Система внутреннего контроля как инструмент повышения достоверности финансовой отчетности (Е.В. Остренко, журнал "Бухгалтерский учет", N 1, январь 2016 г.)

Система внутреннего контроля как инструмент повышения достоверности финансовой отчетности

Е.В. Остренко,

АССА, заместитель директора департамента

экономики и финансов ООО "УК Интергео"

Журнал "Бухгалтерский учет", N 1, январь 2016 г., с. 87-90.

Рассмотрены вопросы, связанные с построением системы внутреннего контроля для выполнения требований регуляторов и финансовых институтов к финансовой отчетности публичных компаний с целью повышения прозрачности и эффективности бизнес-процессов.

Основы построения системы внутреннего контроля

Архитектура системы внутреннего контроля (далее - СВК) состоит из следующих элементов:

- контрольная среда (внутренние условия функционирования компании, определяемые общими правилами управления компанией, коммуникациями между персоналом, документооборотом и регламентами, регулирующими осуществление производственных функций);

- учетная система (подготовка финансовой отчетности в компании, учетной политики, методик, программного обеспечения, регламентов работы соответствующих подразделений и т.д.);

- контрольные процедуры (систематизированные мероприятия по предотвращению либо идентификации искажения данных отчетности и данных о хозяйственных операциях).

Все указанные выше элементы СВК связаны между собой и не могут рассматриваться отдельно. Соответственно, СВК в отношении финансовой отчетности должна затрагивать не только процедуры, относящиеся непосредственно к учетной функции, ведению учетных регистров и подготовке отчетности, но и все процессы и хозяйственные операции, результатом которых будут бухгалтерские записи.

Чтобы СВК позволила выполнять поставленные задачи, нужно проработать основные параметры системы: дизайн контроля, операционную эффективность контроля.

Дизайн контроля

Этим термином обозначается то, каким образом контроль функционирует. Главная задача СВК в сфере подготовки финансовой отчетности - минимизация рисков искажения данных, представленных в ней. Контроль должен быть разработан таким образом, чтобы обеспечить идентификацию ошибок и предотвращение искажения.

Соответственно, можно выделить виды контроля, направленные на предотвращение искажений (превентивный контроль) и на фиксацию искажений (детективный контроль - от англ. detection - обнаружение).

Исходя из дизайна можно выделить следующие основные виды превентивного контроля:

- авторизация (предполагает, что какая-либо транзакция осуществляется после физической авторизации). К примеру: платежное поручение направляется в банк только при наличии подписи руководителя компании и главного бухгалтера; счет поставщика оплачивается лишь после утверждения (визирования подписью ответственных лиц). В отношении финансовой отчетности авторизация означает, в частности, подписание отчетности руководителями компании, как подтверждение, что нет возражений относительно ее показателей. Еще один пример: электронное визирование бухгалтерских записей;

- управление доступом (в первую очередь касается ограничения доступа к бухгалтерским данным (системам)). К примеру, доступ к просмотру и редактированию блока программы, где ведется расчет заработной платы, предоставляется только бухгалтеру, который осуществляет расчет. Еще один пример: прекращение доступа к редактированию данных в закрытом бухгалтерском периоде, отчетность по которому уже выпущена;

- разделение полномочий. В частности, разделение функции по авторизации и физического осуществления транзакции. Например, руководитель имеет физическую возможность авторизовать платежное поручение, но не имеет доступа к бухгалтерским регистрам и не может внести в бухгалтерские книги данные о платеже. И наоборот, бухгалтер, вносящий данные о платеже в бухгалтерские регистры, не вправе осуществлять эти платежи в системе "Клиент-Банк".

Еще один вид контроля - независимая проверка - предполагает, что после совершения транзакции и ее отражения в учете бухгалтерские записи проверяет независимое лицо. Например, бухгалтер формирует записи по начислению амортизации, а главный бухгалтер (либо внутренний аудитор) проверяет правильность расчета амортизации. Этот вид контроля является детективным, другими словами, направленным на выявление ошибок в уже отраженных операциях.

