Внутренний контроль - это важнейшая часть современной системы управления, позволяющая достичь целей, поставленных собственниками, с минимальными затратами. Эффективность функционирования хозяйствующих субъектов во многом зависит от грамотно организованного контроля, так как он не только призван выявить недостатки и нарушения, но и предупреждать их, а также способствовать их своевременному устранению.

До 2013 г. вопрос создания службы внутреннего контроля являлся правом организаций (за исключением кредитных организаций, для которых это обязанность).

С 1 января 2013 г. согласно ст. 19 Федерального закона от 6.12.11 г. № 402-ФЗ «О бухгалтерском учете» (далее - Закон № 402-ФЗ) все экономические субъекты должны осуществлять внутренний контроль совершаемых фактов хозяйственной жизни, а те, которые подлежат обязательному аудиту, - также и внутренний контроль ведения бухгалтерского учета и составления бухгалтерской отчетности (за исключением случаев, когда руководитель принял обязанность ведения бухгалтерского учета на себя). Решение о введение бухгалтерского учета им самим может принять руководитель субъекта малого и среднего предпринимательства, соответственно в такой организации необходимо осуществлять только внутренний контроль совершаемых фактов хозяйственной жизни.

Каким образом, по мнению финансистов, внутренний контроль должен быть организован на практике, сегодня сказать затруднительно, поскольку Минфин России до сих пор не разработал рекомендации для хозяйствующих субъектов по организации и осуществлению ими внутреннего контроля ведения бухгалтерского учета и составления бухгалтерской отчетности, которые планировалось выпустить сразу после принятия Закона № 402-ФЗ. При этом в информации Минфина России № ПЗ-10/2012 «О вступлении в силу с 1 января 2013 г. Федерального закона от 6 декабря 2011 г. № 402-ФЗ «О бухгалтерском учете» отмечается, что законодательством Российской Федерации о бухгалтерском учете не установлены какие-либо ограничения на порядок, способы, процедуры осуществления внутреннего контроля.

Систему внутреннего контроля можно определить как систему финансового и прочего контроля, организованную руководством в целях осуществления упорядоченной и эффективной работы организации, обеспечения соблюдения политики руководства, охраны активов, полноты и точности документов.

Каким образом будет организован внутренний контроль, решается в самом хозяйствующем субъекте (например, путем создания отдела внутреннего контроля, внутреннего аудита, ревизионного отдела или заключения договора со сторонней организацией). Основной принцип должен быть следующим: всем придерживаться разумности и сопоставлять трудозатраты при осуществлении контроля с полученным результатом. При построении системы внутреннего контроля необходимо использовать наиболее эффективные подходы с учетом масштабов организации и стремиться к тому, чтобы с разумными затратами (на штатных работников, консультантов, аутсорсинг и используемые программы) проводить необходимый, но достаточный объем контроля.

Краткие сравнительные характеристики служб внутреннего аудита, внутреннего контроля и контрольно-ревизионной службы представлены в табл. 1. Следует иметь в виду, что различие между функциями, выполняемыми службами, в первую очередь определяется теми задачами, которые ставит перед этими подразделениями руководство.

Таблица 1

Сравнительные характеристики служб внутреннего аудита, внутреннего контроля и контрольно-ревизионной службы<1>

_________________________

<1> Кабашкин В.А., Мышов В.А. Повышение роли внутреннего аудита и контроля в условиях рыночной экономики // Международный бухгалтерский учет. 2011. № 13. С. 36-46.

В общем случае работа контрольно-ревизионных служб фокусируется на вопросах проверки сохранности товарно-материальных ценностей, эффективности использования ресурсов, выполнения распоряжений вышестоящих органов, а также на расследовании случаев мошенничества.

Задачей службы внутреннего контроля может быть построение системы внутреннего контроля организации (точнее, активное содействие менеджменту в построении системы), а задачей внутреннего аудита - проведение оценки надежности и эффективности этой системы.

Внутренний аудит призван выполнять более широкие задачи по оценке процедур внутреннего контроля, процессов управления рисками, корпоративного управления. Однако в зависимости от уровня развития корпоративной культуры (в том числе среды контроля) приоритетом для службы внутреннего аудита может стать выполнение задач, обычно стоящих перед контрольно-ревизионной службой.

Например, если в организации отсутствует эффективная система внутреннего контроля, то внутренний аудит в меньшей степени будет заниматься оценкой системы внутреннего контроля и в большей - вопросами сохранности активов и выявлением случаев мошенничества. В данной ситуации по мере построения системы внутреннего контроля потребность во внутреннем аудите как в функции независимой оценки эффективности контроля будет со временем возрастать.

Система внутреннего контроля в организации распространяется на все возникающие бизнес-процессы, начиная с планирования деятельности и заканчивая составлением финансовой отчетности.

Финансовый контроль, в том числе контроль за полнотой и достоверностью бухгалтерских записей и составлением финансовой отчетности, является важным элементом внутреннего контроля.

Эффективная структура внутреннего контроля предполагает разумное разграничение полномочий и разделение несовместимых функций. Последние несовместимы, если их сосредоточение у одного лица в любых комбинациях не только потенциально приведет к совершению непреднамеренных ошибок, но и затруднит их выявление. К несовместимым функциям относятся<2>: непосредственный доступ к активам; разрешение на осуществление операций с активами; непосредственное осуществление хозяйственных операций; отражение хозяйственных операций в бухгалтерском учете.

<2> Гусарова Л.В. Организация внутреннего аудита в некоммерческих организациях // Бухгалтерский учет в бюджетных и некоммерческих организациях. 2012. № 1. С. 32-37.

Концепция внутреннего контроля включает несколько основных элементов:

внутренняя среда организации, т.е. этические ценности, стиль управления, процесс принятия решений, делегирование полномочий и принятие ответственности, политика в отношении персонала, компетентность сотрудников и отношение управленческого аппарата организации к внутреннему контролю;

определение, анализ и управление рисками, стоящими перед организацией на пути достижения своих целей;

повседневное осуществление контроля, т.е. учет и отчетность, разделение полномочий, права доступа к активам, мониторинг;

система санкционированного доступа к информации;

мониторинг самой системы внутреннего контроля, необходимый для определения его эффективности.

Цель хозяйствующего субъекта - не создание системы контроля, которая бы полностью гарантировала отсутствие отклонений, ошибок и неэффективности в работе, а система, которая помогала бы их своевременно выявлять и устранять, способствуя повышению эффективности работы. Основной принцип организации внутреннего контроля заключается в том, что не нужно концентрироваться на экспертном контроле операций, а необходимо контролировать то, как построен и работает сам процесс и какие качественные изменения в нем происходят. Повышение эффективности процесса внутреннего контроля состоит в повышении качества внутреннего контроля, а не в увеличении количества перепроверенных операций.

Функционирование системы внутреннего контроля будет результативным, если в процессе ее работы соблюдены следующие основные принципы<3>:

1) ответственности - каждый субъект внутреннего контроля за ненадлежащее выполнение контрольных функций, предусмотренных должностными обязанностями, должен нести экономическую и (или) дисциплинарную ответственность;

2) сбалансированности - субъекту внутреннего контроля нельзя поручать выполнение функций, не обеспеченных соответствующими организационными (приказ, распоряжение) и техническими (программы, счетные и мерные устройства) средствами для их надлежащего исполнения;

3) своевременного сообщения о выявленных существенных отклонениях - информация о них должна быть оперативно доведена до лиц, непосредственно принимающих решения по данным отклонениям;

4) соответствия контролирующей и контролируемой систем - степень сложности системы внутреннего контроля хозяйствующего субъекта должна в каждый конкретный момент времени соответствовать степени сложности его бизнеса;

5) постоянства - система внутреннего контроля должна действовать на постоянной основе, что позволит своевременно выявлять отклонения от плановых заданий и норм;

6) комплексности - весь комплекс объектов внутреннего контроля в хозяйствующем субъекте должен быть охвачен его различными формами в зависимости от уровня риска;

7) распределения обязанностей - функции работников аппарата управления распределяются между ними таким образом, чтобы выполнялись требования к формированию контрольной среды.

С учетом указанных принципов разрабатываются конкретные требования к участникам процесса внутреннего контроля, среди которых можно выделить следующие<4>:

________________

<4> Соколов Б. Внутренний контроль и аудит // Аудит и налогообложение. 2008. № 12.

1) требование подконтрольности каждого субъекта внутреннего контроля, работающего в организации. Выполнение одним субъектом контрольных функций должно быть в обязательном порядке подконтрольно на предмет качества другому субъекту внутреннего контроля;

2) требование ущемления интересов. С помощью нормативных документов создаются условия, при которых любые отрицательные отклонения ставят конкретного работника в экономически невыгодное положение, что стимулирует его к устранению отрицательных отклонений и вызвавших их причин;

3) недопущение сосредоточения прав контроля на всех его объектах в руках одного лица. В системе внутреннего контроля могут действовать независимо различные субъекты контроля. Несоблюдение этого требования создает условия для необъективного отражения в отчетных материалах результатов проверок;

4) требование заинтересованности руководства хозяйствующего субъекта. Эффективное функционирование системы внутреннего контроля невозможно без должной заинтересованности и участия в ее работе представителей собственников и топ-менеджмента хозяйствующего субъекта;

5) требование компетентности, добросовестности и честности внутренних контролеров хозяйствующего субъекта. Если сотрудники организации, в служебные функции которых входит осуществление внутреннего контроля, не обладают указанными характеристиками, то даже идеально организованная система не сможет работать эффективно;

6) требование пригодности методик и программ, применяемых в работе системы внутреннего контроля. Методики и программы должны быть целесообразны и рациональны, так как благодаря применению в минимальной степени будет снижаться эффективность работы объектов внутреннего контроля, а последний будет рационален, т.е. не станет нести излишних затрат труда и средств;

7) требование единичной ответственности. Недопустимо закрепление одной и той же контрольной функции за несколькими субъектами контроля, так как это неизбежно приведет к безответственности, затрате излишних сил и средств;

8) требование функционального потенциального замещения. Временное выбытие отдельных субъектов контроля (например, в отпуск) не должно прерывать контрольные процедуры или затруднять их выполнение. Для снижения влияния этого фактора необходимо добиться того, чтобы каждый субъект контроля умел выполнять в должной степени контрольную работу вышестоящего и одного-двух работников своего уровня;

9) требование регламентации. Эффективность функционирования системы внутреннего контроля напрямую зависит от наличия, качества и уровня утверждения регламентов (правил, стандартов), которыми руководствуются и точно выполняют субъекты контроля;

10) требование взаимодействия и координации. Система внутреннего контроля должна функционировать на основе четкого взаимодействия всех подразделений и служб хозяйствующего субъекта. Такого взаимодействия можно добиться путем разработки комплекса нормативных документов, регламентирующих контрольную деятельность структурных подразделений и руководителей хозяйствующего субъекта.

Функция внутреннего контроля может быть реализована несколькими способами, и поэтому, для того чтобы пользоваться преимуществами, которые дает организации эффективный внутренний контроль, необязательно создавать отдельное подразделение. При этом функцию внутреннего контроля может выполнять внешний консультант или специализированная компания при условии недопущения конфликта интересов.

