Л.В. Чхутиашвили, канд. экон. наук, аудитор, член ИПБ Московского региона

Внутренний контроль – важнейшая часть системы управления, позволяющая предупреждать, выявлять недостатки и нарушения, а также своевременно устранять их последствия. Он способствует достижению целей деятельности организации, но не гарантирует их достижение.

Варианты организации внутреннего контроля

Порядок организации внутреннего контроля, в том числе обязанности и полномочия подразделений и персонала, определяются руководителем. При этом в расчет принимаются характер и масштаб деятельности компании, особенности его системы управления. Польза внутреннего контроля должна быть сопоставима с затратами на его организацию и осуществление.

Конечно, организация может обойтись без создания отдельного подразделения внутреннего контроля. Только высшее руководство способно оценить его необходимость. Однако практика дает однозначную оценку значению системы внутреннего контроля – это наиболее эффективный инструмент управления организацией.

Внутренний контроль может осуществлять собственная служба внутреннего контроля (внутреннего аудита), представленная специальными отделами, службами, комиссиями или так называемыми ревизорами – высококвалифицированными сотрудниками. Создание собственной службы целесообразно, если риски высоки, необходим контроль на постоянной основе.

Для его осуществления требуются специальные знания, навыки и опыт, существуют требования законодательства или регулятора финансового рынка о создании такой службы. Структура, состав, штатная численность не являются строго заданными. Вариант организации службы внутреннего контроля во многом зависит от правовой формы, организационной структуры, вида деятельности, а также необходимости контроля за теми или иными процессами.

Например, служба внутреннего контроля чаще всего создается организациями, чьи ценные бумаги допущены к организованным торгам. В этом случае полномочия и функции по организации и осуществлению внутреннего контроля должны быть распределены между руководителями различного уровня (советом директоров, комитетом по аудиту, генеральным и финансовым директорами, руководителями подразделений и персоналом отдела внутреннего контроля).

Для малого бизнеса часть контрольных функций возлагается на менеджеров. Если численность персонала не позволяет осуществить разграничение полномочий и ротацию обязанностей, руководитель может принять на себя все функции по организации и осуществлению внутреннего контроля и использовать сверку, надзор.

Для эффективной организации внутреннего контроля руководству хозяйствующего субъекта следует руководствоваться такими принципами, как:

• рациональная организация рабочих процессов;
• разделение функциональных обязанностей между работниками;
• информационное обеспечение работников;
• обязательный, систематизированный контроль за выполнением операций.

Оценка внутренних потребностей

Внутренний контроль в каждом конкретном случае организуется исходя из целей и задач управления организацией, поэтому пакет отчетности по работе внутреннего контролера устанавливается индивидуально. В него могут быть включены следующие разделы:

1) соответствие учета и отчетности действующему бухгалтерскому законодательству, в том числе:

• отражение в учете всех фактов хозяйственной деятельности в различных характеристиках;
• уровень систематизации хозяйственных операций и фактов хозяйственной деятельности в первичных документах;
• соответствие оценочных показателей стоимости активов, обязательств и хозяйственных операций в денежном выражении требованиям законодательства по оценке учредителей, рыночной стоимости и т.д.;
• отражение фактов хозяйственной деятельности в периоды их совершения;
• своевременное, правильное и оперативное формирование внешней и внутренней отчетности;

2) состояние первичной документации, ее сохранность и достоверность для отражения в учете;

3) соответствие квалификации работников бухгалтерии или соответствие их должностных обязанностей фактически выполняемой работе, а также распределение обязанностей между работниками бухгалтерии.

Внутренний контроль с точки зрения руководителя может осуществляться по таким основным критериям, как:

• соотношение выгод и потерь для предприятия в целом;
• соответствие предусмотренных законом действий устоявшимся принципам и традициям;
• соблюдение конфиденциальности и уважения к работникам бухгалтерии, работа которых будет подвергаться дополнительной проверке на предмет соблюдения бухгалтерского законодательства.

Результатом осуществления внутреннего контроля является отчетная информация, готовящаяся по результатам проверки внутренним контролером для руководителей организации, где должны быть зафиксированы выявленные факты нарушений или зоны риска, к которым, в частности, могут быть отнесены:

• выявленные факты нарушений законодательства Российской Федерации;
• факты неправильного ведения бухгалтерского учета и составления отчетности в контексте внутренних регламентов;
• выявленные факты недостач и хищений денежных средств и материальных ценностей;
• размеры причиненного материального ущерба и другие последствия допущенных нарушений (с указанием фамилий и должностей лиц, по вине которых они были допущены).

В результате анализа причин отклонений, отступлений от требований законодательства внутренним контролером должны формироваться предложения по устранению выявленных нарушений и корректировке. На основании материалов обобщения результатов проверок должны быть разработаны мероприятия по предотвращению нарушений в будущем, могут быть подготовлены рекомендации по новым методам и способам бухгалтерского (управленческого и финансового) учета.

Напомним, что недостачи и хищения денежных средств и материальных ценностей выявляются также в ходе обязательных годовых инвентаризаций имущества организации независимо от его местонахождения и все виды финансовых обязательств и регулярных (в том числе внезапных) проверок отдельных видов ценностей организации – денежных средств, МПЗ и т.п.

Для проведения инвентаризаций в организации создаются инвентаризационные комиссии. Это могут быть постоянно действующая инвентаризационная комиссия, рабочая комиссия, разовая комиссия.

Постоянно действующая инвентаризационная комиссия создается в составе руководителя организации или его заместителя, главного бухгалтера, начальников структурных подразделений, представителей общественности.

Для непосредственного проведения инвентаризации имущества рабочие комиссии создаются в составе представителя руководителя предприятия, назначившего инвентаризацию, и специалистов (экономиста, работника бухгалтерии, товароведов и т.п.).

В организационно-контрольные функции постоянно действующей комиссии входит проведение плановых, а также выборочных инвентаризаций и контрольных проверок всех видов имущества в межинвентаризационный период. В течение года в организациях с большой номенклатурой учитываемых ценностей могут проводиться выборочные инвентаризации материальных ценностей в местах их хранения и переработки.

Кроме того, постоянно действующие инвентаризационные комиссии решают вопросы об отнесении возможных убытков, выявленных в процессе проведения инвентаризаций, на виновных лиц, а также решают множество других вопросов.

Рабочие комиссии, которые непосредственно проводят плановые инвентаризации материальных ценностей и денежных средств в местах их хранения, участвуют в определении результатов инвентаризации. Они обычно создаются при большом объеме работ или территориальной разобщенности имущества организации для одновременного проведения инвентаризации. Как правило, рабочие комиссии утверждаются на весь отчетный год с возложением на них обязанностей по проведению разовых инвентаризаций.

Состав разовых комиссий в каждом конкретном случае утверждается руководителем организации при проведении инвентаризации по мере необходимости – по проверке и выборочной инвентаризации. Персональный состав постоянно действующих и рабочих инвентаризационных комиссий утверждается руководителем организации в приказе об инвентаризации.

В состав инвентаризационной комиссии включаются представители службы внутреннего контроля (внутреннего аудита) организации, независимых аудиторских организаций.

Сфера деятельности и задачи внутреннего контроля

Сферой деятельности внутреннего контролера (аудитора) является:

• подотчетность одних работников другим;
• внутренние проверки финансово-хозяйственной деятельности;
• участие в инвентаризации денежных средств, ценных бумаг, товарно-материальных ценностей;
• проведение сверок расчетов с контрагентами организации;
• осуществление контроля за информационными системами бухгалтерского и управленческого учета;
• ограничение доступа к активам, бухгалтерским первичным документам, файлам данных;
• сравнение и анализ полученных финансовых результатов с плановыми показателями и т.д.

Основная задача внутреннего контролера (аудитора) – участие в независимой проверке бухгалтерской (финансовой) отчетности организации в целях выражения мнения о достоверности такой отчетности, а также осуществление внутреннего контроля составления бухгалтерской (финансовой) отчетности, которая формируется по данным бухгалтерского учета. Внутренний контролер (аудитор) своими своевременными действиями может сократить время присутствия в организации налоговых инспекторов и внешних аудиторов.

Элементы внутреннего контроля

В Информации Минфина России № ПЗ-11/2013 «Организация и осуществление экономическим субъектом внутреннего контроля совершаемых фактов хозяйственной жизни, ведения бухгалтерского учета и составления бухгалтерской (финансовой) отчетности» приводятся общие подходы к организации внутреннего контроля, а также описаны элементы внутреннего контроля и необходимые процедуры внутреннего контроля. Основными элементами внут­реннего контроля Минфин России называет: контрольную среду, оценку рис­ков, процедуры внутреннего контроля, информацию и коммуникации, оценку внутреннего контроля .

Контрольная среда

Контрольная среда – это комплекс принципов и стандартов работы компании, который говорит о важности внутреннего контроля и определяет требования к нему. Это система этических ценностей, стиля управления, процесса принятия решений, делегирования полномочий и принятия ответственности, политика в отношении персонала, компетентность сотрудников и отношение управленческого аппарата организации к внутреннему контролю.

