Введение
Как известно, в соответствии со статьей 19 Федерального закона «О бухгалтерском учете» № 402-ФЗ от 06.11.2011г. (далее — Закон 402-ФЗ) экономический субъект обязан организовать и осуществлять внутренний контроль совершаемых фактов хозяйственной жизни.
Экономический субъект, бухгалтерская (финансовая) отчетность которого подлежит обязательному аудиту, обязан организовать и осуществлять внутренний контроль ведения бухгалтерского учета и составления бухгалтерской (финансовой) отчетности (за исключением случаев, когда его руководитель принял обязанность ведения бухгалтерского учета на себя).
Данная норма вступила в силу с 1 января 2013 года и касается всех без исключения экономических субъектов, на которых распространяется действие Закона 402-ФЗ. Таким образом, российские компании почти уже год должны разработать, имея систему внутреннего контроля.
Само понятие и сущность внутреннего контроля Законом 402-ФЗ не раскрыта — предполагается, что это входит в сферу ответственности самого экономического субъекта.
Однако полагая, что для множества российских компаний вопрос формирования системы внутреннего контроля может стать серьезной проблемой, Минфин России в «Плане Министерства финансов Российской Федерации на 2012–2015 годы по развитию бухгалтерского учета и отчетности в Российской Федерации на основе Международных стандартов финансовой отчетности» (утв. Приказом Минфина России от 30.11.2011 N 440) предусмотрел к 2014 году разработку Информации для хозяйствующих субъектов по организации и осуществлению ими внутреннего контроля бухгалтерского учета и составления бухгалтерской (финансовой) отчетности
Письмом Минфина России от 25.12.2013 N 07–04–15/57289 государство направило всем заинтересованным лицам документ ПЗ-11/2013 «Организация и осуществление экономическим субъектом внутреннего контроля совершаемых фактов хозяйственной жизни, ведения бухгалтерского учета и составления бухгалтерской (финансовой) отчетности» (далее — Информация).
Как указано в данном Письме, Информация направляется для применения при организации и осуществлении экономическими субъектами (за исключением организаций сектора государственного управления) внутреннего контроля, предусмотренного статьей 19 Федерального закона «О бухгалтерском учете», а также аудиторскими организациями.
Информация посвящена внутреннему контролю совершаемых экономическим субъектом фактов хозяйственной жизни, но, по нашему мнению, вполне применим и к иным видам внутреннего контроля.
Рассмотрим основные положения данного документа. Что же такое внутренний контроль?
Рис. 1. Определение внутреннего контроля
Внутренний контроль сам по себе не является панацеей от неэффективного хозяйствования, «плохой» отчетности и ошибок в правоприменении бухгалтерского и налогового законодательств. Он лишь способствует достижению экономическим субъектом целей своей деятельности, но не гарантирует их достижение.
Дело в том, что на практике эффективность внутреннего контроля может быть вполне себе успешно ограничена:
Рис. 2. Ограничения внутреннего контроля
Разумный и действенный внутренний контроль компании основывается на следующих базовых блоках:
Рис. 3. Базовые блоки внутреннего контроля
Элементы внутреннего контроля
Рассмотрим, какие существуют элементы внутреннего контроля:
Рис. 4. Элементы внутреннего контроля
Контрольная среда
Контрольная среда представляет собой совокупность принципов и стандартов деятельности экономического субъекта, которые определяют общее понимание внутреннего контроля и требования к внутреннему контролю на уровне экономического субъекта в целом.
Оценка рисков
Оценка рисков представляет собой процесс выявления и анализа рисков, то есть сочетания вероятности и последствий недостижения экономическим субъектом целей деятельности. При выявлении рисков экономический субъект должен принять соответствующие решения по управлению ими, в том числе путем:
- создания необходимой контрольной среды,
- организации процедур внутреннего контроля,
- информирования персонала и оценки результатов осуществления внутреннего контроля.
Применительно к ведению бухгалтерского учета, в том числе составлению бухгалтерской (финансовой) отчетности, оценка рисков призвана выявлять риски, которые могут повлиять на достоверность бухгалтерской (финансовой) отчетности. В ходе такой оценки экономический субъект рассматривает вероятность искажения отчетных данных исходя из следующих допущений:
Рис. 5 Допущения при оценке рисков
Одним из важных направлений оценки рисков является оценка риска возникновения злоупотреблений и мошенничества.
Злоупотребления и мошенничество могут быть связаны с следующими действиями:
- приобретением и использованием активов,
- ведением бухгалтерского учета, в том числе составлением бухгалтерской (финансовой) отчетности,
- совершением действий, являющихся коррупциогенными.
