Система внутреннего контроля - механизм для снижения рисков (С.Д. Юшкова, "Аудиторские ведомости", N 2, февраль 2011 г.)

Система внутреннего контроля - механизм для снижения рисков

Раскрывается роль системы внутреннего контроля в процессе управления рисками. Показаны основные принципы и направления проверки.

В современных условиях хозяйствования, деятельность любой организации подвержена большому количеству рисков - как внутренних, так и внешних. В связи с этим для менеджмента на первый план выходит задача построения процесса управления таким образом, чтобы предупредить развитие нежелательных событий, ведущих к возникновению рисков. Становится очевидным, что вне зависимости от рода и масштаба деятельности организации в фокусе внимания должна быть четко выстроенная, отлаженная, гибко и своевременно реагирующая на изменения система внутреннего контроля (СВК). На современном этапе курс на внедрение риск-ориентированной системы функционирования обозначил необходимость смещения акцентов и в области аудиторской деятельности.

Именно поэтому, обсуждая вопросы внешнего и внутреннего аудита, определяя место аудита в системе контроля, необходимо дать понятие СВК, ее назначение, выделить задачи и функции, описать приемы и методы.

Термин "внутренний контроль" используется во многих зарубежных и российских документах, монографиях, стандартах, научных работах и литературе. Представляется целесообразным рассмотреть подходы к определению ключевого понятия и ответить на вопрос, что такое современная СВК.

Например, по мнению членов Французского института внутренних аудиторов и консультантов, внутренний контроль - это совокупность структурных средств: политики руководства, организации и процедур, имеющих задачей регулирование деятельности. Французская национальная компания бухгалтеров-ревизоров определяет внутренний контроль как "комплекс мер безопасности, устанавливаемый руководством в целях обеспечения защиты: имущества, правильности и достоверности бухгалтерских записей, согласованного и эффективного осуществления операций, соответствия принимаемых решений политике руководства. Французская ассоциация бухгалтеров и аудиторов полагает, что внутренний контроль - это процесс, осуществляемый руководителями и персоналом, с тем чтобы постоянно и надежно подтверждать достоверность финансовой информации, законов, соблюдение нормативных актов и директив, выполнение операций, что позволяет организации решать свои основные задачи: защищать имущество, повышать рентабельность и эффективность.

Так, по мнению известного практика и методолога в области аудита Д.К. Робертсона, СВК представляет собой все процедуры и политику компании, направленные на предотвращение, выявление и исправление существенных ошибок и искажений информации, которые могут возникнуть в бухгалтерской отчетности.

В российских научных кругах внутренний контроль определяется как одна из функций управления, представляющая собой систему постоянного наблюдения и проверки функционирования организации в целях оценки обоснованности и эффективности принятых управленческих решений, выявление и предупреждение неблагоприятных ситуаций, своевременного информирования руководства для принятия управленческих решений, направленных на управление рисками.

Можно сказать, что в определенном смысле внутренний контроль выступает как форма страхования деятельности менеджеров компании. Образно его можно сравнить с бортовым компьютером, который информирует командира авиалайнера о состоянии внутренней и внешней среды, а также о функционировании всех систем во время полета.

Заметим, что внутренний контроль невозможно заменить никаким иным видом внешнего контроля или полностью передать его на аутсорсинг.

Если обратиться к Международным стандартам аудита (МСА), то понятие СВК закреплено в стандарте N 400 "Оценка рисков и внутренний контроль". Согласно данному документу СВК включает политику и процедуры (средства внутреннего контроля), принятые руководством субъекта для содействия в реализации его целей, предусматривающие упорядоченное и эффективное ведение бизнеса, сохранность активов, предотвращение и обнаружение фактов мошенничества и ошибок, аккуратность и полноту бухгалтерских записей, а также своевременную подготовку достоверной финансовой информации.