Контрольная среда должна создавать надлежащее отношение персонала к тому, что в компании осуществляется внутренний контроль. Обычно правила и принципы фиксируются во внутренних нормативных документах, предусматривающих разделение функций и ответственности работников с целью недопущения злоупотребления использованием тех или иных активов, исключения возможных случайных или умышленных искажений фактов хозяйственной жизни в бухгалтерском учете и финансовой отчетности.

Оценка рисков

Процесс оценки рисков направлен на анализ, выявление и устранение рисков, а также минимизацию их возможных последствий. При оценке рисков вне зависимости от того, будет ли проводиться аудит бухгалтерской (финансовой) отчетности, руководство должно оценивать вероятность искажения отчетных данных. При этом исходят из следующих допущений:

• возникновение и существование – активы, обязательства и капитал фактически существуют на отчетную дату. Факты хозяйственной жизни, отраженные в бухгалтерском учете, имели место в течение отчетного периода и относятся к деятельности экономического субъекта;
• полнота – факты хозяйственной жизни, имевшие место в отчетном периоде, фактически отражены в бухгалтерском учете в нужном периоде;
• права и обязательства – компания имеет права на отраженные в бухгалтерском учете активы и несет ответственность по существующим обязательствам;
• оценка и распределение – активы, обязательства, доходы и расходы правильно оценены и отражены в стоимостном и количественном измерении на соответствующих счетах и в соответствующих регистрах бухгалтерского учета;
• представление и раскрытие – данные бухгалтерского учета корректно представлены и раскрыты в бухгалтерской (финансовой) отчетности.

Минфин России обращает внимание на то, что этим принципам должна соответствовать также и информационная система субъекта, которая обеспечивает ведение бухгалтерского учета и составление бухгалтерской (финансовой) отчетности.

Персонал организации должен быть осведомлен о рисках, относящихся к сфере его ответственности, об отведенной ему роли и задачах по осуществлению внутреннего контроля и информированию руководства о различных фактах.

Все эти допущения хорошо известны внешним аудиторам, и в своих рабочих документах они их детально отражают и производят тестирование бухгалтерских операций именно с учетом этих допущений.

С целью минимизации всех известных рисков организация должна разрабатывать адекватные контрольные процедуры. Состав и содержание контрольных процедур зависят от элементов системы бухгалтерского учета, например средств и способов обработки информации, объема хозяйственных операций, уровня автоматизации и т.п. Поэтому все документы, отчеты службы (работника) внутреннего контроля будут носить сугубо конфиденциальный характер.

Процедуры внутреннего контроля

Процедуры внутреннего контроля – это действия, направленные на минимизацию рисков. Такими действиями могут быть:

• документальное оформление операций и фактов хозяйственной жизни. Например, записи в регистрах бухгалтерского учета должны осуществляться на основе первичных учетных документов, в том числе бухгалтерских справок. Существенные оценочные значения, включенные в бухгалтерскую (финансовую) отчетность, должны основываться на расчетах;
• подтверждение соответствия объектов (документов) установленным требованиям. Например, при принятии первичных учетных документов к бухгалтерскому учету должна производиться проверка их оформления на соответствие требованиям, установленным в компании, Федеральном законе от 06.12.2011 № 402-ФЗ «О бухгалтерском учете» и Налоговом кодексе РФ. К этим контрольным процедурам относится и контроль связанных операций, например соотнесение выданных авансов на закупку материальных ценностей с получением и оприходованием этих ценностей. Аналогично осуществляется контроль выданных подотчетных сумм на предмет своевременности составления авансовых отчетов;
• санкционирование (авторизация) хозяйственных операций. Как правило, разрешение на совершение операций их инициатором дается персоналом более высокого уровня. Например, авансовый отчет сотрудника должен быть утвержден руководителем (уполномоченным на это лицом).
• сверка данных. Например, для подтверждения сумм дебиторской и кредиторской задолженности должна проводиться сверка расчетов с поставщиками и покупателями. Остатки по счетам учета наличных денежных средств должны сверяться с остатками денежных средств по данным кассовой книги. Остатки по счетам учета материальных запасов должны сверяться с данными склада и др.;
• разграничение полномочий и ротация обязанностей. С целью уменьшения рисков возникновения ошибок и злоупотреблений подготовка первичных учетных документов, санкционирование (авторизация) хозяйственных операций и отражение их результатов в бухгалтерском учете, как правило, должны возлагаться на разных лиц;
• физический контроль. Сюда относятся вопросы надежности охраны ценностей, ограничение доступа, инвентаризация объектов учета и др.;
• надзор. Предполагает оценку достижения поставленных целей или показателей. Например, оценку правильности выполнения хозяйственных и учетных операций, точности составления бюджетов (смет), соблюдения установленных сроков составления бухгалтерской (финансовой) отчетности;
• процедуры, связанные с компьютерной обработкой информации и информационными системами. Выделяют процедуры общего компьютерного контроля и контроля уровня приложений. Общий компьютерный контроль включает правила и процедуры, регламентирующие доступ к информационным системам, данным и справочникам, правила внедрения и поддержки информационных систем, процедуры восстановления данных и др. Они должны обеспечивать бесперебойное и надежное использование программного обеспечения. Процедуры контроля уровня приложений включают, в частности, логическую и арифметическую проверку данных в ходе обработки информации о фактах хозяйственной жизни (проверку правильности заполнения полей документов, контроль введенных сумм, автоматическую сверку данных, отчеты об операциях и ошибках и др.).

Из перечисленных процедур для целей противодействия злоупотреблениям и мошенничеству наиболее эффективными являются санкционирование (авторизация) хозяйственных операций, разграничение полномочий и ротация обязанностей, физический контроль.

Процедуры контроля могут быть предварительные и последующие. Предварительные направлены на предупреждение появления ошибок и нарушений (физический контроль, санкционирование (авторизация) хозяйственных операций и др.). Последующие процедуры направлены на выявление уже свершившихся ошибок и нарушений установленного порядка (сверка, надзор и др.).

Процедуры можно разделить по степени автоматизации их выполнения на автоматические, полуавтоматические и ручные.

Автоматические процедуры выполняются информационной системой без участия персонала. Например, автоматически в программном обеспечении осуществляется контроль доступа.

Полуавтоматические процедуры выполняются информационной системой, но должны быть инициированы или завершены вручную. Пример: отчеты о выполненных в программе исправлениях данных бухгалтерского учета должны быть проверены исполнителем.

Ручные процедуры внутреннего контроля выполняются персоналом экономического субъекта вне информационных систем. Например, инвентаризация производится вне программного обеспечения, но затем ее результаты сравниваются с данными учета, и корректировки производятся вручную.

Оценка внутреннего контроля

Не реже одного раза в год принятая система внутреннего контроля должна оцениваться. Объем, характер способов и методов оценки определяются руководителем соответствующего уровня.

Минфин России рекомендует составлять матрицу рисков и проверять достаточность процедур внутреннего контроля, направленных на минимизацию их последствий, формировать методом случайного отбора выборку операций для тестирования эффективности контроля. При определении выборки следует учитывать особенности функционирования системы внутреннего контроля.

В ходе повседневной жизни организация должна проводить непрерывный мониторинг работы системы внутреннего контроля. Это делается путем регулярного анализа результатов деятельности, поверки результатов выполнения отдельных хозяйственных операций, регулярной оценки и уточнения применимой организационно-распорядительной документации и т.д.

Комбинация непрерывного мониторинга и периодической оценки внутреннего контроля позволяет удостовериться в том, что внутренний контроль обеспечивает достаточную уверенность в достижении заявленных компанией целей. При необходимости в систему внутреннего контроля вносятся изменения, но не реже одного раза в год по итогам оценки ее работы.

Документальное оформление

Порядок организации и осуществления внутреннего контроля в компании должен быть оформлен документально. Для разных элементов контроля должны быть оформлены разные документы.

Например, контрольная среда может быть оформлена:

• положением о стратегии, целях и ценностях компании, определяющим поведение ее на рынке и методы управления;
• кодексом деловой этики, описывающим правила поведения руководства и сотрудников при наступлении различных событий, процедуры рассмотрения жалоб;
• организационной структурой организации, определяющей место и роль ее подразделений, уровни принятия решений, штатным расписанием;
• положениями об отдельных подразделениях организации, определяющими функции подразделений, полномочия и ответственность их руководителей;
• внутренними распорядительными документами, определяющими правила принятия решений и осуществления отдельных хозяйственных операций, в том числе учетной политикой;
• кадровой политикой, устанавливающей подходы к найму, обучению и развитию персонала, критерии оценки результатов деятельности, систему оплаты труда.

Применительно к ведению бухгалтерского учета и составлению бухгалтерской (финансовой) отчетности контрольную среду могут описывать такие документы, как положение о бухгалтерской службе, учетная политика организации, требования к квалификации бухгалтерского персонала и другие документы, устанавливающие общие требования к среде, в которой организуется и ведется бухгалтерский учет, порядку взаимодействия подразделений и персонала экономического субъекта и принятия решений по вопросам бухгалтерского учета.