Оценка данного риска предполагает выявление участков (областей, процессов), на которых могут возникать злоупотребления и мошенничество, а также возможностей для их совершения, в том числе связанных с недостатками контрольной среды и процедур внутреннего контроля экономического субъекта.
Процедуры внутреннего контроля
Процедуры внутреннего контроля представляют собой действия, направленные на минимизацию рисков, влияющих на достижение целей экономического субъекта.
Экономический субъект может применять следующие процедуры внутреннего контроля:
Рис. 6. Процедуры внутреннего контроля
Процедуры внутреннего контроля можно классифицировать следующим образом:
Рис. 7. Классификация процедур внутреннего контроля
Для целей противодействия злоупотреблениям и мошенничеству наиболее эффективными процедурами внутреннего контроля являются санкционирование (авторизация) хозяйственных операций, разграничение полномочий и ротация обязанностей, физический контроль.
Информация и коммуникация
Качественная и своевременная информация обеспечивает функционирование внутреннего контроля и возможность достижения им поставленных целей.
При этом основным источником информации для принятия решений являются информационные системы экономического субъекта.
Качество хранимой и обрабатываемой в них информации может существенно влиять на управленческие решения экономического субъекта, эффективность внутреннего контроля
Коммуникация представляет собой распространение информации, необходимой для принятия управленческих решений и осуществления внутреннего контроля.
Например, персонал экономического субъекта должен быть осведомлен о рисках, относящихся к сфере его ответственности, об отведенной ему роли и задачах по осуществлению внутреннего контроля и информированию руководства о различных фактах.
Оценка внутреннего контроля
Оценка внутреннего контроля осуществляется в отношении всех остальных иных элементов внутреннего контроля с целью определения их эффективности и результативности, а также необходимости изменения их.
Оценка внутреннего контроля экономического субъекта должна осуществляться не реже одного раза в год.
Оценка внутреннего контроля включает в себя:
Рис. 8. Составляющие оценки внутреннего контроля
Эффективный дизайн внутреннего контроля представляет собой такую организацию внутреннего контроля, при которой внутренний контроль достигает своей цели, то есть — обеспечивает выявление или предотвращение существенных искажений данных или отклонений от предписанных процедур.
Оценка эффективности дизайна внутреннего контроля позволяет выявить неэффективные, отсутствующие и дублирующие процедуры внутреннего контроля и включает в себя:
- проверку описания дизайна внутреннего контроля
- подтверждение дизайна внутреннего контроля.
Операционная эффективность внутреннего контроля означает, что внутренний контроль осуществляется в течение всего отчетного периода постоянно (без пропусков) в полном соответствии с утвержденным дизайном.
Подтверждение операционной эффективности означает, что необходимо провести тестирование определенного объема доказательств осуществления внутреннего контроля в течение периода или выполнение определенного количества повторений процедур внутреннего контроля.
При выполнении оценки, как эффективности дизайна внутреннего контроля, так и операционной эффективности можно применять следующие способы:
Рис. 9. Способы оценки внутреннего контроля
Одним из видов оценки внутреннего контроля является непрерывный мониторинг внутреннего контроля:
Рис. 10. Мониторинг
Непрерывный мониторинг может осуществляться руководством экономического субъекта:
- в форме регулярного анализа результатов деятельности экономического субъекта,
- поверки результатов выполнения отдельных хозяйственных операций,
- регулярной оценки и уточнения применимой организационно-распорядительной документации и т. д.
Документирование внутреннего контроля
Порядок организации и осуществления внутреннего контроля подлежит документальному оформлению.
Документация, оформляющая организацию внутреннего контроля, подлежит регулярному обновлению.
Экономический субъект должен не реже одного раза в год проводить оценку необходимости обновления документации.
Виды документации:
1. Контрольная среда:
|
№ |
Возможные документы |
|
1 |
положение о стратегии, целях и ценностях экономического субъекта, определяющие поведение экономического субъекта на рынке и методы управления им |
|
2 |
кодекс делового поведения (этики), описывающий правила поведения руководства и персонала экономического субъекта при наступлении различных событий, процедуры рассмотрения жалоб; |
|
3 |
организационная структура экономического субъекта, определяющая место и роль его подразделений, уровни принятия решений, штатное расписание; |
|
4 |
положения об отдельных подразделениях экономического субъекта, определяющие функции подразделений, полномочия и ответственность их руководителей; |
|
5 |
внутренние распорядительные документы, определяющие правила принятия решений и осуществления отдельных хозяйственных операций, в том числе учетная политика экономического субъекта; |
|
6 |
кадровая) политика, устанавливающая подходы к найму, обучению и развитию персонала экономического субъекта, критерии оценки результатов деятельности, систему оплаты труда. |
2. Оценка рисков
Документированию рисков должно предшествовать описание бизнес-процессов и процедур работы экономического субъекта.