Можно выделить три основных подхода к построению функции внутреннего контроля:

создание собственной службы внутреннего контроля, если организация для этого обладает необходимыми ресурсами;

аутсорсинг - выполнение функции внутреннего контроля полностью передается специализированной компании (внешнему консультанту);

косорсинг - служба внутреннего контроля создается в рамках организации; к выполнению заданий также привлекаются эксперты специализированной компании (внешнего консультанта), обладающие соответствующими знаниями и опытом.

Указанные подходы могут применяться в хозяйствующих субъектах в различных комбинациях. При выборе из возможных вариантов следует оценить преимущества и недостатки каждого из них (табл. 2).

Таблица 2

Организация, цели и функции внутреннего контроля определяются руководством и (или) собственником экономического субъекта в зависимости от организационно-правовой формы и сложившейся системы управления, содержания, специфики и масштабов деятельности, состояния внутреннего контроля и объемов финансово-экономической деятельности.

Служба внутреннего контроля создается в основном хозяйствующими субъектами крупного и среднего бизнеса при наличии следующих условий: стремления собственников и высшего руководства получить достоверную информацию и оценку действий руководителей всех уровней управления; усложненной структуры; наличия филиалов и дочерних компаний; разнообразия видов деятельности.

Возможности аутсорсинга и косорсинга используют как небольшие организации, у которых нет достаточных финансовых ресурсов для создания собственной службы внутреннего контроля, так и крупные, имеющие в своем штате соответствующие структуры. Последним такие услуги, как правило, нужны для проведения отдельных контрольных мероприятий или в «пиковые» периоды нагрузки на штатных внутренних контролеров.

Формирование службы (отдела) внутреннего контроля следует начинать с подбора кандидатуры руководителя службы. Наилучшим вариантом является ситуация, когда руководитель службы внутреннего контроля функционально подчиняется совету директоров, а административно - генеральному директору организации. Если в хозяйствующем субъекте отсутствуют совет директоров или аналогичный орган, службу внутреннего аудита следует подчинить как функционально, так административно высшему должностному лицу организации. В идеальной ситуации служба внутреннего контроля отчитывается перед высшим руководством и освобождается от другой управленческой подотчетности.

К числу внутренних нормативных документов, регламентирующих деятельность службы внутреннего контроля и аудита, относятся:

положение о службе внутреннего контроля (определяет миссию, цели и задачи, ответственность и полномочия);

руководство службы внутреннего аудита (содержит вопросы организации работы службы и взаимодействия с другими подразделениями);

внутрифирменные стандарты (содержат типовые формы и методики проведения проверок и других задач);

должностные инструкции сотрудников службы.

Численность службы внутреннего контроля должна зависеть от поставленных задач, состояния контрольной среды и степени подверженности организации разного рода рискам. Численность определяется прежде всего исходя из количества подразделений и бизнес-процессов, имеющихся в организации, и временными затратами на контроль и аудит каждого из них.

Как показывает практика, основными ошибками при создании службы внутреннего контроля, снижающими эффективность контроля либо сводящими его на нет, являются:

низкая культура внутреннего контроля;

неадекватное отношение к риску на фоне высоких финансовых результатов;

игнорирование принципа разделения полномочий;

неадекватные каналы передачи информации;

бездействие руководства в отношении выявленных проблем.

Внутренний контроль не дает ожидаемых результатов в случаях, когда руководство демонстрирует свое пренебрежительное отношение к нему и своевременно не предпринимает мер по исправлению обнаруженных недостатков.

Отсутствие процедур контроля, относящихся к какому-либо из направлений деятельности, замедляет процесс развития или вовсе останавливает его. Так, если малые предприятия целиком сосредоточатся на защите активов и предотвращении мошенничества, при этом не обращая внимания на мотивацию сотрудников, начнется текучка кадров, меньше станет инициатив. Если сконцентрироваться на оптимизации налогообложения и не обращать внимания на обеспечение прозрачности организации и управленческий учет, то менеджмент не будет иметь достоверных данных для необходимой аналитической работы, благодаря которым можно гибко реагировать на изменение внешней среды.

Типичными проблемами в деле организации систем внутреннего контроля, характерными для российских организаций, являются <5>:

<5> Шуклов Л.В. Постановка внутреннего контроля как основа для перехода на МСФО: типичные проблемы и пути их решения // Международный бухгалтерский учет. 2011. № 38. С. 2-11.

отсутствие какого-либо вида процедур контроля применительно к какому-либо процессу;

излишняя бюрократизация контроля на малых предприятиях, концентрация внутреннего контроля только на защите активов, конфиденциальности, подготовке управленческих отчетов;

недостаток полномочий для осуществления контроля, конфликт интересов в системе контроля;

недостаток какого-либо вида процедур в исследуемом центре ответственности;

использование устаревших или не согласованных с другими подразделениями контрольных процедур.

Несмотря на то что организация системы внутреннего контроля сама по себе не гарантирует автоматического достижения целей, ее отсутствие создает больше возможностей для совершения ошибок или их необнаружения. Создавая систему внутреннего контроля, организации должны избегать применения правил и практики, которые могут неумышленно создавать стимулы или соблазн для совершения неправомерных действий. В частности:

чрезмерный акцент на достижении показателей или других операционных результатов, особенно имеющих краткосрочный характер и игнорирующих более долговременные риски;

схемы вознаграждения сотрудников, чрезмерно ориентированные на краткосрочные показатели;

неэффективное распределение обязанностей или контроля, которое создает возможности для неправильного использования ресурсов либо для сокрытия отрицательных показателей;

слишком незначительные или, напротив, непомерно строгие наказания за нарушения и злоупотребления.

Эффективность управленческих решений во многом зависит от достоверности бухгалтерской и управленческой отчетности. Искажение данных в отчетности может быть связано с ошибками обработки первичных документов, неверно выстроенными бизнес-процессами компании, недобросовестным поведением персонала. Внедрение системы внутреннего контроля позволит обеспечить надежность финансовой информации, а также снизить риски принятия ошибочных решений.

В этой статье вы узнаете:

Построение системы внутреннего контроля (СВК) предполагает определение наиболее существенных рисков (которые могут повлечь за собой финансовые потери), разработку контрольных процедур, а также создание системы тестирования эффективности контрольных процедур.

Личный опыт
Вера Трошина , заместитель генерального директора по экономике, коммерции и финансам ОАО «Азовский морской порт»
Система внутреннего контроля необходима как самостоятельным юридическим лицам, так и группам предприятий с централизованным управлением. Несмотря на то что в зарубежной практике СВК получила широкое распространение, немногие финансовые директора и первые лица российских предприятий осознают ее необходимость. Это объясняется тем, что эффект от внедрения процедур внутреннего контроля не всегда может быть получен мгновенно и поддается количественной оценке.
Для нашей компании решение использовать СВК было продиктовано необходимостью внедрения системы менеджмента качества (ISO 9000/2001). Первые результаты применения процедур внутреннего контроля были получены в области материально-технического снабжения, затраты на которое равны десяткам миллионов рублей (вторая наибольшая статья расходов бюджета компании). В итоге экономия составила порядка 5–8%.

Игорь Миронов , руководитель отдела внутреннего аудита компании SABMiller (ООО «ТрансМарк» и ООО «Калужская пивоваренная компания»)
Компания SABMiller внедряет документирование внутреннего контроля в рамках требований акта Sarbanes-Oxley (см. об этом законе справку. – Примеч. редакции).
Проект по сертификации СВК на соответствие положениям акта Sarbanes-Oxley в нашей компании рассчитан на период более двух лет и находится примерно на середине своего пути. Сейчас идет описание ключевых бизнес-процессов, идентификация рисков и документирование внутреннего контроля. На последующих стадиях будет проверяться эффективность контроля.
При организации СВК я бы посоветовал сфокусироваться на предупредительном (preventive control), а не последующем (detective control) контроле в компании. Затраты на предупредительный контроль в полной мере окупаются предотвращенными потерями.

Михаил Подлазов , финансовый менеджер компании «Балтик Бевериджиз Холдинг АБ» (Санкт-Петербург)
Система внутреннего контроля необходима компании в первую очередь для управления эффективностью работы подразделений. Она должна решать в компании пять основных задач:
- обеспечение надежности и достоверности информации;
- защита активов и собственности;
- эффективное использование ресурсов предприятия;
- обеспечение соответствия выполняемых работ политикам, процедурам и регламентам компании;
- помощь менеджерам в достижении целей и задач компании.

Условно процесс внедрения системы внутреннего контроля включает четыре основных этапа:
- определение направлений контроля;
- описание бизнес-процессов;
- анализ и контроль рисков;
- тестирование качества СВК. Остановимся подробнее на перечисленных этапах внедрения системы внутреннего контроля, а также проблемах, с которыми компания может столкнуться в ходе этой работы.

Определение контролируемых направлений деятельности

Внедрение системы внутреннего контроля следует начать с определения подразделений и направлений деятельности, для которых будут разрабатываться контрольные процедуры. Введение контрольных процедур во всех подразделениях и направлениях деятельности приведет к тому, что на реализацию подобного проекта потребуются значительные затраты, большая часть которых не окупится. К примеру, на производственном предприятии не имеет смысла внедрять методы контроля для отдела кадров. Как правило, СВК используется в отделах сбыта, снабжения, на производстве, в бухгалтерии и казначействе, то есть в тех структурных единицах, которые напрямую связаны с формированием отчетности, управлением денежными и товарно-материальными потоками в компании. Аналогично решается вопрос для группы компаний. Состав направлений деятельности предприятия, для которых будут внедрены контрольные процедуры, определяется экспертным путем. В качестве экспертов могут выступать руководители подразделений или генеральный директор компании, то есть те специалисты, которые обладают опытом и знанием бизнес-процессов, в большей степени подверженных различным рискам.

Личный опыт
Сергей Качалов , финансовый контролер компании «Аптека 36,6»
Система внутреннего контроля будет неполноценной, если не охватывает деятельность всех сотрудников компании независимо от выполняемых ими работ. Это позволяет управлять максимальным количеством рисков, которым подвержена деятельность компании.

После того как определены границы системы внутреннего контроля, составляется календарный план-график работ и формируется рабочая группа по разработке методов контроля. В ее состав можно порекомендовать включить внутреннего аудитора и специалиста по анализу и идентификации рисков, а также привлекать в качестве экспертов руководителей тех функциональных подразделений, для которых создаются процедуры контроля.

Описание бизнес-процессов

Для того чтобы выстроить эффективную СВК, нет необходимости описывать все бизнес-процессы подразделений, которые были отобраны для внедрения процедур внутреннего контроля. В такой ситуации СВК будет неоправданно громоздкой и неуправляемой. Для ограничения состава бизнес-процессов следует определить существенные счета. Таковыми являются счета бухгалтерского или управленческого учета, искажение информации по которым может ввести в заблуждение менеджмент компании или потенциальных инвесторов. Кроме того, это могут быть счета бухгалтерского учета, оборот за период по которым составляет более 10% по отношению к выручке компании. Для определения существенности счетов также могут использоваться экспертные оценки. К примеру, деятельность компании зависит от используемых ею патентов и лицензий, стоимость которых не превышает 5% валюты баланса. Тем не менее счета учета патентов и лицензий будут классифицированы как существенные, так как от эффективности контроля за этими активами будут зависеть результаты работы предприятия.
Следующим шагом в процессе построения системы внутреннего контроля должно стать описание бизнес-процессов, связанных с отражением информации на существенных счетах. Следует отметить, что описание бизнес-процессов должно быть максимально детальным и учитывать движение отдельных документов внутри компании 2

Личный опыт
Наталия Старцева , вице-президент по финансам компании «Гамма Менеджмент Групп» (Калининград)
Основной проблемой, с которой мы столкнулись при организации СВК в компании, было отсутствие или не очень внятное содержание внутренних стандартов и регламентов. Первой задачей работников службы внутреннего контроля стала разработка системы внутрифирменных стандартов. После утверждения таких стандартов, как положение о документообороте, положение о системе бюджетирования, учетная политика (отдельно для бухгалтерского и управленческого учета), регламент представления периодической финансовой отчетности совету директоров, положение о внутреннем аудите компании, – «правила игры» стали всем понятны, а служба внутреннего контроля получила реальный инструмент для организации своей работы.
Матричная система управления и прямая подотчетность службы внутреннего контроля совету директоров позволяют иметь оперативную и объективную информацию о соответствии деятельности компании действующим регламентам и корректировать действия менеджеров в случае их нарушения.