Для организаций всех видов деятельности (кроме банковской) предлагается исходить из норм, закрепленных в федеральном правиле (стандарте) аудиторской деятельности (ПСАД) N 8 "Понимание деятельности аудируемого лица, среды, в которой она осуществляется, и оценка рисков существенного искажения аудируемой финансовой (бухгалтерской) отчетности". В нем нашел отражение риск-ориентированный подход, что, безусловно, является положительным моментом. По своей сути этот документ является единым как для аудиторов, так и для предприятий, которые могут почерпнуть из него основные постулаты по организации и функционированию внутреннего контроля. Так, в стандарте определено, что система внутреннего контроля представляет собой процесс, организованный и осуществляемый представителями собственника, руководством, а также другими сотрудниками аудируемого лица, для того чтобы обеспечить достаточную уверенность в достижении целей с точки зрения надежности финансовой (бухгалтерской) отчетности, эффективности и результативности хозяйственных операций и соответствия деятельности аудируемого лица нормативным правовым актам. Это означает, что организация СВК и ее функционирование направлены на устранение каких-либо рисков хозяйственной деятельности, угрожающих достижению любой из этих целей.

Следует отметить, что в российском законодательстве на отраслевом уровне ключевые понятия внутреннего контроля содержатся только в документах, регулирующих банковскую деятельность. Так, общее требование о наличии внутреннего контроля в кредитной организации закреплено в ст. 16 Федерального закона от 10.07.02 г. N 86-ФЗ "О Центральном банке Российской Федерации (Банк России)" (в ред. от 30.09.10 г. N 245-ФЗ) и в ст. 10 Закона Российской Федерации от 2.12.90 г. N 395-1 "О банках и банковской деятельности" (в ред. от 23.07.10 г. N 181-ФЗ).

Процесс глобализации, затронувший все сферы профессиональной деятельности, заставил по-новому взглянуть на глубину проработки этого вопроса в разных странах. Он потребовал единых подходов к пониманию и определению СВК.

Начало процесса унификации определений и требований, относящихся к СВК, было положено в 1985 г. в США. Пять профессиональных саморегулируемых организаций - AICPA, Американская ассоциация по учету и отчетности, FEI, Институт внутренних аудиторов и Институт специалистов управленческого учета создали национальную комиссию по борьбе с недостоверной финансовой отчетностью. Специальная рабочая группа COSO (Committee of Sponsoring Organizations of the Treadway Commission) провела исследование и по его результатам выпустила итоговый документ, определяющий основную концепцию COSO.

Согласно COSO внутренний контроль - это процесс, осуществляемый высшим органом компании, определяющим политику (например, советом директоров), управленческим персоналом высшего уровня (менеджментом) и всеми другими сотрудниками, в полной мере обеспечивающими достижение компанией поставленных целей. При этом во главу угла ставится ответственность руководства компании за состояние контроля.

Приведенные в COSO основные понятия и определения, а также ключевые компоненты внутреннего контроля базируются на следующих предпосылках:

- внутренний контроль - это процесс, т.е. средство достижения цели, а не самоцель;

- внутренний контроль осуществляется людьми, поэтому для него важны не только (и не столько) правила, процедуры и другие руководящие документы, но и участие персонала на всех уровнях управления;

- от внутреннего контроля владельцы и руководство компании могут ожидать только обоснованного уровня обеспечения достижения поставленных целей, однако он не дает абсолютной гарантии безошибочной работы;

- внутренний контроль обеспечивает достижение поставленной цели или нескольких целей в смежных областях деятельности.

Практика показывает, что наиболее последовательно модель COSO применяет Базельский комитет по банковскому надзору*(1). Согласно его рекомендациям внутренний контроль - это процесс, осуществляемый советом директоров, менеджментом и сотрудниками всех уровней. Это не только и не столько процедура или политика, которая проводится в течение определенного отрезка времени, сколько процесс, который постоянно идет на всех уровнях внутри банка. Совет директоров и менеджмент несут ответственность за создание соответствующей культуры, способствующей эффективности внутреннего контроля, и за его мониторинг на постоянной основе. В этом процессе должен принимать участие каждый сотрудник организации.