Документирование рисков начинается с описания бизнес-процессов и процедур работы. Описание может производиться в текстовой и графической форме, по направлениям деятельности, юридической или организационной структуры.

Непосредственно описание риска должно включать в себя указание на потенциальное неблагоприятное внутреннее и (или) внешнее событие (факт, обстоятельство), порождающее риск; причину и вероятность его возникновения; возможные негативные последствия (ущерб), их количественную и (или) качественную оценку.

По результатам оценки рисков определяются наиболее существенные. Для минимизации их последствий разрабатывается конкретный перечень процедур внутреннего контроля. Процедура должна описывать риск; область или процесс, подверженный риску; наименование и краткое описание процедур внутреннего контроля, посредством осуществления которых минимизируются последствия риска.

Может быть приведена ссылка на регламент осуществления процедуры. Устанавливают исполнителя (сотрудник или информационная система); частоту (периодичность) осуществления процедуры внутреннего контроля; входящие документы, на основании которых осуществляется процедура внутреннего контроля, а также исходящие документы, которые свидетельствовали бы об осуществлении процедуры. По возможности указывается ожидаемый результат контроля.

Риски и соответствующие им процедуры внутреннего контроля могут быть описаны матрицей рисков и процедур внутреннего контроля. Такая форма описания позволяет оценить полноту покрытия внутренним контролем выявленных рисков.

Документами, устанавливающими правила коммуникации, могут являться политика в области внешних и внутренних коммуникаций, графики предоставления данных и составления отчетности, должностные инструкции.

Вся документация по правилам и осуществлению внутреннего контроля подлежит регулярному обновлению не реже одного раза в год после оценки необходимости ее обновления. В основу решения об обновлении документов могут быть положены результаты периодической оценки и непрерывного мониторинга внутреннего контроля, организационные изменения, изменения процессов и процедур работы экономического субъекта.

Права и обязанности внутреннего контролера можно разработать по аналогии с аудиторской деятельностью в соответствии со статьей 13 Федерального закона № 307-ФЗ «Об аудиторской деятельности», несколько изменив приоритеты проверки. Внутренние контролеры вправе:

1) самостоятельно определять формы и методы проведения внутреннего контроля (аудита) с использованием положений федеральных стандартов аудиторской деятельности;

2) исследовать в полном объеме документацию, связанную с финансово-хозяйственной деятельностью проверяемого лица, а также проверять фактическое наличие любого имущества, отраженного в этой документации;

3) получать у должностных лиц проверяемого лица разъяснения и подтверждения в устной и письменной форме по возникшим в ходе аудита вопросам;

4) отказаться от проведения контрольных процедур или от выражения своего мнения о достоверности бухгалтерской (финансовой) отчетности в выдаваемом заключении в случаях:

• непредставления проверяемым лицом всей необходимой документации;
• выявления в ходе проверки обстоятельств, оказывающих либо способных оказать существенное влияние на мнение аудиторской организации, индивидуального аудитора о достоверности бухгалтерской (финансовой) отчетности проверяемого лица;

5) осуществлять иные права, вытекающие из трудового договора.

Формы и методы проведения контроля внутренним контролером строятся на основании собственных стандартов организации и регламентов службы внутреннего контроля конкретной организации.

Поскольку внутреннему контролю подвергается только бухгалтерский учет, соответственно первичные документы и бухгалтерские регистры должны сшиваться, нумероваться и храниться в организации в соответствии с порядком архивирования в самой бухгалтерии, а внутреннему контролеру останется хранить только свои собственные отчеты и комментарии к ним. В обязанности внутреннего контролера может входить и умение работать с электронной документацией, передавать ее, хранить, разархивировать и т.д.

Для выполнения поставленных перед внутренним контролером задач он должен будет уметь проверить:

1) полноту, законность и экономическую целесообразность отраженных в бухгалтерском учете операций. Другими словами, контролер будет проверять объекты учета на предмет правильности классификации и оценки;

2) соответствие отраженных финансово-хозяйственных операций в бухгалтерском учете принятым в организации внутренним регламентам: учетной политике по бухгалтерскому учету, стандарту формирования себестоимости, кадровой политике и пр.;

3) наличие лишних данных в бухгалтерской (финансовой) отчетности;

4) объективность бухгалтерской (финансовой) отчетности, что будет соответствовать верному представлению о предприятии в целом;

5) компьютерные программы, обслуживающие функционирование учетной системы и включающие формирование первичных документов. Контролер должен уметь проводить их анализ, разноску по счетам, чтобы программы не могли быть сфальсифицированы.

Для таких целей можно использовать и специальные программные разработки для аудита информационных систем, которые автоматически проверяют положения учетной политики, заложенные в бухгалтерскую программу для автоматического исполнения; бухгалтерские итоги и бухгалтерские записи на отсутствие сальдо по количеству или по сумме у соответствующих счетов; ошибки переоценки валютных средств на конец отчетного периода; сомнительные бухгалтерские записи или бухгалтерские записи, которые недопустимы; постоянных и временных разниц; данных по расчетам с поставщиками.

Таким образом, главные бухгалтеры и внутренние контролеры (аудиторы) могут использовать для подготовки правил внутреннего контроля международные и национальные стандарты аудиторской деятельности и рекомендации финансового ведомства.

Внутренний контролер (аудитор) должен документально оформить все сведения, которые важны с точки зрения предоставления доказательств о каждом из элементов системы внутреннего контроля. Форма, содержание и объем рабочих документов являются предметом профессионального суждения внутреннего контролера (аудитора).

Кроме того, внутренний контролер (аудитор) должен своевременно доводить до своего руководителя и представителей собственника полученную информацию о недостатках в организации и применении системы внутреннего контроля. Здесь возможно либо провести совещание с работниками организации, либо направить руководству письмо с изложением своих замечаний и предложениями по их устранению. При этом сведения о выявленных недостатках системы внутреннего контроля в любом случае будут включены в письменную информацию, полученную по результатам проведения внутреннего контроля и доведенную до руководства, а также представителей собственника.

Примерно те же положения содержатся и в международных стандартах аудита, в частности, в Федеральном правиле (стандарте) № 8 «Понимание деятельности аудируемого лица, среды, в которой она осуществляется, и оценка рисков существенного искажения аудируемой финансовой (бухгалтерской) отчетности» и в МСА 400 «Оценка рисков и внутренний контроль».

50. Система внутреннего контроля и его элементы.

Внутренний контроль имеет широкое определение как процесс, осуществляемый органом управления организации или другими сотрудниками, с целью получить информацию относительно выполнения следующих задач:

Эффективность и рациональность деятельности.

Достоверность финансовой отчетности.

Соблюдение законов и нормативных актов.При этом аудитор должен принять во внимание два аспекта: какие именно методы и процедуры предусмотрены на предприятии и применяются ли они на практике.

Система внутреннего контроля включает следующие элементы:

1. контрольная среда;

2. процесс оценки рисков аудируемым лицом;

3. информационная система, в том числе связанная с подготовкой финансовой (бухгалтерской) отчетности;

4. контрольные действия;

5. мониторинг средств контроля.

1.Контрольная среда включает следующие элементы:

а) доведение до всеобщего сведения и поддержание принципа честности и других этических ценностей.

б) профессионализм (компетентность сотрудников).

Профессионализм - это профессиональные знания и навыки, необходимые для выполнения задач, которые определяют суть деятельности конкретного работника.

в) участие собственника или его представителей.

Представители собственника в значительной степени оказывают влияние на сознательность сотрудников аудируемого лица в отношении контроля. Характерными особенностями, которые должны быть присущи представителям собственника, являются: независимость от руководства; их опыт и статус; масштабы их вовлечения в деятельность и надзор за ней; уместность (надлежащий характер) их действий; особенности информации, которую они получают.

г) компетентность и стиль работы руководства.

д) организационная структура.

Аудируемое лицо разрабатывает организационную структуру, соответствующую его потребностям. Надлежащий характер организационной структуры аудируемого лица зависит в том числе от характера и масштабов его деятельности;

е) наделение ответственностью и полномочиями.

Этот элемент предполагает разделение ответственности и полномочий в ходе осуществления деятельности и установление иерархии подотчетности сотрудников, а также охватывает политику в отношении надлежащей деловой практики, знаний и опыта ключевого персонала и предоставляемые для выполнения обязанностей возможности.

ж) кадровая политика и практика.

Кадровая политика и практика в отношении сотрудников подразумевают: набор; адаптацию (инструктаж при приеме на работу); подготовку; обучение; оценку; консультирование; продвижение по службе; вознаграждение сотрудников.

2. Оценка рисков аудируемым лицом представляет собой процесс выявления и, по возможности, устранения рисков хозяйственной деятельности, а также их возможных последствий. Для целей финансовой (бухгалтерской) отчетности важен вопрос, каким образом в процессе оценки рисков аудируемым лицом руководство выявляет риски, имеющие отношение к финансовой (бухгалтерской) отчетности, определяет их значение, оценивает вероятность их возникновения и принимает решение относительно того, как управлять ими.