При этом описание бизнес-процессов экономического субъекта может проводиться в разрезе направлений его деятельности, его юридической или организационной структуры.
Описания бизнес-процессов экономического субъекта составляются в текстовой и графической форме, что обеспечивает полноту и наглядность представления деятельности экономического субъекта.
Рис. 11. Описание риска
По результатам оценки рисков экономический субъект определяет наиболее существенные риски и предпринимает действия по минимизации последствий их посредством организации и осуществления внутреннего контроля.
3. Информация и коммуникации
Документами, устанавливающими правила коммуникации, могут являться политика в области внешних и внутренних коммуникаций, графики предоставления данных и составления отчетности, должностные инструкции.
Организация внутреннего контроля
Порядок организации внутреннего контроля определяются руководителем экономического субъекта в зависимости от характера и масштабов деятельности экономического субъекта, особенностей его системы управления.
При организации внутреннего контроля необходимо исходить из следующих положений:
Рис. 12. Организация внутреннего контроля
Организация и оценка внутреннего контроля может осуществляться экономическим субъектом самостоятельно или (и) независимым консультантом.
Для организации и осуществления внутреннего контроля экономический субъект может создать специальное подразделение внутреннего контроля (служба внутреннего аудита, служба внутреннего контроля).
Информация учитывают и специфику небольшого бизнеса.
Так, указано что при организации и осуществлении внутреннего контроля совершаемых фактов хозяйственной жизни субъект малого предпринимательства должен руководствоваться требованием рациональности.
В случае если какие-либо элементы внутреннего контроля не могут быть применены субъектом малого предпринимательства, его руководитель может организовать внутренний контроль любым другим способом, который обеспечивает достижение целей деятельности этого экономического субъекта.
Например — руководитель субъекта малого предпринимательства может принять на себя все функции по организации и осуществлению внутреннего контроля; если численность персонала экономического субъекта не позволяет осуществить разграничение полномочий и ротацию обязанностей, субъект малого предпринимательства может использовать другие процедуры внутреннего контроля, которые позволяют покрыть имеющиеся риски (сверку, надзор).
Заключение
Построение системы внутреннего контроля — дело пока новое для большинства менеджмента нашей страны, и особо — представителей малого и среднего, для которого Законом 402-ФЗ исключений не сделано.
Те или иные составляющие внутреннего контроля имеются в любом бизнесе — но с 2013 года надлежит иметь законченную систему, современную и эффективную.
Именно поэтому рассматриваемая Информация является серьезным подспорьем для менеджмента, делающим задачу построения внутреннего контроля понятной и достижимой.
Основные термины (генерируются автоматически): внутреннего контроля, Процедуры внутреннего контроля, Оценка внутреннего контроля, дизайна внутреннего контроля, эффективность внутреннего контроля, оценки внутреннего контроля, экономического субъекта, внутреннего контроля экономического, процедур внутреннего контроля, Элементы внутреннего контроля, процедуры внутреннего контроля, внутренний контроль, внутреннего контроля бухгалтерского, внутреннего контроля Законом, эффективности дизайна внутреннего, системы внутреннего контроля, систему внутреннего контроля, субъектом внутреннего контроля, Определение внутреннего контроля, Ограничения внутреннего контроля.
moluch.ru
Термины и определения
Аудиторские процедуры – совокупность профессиональных действий внутреннего аудитора, направленных на сбор аудиторских доказательств для достижения целей проверки. Аудиторские процедуры подразделяются на два вида: аналитические процедуры и процедуры тестирования.
Аналитические процедуры – изучение, сравнение и/или оценка взаимосвязей финансовой и нефинансовой информации.
Аудиторские доказательства – совокупность данных, используемых для формулирования выводов по результатам проверки в соответствии с целями проведения проверки.
Внеплановые проверки – внутренние аудиторские проверки вне рамок утвержденного Плана деятельности внутреннего аудита, проводимые в соответствии с поручением единоличного исполнительного органа, комитета по аудиту или совета директоров
Внутренние аудиторские проверки – изучение и анализ финансово-хозяйственной деятельности компании с целью формулирования мнения (вывода) о надежности и эффективности системы/отдельных процедур внутреннего контроля, управления рисками и корпоративного управления.
Дизайн контрольной процедуры – описание (алгоритм) контрольной процедуры, представляющее собой последовательность определенных операций, которые должен осуществлять исполнитель контрольной процедуры для достижения целей контрольной процедуры.
Контрольная процедура – мероприятия, действия сотрудников, автоматические операции информационной системы или комбинация данных процессов, осуществляемые на различных уровнях организационной структуры, направленные на уменьшение вероятности наступления риска и/или минимизацию возможного ущерба в случае его реализации.