Основная задача, которая должна быть решена в ходе описания бизнес-процессов, - наглядное представление всех работ, выполняемых сотрудниками подразделений, для того чтобы в дальнейшем на основании этих данных определить участки, связанные с риском возникновения недостоверной информации или существенных финансовых потерь.

Анализ и контроль рисков

Бизнес-процессы компании анализируются на предмет существования рисков, которые могут привести к значительным финансовым потерям для компании 3 .

Личный опыт
Михаил Подлазов
Следует отметить, что внимание нужно уделять только тем рискам, которые действительно могут привести к существенным финансовым потерям, либо исказить финансовую или управленческую отчетность. В моей практике был случай, когда внутренний аудитор настаивал на том, что хранение запасных частей на одном из складов связано с риском их утери из-за щелей в полу складского помещения. В ходе анализа данного риска выяснилось, что пол на складе покрыт кафельной плиткой, а под щелями подразумевались отверстия на стыке плитки. Очевидно, что единственные потери, которые может понести компания из-за выявленных «дефектов» пола, – утрата одной-двух гаек стоимостью несколько копеек. Разумеется, никаких процедур для контроля за данным риском внедрено не было.

Наиболее точно идентифицировать риски, связанные с теми или иными бизнес-процессами, можно путем анализа накопленной компанией информации о негативных событиях (ошибки в отчетности, кражи, порча товаро-материальных ценностей и т. д.), периодичности их возникновения и размере причиненного ущерба.
Однако подобная ситуация может существовать лишь в компаниях, внедривших систему менеджмента качества. У предприятия, которое до момента внедрения системы внутреннего контроля не осуществляло систематизированное управление рисками, подобные статистические данные, как правило, отсутствуют. В такой ситуации идентификация рисков может быть полностью возложена на экспертов - руководителей подразделений. К примеру, главный бухгалтер, длительное время проработавший в компании, всегда может довольно точно предсказать, где могла быть допущена ошибка, если не сходятся статьи актива и пассива. От экспертов также потребуется оценить периодичность возникновения неблагоприятных событий и вероятный ущерб. На этапе внедрения СВК экспертные оценки существующих рисков могут обладать большой погрешностью. Однако в будущем, внедрив систему внутреннего контроля и накопив достаточное количество данных о возникших ошибках в работе подразделений, состав рисков и их существенность могут быть оценены с высокой точностью.
Для наиболее существенных рисков, связанных с серьезными финансовыми потерями, разрабатываются контрольные процедуры 4 .
Как правило, внедрение контрольных процедур предполагает создание дополнительных уровней согласования. К примеру, для того чтобы бухгалтер осуществил платеж по заявке производственного подразделения, необходимо завизировать ее у финансового директора. Контрольные процедуры могут заключаться также в распределении ответственности. Для процесса закупок контроль будет сводиться к тому, что заказчиком выступает производственное подразделение компании и оно же контролирует качество приобретенных материалов; поиск поставщика и работу по договорам поставки осуществляет отдел снабжения, а процесс оплаты контролируется финансовым директором.

Личный опыт
Сергей Пустовалов , финансовый директор ЗАО «Бриджтаун Фудс» (Москва)
В качестве примера внутреннего контроля можно привести формирование актов сверки с дебиторами. Казалось бы, простой и понятный инструмент, но далеко не у всех предприятий формируются акты сверки со всеми своими контрагентами. Отсутствие таких актов может привести к следующей ситуации. Предположим, у компании-дебитора есть встречные требования к предприятию, например оплачен аванс в счет будущей поставки. Если в ближайшем будущем компания-дебитор обанкротится и будет образована ликвидационная комиссия, то отсудить полученный аванс без актов сверки будет крайне сложно. А доказать, что этот аванс должен быть зачтен в счет погашения ранее возникшей дебиторской задолженности, практически невозможно.

Михаил Подлазов
Эффективность создаваемых процедур контроля будет зависеть от выполнения следующих факторов:
- четко определена и понятна ответственность должностных лиц за выполнение контрольных процедур;
- разграничен доступ к информации или действию;
- все транзакции авторизуются в соответствии с принятыми регламентами;
- существует документально оформленное описание процедур контроля;
- задачи контроля, исполнения и принятия решений распределены между сотрудниками.

Важно отметить, что для исполнения созданных процедур контроля необходимо их документальное оформление. Описание контрольной процедуры должно содержать следующие основные положения: цели контроля; последовательность действий; периодичность проведения контроля; ответственный за контроль сотрудник; документ, в котором отражен факт осуществления контроля (к примеру, лист согласований).

Личный опыт
Игорь Миронов
Оценка наиболее существенных рисков проводится в нашей компании ежегодно. Условный фрагмент сводного отчета об имеющихся рисках, созданных контрольных процедурах и планируемых аудиторских проверках представлен в таблице на с. 16.

Тестирование качества внедренных контрольных процедур

Эффективная система внутреннего контроля предполагает тестирование контрольных процедур и оценку их качества.
Тестирование системы контроля проводится по двум направлениям:
- соблюдение разработанных регламентов контрольных процедур;
- появление ошибок в отчетности, которые не были предотвращены системой контроля.
Соблюдение разработанных регламентов оценивается путем выборочной проверки документов, в которых должен быть отражен факт контроля. К примеру, по ряду платежных поручений проверяется наличие правильно оформленных и подписанных листов согласования.
Появление ошибок в отчетности выявляется в ходе аудита отчетности и первичной документации.

Личный опыт
Игорь Миронов
После того как проведен аудит существующих контрольных процедур, формируется аудиторский отчет, который содержит следующие разделы: аудиторские замечания; потенциальные риски; рейтинг риска (высокий, средний, низкий); рекомендации аудиторов; планируемые действия менеджмента; дата устранения замечания; ответственное лицо. В первую очередь отчет обсуждается с менеджерами подразделений, к которым есть замечания. Крайне важно получить от них ответ: согласны ли они с высказанными комментариями и в какие сроки будут предприняты меры для устранения недостатков. Только после этого отчет представляется совету директоров и аудиторскому комитету компании.

Таблица Оценка рисков

Надо отметить, что в течение первого полугодия с момента внедрения системы необходимо ежемесячное тестирование процедур контроля. Это позволит исключить ошибки, допущенные при разработке. В дальнейшем тестирование системы внутреннего контроля может проводиться раз в полгода.

Личный опыт
Михаил Подлазов
Систему аудитов необходимо выстраивать исходя из существенности контролируемых рисков. В нашей практике работы все подразделения компании были поделены на три группы в зависимости от размеров и объемов денежных потоков. Для первой категории аудит контрольных процедур и собственно процессов проводится раз в год, для второй категории – раз в два года, для третьей – раз в три – пять лет.

По результатам тестирования должен составляться отчет о его результатах, который также включает рекомендации по устранению выявленных недостатков контрольных процедур.

Автоматизация внутреннего контроля

Обеспечить строгое выполнение разработанных контрольных процедур можно путем внедрения информационных систем. К примеру информационная система может обеспечивать электронный документооборот и блокировать платежи, которые не были авторизованы, или не позволять сформировать документы, необходимые для отгрузки продукции покупателю, если он исчерпал свой кредитный лимит.
Существует также программное обеспечение, позволяющее тестировать созданные контрольные процедуры, к примеру Aris Audit Manager; есть отдельные модули в Axapta, SAP, Oracle.

Личный опыт
Игорь Миронов
В своей практике мы используем программу Team Mate, разработанную компанией Pricewater-houseCoopers. Эта система позволяет автоматизировать аудиторскую деятельность на всех этапах: от планирования аудита и проведения аудиторских тестов до формирования отчетов по аудиту и последующего контроля действий менеджмента.

В заключение следует отметить, что эффективная работа системы внутреннего контроля во многом будет зависеть от подразделения, тестирующего созданные процедуры. Как правило, эти задачи возлагаются на службу внутреннего аудита. Для того чтобы результаты тестирования были объективными, это подразделение должно напрямую подчиняться собственникам бизнеса, то есть на его работу не должны влиять решения топ-менеджмента компании.

Как описать бизнес-процессы для построения системы внутреннего контроля

Интервью с внутренним аудитором представительства компании Moscow Cablecom Петром Скуридиным

- Чем вызвана необходимость внедрения системы внутреннего контроля в компаниях?
- Сама идея построения систем внутреннего контроля не нова для бизнес-сообщества - основные подходы были разработаны COSO 5 еще 15-20 лет назад. Сейчас она получила большое распространение в связи с принятием в США закона Сарбейнса-Оксли, который предусматривает ответственность первых лиц компании. К примеру если выяснится, что отчетность компании была преднамеренно искажена, то ее руководителю грозит штраф до 5 млн долл. США или заключение до 20 лет.
Акции нашей управляющей компании котируются на американской бирже. Первоначально отчет руководства об уровне системы внутреннего контроля требовалось предоставить по состоянию на 31 декабря 2005 года. Однако Комиссия по ценным бумагам США приняла решение
Об отсрочке вступления в силу требований статьи 404 закона Сарбейнса-Оксли для отдельных типов компаний до 31 декабря 2006 года.

Петр, для чего необходимо описание бизнес-процессов предприятия при создании системы внутреннего контроля?
- Основная задача описания бизнес-процессов - точно определить действия в рамках бизнес-процессов, при выполнении которых существуют риски. Следует отметить, что в одном бизнес-процессе, как правило, задействовано несколько подразделений. Если бы мы пытались выявлять риски, к примеру, основываясь на организационной структуре компании, то не учли бы множество рисков, связанных со всевозможными конфликтами подразделений, а значит, система внутреннего контроля была бы неэффективной. У нас в компании бизнес-процессы описываются без использования специализированного программного обеспечения в Visio (см. рисунок 1).

Рисунок 1. Пример описания бизнес-процессов

Но наглядного представления бизнес-процесса недостаточно. Необходимо детальное описание процесса, чтобы исключить неточности в его интерпретации, а также согласовать это описание «как есть» с владельцем процесса и оформить пошаговое подтверждение. Например, к приведенному на рисунке 2 бизнес-процессу осуществления выплат подшиваются кассовый план, заявка на оплату, счет на оплату, платежное поручение, выписка из банка и прочие документы, которые дают возможность проследить, как одна транзакция проходит через различные учетные системы и отражается в документах. С помощью ссылок пошаговое подтверждение связывается с описанием процесса, что позволяет проиллюстрировать практически любой шаг процесса.