На основе Базельских принципов Банк России для всех действующих на территории Российской Федерации банков разработал положение от 16.12.03 г. N 242-П (в ред. от 5.03.09 г. N 2194-У), в котором определил следующее. Внутренний контроль - это деятельность, осуществляемая кредитной организацией (ее органами управления, подразделениями и служащими) и направленная на достижение эффективности и результативности финансово-хозяйственной деятельности, управления активами и пассивами, включая обеспечение сохранности активов, управления банковскими рисками. СВК обеспечивает соблюдение порядка осуществления и достижения целей, установленных законодательством Российской Федерации, учредительными и внутренними документами кредитной организации.

Таким образом, на основе приведенных определений можно сформулировать основные характеристики внутреннего контроля:

- одна из основных функций управления;

- система постоянного наблюдения;

- комплекс мер безопасности;

- процесс, осуществляемый руководством и персоналом.

Очевидно, что СВК выходит далеко за рамки тех вопросов, которые непосредственно относятся к функциям бухгалтерского учета, и включает прежде всего контрольную среду и процедуры контроля.

В связи с тем что Базельский комитет в своем документе обобщил накопленный опыт организации внутреннего контроля стран - членов Комитета и привел описание основных элементов действенной СВК, представляется целесообразным для организаций принять во внимание его рекомендации.

Документ определяет следующие цели внутреннего контроля:

- производственно-финансовая (достижение производственной и финансовой эффективности);

- информационная (обеспечение надежности, полноты и своевременности финансовой и управленческой информации);

- соблюдение действующего законодательства.

Исходя из целей, стоящих перед системой внутреннего контроля, и с учетом анализа недостатков, ведущих к ухудшению финансово-экономического положения организации, Базельским комитетом сформулированы принципы организации эффективного внутреннего контроля. Эти принципы полностью соответствуют концепции COSO, согласно которой система внутреннего контроля должна базироваться на следующих пяти взаимосвязанных компонентах, что нашло отражение и в ПСАД N 8.

1. Контрольная среда. Включает позицию, осведомленность и действия представителей собственника и руководства относительно СВК аудируемого лица, а также понимание значения такой системы для его деятельности. Оказывает влияние на сознательность сотрудников в отношении контроля, является основой для эффективной системы внутреннего контроля, обеспечивающей поддержание дисциплины и порядка.

2. Процесс оценки рисков аудируемым лицом. Выявляет и, по возможности, устраняет риски хозяйственной деятельности, а также их последствия. Для целей финансовой (бухгалтерской) отчетности важно, каким образом выявляются риски, имеющие отношение к финансовой (бухгалтерской) отчетности, определяются их значения, оценивается вероятность их возникновения и принимается решение относительно управления ими.

3. Информационная система, в том числе связанная с подготовкой финансовой (бухгалтерской) отчетности. В качестве ее составной части выступает система информирования персонала, которая обеспечивает понимание сотрудниками обязанностей и ответственности, связанных с организацией и применением СВК в отношении финансовой (бухгалтерской) отчетности.

4. Контрольные действия. Включают политику и процедуры, которые помогают удостовериться, что распоряжения руководства выполняются, например, что необходимые меры предприняты в отношении рисков, которые могут препятствовать достижению целей аудируемого лица. Контрольные действия, осуществляемые вручную или с применением информационных систем, имеют различные цели и применяются на различных организационных и функциональных уровнях.

5. Мониторинг средств контроля. Представляет собой процесс оценки эффективного функционирования СВК во времени. Он включает регулярную оценку организации и применения средств контроля, а также осуществление необходимых корректирующих мероприятий в отношении средств контроля вследствие изменения условий деятельности. Мониторинг осуществляется с целью обеспечения непрерывной эффективной работы средств контроля.

Практика показывает, что понимание руководством перечисленных принципов и наличие на предприятии механизма функционирования СВК, к сожалению, не всегда является гарантией его эффективности. В связи с этим COSO рекомендует установить прямую ответственность как совета директоров (органа, представляющего интересы владельцев, определяющих общие принципы деятельности предприятия), так и менеджмента (исполнительного органа предприятия) за создание и обеспечение эффективного внутреннего контроля.