Ключевая контрольная процедура – процедура, позволяющая при ее надлежащем выполнении снизить до приемлемого уровня критичный риск/риски. При отсутствии/неэффективности данной контрольной процедуры критичный риск считается неприемлемым.
Критичный риск – риск, последствия реализации которого могут иметь существенное влияние на достижение целей компании и/или привести к значительному ущербу.
Модель аудита («вселенная аудита») – совокупность объектов аудита, например, бизнес-процессов, бизнес-функций, проектов/инициатив компании, подразделений, бизнес-единиц и иное в зависимости от выбранного в компании подхода к структурированию объектов аудита.
Международные профессиональные стандарты внутреннего аудита Института внутренних аудиторов – документы, основанные на принципах и предоставляющие основу для проведения внутреннего аудита. Структура стандартов состоит из стандартов качественных характеристик, стандартов деятельности и стандартов практического применения. Стандарты содержат обязательные для исполнения требования, состоящие:
– из утверждений, содержащих базовые требования в отношении профессиональной деятельности в области внутреннего аудита и для оценки его эффективности, применяемые во всем мире как физическими лицами, так и организациями;
– из интерпретаций, поясняющих термины или концепции, описываемые в Стандартах.
Объект аудита – бизнес-процессы, бизнес-функции, проекты/инициативы компании, подразделения, бизнес-единицы и иное в зависимости от выбранного в компании подхода к структурированию объектов аудита.
Процедуры тестирования – оценка корректности выполнения контрольной процедуры в соответствии с предусмотренным дизайном. Основные методы тестирования контрольных процедур включают:
1) опрос – проведение интервью с исполнителями контрольных процедур с целью выяснения, каким образом выполняется процедура, какие бывают исключения в ее функционировании, как они обрабатываются.
2) наблюдение – наблюдение за действиями исполнителя непосредственно в момент выполнения проверяемой процедуры.
3) проверка – инспектирование/изучение доказательств надлежащего выполнения проверяемой процедуры. Например, проверка документации, изучение проведенных сверок и выявленных несоответствий и/или натурный осмотр.
4) повторное выполнение – выполнение контрольной процедуры в соответствии с ее дизайном и сверка результатов выполнения процедуры.
Риск – событие, которое может оказать отрицательное воздействие на достижение целей компании. Характеризуется метриками «вероятность» и «воздействие».
Схема (карта) взаимодействия субъектов СВК и иных заинтересованных сторон, осуществляющих мониторинг и оценку СВК по отдельным направлениям деятельности [ «карта гарантий»] – документ, определяющий сферы ответственности субъектов СВК и иных заинтересованных сторон в отношении отдельных рисков компании.
Поделитесь на страничкеСледующая глава >
econ.wikireading.ru
Система внутреннего контроля (далее – «СВК») представляет собой целостную совокупность всех субъектов внутреннего контроля, направлений и процедур внутреннего контроля, обеспечивающие разумную уверенность в достижении целей Общества в области внутреннего контроля.
СВК призвана обеспечить наиболее эффективную интеграцию процедур внутреннего контроля в текущую деятельность руководства и работников Общества.
Разработка и внедрение контрольных процедур, включая:
анализ бизнес-процессов, рисков и направлений внутреннего контроля.
оценка эффективности организации («дизайна») существующих контрольных процедур (проверка достаточности организации контрольной процедуры для предупреждения, ограничения и предотвращения рисков бизнес-процессов).
разработка организации («дизайна») новых и/ или обновление существующих контрольных процедур.
формализация контрольных процедур через ЛНА Общества и документацию СВК.
актуализация ЛНА Общества в части организации («дизайна») контрольных процедур.
разработка и поддержание документации СВК (матрица контролей - перечень описаний контрольных процедур, выполняемых в бизнес-процессах, относительно перечня присущих рисков).
Выполнение контрольных процедур, включая:
Актуализация СВК, включая:
выявление и оценка изменений в бизнес-процессах и контрольных процедурах, в т.ч. на соответствие требованиям законодательства.
актуализация ЛНА в части изменений организации («дизайна») контрольных процедур.
актуализация документации СВК (матрица контролей).
Тестирование (оценка эффективности) контрольных процедур, включая:
эффективности организации («дизайна») контрольных процедур,
операционной эффективности контрольных процедур (проверка фактического выполнения контрольной процедуры в соответствии с ее организацией («дизайном»)).
проведение самооценки эффективности организации «дизайна» и операционной эффективности контрольных процедур.
разработка рекомендаций и подготовка документации СВК (план по устранению недостатков с указанием сроков и ответственных лиц) по результатам независимого тестирования;
разработка рекомендаций по результатам самооценки.
Проведение независимых проверок, включая:
проведение независимой оценки эффективности операций финансово-хозяйственной деятельности и СВК.