Рисунок 2 . Описание бизнес-процесса «Выплаты денежных средств с расчетных счетов»

- После того как бизнес-процессы описаны, как выявить присущие им риски?
- К сожалению, анализ и выявление рисков - это всегда экспертные оценки. Библиотеки рисков ведут компании «большой четверки», но даже у них не всегда можно найти достаточно детальные решения. Дело в том, что риски работы любого предприятия связаны с отраслевой спецификой. Однажды я совершенно случайно приобрел в книжном магазине Великого Новгорода книгу Сотниковой Л.В. «Аудиторская проверка кассовых операций», в которой были описаны примеры контрольных процедур и признаки недостатков системы контроля, на основании которых можно идентифицировать риски при выплате денежных средств. Процесс выплаты денежных средств имеет много общих этапов для компаний, работающих в разных отраслях, но этот пример скорее исключение. Поэтому риски выявляются и описываются на основе опыта аудиторских проверок. Опытным можно считать аудитора, который проработал в одной отрасли более трех лет.

Для каждого риска определяется существенный счет, данные которого могут быть искажены в результате наступления рискового события. Как правило, разные компании используют различные методики определения существенности счетов финансовой отчетности. Например, существенными могут признаваться счета, обороты или сальдовые остатки по которым превышают 5% от прибыли до вычета налога на прибыль, дивидендов и процентов по кредитам. Еще один критерий существенности счета - ликвидность учтенных на счете активов и пассивов. Скажем, денежные средства обладают высокой ликвидностью, следовательно, связаны с высокими рисками их потери. Поэтому счета учета денежных средств всегда можно рассматривать как существенные. Также необходимо анализировать действующие контрольные процедуры (см. таблицу).

Таблица Описание рисков и действующих контрольных процедур

- Входит ли в ваши задачи разработка контрольных процедур?
- Не всегда, наш отдел дает рекомендации по устранению существующих недостатков, а методология и внедрение контрольных процедур относятся, как правило, к полномочиям руководителей функциональных подразделений. Однако бывают ситуации, когда мы формируем рекомендации по улучшению системы контроля и содействуем их внедрению.

Наш традиционный вопрос: что можно посоветовать компаниям, которые только начинают внедрять систему внутреннего контроля?
- Описание бизнес-процессов в форме создания письменных положений, процедур и инструкций, определяющих порядок выполнения процесса, - это отправная точка для любой компании при создании системы внутреннего контроля. Только после описания финансовых, а также основных процессов закупки, производства и сбыта на примере производственной компании можно приступать к выявлению рисков.

Беседовал Александр Афанасьев

1 Текст стандарта, а также основные сведения о деятельности Международной федерации бухгалтеров (International Federation of Accountants – IFAC) можно найти на сайте www.ifac.org. – Примеч. редакции.

2 Подробнее см. интервью «Как описать и оптимизировать бизнес-процессы» («Финансовый директор», 2003, № 7–8, с. 30). - Примеч. редакции.

3 Об анализе бизнес-процессов с целью выявления рисков см. статью «Обеспечение непрерывности бизнеса» («Финансовый директор», 2003, № 9, с. 26). - Примеч. редакции.

4 Об управлении рисками компании см. статью «Построение корпоративной системы управления рисками» («Финансовый директор», 2005, № 2, с. 27). - Примеч. редакции

5 The Committee of Sponsoring Organizations of the Treadway Commission (подробнее см. www.coso.org) – некоммерческая организация, учрежденная с целью разработки рекомендаций, позволяющих улучшить качество финансовой отчетности за счет создания процедур внутреннего контроля и совершенствования корпоративного управления. – Примеч. редакции.

Система внутреннего контроля - это система мер, направленных на выявление и устранение финансовых, правовых, производственных и прочих рисков, а также на выявление фактов хозяйственной деятельности, связанных с преднамеренным или непреднамеренным нарушением сотрудниками своих обязанностей, повлекшим за собой ухудшение финансового состояния предприятия или его деловой репутации.

Система внутреннего контроля может включать в себя:

· контроль соответствия деятельности предприятия российскому законодательству;

· контроль сохранности активов предприятия;

· контроль процесса материально-технического снабжения;

· контроль процесса производства(продажи) продукции(услуг);

· контроль рационального и экономного расходования ресурсов;

· контроль исполнения приказов и распоряжений;

· контроль эффективности и исполнения отдельных договоров/групп договоров;

· внутренний аудит;

· мониторинг внешней и внутренней среды предприятия на предмет выявления угроз безопасности;

· другие направления исходя из потребностей предприятия.

Сколько и какие органы контроля иметь в компании - определяется, в первую очередь, требованиями законодательства. Например, для акционерных обществ законодательством предусмотрено наличие совета директоров (наблюдательного совета) и ревизионной комиссии.

Собственники и менеджмент компании, исходя из своих потребностей, могут создавать и другие органы контроля. Выбор богатый: контрольно-ревизионная служба, служба внутреннего контроля, служба внутреннего аудита, служба безопасности, отдел контроля качества . Другое дело, что, подчас, по-разному называющиеся органы контроля в значительной мере дублируют работу друг друга. Это, как правило, приводит к экономической неэффективности их деятельности.

Немалую роль в принятии решения о структуре органов контроля играет состояние контрольной среды в компании и, если говорить более широко, уровень развития ее корпоративной культуры.

Поскольку построение системы внутреннего контроля есть процесс трудоемкий и длительный, наличие в компании отдельного контрольно-ревизионного подразделения (контрольно-ревизионной службы) является объективной необходимостью на определенном этапе. Данное подразделение приобретает особую значимость, если у руководства компании нет возможности и/или желания строить эффективную систему контроля и создавать высокоразвитую корпоративную культуру. В данном случае контрольно-ревизионное подразделение будет фокусироваться на выявлении ошибок и злоупотреблений, исполняя роль корпоративного полицейского в «чистом виде». Но следует помнить, что ревизионная деятельность, по своей сути, направлена на ретроспективу, т. е. на уже произошедшие события и их последствия. Внутренний аудит ориентирован на перспективу, т. е. на анализ будущих событий, которые могут неблагоприятным образом сказаться на деятельности отдельных подразделений и/или компании в целом.

Иначе говоря, ревизия оценивает последствия уже материализовавшихся рисков, в то время как внутренний аудит оценивает возможность и предлагает пути снижения рисков и/или негативных эффектов их воздействия. Наличие в компании контрольно-ревизионного подразделения ни в коей мере не означает ненадобности во внутреннем аудите и других формах контроля. Все определяется тем, на каком этапе своего развития находится компания и в каком направлении, с точки зрения внутренней корпоративной культуры, она будет двигаться.

Кроме того, контрольно-ревизионная деятельность и внутренний аудит не охватывают остальных направлений контроля, в частности: технологический контроль, управленческий контроль, контроль угроз безопасности и т.д. Следовательно, подход к организации системы внутреннего контроля предприятия должен носить комплексный характер.

Согласно методологии COSO , существуют три основных цели внутреннего контроля:

· проверка эффективности хозяйственных операций;

· проверка соответствия операций и учета требованиям законов;

· проверка обеспечение достоверности финансовой отчетности.

Соответственно, задача построения эффективной системы внутреннего контроля состоит в том, чтобы структурировать все контрольные процедуры для всех важных бизнес-процессов, дабы выполнить три этих "сверхзадачи". В качестве примера покажем методологию организацию системы внутреннего контроля на основе модели COSO.

Модель COSO состоит из пяти ключевых компонентов:

· контрольной среды;

· оценки рисков;

· контролирующих мероприятий;

· внутренних коммуникаций;

· мониторинга.

1. Эффективная внутренняя контрольная среда - это фундамент системы внутреннего контроля. Она включает: корпоративную культуру, управленческий стиль высшего менеджмента, кадровую политику, корпоративный кодекс, организационную форму и полномочия структур внутреннего контроля, содержание программ по противодействию внутреннему мошенничеству, хищениям, системы бюджетирования, политики в сфере ИТ, закупок, сбыта и т.п. Весь свод внутренних писаных и неписаных правил формирует контрольную среду и в конечном счете предопределяет качество отчетности и эффективность хозяйственных процессов.

2. Рациональный риск-менеджмент . Система контроля должна начинаться с зон повышенного риска, с тех участков деятельности компании, где существует наибольшая угроза финансовых потерь: хищения, порча сырья или готовой продукции, нерациональное расходование средств, значительные убытки из-за налоговых штрафов и так далее. Поэтому важной составляющей систем внутреннего контроля является риск-менеджмент. Его задача - идентифицировать риски и составить "карту рисков", выделить наиболее критичные риски с точки зрения потенциального ущерба (при отсутствии должного контроля), разработать пути их минимизации, и, наконец, проводить ежегодную переоценку рисков. Процесс анализа должен быть осмысленным, например риск хищений в столовой путем подписания фальшивых платежек имеет высокую вероятность наступления, но небольшой ущерб. Если затраты на устранение риска превышают размер потенциального ущерба, не имеет смысла им заниматься.

3. Разработка контрольных процедур "на все случаи жизни". Когда приоритеты системы внутреннего контроля благодаря риск-менеджменту расставлены и выявлены бреши в системе контроля, наступает черед конкретных мер по усилению контроля. Модель COSO предусматривает девять видов контролирующих воздействий, то есть способов реагирования на недостатки. Вот несколько примеров. Неясно, кто за что отвечает - нужно четко разграничить сферы ответственности; трудно определить виновников ущерба - нужно придумать способы авторизации операций, контрактов, изменений в документах. Если слишком много лиц имеют доступ к конфиденциальным данным или ценным активам - следует ограничить доступ; а когда намечаются расхождения между реальными и отчетными запасами на складах - провести инвентаризацию складских остатков.

4. Система внутренней коммуникации. Речь идет о том, чтобы в компании были созданы условия для получения полных и достоверных данных, их хранения и обработки, а главное - для полноценного информационного обмена между подразделениями и различными уровнями руководства.

5. Мониторинг. Сюда относятся способы контроля высших уровней управления за работой низших. Часто мониторинг проводится для того, чтобы найти какие-либо отклонения от стандартных показателей или правил. Поэтому основой мониторинга являются различные корпоративные нормативы, например, по складским остаткам или же срокам закрытия бухгалтерских книг.

Рис.1. Структура системы внутреннего контроля предприятия

Из предложенной методологии логически складывается система внутреннего контроля предприятия, структурная схема представлена на рис.1. Субъекты и объекты внутреннего контроля включают: структурные подразделения предприятия, которые предназначены для организации и проведения контрольных мероприятий, контролируемые подразделения и бизнес-процессы. Политика предприятия в сфере внутреннего контроля формулирует цели и задачи, достижения которых должна обеспечить система внутреннего контроля распределение функций между участниками контроля и методы контроля. Формулировка политики внутреннего контроля - является основополагающим аспектом в организации системы, т.к. именно в ней определяется отношений к ней собственника.

Следует отметить, что политика предприятия в сфере внутреннего контроля отражает и отношение к нему собственников.

СВК на предприятии является важнейшей частью современной системы управления, позволяющей достичь целей, поставленных собственниками с минимальными затратами.

Основная задача СВК состоит в обеспечении наблюдения и (или) проверки функционирования любого объекта внутреннего контроля (предприятия в целом, его подразделений и филиалов, иных объектов внутреннего контроля) на предмет соответствия их деятельности законам, стандартам, планам, нормам, правилам, приказам, принимаемым управленческим решениям. Устанавливая отклонения от требований этих документов и выявляя причины их возникновения, СВК способствует своевременной разработке собственниками и/или исполнительными органами управления предприятием мероприятий по их устранению. На рис. 2. показано место СВК в системе управления предприятием.

