреннего контроля. В частности, SAS 78 учитывает требование о согласованности концепций
внутреннего контроля, представленных в отчете COSO и SAS 55.
Постановка, или, другими
словами, разработка системы внутрихозяйственного контроля является одним из
основных этапов функционирования СВК. Процесс формирования системы
внутрихозяйственного контроля во многом зависит от специфики деятельности
конкретной организации. На основе изученных нормативных актов, регулирующих
организацию СВК в России и за рубежом и научных трудов различных авторов были
выделены три основных подхода к постановке СВК.
Подход в соответствии с методикой COSO. Согласно методике COSO система внутреннего контроля
рассматривается в виде трехмерной матрицы, имеющей форму куба, так называемый COSO-куб. Первая ось этого куба — это
компоненты контроля. Их всего пять: контрольная среда, оценка рисков,
информационная среда, контрольные процедуры и мониторинг контроля. Вторая ось
этого куба — это уровни контроля: корпоративный и уровень процессов. Третья
ось — это перечисленные в определении цели внутреннего контроля
(стратегические и операционные, достоверность финансовой отчетности и
соответствие деятельности действующему законодательству).
Контроль на
корпоративном уровне должен содержать все пять компонентов контрольной среды.
Для контроля на уровне бизнес-процессов, согласно методике, достаточно двух
компонентов: информационной среды и контрольных процедур.
Система
внутреннего контроля, построенная по методике COSO, необходима для крупных коммерческих
организаций, как правило, холдингов, либо организаций имеющих сложную
организационную структуру. Для средних и малых организаций разработка СВК в
полном соответствии с концепцией COSO, скорее всего, станет слишком затратной и сложной.
Подход на основании карты рисков. Этот подход основан на применении
технологий риск-менеджмента. Основы данной методики изложены в документе COSO ERM «Управление рисками организации. Интегрированный
подход» 2004 г., в котором продолжается рассмотрение
вопросов внутреннего контроля, при этом акцент делается на более широком
понятии управления рисками. Система внутреннего контроля согласно COSO ERM также представляет собой трехмерную
матрицу. Четыре категории целей – стратегические, операционные, цели в области
подготовки отчетности и соблюдения законодательства - представлены на верхней
грани куба, восемь компонентов СВК – горизонтальными рядами, а подразделения
организации – вертикальными рядами.
Эффективность внутреннего
контроля по каждой из четырех категорий целей дает совету директоров и
руководству организации разумную гарантию того, что они владеют информацией, в
какой степени достигнуты стратегические и операционные цели организации, а
также того, что отчетность предприятия является достоверной, а применяемое
законодательство и нормативные акты соблюдаются.
Контроль на
корпоративном уровне должен содержать все восемь компонентов СВК. Однако COSO отмечает, что все восемь компонентов процесса СВК не могут
функционировать одинаково в каждой организации. Их применение на предприятиях
малого и среднего бизнеса может быть менее формализовано и менее
структурировано.
Подход на
основании карты рисков можно использовать при организации СВК и в усеченном
объеме: если придерживаться основных требований риск-менеджмента и
последовательно выполнить всю последовательность шагов предложенного алгоритма,
можно достичь максимального эффекта от внедрения системы внутреннего контроля
в кратчайшее время. Однако полнофункциональная система внутрихозяйственного
контроля вряд ли может быть построена подобным образом.
«Классический» подход для России. Данный подход основан на последовательном
наведении порядка по всем аспектам деятельности предприятия. Постановку СВК
обязательно надо начинать с устранения рисков, которые могут привести к потере
бизнеса целиком. После этого необходимо обеспечить внутрихозяйственных
контроль договорной работы. Это связано как с распределением полномочий между
основными руководителями подразделений (внутренний контроль на уровне бизнеса),
так и с порядком согласования договоров (внутрихозяйственный контроль на
уровне бизнес-процессов). Дальнейшее внедрение СВК происходит по подсистемам
управления. Очередность постановки основана на экспертных оценках состояния
внутреннего контроля в конкретной подсистеме целиком.
Наиболее
целесообразно применять «классический» подход к постановке систем внутреннего
контроля, в случае если принятие слишком многих управленческих решений
одновременно, на этапе внедрения СВК, затруднительно, например, если систему
контроля внедряет недавно назначенный руководитель, либо в ситуации, когда
руководитель, создавая СВК, стремиться улучшить стабильный бизнес.
В любом
случае выбор подхода к внедрению СВК должен быть сугубо индивидуальным,
зависеть от особенностей конкретной организации, ожиданий руководства,
затратности процесса внедрения и других факторов. Необходимо отметить, что в
случае необходимости можно сочетать отдельные элементы разных подходов,
добиваясь тем самым наибольшей эффективности процесса организации СВК.
Стратегия в области
формирования систем внутрихозяйственного контроля - важная составляющая
бизнес-стратегии компании. Роль внутреннего контроля трудно переоценить. При
его помощи обеспечивается сохранность собственности, выявление и мобилизация
имеющихся резервов в финансово-хозяйственной деятельности, формируются условия
для повышения эффективности управления компанией.
Список
литературы:
1.
Кодекс этики // [http://www.iia-ru.ru/inner_auditor/ethics_codex/].
2.
Международные
профессиональные стандарты внутреннего аудита //
[http://www.iia-ru.ru/inner_auditor/standard].
3. Юденков, Ю.Н. Построение системы риск-ориентированного
внутреннего контроля / «Внутренний контроль в кредитной организации». – 2010. - № 3.
4. Janet L. Colbert,
Ph.D., CPA, CIA, и Paul L. Bowen, Ph.D., CPA. Comparison of Internal Controls:
COBIT, SAC, COSO and SAS 55/78 // «IS Audit and Control Journal». – 1996. - №
IV.