разработка рекомендаций по результатам независимых проверок.
Мониторинг СВК, включая:
исполнение рекомендаций владельцами контрольных процедур, разработанных по результатам периодического тестирования, самооценки и независимых проверок.
контроль (мониторинг) исполнения рекомендаций.
Разделение полномочий по процессам СВК между субъектами внутреннего контроля представлено в Приложении 3.
studfiles.net
Босалко Д.С.,aспирант Тихоокеанского государственногоэкономического университета
Процесс управления предприятием был впервые разделен на этапы Анри Файолем и в настоящее время включает следующие основные стадии: планирование, организацию, руководство и контроль [1].
Планирование на предприятии необходимо для того, чтобы сформировать основные цели и определить пути их достижения. Чтобы организация могла оптимально распределить работу среди подчинённых, руководство должно создать условия и желания у людей для совместной работы по достижению целей компании, а контроль обязан оценить реальность поставленных целей и выяснить, каких результатов предприятие смогло достичь.
Усложнение бизнес-процессов предприятий, рост подвижности внешней среды, повышение роли человеческого фактора – вот основные причины повышения роли и многообразия функций контроля в современных условиях.
Контроль – это критически важная и сложная функция управления. Его цель – повышение общей эффективности деятельности и обеспечение её безопасности на предприятиях, предотвращение возможных конфликтов с внешней и внутренней средой.
Виды контроля чрезвычайно разнообразны. На микроэкономическом уровне, то есть на уровне управления экономической единицей (предприятием), различают внешний контроль, осуществляемый внешними по отношению к организации субъектами управления, и внутренний контроль, осуществляемый субъектами самой организации. В данной статье речь пойдет о внутреннем контроле [2].
В настоящий момент остро стоит проблема оценки адекватности внутреннего контроля на предприятии.
Теоретически данный вопрос недостаточно освещён.
Практики чувствуют нехватку методик, позволяющих оценить достаточность и адекватность осуществляемого на предприятии контроля.
Прежде чем перейти непосредственно к оценке адекватности контроля на отдельном предприятии, вернёмся к мысли, что контроль способен предотвращать конфликты с внешней и внутренней средой. Любые вероятные изменения (внутренние или внешние) должны быть идентифицированы заранее, и при их возникновении должны быть применены меры, смягчающие их воздействие на бизнес. Для того чтобы различать изменения по характеру их воздействия, предприниматели договорились вероятные события, которые могут оказать негативное воздействие, называть «рисками», а события, которые могут оказать позитивное воздействие, звать «возможностями» [3].
В соответствии с концепцией контроля, ориентированного на риск, с каждым видом деятельности изначально связаны специфические (свойственные) риски, и избежать их возможно только одним способом – не вступать в эту деятельность.
Однако можно, во-первых, своевременно идентифицировать эти риски, во-вторых, создать такие управленческие механизмы (процессы), которые при реализации риска смягчат последствия его воздействия до приемлемого уровня. Внутренний контроль в данном случае – это те части бизнес-процесса, которые обеспечивают приемлемый для бизнеса уровень контролируемого (или остаточного) риска [3].
Сам по себе контроль на предприятии представляет собой процесс выявления отклонений между фактическими значениями контролируемых показателей и плановыми или нормативными значениями. Другими словами, контроль выступает в качестве инструмента менеджмента для выявления отклонений контролируемых показателей от нормативных значений. При выявлении отклонений менеджмент осуществляет какое-то управляющее воздействие, фактическое значение становится равным или стремится к нормативному, риск снижается до приемлемого уровня.
– Уменьшится ли риск ограбления, если поставить в квартире металлическую дверь? – Неизвестно. Вроде бы с ней надежней…
Переформулируем вопрос. – Уменьшится ли риск ограбления, если металлическую дверь поставить, а на замок не закрывать? – Нет. – Может ли установка металлической двери уменьшить риск ограбления? – Нет, если дверь останется открытой; да – если дверь закрыта. – Является ли контролем ежедневная проверка состояния двери перед уходом? – Да. – Усиливает ли установка металлической двери уровень контроля при условии ежедневной проверки перед уходом состояния двери? – Конечно да [3].
Этот пример показывает важную характеристику внутреннего контроля: только с точки зрения целей процесса можно оценить адекватность включённых в него элементов контроля. Если цель – предотвратить взлом квартиры рядовым грабителем, то, возможно, будет достаточно установки металлической двери и ежедневной проверки перед уходом её состояния. Если же цель – остановить профессионального грабителя, то кроме двери может быть нужно установить дополнительно сигнализацию. С другой стороны, если мы уверены, что металлической двери достаточно, чтобы предотвратить ограбление (в городе нет профессиональных грабителей), нет смысла ставить сигнализацию, так как контроль будет избыточен (неадекватен).