Рис.2. Место СВК в системе управления

Наличие эффективно работающей СВК является важнейшим фактором роста конкурентоспособности предприятия. Как показывает международная практика, наличие СВК создает реальные предпосылки успешного развития бизнеса, в связи с:

· появлением возможности на выгодных условиях привлекать инвестиции путем повышения качества финансовой (бухгалтерской) отчетности хозяйствующего субъекта;

· появлением возможности эффективно управлять использованием материальных и трудовых ресурсов хозяйствующего субъекта и проводить эффективную ценовую политику.

· появлением у собственников возможности контролировать деятельность топ-менеджмента на соответствие его действий целям бизнеса хозяйствующего субъекта, а у топ менеджмента - эффективности работы филиалов и структурных подразделений хозяйствующего субъекта.

Рассмотрим сущность этих предпосылок.

Привлечения инвестиций. Невозможно получить на льготных условиях кредиты в международных и транснациональных банках и фондах без наличия СВК. Это требование международных финансовых организаций, таких как Международный банк реконструкции и развития или Международный валютный фонд вытекает из положений Закона Сарбейнса - Оксли» (раздел 404 «Оценка руководства и внутренний контроль»). В нем определено, что годовые отчеты публичных компаний, подписанные ее руководством, должны в обязательном порядке содержать проверенный внешним аудитором отчет о внутреннем контроле, в котором должна содержаться следующая информация:

1) о деятельности руководства компании по созданию и обеспечению функционирования адекватной бизнесу структуры внутреннего контроля, а также процедур формирования финансовой отчетности;

2) об оценке эффективности (по состоянию на конец последнего финансового года компании) структуры внутреннего контроля и процедур, применяемых ею по отношению к финансовой отчетности.

Совершенствование системы управления. СВК путем выявления резервов повышения эффективности использования материальных и трудовых ресурсов стимулирует разработку мероприятий по снижению себестоимости выпускаемой продукции, т.е. повышает финансовую устойчивость хозяйствующего субъекта и его конкурентоспособность..

Усиление контрольных функций позволяет собственникам хозяйствующего субъекта своевременно принимать меры по дальнейшему развитию бизнеса в направлении достижения намеченных программных целей, а самому топ менеджменту своевременно выявлять зоны максимального риска.

Конечная цель организации СВК - выполнение контрольных функций непосредственно на предприятии и обеспечение готовности к ревизиям и проверкам, проводимыми внешними контрольными органами. Для этого необходимо создать гибкую систему контрревизионных мероприятий, внутреннего финансового и хозяйственного контроля, которая предусматривает и регламентирует следующие стратегически важные функций контроля и контрревизионных мероприятий :

• Организация и осуществление постоянного контроля за производственно-хозяйственной и финансово-экономической деятельностью предприятия на всех участках, а также за своевременностью и полнотой реализации продукции, выполненных работ и оказанных услуг.
• Своевременное предоставление руководству и другим должностным лицам предприятия всей необходимой информации для руководства, координации и осуществления производственно-хозяйственной и финансово-экономической деятельности предприятия.
• Организация и обеспечение сохранности материальных и денежных средств на всех этапах деятельности предприятия.
• Организация и проведение в полном объеме требований руководящих документов плановых и внеплановых инвентаризаций имущества и финансовых обязательств предприятия.
• Организация контроля за полным выполнением своих функций структурными подразделениями и службами предприятия.
• Разработка и оптимизация документооборота с учетом особенностей производственно-хозяйственной и финансово-экономической деятельности предприятия.
• Достижение взаимосвязанности на предприятии управленческого, бухгалтерского и налогового учета, а также адаптация форм управленческой, бухгалтерской и налоговой отчетности.
• Организация и своевременное проведение мониторинга всех сторон деятельности предприятия, а также результатов проведенных ревизий и проверок внешними контрольными органами и внутренними контрольными органами предприятия.
• Своевременное представление достоверной информации о состоянии производственно-хозяйственной и финансово-экономической деятельности предприятия внешним пользователям.
• Планомерная подготовка предприятия к проведению ревизий и проверок, эффективное взаимодействие с внешними аудиторами, предупреждение санкций со стороны налоговых и других внешних контрольных органов.
• Разработка предложений по улучшению производственной, финансово-экономической и хозяйственной деятельности предприятия.
• Создание службы внутреннего аудита или других контрольных органов на предприятии.

Выше было сказано, что в структуру СВК входят пять составляющих. Рассмотрим подробнее первые три:

1. Контрольная среда.

2.Механизмы и средства внутреннего контроля.

3.Система оценки рисков.

Рассмотрим основные характеристики каждой из этих частей.

Контрольная среда в соответствии с международными стандартами внутреннего аудита - это общее отношение высших органов управления хозяйствующим субъектом к необходимости осуществления внутреннего контроля и предпринимаемые в связи с этим действия. Правильно сформированная контрольная среда позволяет обеспечить необходимую процедуру и предпосылки для эффективной работы СВК с помощью комплекса внутренних нормативных документов в обязательном порядке предусматривающих разделение несовместимых функций, позволяющих руководителям хозяйствующих субъектов всех уровней принимать комплексные управленческие решения, касающиеся, в первую очередь, использования его активов, в том числе, через систему визирования документов.

Под вышеупомянутыми несовместимыми функциями понимаются те из них, сосредоточение которых у одного лица в любых комбинациях может способствовать совершению им случайных или умышленных ошибок, а также затруднять их обнаружение.

Сюда следует отнести:

1) непосредственный доступ к активам;

2) разрешение на осуществление операций с активами;

3)непосредственное осуществление хозяйственных операций;

4) отражение хозяйственных операций в бухгалтерском учете.

Контрольная среда включает в себя следующие элементы:

1) этические ценности;

2) философию и стиль управления;

3) организационная структура;

4) процесс распределения полномочий и ответственности;

5) политику и практику управления персоналом;

6) компетентность персонала.

Механизмы внутреннего контроля, главным из которых является система бухгалтерского учета, должны обеспечивать достижение следующих целей:

1)финансово-хозяйственные операции выполняются с разрешения уполномоченных на то руководителей;

2) все операции фиксируются в бухгалтерском учете в правильных суммах, на надлежащих счетах бухгалтерского учета, в правильном периоде времени, в соответствии с принятой хозяйствующим субъектом учетной политикой, что обеспечивает возможность подготовки достоверной финансовой (бухгалтерской) отчетности;

3)непосредственный доступ к активам разрешен регламентирующими документами строго определенному кругу сотрудников хозяйствующего субъекта;

4)соответствие зафиксированных в бухгалтерском учете и фактически имеющихся в наличии активов методами инвентаризации определяется руководством с установленной нормативными документами периодичностью и, в случае расхождения, оно предпринимает надлежащие действия.

Правильное применение хозяйствующим субъектом механизмов контроля призвано обеспечить удержание рисков потерь в допустимых пределах, установленных в рамках действующей системы управления рисками.

Система оценки рисков должна выявлять и предупреждать возможность появления финансовых или иных потерь связанных с внутренними и внешними факторами. Оценка рисков в рамках СВК осуществляется с помощью проверок эффективности работы бухгалтерии, наличия контрольной среды, механизмов и системы средств внутреннего контроля, результативности их деятельности. Цель этой системы - выявлять потенциальные объекты внутреннего контроля, отклонения в работе которых от регламентированных параметров могут существенным образом негативно отразиться на финансово-хозяйственной деятельности предприятия в целом.

Функционирование СВК, сформированной в соответствии с вышеприведенной структурой, будет приносить предприятию реальную пользу, если в процессе ее работы будут соблюдаться следующие основные принципы:

1. Принцип ответственности состоит в том, что каждый субъект внутреннего контроля, т.е. внутренний аудитор или внутренний контролер, за ненадлежащее выполнение контрольных функций, предусмотренных должностными обязанностями, должен нести экономическую и \ или дисциплинарную ответственность. В противном случае этот субъект не будет в должной мере выполнять возложенные на него функции.

2. Принцип сбалансированности означает, что субъекту внутреннего контроля нельзя поручать выполнение функций, не обеспеченных соответствующими организационными (приказ, распоряжение) и техническими (программами, счетными и мерными устройствами) средствами для их надлежащего исполнения.

3. Принцип своевременного сообщения о выявленных существенных отклонениях гласит, что информация о них должна быть оперативно доведена до лиц, непосредственно принимающих решения по данным отклонениям.

4. Принцип соответствия контролирующей и контролируемой систем гласит, что степень сложности СВК хозяйствующего субъекта должна в каждый конкретный момент времени соответствовать степени сложности его бизнеса.

5. Принцип постоянства определяет, что СВК действует на постоянной основе. Это позволит своевременно выявлять отклонения от плановых заданий и норм.

6. Принцип комплексности определяет, что весь комплекс объектов внутреннего контроля в хозяйствующем субъекте должен быть им охвачен его различными формами в зависимости от уровня риска.

7. Принцип распределения обязанностей гласит, что функции работников аппарата управления распределяются между ними таким образом, чтобы выполнялись требования к формированию контрольной среды.

С учетом указанных принципов разработчики СВК разрабатывают конкретные требования к участникам процесса внутреннего контроля и аудита. Они могут выглядеть следующим образом:

1. Требование подконтрольности каждого субъекта внутреннего контроля, работающего в хозяйствующем субъекте. Выполнение одним субъектом контрольных функций должно быть в обязательном порядке подконтрольно на предмет качества другому субъекту внутреннего контроля.

2. Требование ущемления интересов.

С помощью нормативных документов создаются условия, при которых любые отрицательные отклонения ставят конкретного работника в экономически невыгодное положение. Это стимулирует его к устранению отрицательных отклонений и вызвавших их причин.

3. Недопущение сосредоточения прав контроля на всех его объектах в руках одного лица.

В СВК могут действовать независимо различные субъекты контроля. Несоблюдение этого требования создает условия для необъективного отражения в отчетных материалах результатов проверок.

4. Требование заинтересованности руководства хозяйствующего субъекта.

Эффективное функционирование СВК невозможно без должной заинтересованности и участия в ее работе представителей собственников и топ менеджмента хозяйствующего субъекта.

5. Требование компетентности, добросовестности и честности внутренних аудиторов и внутренних контролеров хозяйствующего субъекта.

Если сотрудники хозяйствующего субъекта, в служебные функции которых входит осуществление внутреннего контроля, не обладают вышеуказанными характеристиками, то даже идеально организованная СВК не сможет работать эффективно.

6. Требование пригодности методик и программ, применяемых в работе СВК.

Методики и программы должны быть целесообразны и рациональны. В результате их применения в минимальной степени будет снижаться эффективность работы объектов внутреннего контроля, а сам внутренний контроль будет рационален, т.е. и не вызывает излишних затрат труда и средств.

7. Требование единичной ответственности.

Недопустимо закрепление одной и той же контрольной функции за несколькими субъектами контроля, так как это неизбежно приведет к безответственности, затрате излишних сил и средств.

8. Требование функционального потенциального замещения.

Временное выбытие отдельных субъектов контроля (например, в отпуск) не должно прерывать контрольные процедуры или затруднять их выполнение. Для снижения влияния этого фактора необходимо добиться, чтобы каждый субъект контроля умел выполнять в должной степени контрольную работу вышестоящего и одного - двух работников своего уровня.