Изложенное позволяет сформулировать необходимые условия, при которых СВК может быть признана эффективной.

Утверждены и периодически пересматриваются владельцами (советом директоров) документы, в которых:

- установлены основные виды деятельности организации;

- идентифицированы группы рисков, связанных с видами деятельности;

- определены приемлемые уровни риска, который могут принимать на себя организация и ее подразделения;

- создана адекватная структура контроля, выбраны методы контроля, не позволяющие превысить приемлемые уровни риска.

Принятая политика реализуется менеджментом с учетом оценки уровней рисков, в частности:

- проводятся идентификация, оценка и контроль внутренних и внешних факторов, которые могут неблагоприятно повлиять на достижение организацией поставленных целей (идентификация, мониторинг и контроль рисков);

- утверждена организационная структура и есть четкое распределение полномочий персонала;

- разрабатываются необходимые процедуры и организованы процессы, направленные на выявление изменений и контроль за рисками;

- планируется и контролируется выполнение мероприятий в области мониторинга эффективности СВК;

- на всех уровнях функционирует контрольная среда, которая позволяет персоналу оценить важность внутреннего контроля и необходимость соблюдения этических норм.

Создана специализированная инфраструктура, позволяющая обеспечить эффективность внутреннего контроля; она характеризуется тем, что:

- процедуры контроля реализуются на всех уровнях управления;

- осуществляются периодические проверки соответствия деятельности установленной политике и утвержденным процедурам;

- контрольные мероприятия сопровождают все ежедневные операции;

- соблюдено разграничение ответственности и отсутствуют конфликты интересов при выполнении персоналом своих обязанностей;

- обеспечены адекватность, полнота и достоверность внешних рыночных данных о событиях, которые могут повлиять на принятие решений;

- финансовая и управленческая отчетности отвечают требованиям полноты, достоверности и своевременности;

- деятельность осуществляется в рамках действующего законодательства.

Действуют эффективные и безопасные системы информирования, способствующие тому, что:

- персонал регулярно извещается о процедурах, касающихся распределения обязанностей и разграничения ответственности;

- необходимая информация быстро доводится до соответствующего персонала;

- уровень информационных систем отвечает видам деятельности организации;

- обеспечена безопасность информационных систем, осуществляется их периодическая проверка.

Проводится независимый мониторинг эффективности СВК, в том числе:

- осуществляется ежедневный мониторинг наиболее рискованных операций;

- оценивается влияние на проводимые операции каждого вида риска в отдельности и в совокупности с учетом существующих методов контроля;

- проводится эффективный внутренний аудит системы внутреннего контроля независимыми в функциональном отношении, адекватно подготовленными и компетентными сотрудниками;

- информация о недостатках внутреннего контроля своевременно доводится до менеджмента соответствующего уровня;

- информация о существенных недостатках внутреннего контроля и результаты оценки его эффективности предоставляются высшему менеджменту и совету директоров.

Таким образом, основу эффективности и адекватности системы внутреннего контроля составляют не столько конкретные формы, методы и приемы, сколько действие (или бездействие) менеджмента и собственника организаций, обеспечивающее интеграцию внутреннего контроля во все бизнес-процессы, своевременную оценку рисков и эффективность мер, направленных на снижение их уровня.

Очевидно, что для должного функционирования внутренний контроль должен обладать действенным инструментарием. Если для аудиторов, существует методологическая база с рекомендациями по направлениям проверки, то для организации нет документа, регламентирующего функционирование СВК. В связи с этим целесообразно обратиться к положению N 242-П, в котором, на наш взгляд, наиболее полно отражены направления проверок, проводимых СВК в организации.