Контроль будет адекватен тогда, когда по результатам деятельности (или отдельно взятого бизнес-процесса) отклонение фактического значения контролируемого показателя от нормативного будет стремиться к нулю. Математически это можно записать следующим образом:
где 
– адекватность контроля;
– контролируемый показатель;
– фактическое значение контролируемого показателя;
– нормативное значение контролируемого показателя.
В данном случае мы говорим, что контроль эффективен, так как позволяет своевременно обнаружить недостатки в деятельности предприятия и вовремя принять меры к их устранению (осуществить управляющее воздействие).
Мы рассматриваем контроль как элемент системы управления по целям. Соответственно, если меняются цели, то логично предположить, что должны меняться элементы контроля. Получается, что контроль неотъемлемо ориентирован на цели, должен подстраиваться под цели. В этом случае он будет помогать выявлять отклонения фактических значений контролируемых показателей от нормативных, давать возможность своевременно производить корректирующие воздействия и в итоге достигать установленных целей.
Для обеспечения эффективности внутреннего контроля он должен быть организован в систему.
Известно, что унификация требований к системе внутреннего контроля предприятий началась в 1985 г. в США, когда при участии и на средства пяти профессиональных саморегулируемых организаций – AICPA (American Institute of Certified Public Accountants), Американской ассоциации по учёту и отчётности (American Accounting Association), FEI (Financial Executives Institute), Института внутренних аудиторов (Institute of Internal Auditors, IIA) и Института специалистов управленческого учёта (Institute of Management Accountants) была создана национальная комиссия по борьбе с недостоверной финансовой отчётностью, известная по имени первого своего председателя Джеймса С. Тредуэя как Комиссия Тредуэя.
Выпущенный ими в 1987 г. отчёт помимо других рекомендаций содержал призыв к перечисленным организациям – спонсорам Комиссии Тредуэя объединить усилия по достижению договорённости об общих для всех основных понятиях внутреннего контроля. Основываясь на этом предложении, рабочая группа под покровительством
Комитета спонсорских организаций Комиссии Тредуэя (Committee of Sponsoring Organizations of the Treadway Commission, COSO) провела анализ существовавшей на тот момент литературы по внутреннему контролю. Результат этой работы был представлен общественности в 1992 г. под названием «Интегрированная концепция внутреннего контроля» (Internal Control – Integrated Framework). Кратко этот документ принято называть по наименованию комитета-организатора «концепцией COSO», «моделью COSO» или просто COSO [3].
Система внутреннего контроля (далее – СВК), по оценке COSO, состоит из пяти взаимосвязанных компонентов: 1) контрольной среды; 2) оценки риска; 3) контрольных процедур; 4) сбора и анализа информации и передачи её по назначению; 5) мониторинга.
Взаимодействие элементов в системе внутреннего контроля можно представить следующим образом:
Для того чтобы оценить эффективность системы внутреннего контроля, необходимо оценить все её вышеперечисленные элементы. Рассмотрим оценку эффективности такого элемента, как контрольные процедуры.
Контрольные процедуры (контрольные мероприятия, средства контроля) – это политики и процедуры, разработанные и установленные для гарантии того, что цели руководства будут достигнуты. Если говорить в терминах риск-ориентированного внутреннего контроля, то контрольные процедуры обеспечивают «разумную» гарантию того, что реагирование на возникающий риск происходит эффективно и своевременно.
Примером контрольных процедур могут быть действия по авторизации и визированию чего-либо, разделение полномочий, проверка.
Оценка эффективности СВК осуществляется через оценку эффективности отдельных контрольных процедур бизнес-процесса. При этом алгоритм действий следующий: - Сравнение типового и фактически существующего набора контрольных процедур в процессе. - Формирование мнения о необходимости отсутствующих контролей. - Выбор контролей для тестирования. - Анализ дизайна, имплементации и исполнения контрольной процедуры с точки зрения её достоверности, доказательности и повторяемости. - Формирование окончательного мнения об эффективности рассматриваемой контрольной процедуры.
Проиллюстрируем это примером. Рассмотрим процесс закупки материально-технических ресурсов (МТР) на предприятии. Предположим, мы знаем, что типовой набор контрольных процедур (далее – КП) в данном процессе имеет следующий вид:
Это наше 
(нормативное значение контролируемого показателя). Фактический же набор КП процесса 
может иметь следующий вид (см. рис. 4):
Уже на данном этапе можно сделать вывод о неадекватности СВК процесса, необходимости отсутствующих контролей и регулирующего воздействия со стороны менеджмента, так как 
Далее проводится оценка эффективности отдельных выбранных КП процесса.
При этом необходимо иметь в виду, что каждая контрольная процедура обладает следующими характеристиками: дизайном, имплементацией, исполнением.