3. Функционирование информационных систем, связанных с подготовкой финансовой (бухгалтерской) отчетности, обеспечивается: а) техническими средствами; б) программным обеспечением; в) персоналом; г) соответствующими процедурами; д) базами данных.

Большинство информационных систем активно использует компьютерные средства и информационные технологии.

Составной частью информационных систем является система информирования персонала, которая обеспечивает понимание сотрудниками обязанностей и ответственности, связанных с организацией и применением системы внутреннего контроля в отношении финансовой (бухгалтерской) отчетности.

Система информирования обеспечивает понимание персоналом роли своего участия в процессе подготовки финансовой (бухгалтерской) отчетности, того, каким образом его действия в информационной системе связаны с работой других сотрудников, а также понимание способов доведения до руководителей соответствующего уровня информации о каких-либо исключительных ситуациях.

4. Контрольные действия включают политику и процедуры, которые помогают удостовериться, что распоряжения руководства выполняются, например, что необходимые меры предприняты в отношении рисков, которые могут препятствовать достижению целей аудируемого лица. Контрольные действия, осуществляемые вручную или с применением информационных систем, имеют различные цели и применяются на различных организационных и функциональных уровнях.

Обычно контрольные действия, которые могут иметь отношение к целям аудита, могут быть сгруппированы по следующим категориям методов и процедур:

а) проверка выполнения.

б) обработка информации.

в) проверка наличия и состояния объектов.

г) разделение обязанностей.

Наделение разных сотрудников полномочиями санкционирования операций (выдачи разрешения на совершение операции), регистрации операций в учете и хранения активов имеет целью уменьшить возможность совершения и утаивания ошибки или недобросовестных действий в процессе обычного выполнения персоналом своих обязанностей.

5. Мониторинг средств контроля

Важной обязанностью руководства является создание и поддержание системы внутреннего контроля в режиме непрерывной работы. Мониторинг средств контроля включает наблюдение за тем, функционируют ли они и были ли они изменены надлежащим образом в случае необходимости, и может включать такие мероприятия, как наблюдение руководства за тем, своевременно ли подготавливаются выверки расчетов с банками, оценка внутренними аудиторами соответствия действий персонала, занимающегося продажами, политике аудируемого лица в отношении определенных условий договоров с покупателями, осуществление надзора за соответствием действий персонала политике аудируемого лица в области этики или деловой практики.

Разделение системы внутреннего контроля на 5 элементов предоставляет аудиторам удобный подход для анализа того, каким образом различные элементы системы внутреннего контроля аудируемого лица могут влиять на аудит. Такой подход необязательно отражает то, каким образом аудируемое лицо организовало и применяет систему внутреннего контроля. Аудитору важно установить, что конкретные средства контроля эффективно предотвращают или выявляют и устраняют существенные искажения на уровне предпосылок подготовки финансовой (бухгалтерской) отчетности в группах однотипных операций, остатках по счетам бухгалтерского учета или случаях раскрытия информации.

«Внутренний контроль»

1. Этапы внутреннего контроля

2. Принципы системы внутреннего контроля

3. Составляющие системы внутреннего контроля

4. Классификация системы внутреннего контроля

5. Цели и организация внутреннего контроля

6. Внутренний финансовый контроль и внутрихозяйственный расчет коммерческих организаций (предприятий)

1. Этапы внутреннего контроля

Организация эффективно функционирующей системы внутреннего контроля - это сложный многоступенчатый процесс, включающий следующие этапы.

Критический анализ и сопоставление определенных для прежних условий хозяйствования целей функционирования организации, принятого ранее курса действий, стратегии и тактики с видами деятельности, размерами, оргструктурой, а также с ее возможностями.

Разработка и документальное закрепление новой (соответствующей изменившимся условиям хозяйствования) деловой концепции организации (что собой представляет организация, каковы ее цели, что она может, в какой области имеет конкурентные преимущества, каково желаемое место на рынке), а также комплекса мероприятий, способного привести эту деловую концепцию к развитию и совершенствованию организации, успешной реализации еецелей, укреплению ее позиций на рынке. Такими документами должны быть положения о финансовой, производственно-технологической, инновационной, снабженческой, сбытовой, инвестиционной, учетной и кадровой политике. Данные положения должны разрабатываться на основе глубокого анализа каждого элемента политики и выбора из имеющихся альтернатив наиболее приемлемых для данной организации. Документальное закрепление политики организации в различных сферах ее финансово-хозяйственной деятельности позволит осуществлять предварительный, текущий и последующий контроль всех аспектов ее функционирования.

Анализ эффективности существующей структуры управления, ее корректировка. Необходимо разработать положение об организационной структуре, в котором должны быть описаны все организационные звенья с указанием административной, функциональной, методической подчиненности, направления их деятельности, функции, которые они выполняют, установлен регламент их взаимоотношений, права и ответственность, показано распределение видов продуктов, ресурсов, функций управления по этим звеньям. То же относится и к положениям о различных структурных подразделениях (отделах, бюро, группах и т. д.), к планам организации труда их работников. Необходимо разработать (уточнить) план документации и документооборота, штатное расписание, должностные инструкции с указанием прав, обязанностей и ответственности каждой структурной единицы. Без такого строгого подхода невозможно осуществлять четкую координацию функционирования всех звеньев системы внутреннего контроля организации.

Разработка формальных типовых процедур контроля конкретных финансовых и хозяйственных операций. Это позволит упорядочить взаимоотношения работников по поводу контроля финансово-хозяйственной деятельности, эффективно управлять ресурсами, оценивать уровень достоверности (качества) информации для принятия управленческих решений.

Организация отдела внутреннего аудита (или другого специализированного контрольного подразделения).

При организации такого отдела необходимо учитывать основные требования к эффективности его функционирования.

Может быть и большее количество этапов оценки системы контроля в зависимости от индивидуальных особенностей экономического субъекта, подвергнутого проверке.

Общее знакомство с системой внутреннего контроля включает получение информации о специфике и масштабах деятельности субъекта, представление о системе его бухгалтерского учета. Итоги первоначального знакомства позволяют принять решение о возможности использования в проверке системы внутреннего контроля. Если контролер-ревизор не может полагаться на систему внутреннего контроля, он должен спланировать свою проверку, таким образом, чтоб выводы его не основывались на доверии к этой системе. Низкая эффективность системы внутреннего контроля должна быть отражена в заключении о проверке субъекта.

2. Принципы системы внутреннего контроля

Критерием эффективности системы внутреннего контроля служит соблюдение принципов внутреннего контроля организации.

1. Принцип ответственности.

2. Принцип сбалансированности (сбалансированность означает, что субъекту нельзя предписывать контрольные функции, не обеспеченные средствами для их выполнения).

3. Принцип подконтрольности каждого субъекта внутреннего контроля, работающего в организации.

4. Принцип своевременного сообщения об отклонениях.

5. Принцип ущемления интересов (необходимо создавать специальные условия, при которых любые отклонения ставят какого-либо работника или подразделение организации в невыгодное положение и побуждают их к урегулированию проблем).

6. Принцип интеграции (при решении задач, связанных с контролем, должны создаваться надлежащие условия для тесного взаимодействия работников функциональных различных направлений).

7. Принцип заинтересованности администрации.

8. Принцип компетентности, добросовестности и честности субъектов внутреннего контроля. Принцип компетентности состоит в проявлении контролером высокого уровня знаний при контроле финансово-хозяйственной деятельности, а также предполагает обязательное пополнение багажа знаний через курсы повышения квалификации, семинары, тренинги, необходимо постоянно быть в курсе всех последних изменений в законодательстве, изучать опыт и новые методы контроля, стремиться к повышению профессионализма.

9. Принцип соответствия (степень сложности системы внутреннего контроля должна соответствовать степени сложности подконтрольной системы).

10. Принцип постоянства (адекватное постоянное функционирование системы внутреннего контроля позволит вовремя предупреждать о возможности возникновения отклонений).

11. Принцип приемлемости методологии внутреннего контроля (означает целесообразное распределение контрольных функций, целесообразность программ внутреннего контроля, а также применяемых методов).

12. Принцип непрерывности развития и совершенствования (со временем даже самые прогрессивные методы управления устаревают).

13. Принцип приоритетности (абсолютный контроль над обычными незначительными операциями не имеет смысла и будет только отвлекать силы от более важных задач).

14. Принцип комплексности (нельзя добиться общей эффективности, сосредоточив контроль только над относительно узким кругом объектов).

15. Принцип согласованности пропускных способностей различных звеньев системы внутреннего контроля.

16. Принцип оптимальной централизации (динамичность, устойчивость, непрерывность функционирования системы обусловливаются единством и оптимальным уровнем централизации оргструктуры организации).

17. Принцип единичной ответственности (во избежание безответственности недопустимо закрепление отдельной функции за двумя или несколькими центрами ответственности).

18. Принцип функциональных потенциальных имитаций (временное выбытие отдельных субъектов внутреннего контроля не должно прерывать контрольных процессов).