Основными направлениями проверок, осуществляемых службой внутреннего контроля, являются:

- финансовая проверка, цель которой состоит в оценке надежности учета и отчетности;

- проверка соблюдения законодательства Российской Федерации и иных актов регулирующих и надзорных органов, внутренних документов кредитной организации и установленных ими методик, программ, правил, порядков и процедур;

- операционная проверка (т.е. оценка качества и соответствия систем, процессов и процедур, анализ организационных структур и их достаточности для выполнения возложенных функций);

- проверка качества управления, цель которой состоит в оценке подходов органов управления, подразделений и самого персонала к определению рисков и способов контроля за ними в рамках поставленных целей организации.

В рабочих документах службы внутреннего контроля отражаются этапы проверки и выполненные проверочные процедуры, данные о рассмотренных документах и иной полученной в ходе проверки информации. Отчеты и предложения по результатам проверок представляются совету директоров (наблюдательному совету), единоличному (его заместителям) и (или) коллегиальному исполнительному органу, руководителям проверяемых структурных подразделений.

Отметим, что для банков существенным звеном в СВК является служба внутреннего контроля (или аудита) - самостоятельное независимое банковское подразделение. Данное требование также закреплено в действующем российском банковском законодательстве. Для организаций, занимающихся иным видом деятельности, кроме банковской, такого нормативного требования не существует. Поэтому в некоторых компаниях, главным образом небольших по численности и объему операций, в рамках СВК не выделяется отдельная служба, занимающаяся внутренним аудитом. Но в любом случае требуется соблюдение основного принципа, согласно которому одни и те же специалисты не должны заниматься и построением СВК в организации, и проверкой ее эффективности.

В процессе формирования профессионального суждения о целях и задачах, а также о сущности внутреннего аудита до недавнего времени в отечественной практике не существовало единого мнения. Не всегда теоретики и практики понимали необходимость его наличия в системе управления предприятием. В настоящее время прослеживается четкая связь между внутренним и внешним аудитом. Все чаще внешние аудиторы, высоко оценив уровень СВК на этапе планирования, доверяют материалам внутренних аудиторов, предоставленным руководством проверяемой организации. Согласно результатам исследования Института внутренних аудиторов, специалисты внутреннего контроля помогают компаниям выявить 44% и расследовать 26% фактов мошенничества. Это еще раз подтверждает, что эффективная СВК позволяет качественно снизить риски, уменьшить затраты на их выявление.

Литература

1. Базель II: документы и комментарии. - М.: Изд. ГП "Облиздат", "Бизнес и банки", 2007.

2. Кулинина Г.В. Внутренний контроль и аудит. - М.: Финансовая академия при Правительстве Российской Федерации, 2000.

3. Малыхин Д. Обзор нормативных актов по вопросам взаимодействия внутреннего и внешнего аудитов. 2010 г. Сайт Института внутренних аудиторов (www.iia-ru.ru).

4. Грачева М.Е. Международные стандарты аудита. - М.: Изд. "РИОР", 2008.

5. Перунова С. Внутренний аудит: конфликт ожиданий // Континент Сибирь. - 2010. - N 38 (680).

6. Робертсон Д.К. Аудит / Пер. с англ. - М.: KPMG, аудиторская фирма "Контакт", 1993.

7. Тихомиров А. Ориентируясь на риски, или как оценивать внутренний контроль. 2010 г. Сайт Института внутренних аудиторов (www.iia-ru.ru).

С.Д. Юшкова,

кандидат экономических наук,

доцент кафедры "Аудит и контроль",

Финансовый университет

при Правительстве Российской Федерации

"Аудиторские ведомости", N 2, февраль 2011 г.

-------------------------------------------------------------------------

*(1) Базельский комитет по банковскому надзору является комитетом органов банковского надзора, который был создан управляющими центральных банков стран "большой десятки" в 1975 г. Он состоит из представителей высших должностных лиц органов банковского надзора и центральных банков Бельгии, Великобритании, Германии, Италии, Канады, Люксембурга, Нидерландов, США, Франции, Швейцарии, Швеции и Японии. Базельский комитет и банковские органы надзора во всем мире все большее внимание уделяют надежности СВК. Отчасти это вызвано существенными убытками, понесенными рядом банковских учреждений, которых можно было бы избежать в случае эффективности такой системы.