Дизайн – это набор стандартных приёмов контроля, которые задуманы для применения в данной контрольной процедуре.
Имплементация – это то, как реализованы принципы дизайна в контрольной процедуре.
Исполнение – это то, как контрольная процедура исполняется фактически.
Для того чтобы дать оценку эффективности КП, необходимо оценить все три ее характеристики с точки зрения достоверности, доказательности и повторяемости.
Достоверность – точное и полное отражение операции в документе.
Доказательность – сохранение результатов контроля для последующего подтверждения.
Повторяемость – обеспечение одинакового исполнения контроля независимыми исполнителями и в разные периоды времени.
Каждая из характеристик КП определяется рядом признаков, каждый из признаков имеет вес.
Набор признаков и их вес необходимо разрабатывать для каждого предприятия индивидуально с учетом особицы его деятельности. Ниже как пример приведён возможный набор признаков для оценки дизайна контроля с точки зрения доказательности.
В процессе оценки признаку присваивается значение (например, от 0 до 10) в зависимости от его наличия, частичного наличия или отсутствия. Присвоение значения происходит по методу экспертных оценок (на сегодняшний день не исследована возможность применения других методов). Итоговая оценка дизайна, имплементации или исполнения по критерию достоверности, доказательности или повторяемости получается путем суммирования оценок всех признаков (табл. 1).
Итоговая оценка эффективности контрольной процедуры – это среднее арифметическое оценок её дизайна, имплементации и исполнения по критериям достоверности, доказательности, повторяемости.
Оценка СВК определяется как среднее арифметическое оценок контрольных процедур бизнес-процессов, по которым было принято решение исследовать эффективность системы внутреннего контроля.
Выбор средней арифметической для оценки СВК обусловлен простотой её применения, а также тем, что вес (значимость) контрольных процедур принимается равным (каждая из рассматриваемых КП одинаково важна, и недостатки в любой КП ведут в итоге к неэффективности всей СВК).
Выводы: 1. Система внутреннего контроля не может быть проанализирована вне анализа целей организации. Иначе, если цели деятельности чётко не определены, система контроля организации теряет эффективность, так как всё подряд контролировать невозможно. 2. В систему внутреннего контроля входят пять элементов: контрольная среда, оценка риска, контрольные процедуры, информация и коммуникация, мониторинг. Для оценки эффективности системы внутреннего контроля необходимо оценить все ее элементы. 3. Оценка эффективности отдельной контрольной процедуры проводится путём оценки дизайна, имплементации и исполнения контрольной процедуры с точки зрения ее достоверности, доказательности и повторяемости.
Сформировавшаяся в организации система внутреннего контроля не всегда обеспечивает надежность и эффективность. Уровень эффективности системы внутреннего контроля для каждого предприятия различен. На настоящий момент остается ещё много вопросов, требующих исследования. Так, например, существует вопрос выбора бизнес-процессов и контрольных процедур для оценки эффективности СВК предприятия, вопрос по определению признаков контрольных процедур при оценке дизайна, имплементации и исполнения, вопрос по присвоению веса каждому признаку и по шкале присваиваемых оценок. Не совсем ясна ситуация, как от количественных оценок перейти к качественным, выражающимся в терминах эффективности и неэффективности, достаточности и избыточности контроля.
Литература 1. Кузнецова Н.В. Контроль деятельности предприятия как важная составляющая управленческого процесса. – Материалы сайта smartcat.ru/Management/Capital.shtml 2. Менеджмент : современные основы организации контроля на предприятии / Л.А. Жигун. – Ростов-на-Дону : Феникс, 2007. – C. 12. 3. Тихомиров А. Ориентируясь на риски, или как оценивать внутренний контроль. Режим доступа: buhgaltery.ru/audit/audit/148/
dis.ru
Менеджер – человек принимающий решения.
Manager is a decision maker.
Набрав слово «контроль» в поисковой системе, становишься обладателем 152 млн ответов на тему контроля. При некотором упорстве вы узнаете не просто, что такое контроль, контрольная среда или система внутренних контролей, но и получите информацию о том, из чего состоят контроли, какие они бывают, какие основные принципы.
В частности, вам наверняка расскажут, что:
Ну, что сказать? Все это правда. Или почти правда. Но это все вторичные факторы, относящиеся к средствам достижения цели. А что первично?
Для организации в компании хорошей системы внутреннего контроля, руководство должно захотеть построить эту систему. Причем захотеть настолько, чтобы смочь.
Для внедрения системы внутренних контролей не работают следующие варианты:
Если цель упражнения – отчитаться за потраченный бюджет и, впоследствии, объясняя причины провала на совете директоров и акционеров, сказать, что сделали все, что могли, и то, что получилось, и есть оно самое: «Система Внутренних Контролей», то все перечисленные варианты подходят.