19. Принцип регламента (эффективность функционирования системы внутреннего контроля прямо связана с тем, насколько подчинена регламенту контрольная деятельность в организации).

20. Принцип разделения обязанностей.

21. Принцип разрешения и одобрения.

22. Принцип взаимодействия и координации. Важным аспектом функционирования системы внутреннего контроля является выполнение принципов данной системы, соблюдение которых повысит доверие к ней как внешних пользователей и ревизоров, так и внутренних пользователей данными контроля.

Контроль необходимо осуществлять на основе четкого взаимодействия всех подразделений и служб организации.

Совокупность указанных принципов является основанием эффективности системы внутреннего контроля.

3. Составляющие системы внутреннего контроля

Система внутреннего контроля состоит непосредственно из органов контроля, т. е. органов, учрежденных в организации в целях осуществления внутренних проверок, ревизий. Это могут быть службы внутреннего аудита, контрольно-ревизионный отдел, инвентаризационное бюро или даже сторонняя организация, призванная осуществлять постоянный внутренний контроль на фирме на договорных началах.

Объекты внутреннего контроля - это предметы контроля, т. е. активы и обязательства, источники средств, капиталы, резервы, виды проводимых операций (по заготовке, снабжению, сбыту, инвестициям, производству и т. д.), центры ответственности по затратам, прибыли, финансовым вложениям, доходам и т. д.

Контроль должен осуществляться набором средств, в первую очередь это технические средства в виде помещений, наборов измерительных, контрольных инструментов, систем обработки полученной информации (ЭВМ); финансовые средства - это зарплата, к ней система штрафов и надбавок, финансовые ресурсы; процедуры и методы (приемы) контроля - это те мероприятия, с помощью которых обеспечивается надежный и эффективный контроль (тесты, прослеживание, инвентаризация, опрос, наблюдение, анализ, сверка и т. д.). Одна из важных составляющих системы внутреннего контроля - база показателей, это могут быть нормативные, статистические, справочные данные, плановые показатели, отраслевые показатели прошлых периодов. Также должны быть положения о службе внутреннего контроля с описанием порядка взаимодействия между подразделениями и отделами субъекта, по обмену информацией. Еще одна составляющая системы - документация. Разрабатывается самостоятельно экономическим субъектом. Система внутреннего контроля экономического субъекта должна включать в себя:

надлежащую систему бухгалтерского учета;

контрольную среду;

отдельные средства контроля.

Система внутреннего контроля может с определенной степенью вероятности подтвердить, что цели, ради которых она была создана, достигнуты. Причиной этого являются следующие неизбежные ограничения системы внутреннего контроля:

естественное требование руководством экономического субъекта того, чтобы затраты на осуществление контрольных мероприятий были меньше тех экономических выгод, которые дает применение таких мероприятий;

тот факт, что большинство средств контроля имеет своей целью выявление нежелательных хозяйственных операций, а не тех, которые являются необычными;

свойство человека делать ошибки по небрежности, из-за рассеянности, неверных суждений или недопонимания инструктивных материалов;

умышленное нарушение системы контроля в результате сговора сотрудников экономического субъекта как с другими сотрудниками данного экономического субъекта, так и с третьими лицами;

нарушение системы контроля вследствие злоупотреблений со стороны представителей руководства, ответственных за функционирование данных аспектов контроля;

распространенная практика существенного изменения условий ведения хозяйственной деятельности, в результате чего принятые контрольные процедуры могут перестать выполнять свои функции.

Средства контроля экономического субъекта должны использоваться с учетом следующего:

хозяйственные операции выполняются с одобрения руководства как в целом, так и в конкретных случаях;

все операции фиксируются в бухгалтерском учете в правильных суммах, на надлежащих счетах бухгалтерского учета, в правильном периоде времени;

доступ к активам возможен только с разрешения соответствующего руководства;

соответствие зафиксированных в бухгалтерском учете и фактически имеющихся в наличии активов определяется руководством с установленной периодичностью.

4. Классификация системы внутреннего контроля

Поскольку система контроля является важной составляющей управленческого контроля в целом, для раскрытия механизмов функционирования данной системы необходимо изучить особенности ее составных элементов, а для этого необходимо ее классифицировать по разным признаками.

Систему внутреннего контроля классифицируют по форме внутреннего контроля, который зависит от особенностей организационной и правовой структуры субъекта; видов и масштабов финансово-хозяйственной деятельности субъекта; рациональности и целесообразности охвата контролем сфер деятельности субъекта; отношения руководства организации и ведению контроля.

Также различают внутренний контроль в зависимости от применяемых методов и приемов контроля (общие методы контроля - индукция, дедукция, анализ, синтез, обобщение и другие, самостоятельно разработанные методы - замеры, взвешивание, пересчет, инвентаризация, наблюдение, экспертиза, сверка, обратная калькуляция, логическая и экономическая проверка, тестирование, анкетирование, опрос и т. д., специальные методы - методы экономической статистики, анализа, прогнозирования, моделирования и т. д.). Одна из наиболее развитых форм внутреннего контроля - внутренний аудит.

Организация внутреннего контроля в форме внутреннего аудита присуща крупным и некоторым средним организациям, для которых характерны:

усложненная оргструктура;

многочисленность филиалов, дочерних компаний;

разнообразие видов деятельности и возможность их кооперирования;

стремление органов управления получать достаточно

объективную и независимую оценку действий менеджеров

всех уровней управления.

Кроме задач чисто контрольного характера, внутренние аудиторы могут выполнять экономическую диагностику, разрабатывать финансовую стратегию, вести маркетинговые исследования, управленческое консультирование. К институтам внутреннего аудита относят и ревизионные комиссии, деятельность которых регламентирована действующим законодательством.

В зависимости от времени контроль подразделяют на оперативный, тактический и стратегический.

В зависимости от данных, которые используются при контрольных мероприятиях, различают фактический, документальный контроль и контроль показателей, полученных с помощью обработки средствами ЭВМ.

По этапам проведения контрольных мероприятий различают предварительный, текущий и последующий контроль. Контроль может быть плановым и внеплановым, разовым, постоянным и периодическим. По степени охвата данных может быть сплошным и выборочным.

В зависимости от типа системы внутреннего контроля он может осуществляться с помощью систем ЭВМ или вручную, либо возможна частичная автоматизация отдельных стадий контроля.

Неавтоматизированный внутренний контроль осуществляется контролером-ревизором без применения средств ЭВМ.

Частично автоматизированный внутренний контроль осуществляется его контролерами с применением средств автоматизации в сочетании с обработкой данных вручную. Контроль, осуществляемый с помощью средств автоматизации, ведется под руководством контролера-ревизора, что облегчает ему работу с большими массивами данных, экономит время, позволяет делать всесторонний анализ, задавая параметры выборки.

Следующий признак классификации - значимость субъектов контроля в процессе осуществления контрольных операций.

По данному признаку разделяют:

1) контролеров-ревизоров, непосредственно осуществляющих контроль;

2) участников, в обязанности которых входят функции контроля, - это различные специалисты предприятия. Данная классификация не исчерпывающая, но в ней приведены основные классификационные признаки, необходимые для правильного понимания системы внутреннего контроля.

5. Цели и организация внутреннего контроля

Цель внутреннего контроля - обеспечение соблюдения всеми сотрудниками предприятия своих должностных обязанностей в соответствии с целями организации. Цель внутреннего контроля во времени непрерывна, перманентна и достигается только на короткое время. Внутренний контроль организуется исходя из целей и задач управления предприятием. Государством регламентируются только основные направления внутреннего контроля - порядок проведения инвентаризаций, правила организации документооборота, рекомендации по организации аналитического учета, определение должностных обязанностей управленческого персонала и некоторые другие. При организации и осуществлении внутреннего контроля используются как денежные, так и неденежные измерители.

Успешно применяются натуральные показатели: штуки, метры, тонны, литры - в зависимости от отраслевой принадлежности предприятия. Для измерения рабочего времени применяются такие показатели, как часы, машино-часы. При осуществлении внутреннего контроля объектами организации контроля и, соответственно, объектами проверки являются циклы деятельности предприятия: снабжения, производства, реализации.

Внутренний контроль осуществляется непрерывно. Отдельные контрольные мероприятия проводятся по мере надобности.

Руководство предприятия самостоятельно устанавливает состав, сроки, периодичность контрольных процедур. Главный принцип организации внутреннего контроля - целесообразность и экономичность. Аудиторское заключение по результатам обязательной аудиторской проверки в составе своей первой и третьей частей (вводной и итоговой) является открытым документом. Каждый заинтересованный пользователь бухгалтерской отчетности экономического субъекта может ознакомиться с аудиторским заключением по данной отчетности. Конфиденциальной информацией предприятия является только аналитическая часть аудиторского заключения и письменная информация аудитора руководству проверяемого экономического субъекта по результатам проведения аудита.