9. Требование регламентации.

Эффективность функционирования СВК напрямую зависит от наличия, качества и уровня утверждения регламентов (правил, стандартов), которыми она руководствуется, а также от их точного выполнения субъектами контроля.

10. Требование взаимодействия и координации.

СВК должна функционировать на основе четкого взаимодействия всех подразделений и служб хозяйствующего субъекта. Такого взаимодействия можно добиться путем разработки комплекса нормативных документов, регламентирующих контрольную деятельность структурных подразделений и руководителей хозяйствующего субъекта.

Как показывает практика на российских предприятиях в СВК применяются следующие организационные структуры. Это:

1. Служба внутреннего аудита (СВА).

2. Наблюдательный совет.

3. Ревизионная комиссия и контрольно-ревизионная служба (КРС);

4. Службы и отделы предприятия (включая службу безопасности).

Следует подчеркнуть, что вышеуказанные формы могут применяться в хозяйствующих субъектах в различных комбинациях. При выборе из возможных альтернатив следует оценить преимущества и недостатки каждой из них.

СВА обладает следующими преимуществами:

· сотрудники СВА хорошо знакомы с внутренней культурой и особенностями хозяйствующего субъекта, его подразделений и филиалов;

· навыки и опыт внутренних аудиторов остаются внутри хозяйствующего субъекта.

Как недостаток следует отметить сравнительно высокий уровень затрат на формирование СВА, что, в конечном счете приводит к возникновению дополнительных общезаводских затрат, распределяемых между видами производимой продукции (работ, услуг).

СВА, как показала практика, организуется, в основном, хозяйствующими субъектами крупного и среднего бизнеса, при наличии следующих условий:

· стремления собственников и высшего руководства получить достоверную информацию и оценку действий руководителей всех уровней управления;

· усложненной структуры;

· наличия филиалов и дочерних компаний;

· разнообразия видов деятельности.

Результативность работы СВА будет во многом определяться ее подчиненностью, которая, безусловно, определяется собственником предприятия. Однако, как показывает практика, деятельность СВА наиболее эффективна, если она подчиняется функционально Комитету по аудиту Совета директоров или другому органу, представляющему интересы собственника при их наличии, а административно - представителю высшего исполнительного руководства хозяйствующего субъекта, определенному собственником.

Это утверждение справедливо, так как указанный Комитет использует результаты деятельности СВА для того, чтобы:

· увеличивать общественное доверие к надежности и объективности публикуемой финансовой (бухгалтерской) отчетности хозяйствующего субъекта, т.е. повысить его инвестиционную привлекательность;

· усиливать независимую позицию внешних аудиторов путем представления им дополнительного канала получения достоверной информации;

· содействовать взаимодействию СВА и руководителей всех уровней управления хозяйствующего субъекта.

В предприятиях среднего и малого бизнеса наиболее часто используется структурно-функциональная форма СВК. Ее преимущество перед СВА в меньшей затратности. Эта форма внутреннего контроля предусматривает разработку специалистами хозяйствующего субъекта, как правило, совместно с внешними аудиторами или консультантами комплекса нормативных документов, регламентирующих порядок взаимодействия его структурных единиц и руководителей в части проведения внутреннего контроля, оформления его результатов, а также подготовки рекомендаций по устранению выявленных недостатков и осуществление последующего контроля над их устранением.

Недостаток этой формы в том, что, она недостаточно эффективна на стадии формирования планов проверок и последующего контроля над устранением выявленных недостатков.

Весьма перспективным, как показывает практика, является сочетание СВА со структурно-функциональной формой внутреннего контроля. Такой гибрид весьма полезен с точки зрения экономии затрат при обеспечении достаточно высокой степени эффективности СВК, поскольку небольшая СВА играет роль разработчика, организатора и методолога контрольной работы, проводимой, в основном, силами внутренних контролеров.

В этом случае СВА выполняет следующие организационные функции:

1. Выбор объектов проверки и их предварительное изучение.

2. Разработка общих планов и программ проведения проверки.

3. Формирование команды проверяющих из внутренних аудиторов и внутренних контролеров.

4. Согласование направления и цели проверки с ее заказчиком.

5. Подготовка заключительных материалов по результатам проверки.

6. Составление плана последующего контроля над устранением выявленных недостатков и проверка хода его выполнения, информирования об этом заказчика.

50. Система внутреннего контроля и его элементы.

Внутренний контроль имеет широкое определение как процесс, осуществляемый органом управления организации или другими сотрудниками, с целью получить информацию относительно выполнения следующих задач:

Эффективность и рациональность деятельности.

Достоверность финансовой отчетности.

Соблюдение законов и нормативных актов.При этом аудитор должен принять во внимание два аспекта: какие именно методы и процедуры предусмотрены на предприятии и применяются ли они на практике.

Система внутреннего контроля включает следующие элементы:

1. контрольная среда;

2. процесс оценки рисков аудируемым лицом;

3. информационная система, в том числе связанная с подготовкой финансовой (бухгалтерской) отчетности;

4. контрольные действия;

5. мониторинг средств контроля.

1.Контрольная среда включает следующие элементы:

а) доведение до всеобщего сведения и поддержание принципа честности и других этических ценностей.

б) профессионализм (компетентность сотрудников).

Профессионализм - это профессиональные знания и навыки, необходимые для выполнения задач, которые определяют суть деятельности конкретного работника.

в) участие собственника или его представителей.

Представители собственника в значительной степени оказывают влияние на сознательность сотрудников аудируемого лица в отношении контроля. Характерными особенностями, которые должны быть присущи представителям собственника, являются: независимость от руководства; их опыт и статус; масштабы их вовлечения в деятельность и надзор за ней; уместность (надлежащий характер) их действий; особенности информации, которую они получают.

г) компетентность и стиль работы руководства.

д) организационная структура.

Аудируемое лицо разрабатывает организационную структуру, соответствующую его потребностям. Надлежащий характер организационной структуры аудируемого лица зависит в том числе от характера и масштабов его деятельности;

е) наделение ответственностью и полномочиями.

Этот элемент предполагает разделение ответственности и полномочий в ходе осуществления деятельности и установление иерархии подотчетности сотрудников, а также охватывает политику в отношении надлежащей деловой практики, знаний и опыта ключевого персонала и предоставляемые для выполнения обязанностей возможности.

ж) кадровая политика и практика.

Кадровая политика и практика в отношении сотрудников подразумевают: набор; адаптацию (инструктаж при приеме на работу); подготовку; обучение; оценку; консультирование; продвижение по службе; вознаграждение сотрудников.

2. Оценка рисков аудируемым лицом представляет собой процесс выявления и, по возможности, устранения рисков хозяйственной деятельности, а также их возможных последствий. Для целей финансовой (бухгалтерской) отчетности важен вопрос, каким образом в процессе оценки рисков аудируемым лицом руководство выявляет риски, имеющие отношение к финансовой (бухгалтерской) отчетности, определяет их значение, оценивает вероятность их возникновения и принимает решение относительно того, как управлять ими.

3. Функционирование информационных систем, связанных с подготовкой финансовой (бухгалтерской) отчетности, обеспечивается: а) техническими средствами; б) программным обеспечением; в) персоналом; г) соответствующими процедурами; д) базами данных.

Большинство информационных систем активно использует компьютерные средства и информационные технологии.

Составной частью информационных систем является система информирования персонала, которая обеспечивает понимание сотрудниками обязанностей и ответственности, связанных с организацией и применением системы внутреннего контроля в отношении финансовой (бухгалтерской) отчетности.

Система информирования обеспечивает понимание персоналом роли своего участия в процессе подготовки финансовой (бухгалтерской) отчетности, того, каким образом его действия в информационной системе связаны с работой других сотрудников, а также понимание способов доведения до руководителей соответствующего уровня информации о каких-либо исключительных ситуациях.

4. Контрольные действия включают политику и процедуры, которые помогают удостовериться, что распоряжения руководства выполняются, например, что необходимые меры предприняты в отношении рисков, которые могут препятствовать достижению целей аудируемого лица. Контрольные действия, осуществляемые вручную или с применением информационных систем, имеют различные цели и применяются на различных организационных и функциональных уровнях.

Обычно контрольные действия, которые могут иметь отношение к целям аудита, могут быть сгруппированы по следующим категориям методов и процедур:

а) проверка выполнения.

б) обработка информации.

в) проверка наличия и состояния объектов.

г) разделение обязанностей.

Наделение разных сотрудников полномочиями санкционирования операций (выдачи разрешения на совершение операции), регистрации операций в учете и хранения активов имеет целью уменьшить возможность совершения и утаивания ошибки или недобросовестных действий в процессе обычного выполнения персоналом своих обязанностей.

5. Мониторинг средств контроля

Важной обязанностью руководства является создание и поддержание системы внутреннего контроля в режиме непрерывной работы. Мониторинг средств контроля включает наблюдение за тем, функционируют ли они и были ли они изменены надлежащим образом в случае необходимости, и может включать такие мероприятия, как наблюдение руководства за тем, своевременно ли подготавливаются выверки расчетов с банками, оценка внутренними аудиторами соответствия действий персонала, занимающегося продажами, политике аудируемого лица в отношении определенных условий договоров с покупателями, осуществление надзора за соответствием действий персонала политике аудируемого лица в области этики или деловой практики.

Разделение системы внутреннего контроля на 5 элементов предоставляет аудиторам удобный подход для анализа того, каким образом различные элементы системы внутреннего контроля аудируемого лица могут влиять на аудит. Такой подход необязательно отражает то, каким образом аудируемое лицо организовало и применяет систему внутреннего контроля. Аудитору важно установить, что конкретные средства контроля эффективно предотвращают или выявляют и устраняют существенные искажения на уровне предпосылок подготовки финансовой (бухгалтерской) отчетности в группах однотипных операций, остатках по счетам бухгалтерского учета или случаях раскрытия информации.

Л.В. Чхутиашвили, канд. экон. наук, аудитор, член ИПБ Московского региона

Внутренний контроль – важнейшая часть системы управления, позволяющая предупреждать, выявлять недостатки и нарушения, а также своевременно устранять их последствия. Он способствует достижению целей деятельности организации, но не гарантирует их достижение.

Варианты организации внутреннего контроля

Порядок организации внутреннего контроля, в том числе обязанности и полномочия подразделений и персонала, определяются руководителем. При этом в расчет принимаются характер и масштаб деятельности компании, особенности его системы управления. Польза внутреннего контроля должна быть сопоставима с затратами на его организацию и осуществление.

Конечно, организация может обойтись без создания отдельного подразделения внутреннего контроля. Только высшее руководство способно оценить его необходимость. Однако практика дает однозначную оценку значению системы внутреннего контроля – это наиболее эффективный инструмент управления организацией.

Внутренний контроль может осуществлять собственная служба внутреннего контроля (внутреннего аудита), представленная специальными отделами, службами, комиссиями или так называемыми ревизорами – высококвалифицированными сотрудниками. Создание собственной службы целесообразно, если риски высоки, необходим контроль на постоянной основе.

Для его осуществления требуются специальные знания, навыки и опыт, существуют требования законодательства или регулятора финансового рынка о создании такой службы. Структура, состав, штатная численность не являются строго заданными. Вариант организации службы внутреннего контроля во многом зависит от правовой формы, организационной структуры, вида деятельности, а также необходимости контроля за теми или иными процессами.