К тому же, с вопросами о росте расходов на 20%, персонала на 30% и снижения убытков на рекордный 1% всегда можно отправить к консультантам и рассказать, что это очень хорошие показатели по мировым и, особенно, по национальным меркам.
Позвольте! Но почему аудиторы отказываются снижать стоимость договора и полагаться на нашу, мирового класса, систему внутренних контролей? Этим аудиторам лишь бы денег побольше срубить! Все они придираются! Вот, сами смотрите:
Вот какие у нас контроли! – скажете вы.
Продолжать можно бесконечно. Как же правильно?
Построение СВК должно стать одной из приоритетных задач всего руководства. Менеджер или внешний консультант по внутренним контролям нужен, чтобы найти основные риски, координировать, отсеивать лишнее (формальные и избыточные контроли), собирать и анализировать описания процессов и формировать общую матрицу контролей, которая надежно свяжет все бизнес-процессы компании, не оставляя места для возникновения материальных рисков.
Для простоты принятия решений, лично для себя, я сформулировал общие критерии для разработки дизайна системы внутренних контролей:
1. Правило ценности. Это правило одно из самых важных! Контроль не должен стоить больше чем риск, который он покрывает.
2. Правило достаточности. Избыточность контроля – это бесполезно потраченные ресурсы организации. Следовательно, дизайн контроля должен подчиняться критерию «необходимо и достаточно».
3. Практическая польза. Система внутренних контролей формируется, чтобы приносить пользу бизнесу, снижая потери и компенсируя риски. Контроль, созданный только потому, что так хотят аудиторы, это ничем неоправданная трата ресурсов компании. Другими словами, контроль должен существовать, если без него обойтись нельзя совсем.
4. Простота. Лучший контроль – автоматический. То есть, когда сама система не позволяет сделать ошибку или сделать действие, не предусмотренное внутренними процедурами. Чем контроль сложнее и трудозатратнее, тем хуже он работает.
5. Уровень контроля. Задача руководителя любого уровня не тотальный контроль всего происходящего, а правильная организация процесса. Типичный пример – это процесс закупок в средних или крупных организациях. Генеральный менеджер не должен одобрять каждую закупку. Он утверждает бюджет, а затем спрашивает с руководителей отдела за его исполнение. Допустимо одобрение высшим руководством только очень крупных сумм.
6. Мотивация. Контроли будут работать, только если ответственные за их работу сотрудники мотивированы на поддержание контрольной среды. Даже сверхответственный сотрудник в условиях мультизадачности будет отодвигать контрольные процедуры на второй план. Поэтому нужны постоянные напоминания со стороны высшего менеджмента о крайней важности для компании сохранения и совершенствования контрольной среды. Также необходимо вспомнить про метод «кнута и пряника».
7. Компенсирующие контроли. Хорошая СВК – это многослойная СВК. Надежность системы достигается за счет структуры контрольной среды, при которой контроли высокого уровня компенсируют брак в срабатывании контролей более низкого уровня. Такая структура позволяет покрыть значительные риски, даже в том случае, если не сработали базовые контроли (одобрение условий договоров, тендеры, одобрение изменений в заработной плате и т.п.)
8. Разумная уверенность. Целью построения СВК не является полное искоренение рисков и ошибок, поскольку при приближении системы СВК к стопроцентной надежности гибкость, скорость и эффективность ведения бизнеса будут стремиться к нулю. Хорошая система внутренних контролей защищает бизнес только от материальных рисков и потерь. А задача грамотного менеджмента правильно установить порог материальности.
Список можно продолжать. Но суть, я думаю, понятна.
Как видите, все довольно просто и логично. Нужно понимать, что даже закон Сарбейнса Оксли не страдает лишним формализмом, задавая лишь общее требование к существованию и эффективности системы контролей. Ни в каком законе нельзя прописать универсальный свод правил, который позволит покрыть абсолютно все риски в любой компании. Каждый раз подход строго индивидуальный.
После того как система внутренних контролей сформирована, и даже получено аудиторское заключение об эффективности, самая серьезная ошибка – это возвести контрольную матрицу в ранг нового завета или конституции (кому что нравится).
Система контролей должна жить и развиваться вместе с бизнесом, становясь более эффективной, менее трудозатратной и покрывая новые возникающие в компании риски. Кроме того, нужно не забывать избавляться от контролей, которые стали не нужны. Как это ни смешно, но наиболее частый ответ на вопрос «Зачем?!..» – это: «А мы всегда так делали!».
Впервые статья была опубликована на Executive.ru 25 июля 2012 года в рубрике «Творчество без купюр»
www.e-xecutive.ru