При публикации бухгалтерской отчетности указываются и результаты аудиторской проверки. Все документы внутреннего контроля носят сугубо конфиденциальный характер. Внутренний контроль призван организовывать его структуру, а также поддерживать ее в таком состоянии, чтобы в каждый момент времени она соответствовала целям предприятия. Если предприятие имеет только один вид деятельности и реализует свою продукцию только по договору поставки, ему соответствует одна структура внешнего контроля, если это же предприятие организует реализацию своей продукции в розницу через торговый павильон, структура внутреннего контроля должна быть изменена. Таким образом, основной целью внутреннего контроля является ведение деятельности в соответствии с установленными правилами.

Внутренний аудит решает следующие задачи:

контроль над состоянием активов и недопущение убытков;

подтверждение выполнения внутрисистемных контрольных процедур;

анализ эффективности функционирования системы внутреннего контроля и обработки информации;

оценка качества информации, выдаваемой управленческой информационной системой. Таким образом, в рамках внутреннего аудита осуществляется

не только детальный контроль над политикой и качеством менеджмента.

Внутренний аудитор выполняет следующие функции:

проверка систем контроля в целях выработки политики компании в рамках законодательства;

оценка экономичности и эффективности операций компании;

проверка уровня достижений программных целей;

подтверждение точности информации, используемой руководством при принятии решений. Ответственность за выполнение своих обязанностей аудитор

несет только перед руководством предприятия.

6. Внутренний финансовый контроль и внутрихозяйственный расчет коммерческих организаций (предприятий)

Внутрихозяйственный коммерческий расчет предполагает выделение внутри структурной организации предприятия подразделений, которые призваны самостоятельно решать свои организационно-технические задачи. Они могут взять в аренду активы организации. Эти подразделения условно покупают у предприятия ресурсы по учетной стоимости (по согласованию между администрацией и трудовым коллективом подразделения). Внутренний контроль организуется руководством предприятия и определяет законность совершения хозяйственных операций, их экономическую целесообразность.

Продукцию или услуги такие подразделения условно продают предприятию по учетным ценам, вычитая условную прибыль, т. е. в основе внутрихозяйственного коммерческого расчета лежат принципы такой системы, как директ-костинг, с элементами нормативного учета, который может, однако, и не применяться.

Исходя из функций внутреннего контроля выделяют такой вид контроля, как управленческий контроль.

Управленческий контроль - это процесс влияния менеджеров на работников предприятия для эффективной реализации организационной стратегии. При этом его главной задачей является контроль по центрам ответственности. Другими словами, необходима система отражения, обработки и контроля плановой и фактической информации на входе и выходе центра ответственности.

Важно организовать действенную систему управленческого контроля, что позволит руководству предприятия делегировать свои полномочия по управлению затратами подчиненным, которые могут более детально ориентироваться в обстановке на местах. Эти функции возможно осуществлять с помощью не только управленческого, но и управленческо-финансового контроля. Внутренний финансовый контроль в данных условиях сводится к изучению хозяйственно-технологических связей, потоков ресурсов от предприятия к подразделению и наоборот, отслеживанию оценки этих ресурсов и продукции от подразделения к предприятию, контролю нормативных показателей, отслеживанию отклонений от норм с выяснением причин, влияющих на эти отклонения, анализу номенклатуры затрат, которая не должна противоречить действующему законодательству.

Финансовому контролю подвергается документооборот между подразделениями и предприятием, проверке подвергается определение валового дохода подразделения исходя из стоимости произведенной продукции, работ, услуг в оценке по учетным ценам за вычетом стоимости ресурсов, отчислений в фонды, обязательных платежей. Остаток дохода и есть хозрасчетный доход, который направляется на выплату зарплаты.

Для того чтобы правильно, тщательно проконтролировать, необходимо понять специфику подразделения, т. е. прежде чем приступить к осуществлению финансового контроля, нужно проработать всю документацию, регламентирующую деятельность такого подразделения, это могут быть решения, распоряжения, положения, внутренние локальные нормативные акты.

С помощью финансового контроля руководство предприятия может осуществлять эффективное финансово-хозяйственное управление, а собственники - следить за управляющими их капиталов, что позволяет предоставить определенные гарантии для привлечения в экономику частных инвестиций и личных средств граждан. Осуществление финансового контроля на предприятии также связано с обнаружением отклонений от принятых стандартов и нарушений принципов законности, эффективности и экономии расходования материальных ресурсов на возможно более ранней стадии. Это позволяет принять корректирующие меры, привлечь виновных к ответственности, получить компенсацию за причиненный ущерб, осуществить мероприятия, направленные на предотвращение таких нарушений в будущем.

Репетиторство

Нужна помощь по изучению какой-либы темы?

Наши специалисты проконсультируют или окажут репетиторские услуги по интересующей вас тематике.
Отправь заявку с указанием темы прямо сейчас, чтобы узнать о возможности получения консультации.

Система внутреннего контроля на основе SOX

Сегодня для большинства крупных международных компаний актуальной задачей является обеспечение соответствия требованиям внешнего законодательства разных стран с помощью системы внутреннего контроля. Наиболее жесткими считаются требования, которые вступили в силу в марте 2005 г. в США с принятием закона Сарбейнса-Оксли. Данным законом руководству компаний была вменена обязанность подтверждать правильность финансовой отчетности лично, а также свою ответственность за эффективность системы внутреннего контроля и в первую очередь при подготовке финансовой отчетности. Помимо этого для соответствия закону необходимо получить заключение внешнего аудитора об эффективности системы внутреннего контроля компании.
Законодательство подобного рода существует во многих странах, например в Великобритании, Канаде и др. В России также предпринимаются меры в данном направлении. Примером является постановление Федеральной службы по финансовым рынкам от 15.12.04 г. N 04-1245/пз-н «Об утверждении Положения о деятельности по организации торговли на рынке ценных бумаг», предусматривающее наличие в компаниях-эмитентах положения о внутреннем контроле, утвержденного советом директоров. Кроме того, в компании необходимо создать отдельное подразделение, которое должно контролировать выполнение этого положения и докладывать о результатах комитету по аудиту.

Основные документы в области создания системы внутреннего контроля

В настоящее время сообщества аудиторов, менеджеров, бухгалтеров и ИТ-специалистов активно работают над совершенствованием систем внутреннего контроля. В результате этой работы были созданы следующие документы:
стандарт «Цели контроля при использовании информационных технологий» (COBIT) — (the Information Systems Audit and Control Foundation»s Control Objectives for Information and related Technology) — обеспечивает решение вопросов о соответствии применяемых информационных технологий существующим бизнес-процессам и является основой для создания общих правил надежности и механизма контроля за эффективностью использования информационных систем. COBIT позволяет применять лучшую практику в области управления ИТ, определить «зрелость» ИТ-процессов и адекватный уровень надежности и контроля при использовании информационных технологий. Аудиторам в области ИТ он помогает сформировать мнение об эффективности внутреннего контроля;
документ «Внутренний контроль: интегрированный подход» (COSO) — (the Committee of Sponsoring Organizations of the Treadway Commission»s Internal control — Integrated Framework) — содержит основные принципы организации системы внутреннего контроля в компании и является верхнеуровневым руководством для ее создания и совершенствования;
документ «Контроль и аудит систем» (SAC) — (the Institute of Internal Auditors Research Foundation»s Systems Auditability and Control) — предлагает поддержку внутренним аудиторам в вопросах контроля и аудита информационных систем. В документе дается определение системы внутреннего контроля и описывается ее состав, а также приводятся классификации средств контроля, его цели и риски;
Указание о рассмотрении структуры внутреннего контроля при аудите финансовой отчетности (SAS 55, 78) — (the American Institute of Certified Public Accountants» Consideration of the Internal Control Structure in a Financial Statement Audit) — является руководством для внешних аудиторов в части анализа эффективности системы внутреннего контроля, необходимой для обеспечения корректности финансовой отчетности.
Перечисленные документы включают общие концепции внутреннего контроля, при этом более поздние документы построены на принципах, разработанных в более ранних. В связи с этим они применяются разными группами сотрудников и внешних специалистов. Так, COBIT ориентирован на руководство, ИТ-специалистов и аудиторов в области ИТ, COSO — на топ-менеджмент компании, SAC — на внутренних аудиторов, а SAS 55 и 78 — на внешних аудиторов.
Если говорить о практике использования данных документов, то в большинстве случаев они содержат лишь основные принципы системы внутреннего контроля, что требует уточнений для каждого предприятия и привлечения специалистов с опытом работы в этой области. Однако необходимо отметить, что в основе системы внутреннего контроля заложена система управления операционными рисками. Это методологически упрощает работу по ее созданию и совершенствованию.
На основании требований к системе внутреннего контроля можно определить основные принципы ее построения:

• организация внутренней/управленческой среды в компании;
• установление целей развития компании;
• определение методов идентификации рисков и методов их оценки;
• выбор методов управления рисками (уклонение от риска, сокращение, перераспределение или принятие);
• установление основных принципов организации контрольных процедур;
• определение средств коммуникации и обмена информацией, а также средств тестирования системы внутреннего контроля.