Например, служба внутреннего контроля чаще всего создается организациями, чьи ценные бумаги допущены к организованным торгам. В этом случае полномочия и функции по организации и осуществлению внутреннего контроля должны быть распределены между руководителями различного уровня (советом директоров, комитетом по аудиту, генеральным и финансовым директорами, руководителями подразделений и персоналом отдела внутреннего контроля).

Для малого бизнеса часть контрольных функций возлагается на менеджеров. Если численность персонала не позволяет осуществить разграничение полномочий и ротацию обязанностей, руководитель может принять на себя все функции по организации и осуществлению внутреннего контроля и использовать сверку, надзор.

Для эффективной организации внутреннего контроля руководству хозяйствующего субъекта следует руководствоваться такими принципами, как:

• рациональная организация рабочих процессов;
• разделение функциональных обязанностей между работниками;
• информационное обеспечение работников;
• обязательный, систематизированный контроль за выполнением операций.

Оценка внутренних потребностей

Внутренний контроль в каждом конкретном случае организуется исходя из целей и задач управления организацией, поэтому пакет отчетности по работе внутреннего контролера устанавливается индивидуально. В него могут быть включены следующие разделы:

1) соответствие учета и отчетности действующему бухгалтерскому законодательству, в том числе:

• отражение в учете всех фактов хозяйственной деятельности в различных характеристиках;
• уровень систематизации хозяйственных операций и фактов хозяйственной деятельности в первичных документах;
• соответствие оценочных показателей стоимости активов, обязательств и хозяйственных операций в денежном выражении требованиям законодательства по оценке учредителей, рыночной стоимости и т.д.;
• отражение фактов хозяйственной деятельности в периоды их совершения;
• своевременное, правильное и оперативное формирование внешней и внутренней отчетности;

2) состояние первичной документации, ее сохранность и достоверность для отражения в учете;

3) соответствие квалификации работников бухгалтерии или соответствие их должностных обязанностей фактически выполняемой работе, а также распределение обязанностей между работниками бухгалтерии.

Внутренний контроль с точки зрения руководителя может осуществляться по таким основным критериям, как:

• соотношение выгод и потерь для предприятия в целом;
• соответствие предусмотренных законом действий устоявшимся принципам и традициям;
• соблюдение конфиденциальности и уважения к работникам бухгалтерии, работа которых будет подвергаться дополнительной проверке на предмет соблюдения бухгалтерского законодательства.

Результатом осуществления внутреннего контроля является отчетная информация, готовящаяся по результатам проверки внутренним контролером для руководителей организации, где должны быть зафиксированы выявленные факты нарушений или зоны риска, к которым, в частности, могут быть отнесены:

• выявленные факты нарушений законодательства Российской Федерации;
• факты неправильного ведения бухгалтерского учета и составления отчетности в контексте внутренних регламентов;
• выявленные факты недостач и хищений денежных средств и материальных ценностей;
• размеры причиненного материального ущерба и другие последствия допущенных нарушений (с указанием фамилий и должностей лиц, по вине которых они были допущены).

В результате анализа причин отклонений, отступлений от требований законодательства внутренним контролером должны формироваться предложения по устранению выявленных нарушений и корректировке. На основании материалов обобщения результатов проверок должны быть разработаны мероприятия по предотвращению нарушений в будущем, могут быть подготовлены рекомендации по новым методам и способам бухгалтерского (управленческого и финансового) учета.

Напомним, что недостачи и хищения денежных средств и материальных ценностей выявляются также в ходе обязательных годовых инвентаризаций имущества организации независимо от его местонахождения и все виды финансовых обязательств и регулярных (в том числе внезапных) проверок отдельных видов ценностей организации – денежных средств, МПЗ и т.п.

Для проведения инвентаризаций в организации создаются инвентаризационные комиссии. Это могут быть постоянно действующая инвентаризационная комиссия, рабочая комиссия, разовая комиссия.

Постоянно действующая инвентаризационная комиссия создается в составе руководителя организации или его заместителя, главного бухгалтера, начальников структурных подразделений, представителей общественности.

Для непосредственного проведения инвентаризации имущества рабочие комиссии создаются в составе представителя руководителя предприятия, назначившего инвентаризацию, и специалистов (экономиста, работника бухгалтерии, товароведов и т.п.).

В организационно-контрольные функции постоянно действующей комиссии входит проведение плановых, а также выборочных инвентаризаций и контрольных проверок всех видов имущества в межинвентаризационный период. В течение года в организациях с большой номенклатурой учитываемых ценностей могут проводиться выборочные инвентаризации материальных ценностей в местах их хранения и переработки.

Кроме того, постоянно действующие инвентаризационные комиссии решают вопросы об отнесении возможных убытков, выявленных в процессе проведения инвентаризаций, на виновных лиц, а также решают множество других вопросов.

Рабочие комиссии, которые непосредственно проводят плановые инвентаризации материальных ценностей и денежных средств в местах их хранения, участвуют в определении результатов инвентаризации. Они обычно создаются при большом объеме работ или территориальной разобщенности имущества организации для одновременного проведения инвентаризации. Как правило, рабочие комиссии утверждаются на весь отчетный год с возложением на них обязанностей по проведению разовых инвентаризаций.

Состав разовых комиссий в каждом конкретном случае утверждается руководителем организации при проведении инвентаризации по мере необходимости – по проверке и выборочной инвентаризации. Персональный состав постоянно действующих и рабочих инвентаризационных комиссий утверждается руководителем организации в приказе об инвентаризации.

В состав инвентаризационной комиссии включаются представители службы внутреннего контроля (внутреннего аудита) организации, независимых аудиторских организаций.

Сфера деятельности и задачи внутреннего контроля

Сферой деятельности внутреннего контролера (аудитора) является:

• подотчетность одних работников другим;
• внутренние проверки финансово-хозяйственной деятельности;
• участие в инвентаризации денежных средств, ценных бумаг, товарно-материальных ценностей;
• проведение сверок расчетов с контрагентами организации;
• осуществление контроля за информационными системами бухгалтерского и управленческого учета;
• ограничение доступа к активам, бухгалтерским первичным документам, файлам данных;
• сравнение и анализ полученных финансовых результатов с плановыми показателями и т.д.

Основная задача внутреннего контролера (аудитора) – участие в независимой проверке бухгалтерской (финансовой) отчетности организации в целях выражения мнения о достоверности такой отчетности, а также осуществление внутреннего контроля составления бухгалтерской (финансовой) отчетности, которая формируется по данным бухгалтерского учета. Внутренний контролер (аудитор) своими своевременными действиями может сократить время присутствия в организации налоговых инспекторов и внешних аудиторов.

Элементы внутреннего контроля

В Информации Минфина России № ПЗ-11/2013 «Организация и осуществление экономическим субъектом внутреннего контроля совершаемых фактов хозяйственной жизни, ведения бухгалтерского учета и составления бухгалтерской (финансовой) отчетности» приводятся общие подходы к организации внутреннего контроля, а также описаны элементы внутреннего контроля и необходимые процедуры внутреннего контроля. Основными элементами внут­реннего контроля Минфин России называет: контрольную среду, оценку рис­ков, процедуры внутреннего контроля, информацию и коммуникации, оценку внутреннего контроля .

Контрольная среда

Контрольная среда – это комплекс принципов и стандартов работы компании, который говорит о важности внутреннего контроля и определяет требования к нему. Это система этических ценностей, стиля управления, процесса принятия решений, делегирования полномочий и принятия ответственности, политика в отношении персонала, компетентность сотрудников и отношение управленческого аппарата организации к внутреннему контролю.

Контрольная среда должна создавать надлежащее отношение персонала к тому, что в компании осуществляется внутренний контроль. Обычно правила и принципы фиксируются во внутренних нормативных документах, предусматривающих разделение функций и ответственности работников с целью недопущения злоупотребления использованием тех или иных активов, исключения возможных случайных или умышленных искажений фактов хозяйственной жизни в бухгалтерском учете и финансовой отчетности.

Оценка рисков

Процесс оценки рисков направлен на анализ, выявление и устранение рисков, а также минимизацию их возможных последствий. При оценке рисков вне зависимости от того, будет ли проводиться аудит бухгалтерской (финансовой) отчетности, руководство должно оценивать вероятность искажения отчетных данных. При этом исходят из следующих допущений:

• возникновение и существование – активы, обязательства и капитал фактически существуют на отчетную дату. Факты хозяйственной жизни, отраженные в бухгалтерском учете, имели место в течение отчетного периода и относятся к деятельности экономического субъекта;
• полнота – факты хозяйственной жизни, имевшие место в отчетном периоде, фактически отражены в бухгалтерском учете в нужном периоде;
• права и обязательства – компания имеет права на отраженные в бухгалтерском учете активы и несет ответственность по существующим обязательствам;
• оценка и распределение – активы, обязательства, доходы и расходы правильно оценены и отражены в стоимостном и количественном измерении на соответствующих счетах и в соответствующих регистрах бухгалтерского учета;
• представление и раскрытие – данные бухгалтерского учета корректно представлены и раскрыты в бухгалтерской (финансовой) отчетности.

Минфин России обращает внимание на то, что этим принципам должна соответствовать также и информационная система субъекта, которая обеспечивает ведение бухгалтерского учета и составление бухгалтерской (финансовой) отчетности.

Персонал организации должен быть осведомлен о рисках, относящихся к сфере его ответственности, об отведенной ему роли и задачах по осуществлению внутреннего контроля и информированию руководства о различных фактах.

Все эти допущения хорошо известны внешним аудиторам, и в своих рабочих документах они их детально отражают и производят тестирование бухгалтерских операций именно с учетом этих допущений.

С целью минимизации всех известных рисков организация должна разрабатывать адекватные контрольные процедуры. Состав и содержание контрольных процедур зависят от элементов системы бухгалтерского учета, например средств и способов обработки информации, объема хозяйственных операций, уровня автоматизации и т.п. Поэтому все документы, отчеты службы (работника) внутреннего контроля будут носить сугубо конфиденциальный характер.