Создание системы внутреннего контроля

Для определения основных точек контроля внутри компании используется методология управления процессами и рисками. Главный этап — анализ бизнес-процессов и выявление операционных рисков на основании описания процессов и взаимодействия с экспертами.
В любой деятельности присутствуют риски, и задачей сотрудников является управление этими рисками, однако не все могут и хотят этим заниматься. Цель внутреннего контроля при построении системы управления рисками — это внедрение в текущие процессы контрольных процедур, что позволяют минимизировать вероятность наступления риска либо его последствия, т. е. фактически система внутреннего контроля «заставляет» сотрудников управлять рисками. Для обеспечения возможности проверки эффективности существующих и создаваемых контрольных процедур в процессах предусматривается формирование документального подтверждения выполнения всех требований контрольной процедуры. В дальнейшем с помощью тестирования проверяется эффективность выполнения контроля через анализ существующих подтверждений правильности выполнения контрольной процедуры.
Что касается построения системы внутреннего контроля над формированием финансовой отчетности (SOX), то этому процессу можно дать следующее определение — процесс, инициируемый советом директоров, руководством и иными сотрудниками, направленный на получение достаточной степени уверенности относительно достоверности финансовой отчетности в соответствии с общепринятыми принципами ее формирования для внешних пользователей, включая политики и процедуры в следующих областях:

• все операции и сделки компании соответствующим образом авторизованы;
• активы компании защищены от несанкционированного использования;
• все операции нашли соответствующее отражение в учетных регистрах и финансовой отчетности.

Исходя из данного определения можно сделать вывод, что для создания системы внутреннего контроля в целом для компании необходимо построить процесс, направленный на формирование норм, процедур, приемов и организационных структур, разработанных для обеспечения разумной гарантии того, что бизнес-цели будут достигнуты, а нежелательные события — предотвращены или обнаружены и исправлены (COBIT).
На рисунке представлены основные этапы проекта по внедрению системы внутреннего контроля, направленной на обеспечение достоверности финансовой отчетности.
(Рисунок)
В общем случае внедрение системы внутреннего контроля в компании включает следующие этапы:

• идентификация критических процессов;
• формализация процессов;
• идентификация рисков в процессах;
• оценка рисков;
• разработка контрольных процедур;
• тестирование контрольных процедур.

Идентификация критических процессов

Необходимо определить перечень внешних нормативных актов, которым нужно соответствовать, а также требования регулирующих законов, которые должны быть выполнены в данном случае. Далее следует установить критичные области в информационном окружении, бизнес-процессах и инфраструктуре.
Часто для российских представительств западных компаний требования внутреннего контроля «спускаются сверху», где они формируются централизованно на уровне корпорации, что не всегда соответствует реальным бизнес-процессам компании и реалиям российской действительности. В связи с этим задачей данного этапа является определение того, что именно из «спущенного сверху» имеет отношение к реально существующим процессам.

Формализация процессов

Проводится описание существующих процессов компании, критичных с точки зрения системы внутреннего контроля, что дает основу для идентификации рисков. Для решения данной задачи целесообразно двигаться «сверху-вниз», формализуя деятельность с верхнего уровня до уровня рабочих мест, описывая поток работ между исполнителями, а также входящую и исходящую информацию. Такой уровень детализации требуется для дальнейшего анализа рисков в процессах и формирования контрольных процедур. На данном этапе можно использовать инструментальные системы для описания бизнес-процессов: ARIS или, в более простых случаях, VISIO.

Идентификация рисков в процессах

Следует определить, насколько существующие процессы в компании рискованны с точки зрения невыполнения требований регулирующих законов. Так, для удовлетворения требований SOX необходимо принимать во внимание все риски, способные привести к умышленному или случайному искажению финансовых данных и соответственно финансовой отчетности, а также к мошенничеству. Если сравнивать общее число критичных рисков и рисков, влияющих на финансовую отчетность, то можно сделать вывод, что риски в области финансовой отчетности составляют, как минимум, четверть от всех операционных рисков компании. Число рисков может превышать тысячу, что обусловливает объем проекта по построению системы внутреннего контроля.
Идентификация рисков проводится на основании анализа детального описания процессов. По его результатам формируется список рисков, привязанных к процессам и функциям, где они были обнаружены. Процедура формирования этого списка на основании только опроса экспертов и без анализа процессов, как правило, не позволяет достичь его полноты. Это приводит к тому, что при внешнем аудите обнаруживается множество неучтенных рисков, и система внутреннего контроля признается неэффективной.

Оценка рисков

Определяется эффективная стратегия минимизации и предотвращения рисков, при этом оценка рисков позволяет ранжировать их по степени критичности и исключить не опасные для компании риски. Управление всеми рисками экономически невыгодно для компании, поскольку для части рисков проще согласиться с убытками, чем создавать и внедрять контрольную процедуру. В данном случае чаще всего применяется метод качественных оценок, позволяющий ранжировать риски по критериям «вероятность» и «убытки» на основании экспертного мнения. Он используется для составления перечня (с использованием рейтинговых оценок) всех идентифицированных операционных рисков, которые актуальны для системы внутреннего контроля.

В дальнейшем уточнение качественных оценок операционных рисков проводится уже в рамках их количественной (стоимостной) оценки, требующей больших временных затрат. Поэтому ключевой задачей качественной оценки помимо определения значимости рисков является «отсечение» тех рисков, которые с высокой степенью вероятности не оправдают дальнейших затрат на их минимизацию или не влияют на критичную информацию. Метод количественных оценок, основанный на расчете ущерба и вероятности риска, в данном случае сложен в применении.

Разработка контрольных процедур

Деятельность по оптимизации процессов всегда присутствует (скрыто или явно) в любой компании. Но обычно она вызвана внутренними побуждениями: стремлением повысить эффективность работы, снизить трудозатраты, контролировать деятельность. Появление внешних требований, обязательных для выполнения, является с этой точки зрения мощным дополнительным импульсом для развития или расширения данного направления деятельности в компании.

Существуют четыре стратегии управления операционными рисками:

• принимать: низкая вероятность — низкие убытки. Эта стратегия наиболее простая — риски принимаются к сведению, но какие-либо действия по их компенсации принимать нерентабельно;
• страховать: низкая вероятность — высокие убытки. Для данной стратегии требуется страхование рисков с помощью страховых компаний;
• избегать: высокая вероятность — высокие убытки. Стратегия предлагает отказаться от рискованных процессов или сосредоточить максимальные усилия на их совершенствовании;
• предотвращать: высокая вероятность — низкие убытки. Для этой стратегии требуется построение контрольных процедур, направленных на минимизацию рисков.

Таким образом, в рассматриваемом случае применимы две последние стратегии, и на их достижение направлены такие виды деятельности, как оптимизация процессов, внедрение контрольных процедур и тестирование.
Наиболее простой способ — оценка рисков с помощью метода качественных оценок и их дальнейшая минимизация.
Целью и критерием успешного совершенствования процессов в части организации системы внутреннего контроля является минимизация обнаруженных операционных рисков путем создания и внедрения в процессы контрольных процедур.

Наиболее результативными считаются превентивные контрольные процедуры, которые позволяют минимизировать саму вероятность наступления рискового события, однако для повышения надежности процесса их часто применяют одновременно с проверочными процедурами. Например, наряду с процедурой удаления карточки-пропуска при увольнении сотрудника должна существовать контрольная процедура сверки списка сотрудников, обладающих карточкой-пропуском, со списком уволенных за определенный период.
Риск можно определить через понятие контрольного действия: недостаток системы контроля существует тогда, когда дизайн или выполнение контроля не позволяют руководству или сотрудникам компании предотвратить или своевременно обнаружить искажение финансовой отчетности в рамках реализации своих повседневных обязанностей.
В зависимости от обнаруженного недостатка необходимо воздействовать либо на процесс, либо на сотрудника, его выполняющего, поэтому для обеспечения оценки эффективности контрольных процедур должны создаваться документальные подтверждения работоспособности каждой контрольной процедуры — так называемые свидетельства контроля.

Тестирование контрольных процедур

Чтобы быть уверенным в том, что система внутреннего контроля эффективна, необходимо с определенной периодичностью проверять, насколько хорошо выполняются существующие контрольные процедуры.

Данная проверка осуществляется с помощью набора тестов, которые состоят из нескольких последовательных шагов:
устанавливается наличие основного документа (политики, регламента), где определяются порядок и правила выполнения данного процесса;
проверяется выполнение на практике требований, описанных в основном документе, и документируются конкретные примеры выполнения.
По результатам теста принимается решение об эффективности или неэффективности данной контрольной процедуры. Число тестов зависит от числа процессов, проходящих через проверяемую контрольную процедуру. Периодичность проведения тестирования устанавливается в зависимости от критичности процесса и может варьировать.