Процедуры внутреннего контроля

Процедуры внутреннего контроля – это действия, направленные на минимизацию рисков. Такими действиями могут быть:

• документальное оформление операций и фактов хозяйственной жизни. Например, записи в регистрах бухгалтерского учета должны осуществляться на основе первичных учетных документов, в том числе бухгалтерских справок. Существенные оценочные значения, включенные в бухгалтерскую (финансовую) отчетность, должны основываться на расчетах;
• подтверждение соответствия объектов (документов) установленным требованиям. Например, при принятии первичных учетных документов к бухгалтерскому учету должна производиться проверка их оформления на соответствие требованиям, установленным в компании, Федеральном законе от 06.12.2011 № 402-ФЗ «О бухгалтерском учете» и Налоговом кодексе РФ. К этим контрольным процедурам относится и контроль связанных операций, например соотнесение выданных авансов на закупку материальных ценностей с получением и оприходованием этих ценностей. Аналогично осуществляется контроль выданных подотчетных сумм на предмет своевременности составления авансовых отчетов;
• санкционирование (авторизация) хозяйственных операций. Как правило, разрешение на совершение операций их инициатором дается персоналом более высокого уровня. Например, авансовый отчет сотрудника должен быть утвержден руководителем (уполномоченным на это лицом).
• сверка данных. Например, для подтверждения сумм дебиторской и кредиторской задолженности должна проводиться сверка расчетов с поставщиками и покупателями. Остатки по счетам учета наличных денежных средств должны сверяться с остатками денежных средств по данным кассовой книги. Остатки по счетам учета материальных запасов должны сверяться с данными склада и др.;
• разграничение полномочий и ротация обязанностей. С целью уменьшения рисков возникновения ошибок и злоупотреблений подготовка первичных учетных документов, санкционирование (авторизация) хозяйственных операций и отражение их результатов в бухгалтерском учете, как правило, должны возлагаться на разных лиц;
• физический контроль. Сюда относятся вопросы надежности охраны ценностей, ограничение доступа, инвентаризация объектов учета и др.;
• надзор. Предполагает оценку достижения поставленных целей или показателей. Например, оценку правильности выполнения хозяйственных и учетных операций, точности составления бюджетов (смет), соблюдения установленных сроков составления бухгалтерской (финансовой) отчетности;
• процедуры, связанные с компьютерной обработкой информации и информационными системами. Выделяют процедуры общего компьютерного контроля и контроля уровня приложений. Общий компьютерный контроль включает правила и процедуры, регламентирующие доступ к информационным системам, данным и справочникам, правила внедрения и поддержки информационных систем, процедуры восстановления данных и др. Они должны обеспечивать бесперебойное и надежное использование программного обеспечения. Процедуры контроля уровня приложений включают, в частности, логическую и арифметическую проверку данных в ходе обработки информации о фактах хозяйственной жизни (проверку правильности заполнения полей документов, контроль введенных сумм, автоматическую сверку данных, отчеты об операциях и ошибках и др.).

Из перечисленных процедур для целей противодействия злоупотреблениям и мошенничеству наиболее эффективными являются санкционирование (авторизация) хозяйственных операций, разграничение полномочий и ротация обязанностей, физический контроль.

Процедуры контроля могут быть предварительные и последующие. Предварительные направлены на предупреждение появления ошибок и нарушений (физический контроль, санкционирование (авторизация) хозяйственных операций и др.). Последующие процедуры направлены на выявление уже свершившихся ошибок и нарушений установленного порядка (сверка, надзор и др.).

Процедуры можно разделить по степени автоматизации их выполнения на автоматические, полуавтоматические и ручные.

Автоматические процедуры выполняются информационной системой без участия персонала. Например, автоматически в программном обеспечении осуществляется контроль доступа.

Полуавтоматические процедуры выполняются информационной системой, но должны быть инициированы или завершены вручную. Пример: отчеты о выполненных в программе исправлениях данных бухгалтерского учета должны быть проверены исполнителем.

Ручные процедуры внутреннего контроля выполняются персоналом экономического субъекта вне информационных систем. Например, инвентаризация производится вне программного обеспечения, но затем ее результаты сравниваются с данными учета, и корректировки производятся вручную.

Оценка внутреннего контроля

Не реже одного раза в год принятая система внутреннего контроля должна оцениваться. Объем, характер способов и методов оценки определяются руководителем соответствующего уровня.

Минфин России рекомендует составлять матрицу рисков и проверять достаточность процедур внутреннего контроля, направленных на минимизацию их последствий, формировать методом случайного отбора выборку операций для тестирования эффективности контроля. При определении выборки следует учитывать особенности функционирования системы внутреннего контроля.

В ходе повседневной жизни организация должна проводить непрерывный мониторинг работы системы внутреннего контроля. Это делается путем регулярного анализа результатов деятельности, поверки результатов выполнения отдельных хозяйственных операций, регулярной оценки и уточнения применимой организационно-распорядительной документации и т.д.

Комбинация непрерывного мониторинга и периодической оценки внутреннего контроля позволяет удостовериться в том, что внутренний контроль обеспечивает достаточную уверенность в достижении заявленных компанией целей. При необходимости в систему внутреннего контроля вносятся изменения, но не реже одного раза в год по итогам оценки ее работы.

Документальное оформление

Порядок организации и осуществления внутреннего контроля в компании должен быть оформлен документально. Для разных элементов контроля должны быть оформлены разные документы.

Например, контрольная среда может быть оформлена:

• положением о стратегии, целях и ценностях компании, определяющим поведение ее на рынке и методы управления;
• кодексом деловой этики, описывающим правила поведения руководства и сотрудников при наступлении различных событий, процедуры рассмотрения жалоб;
• организационной структурой организации, определяющей место и роль ее подразделений, уровни принятия решений, штатным расписанием;
• положениями об отдельных подразделениях организации, определяющими функции подразделений, полномочия и ответственность их руководителей;
• внутренними распорядительными документами, определяющими правила принятия решений и осуществления отдельных хозяйственных операций, в том числе учетной политикой;
• кадровой политикой, устанавливающей подходы к найму, обучению и развитию персонала, критерии оценки результатов деятельности, систему оплаты труда.

Применительно к ведению бухгалтерского учета и составлению бухгалтерской (финансовой) отчетности контрольную среду могут описывать такие документы, как положение о бухгалтерской службе, учетная политика организации, требования к квалификации бухгалтерского персонала и другие документы, устанавливающие общие требования к среде, в которой организуется и ведется бухгалтерский учет, порядку взаимодействия подразделений и персонала экономического субъекта и принятия решений по вопросам бухгалтерского учета.

Документирование рисков начинается с описания бизнес-процессов и процедур работы. Описание может производиться в текстовой и графической форме, по направлениям деятельности, юридической или организационной структуры.

Непосредственно описание риска должно включать в себя указание на потенциальное неблагоприятное внутреннее и (или) внешнее событие (факт, обстоятельство), порождающее риск; причину и вероятность его возникновения; возможные негативные последствия (ущерб), их количественную и (или) качественную оценку.

По результатам оценки рисков определяются наиболее существенные. Для минимизации их последствий разрабатывается конкретный перечень процедур внутреннего контроля. Процедура должна описывать риск; область или процесс, подверженный риску; наименование и краткое описание процедур внутреннего контроля, посредством осуществления которых минимизируются последствия риска.

Может быть приведена ссылка на регламент осуществления процедуры. Устанавливают исполнителя (сотрудник или информационная система); частоту (периодичность) осуществления процедуры внутреннего контроля; входящие документы, на основании которых осуществляется процедура внутреннего контроля, а также исходящие документы, которые свидетельствовали бы об осуществлении процедуры. По возможности указывается ожидаемый результат контроля.

Риски и соответствующие им процедуры внутреннего контроля могут быть описаны матрицей рисков и процедур внутреннего контроля. Такая форма описания позволяет оценить полноту покрытия внутренним контролем выявленных рисков.

Документами, устанавливающими правила коммуникации, могут являться политика в области внешних и внутренних коммуникаций, графики предоставления данных и составления отчетности, должностные инструкции.

Вся документация по правилам и осуществлению внутреннего контроля подлежит регулярному обновлению не реже одного раза в год после оценки необходимости ее обновления. В основу решения об обновлении документов могут быть положены результаты периодической оценки и непрерывного мониторинга внутреннего контроля, организационные изменения, изменения процессов и процедур работы экономического субъекта.

Права и обязанности внутреннего контролера можно разработать по аналогии с аудиторской деятельностью в соответствии со статьей 13 Федерального закона № 307-ФЗ «Об аудиторской деятельности», несколько изменив приоритеты проверки. Внутренние контролеры вправе:

1) самостоятельно определять формы и методы проведения внутреннего контроля (аудита) с использованием положений федеральных стандартов аудиторской деятельности;

2) исследовать в полном объеме документацию, связанную с финансово-хозяйственной деятельностью проверяемого лица, а также проверять фактическое наличие любого имущества, отраженного в этой документации;

3) получать у должностных лиц проверяемого лица разъяснения и подтверждения в устной и письменной форме по возникшим в ходе аудита вопросам;

4) отказаться от проведения контрольных процедур или от выражения своего мнения о достоверности бухгалтерской (финансовой) отчетности в выдаваемом заключении в случаях:

• непредставления проверяемым лицом всей необходимой документации;
• выявления в ходе проверки обстоятельств, оказывающих либо способных оказать существенное влияние на мнение аудиторской организации, индивидуального аудитора о достоверности бухгалтерской (финансовой) отчетности проверяемого лица;

5) осуществлять иные права, вытекающие из трудового договора.

Формы и методы проведения контроля внутренним контролером строятся на основании собственных стандартов организации и регламентов службы внутреннего контроля конкретной организации.

Поскольку внутреннему контролю подвергается только бухгалтерский учет, соответственно первичные документы и бухгалтерские регистры должны сшиваться, нумероваться и храниться в организации в соответствии с порядком архивирования в самой бухгалтерии, а внутреннему контролеру останется хранить только свои собственные отчеты и комментарии к ним. В обязанности внутреннего контролера может входить и умение работать с электронной документацией, передавать ее, хранить, разархивировать и т.д.

Для выполнения поставленных перед внутренним контролером задач он должен будет уметь проверить:

1) полноту, законность и экономическую целесообразность отраженных в бухгалтерском учете операций. Другими словами, контролер будет проверять объекты учета на предмет правильности классификации и оценки;

2) соответствие отраженных финансово-хозяйственных операций в бухгалтерском учете принятым в организации внутренним регламентам: учетной политике по бухгалтерскому учету, стандарту формирования себестоимости, кадровой политике и пр.;

3) наличие лишних данных в бухгалтерской (финансовой) отчетности;

4) объективность бухгалтерской (финансовой) отчетности, что будет соответствовать верному представлению о предприятии в целом;

5) компьютерные программы, обслуживающие функционирование учетной системы и включающие формирование первичных документов. Контролер должен уметь проводить их анализ, разноску по счетам, чтобы программы не могли быть сфальсифицированы.

Для таких целей можно использовать и специальные программные разработки для аудита информационных систем, которые автоматически проверяют положения учетной политики, заложенные в бухгалтерскую программу для автоматического исполнения; бухгалтерские итоги и бухгалтерские записи на отсутствие сальдо по количеству или по сумме у соответствующих счетов; ошибки переоценки валютных средств на конец отчетного периода; сомнительные бухгалтерские записи или бухгалтерские записи, которые недопустимы; постоянных и временных разниц; данных по расчетам с поставщиками.

Таким образом, главные бухгалтеры и внутренние контролеры (аудиторы) могут использовать для подготовки правил внутреннего контроля международные и национальные стандарты аудиторской деятельности и рекомендации финансового ведомства.

Внутренний контролер (аудитор) должен документально оформить все сведения, которые важны с точки зрения предоставления доказательств о каждом из элементов системы внутреннего контроля. Форма, содержание и объем рабочих документов являются предметом профессионального суждения внутреннего контролера (аудитора).

Кроме того, внутренний контролер (аудитор) должен своевременно доводить до своего руководителя и представителей собственника полученную информацию о недостатках в организации и применении системы внутреннего контроля. Здесь возможно либо провести совещание с работниками организации, либо направить руководству письмо с изложением своих замечаний и предложениями по их устранению. При этом сведения о выявленных недостатках системы внутреннего контроля в любом случае будут включены в письменную информацию, полученную по результатам проведения внутреннего контроля и доведенную до руководства, а также представителей собственника.

Примерно те же положения содержатся и в международных стандартах аудита, в частности, в Федеральном правиле (стандарте) № 8 «Понимание деятельности аудируемого лица, среды, в которой она осуществляется, и оценка рисков существенного искажения аудируемой финансовой (бухгалтерской) отчетности» и в МСА 400 «Оценка рисков и внутренний контроль».