Дополнительной сложностью в организации процесса тестирования может быть требование, чтобы тестирование проводилось сотрудниками, не участвующими в проверяемых процессах. Тысяча тестов, которые необходимо выполнить в течение месяца, — это нормальная ситуация для системы внутреннего контроля крупной компании. Понятно, что всем этим многообразием нужно управлять и документировать эту работу. Для данной задачи может быть использован продукт ARIS Audit Manager, который позволяет автоматизировать процедуры тестирования и создания отчетности для внешних аудиторов.
В существующих условиях количество трансакций в деятельности компании достигает сотен тысяч в секунду, а число рисков превышает тысячу, при этом достаточно сложно обеспечить эффективность выполнения контрольных процедур «на ручном уровне», поэтому единственным эффективным путем является автоматизация как процессов, так и контрольных процедур.

В настоящее время существует достаточное количество программных продуктов импортного производства (ERP, DMS и т. д.), обеспечивающих решение этой задачи в части внедрения контрольных процедур в функционал информационных систем. Однако, даже внедрив решение определенного поставщика, можно не получить эффективную систему внутреннего контроля, поскольку для большинства контрольных процедур все еще будут требоваться ручное исполнение и фиксация, что оставляет большой потенциал для совершенствования разработчиками своих ИТ-решений в данной области.
В заключение хочется отметить, что внутренний контроль должен быть регулярным процессом. Как всякий процесс, он требует правильного планирования, выполнения, проведения и совершенствования.

А. КОПТЕЛОВ , директор департамента ИТ консалтинга компании «IDS Scheer Россия и страны СНГ»

внутренний контроль регулирование нормативный

В широком смысле под целью функционирования СВК следует понимать сохранение и эффективное использование разнообразных ресурсов и потенциалов коммерческой организации, обеспечение ее эффективного функционирования, а также устойчивости и максимального развития в условиях многоплановой конкуренции.

Достижение общей цели СВК обеспечивается взаимодействием различных ее элементов для достижения следующих показателей, по которым можно судить об эффективности управления и развития организации:

• 1) соответствие деятельности организации принятому курсу действий (целевым установкам и ориентирам) и стратегии;
• 2) устойчивость организации с финансово-экономической, рыночной и правовой точек зрения;
• 3) упорядоченность и эффективность текущей финансово-хозяйственной деятельности;
• 4) сохранность имущества организации (внеоборотных активов и оборотных средств), в том числе сохранность систематизированных и обобщенных данных для их использования в управлении. Здесь существуют два аспекта контроля:
• 1. контроль, ориентированный на адекватность организационных мероприятий по обеспечению физической безопасности активов (обеспечение защиты от воровства, от потерь в результате пожаров, наводнений, отказов компьютеров, перебоев в энергоснабжении, умышленных повреждений и т.д.);
• 2. контроль на предмет обоснованности финансово-хозяйственных операций, платежеспособности и добросовестности контрагентов по договорам, добросовестности менеджеров, принимающих решения по данным операциям;
• 5) должный уровень полноты и точности первичных документов и качества первичной информации для успешного руководства и принятия эффективных управленческих решений;
• 6) показатели эффективности системы бухгалтерского учета - наличие, полнота, арифметическая точность, разноска по счетам, формальная разрешенность, временная определенность, представление и раскрытие данных в отчетности;
• 7) рост производительности труда, снижение издержек производства и обращения, улучшение финансово-экономических результатов деятельности;
• 8) рациональное и экономное использование всех видов ресурсов;
• 9) соблюдение должностными лицами и иными работниками организации установленных администрацией требований, правил и процедур - положений о подразделениях, должностных инструкций, правил поведения, планов документации и документооборота, планов организации труда, приказа об учетной политике, иных приказов и распоряжений;
• 10) соблюдение требований федеральных законов и подзаконных актов, изданных органами власти Российской Федерации и ее субъектов, а также полномочными органами местного самоуправления.

Эти и многие другие задачи обусловливают создание в организации эффективной СВК. В качестве одной из второстепенных причин стремления руководства организовать приемлемую СВК может выступать возможность снижения издержек на внешний аудит.

Принципы системы внутреннего контроля.

Критерием эффективности СВК служит соблюдение принципов внутреннего контроля организации.

• 1. Принцип ответственности: каждый субъект, работающий в организации, должен нести экономическую, административную и дисциплинарную ответственность за ненадлежащее выполнение контрольных функций. Ответственность должна быть формально установлена за выполнение каждой контрольной функции, ясно очерченной и формально закрепленной за конкретным субъектом. В противном случае субъект не будет в должной мере осуществлять контроль.
• 2. Принцип сбалансированности: этот принцип неразрывно связан с предыдущим. Сбалансированность означает, что субъекту нельзя предписывать контрольные функции, не обеспеченные средствами для их выполнения. Точно так же не должно быть средств, не связанных той или иной функцией. Иными словами, при определении обязанностей субъекта контроля должен быть предписан соответствующий объем прав и возможностей и наоборот.
• 3. Принцип подконтрольности каждого субъекта внутреннего контроля, работающего в организации: в должностных инструкциях необходимо предусматривать следующее условие: выполнение контрольных функций каждого субъекта должно быть подконтрольно на предмет качества другому субъекту внутреннего контроля без какого бы то ни было дублирования. Очевидно, что в надлежащем исполнении контрольных функций такими субъектами внутреннего контроля, как председатель правления, президент, вице-президент, главный исполнительный директор, неисполнительный директор, главный аудитор, главный контроллер, председатель ревизионной комиссии, заинтересованы прежде всего владельцы организации. Поэтому деятельность перечисленных субъектов должна контролироваться собственниками организации посредством услуг независимых экспертов различного профиля, в том числе внешних аудиторов.
• 4. Принцип своевременного сообщения об отклонениях: информация об отклонениях должна быть представлена лицам, уполномоченным принимать решения по соответствующим отклонениям, в максимально короткие сроки. Если сообщение запаздывает, то нежелательные последствия отклонений усугубляются, кроме того, объект переходит уже в другое состояние (действие), что лишает смысла сам проведенный контроль. При предварительном контроле несвоевременное сообщение о возможности возникновения отклонений также лишает смысла проведенный контроль.
• 5. Принцип ущемления интересов: необходимо создавать специальные условия, при которых любые отклонения ставят какого-либо работника или подразделение организации в невыгодное положение и побуждают их к урегулированию проблем. Необходимость таких условий обусловливается возможностью появления отклонений, в которых заинтересованы определенные работники или коллектив.
• 6. Принцип интеграции: любой элемент управления не может существовать обособленно. Контроль необходимо рассматривать в корреляции с другими элементами в едином контуре процесса управления. Иными словами, при решении задач, связанных с контролем, должны создаваться надлежащие условия для тесного взаимодействия работников различных функциональных направлений.
• 7. Принцип заинтересованности администрации: функционирование СВК не может быть эффективным без честности, должной заинтересованности и участия должностных лиц управления.
• 8. Принцип компетентности, добросовестности и честности субъектов внутреннего контроля: если персонал организации, в служебные функции которого входит осуществление контроля, не обладает этими характеристиками, то даже идеально организованная СВК не сможет быть эффективной.
• 9. Принцип постоянства: постоянное адекватное функционирование СВК позволит вовремя предупреждать о возможности возникновения отклонений, а также своевременно их выявлять.
• 10. Принцип непрерывности развития и совершенствования: со временем даже самые прогрессивные методы управления устаревают. СВК должна быть построена таким образом, чтобы можно было гибко ее "настраивать" на решение новых задач, возникающих в результате изменения внутренних и внешних условий функционирования организации, и обеспечить возможность ее расширения и модернизации.
• 11. Принцип приоритетности: абсолютный контроль над обычными незначительными операциями (например, мелкие расходы) не имеет смысла и будет только отвлекать силы от более важных задач. Но если высшее руководство считает, что какие-либо области деятельности организации имеют стратегическое значение, то в каждой такой области обязательно должен быть налажен контроль, даже если эта область с трудом поддается измерению по принципу "затраты-эффект".
• 12. Принцип комплексности: объекты различного типа должны быть охвачены адекватным контролем, нельзя добиться общей эффективности, сосредоточив контроль только над относительно узким кругом объектов.
• 13. Принцип потенциальных функциональных имитаций: временное выбытие отдельных субъектов внутреннего контроля не должно прерывать контрольных процессов. Для этого каждый работник (субъект внутреннего контроля) должен уметь имитировать контрольную работу вышестоящего, нижестоящего и одного-двух работников своего уровня во избежание потери адекватной связи с объектом контроля на время их выбытия. Стоит отметить, что данный принцип распространяется и на ЦО.
• 14. Принцип разделения обязанностей: функции между сотрудниками распределяются таким образом, чтобы за одним человеком не были закреплены одновременно следующие функции: санкционирование операций с определенными активами, регистрация данных операций, обеспечение сохранности данных активов, осуществление их инвентаризации. Во избежание злоупотреблений эти функции должны быть распределены между несколькими лицами.
• 15. Принцип взаимодействия и координации: контроль необходимо осуществлять на основе четкого взаимодействия всех подразделений и служб организации.

Совокупность указанных принципов является основанием эффективности СВК, т.е. функционирование СВК при соблюдении данных принципов эффективно независимо от организационно-правовой формы, размера, видов и масштаба деятельности организации.