С точки зрения технической реализации дизайн контроля может быть "ручным" или автоматизированным. "Ручной" контроль предполагает, в частности: визирование документов ответственными лицами перед осуществлением транзакции (например, подпись ответственного лица ставится на счете поставщика перед передачей счета на оплату); проверку бухгалтерских записей независимым лицом, не отвечающим непосредственно за подготовку какого-либо регистра; сверку расчетов с контрагентами, оформляемую соответствующим актом.

Автоматизированный контроль включает: регулирование доступа к бухгалтерским системам; авторизацию бухгалтерских операций (т.е. транзакция регистрируется в системе лишь после авторизации уполномоченным лицом); блокировку от изменения бухгалтерских регистров по предыдущим отчетным периодам; создание резервных копий бухгалтерских данных.

Термин "операционная эффективность контроля" означает следующее: контроль работает так, как было задумано, и выполняется на регулярной основе; существуют доказательства выполнения контрольных процедур в привязке к каждому исполнителю, вовлеченному в разработанную систему контроля; применяются регламентированные процедуры по выявлению недостатков системы и их устранению.

Искажения данных отчетности могут быть следствием ошибки или намеренных действий. Соответственно, контроль и контрольная среда должны быть продуманы так, чтобы минимизировать риски искажения и вследствие ошибки, и из-за намеренных недобросовестных действий. Это значит, что для разработки дизайна системы внутреннего контроля понадобится анализ областей, где присутствует риск искажения данных. Вся работа по СВК строится исходя из идентификации рисков, их анализа с точки зрения вероятности (высокая, средняя, низкая), а также их существенности, исходя из объема возможного искажения данных (материальное либо нематериальное искажение).

Материальным считается искажение, способное повлиять на принятие решений пользователями отчетности либо привести к существенным последствиям (например взиманию штрафов за неправильное начисление налогов, лишению лицензии на какую-то деятельность в связи с нарушением соответствующего законодательства).

Контроль должен быть построен так, чтобы обеспечить достоверное представление отчетности во всех существенных аспектах. Обычно под этим подразумеваются следующие характеристики:

- полнота отражения операций в учете и отчетности. Это означает, что все операции, относящиеся к текущему отчетному периоду, отражены в отчетности. Например, работы выполнены в декабре текущего года, а акт выполненных работ подписан в январе следующего года, однако в нем указано, что работы проводились в декабре. Соответственно, расходы по работам, указанным в акте, должны быть отражены в декабре текущего отчетного периода;

- наличие, реальное существование фактов хозяйственной деятельности. Это, прежде всего, выражается в наличии подтверждающих документов по отраженным в учете операциям (договоры, акты, накладные, постановления регулирующих органов и т.д.);

- правильность и точность расчета показателей отчетности. Например, это может означать, что амортизация рассчитана в соответствии с учетной политикой и бухгалтерскими стандартами (к примеру, метод амортизации пропорционально выпуску продукции применен методологически правильно, или оценка себестоимости запасов, списанных в производство, рассчитана в соответствии с методикой определения средней себестоимости);

- оценка показателей отчетности. Это означает, что активы, обязательства, доходы и расходы представлены в отчетности на основании стоимостной оценки, соответствующей правилам учета. Например, гудвилл отражен с учетом возможного обесценения, или финансовые активы отражены по справедливой стоимости, или резерв по налоговым рискам включает полную оценку возможных расходов по уплате штрафов, пеней и т.д.;

- обязательства и права, которые означают, что в отчетности учтены все имеющиеся обязательства, в том числе условные, а также то, что активы отражены с учетом имеющихся на них у компании прав (например, в отчетности в качестве актива учтены активы по долгосрочным договорам аренды). Также на все отраженные в учете активы у компании есть соответствующие права; например, активы, отраженные по договорам аренды, относятся к договорам, представляющим финансовую, а не операционную аренду;

- представление показателей в отчетности [должны быть представлены все основные формы (Отчет о финансовом положении, Отчет о совокупном доходе, Отчет об изменении капитала, Отчет о движении денежных средств) и все пояснения к ним, а также раскрыта вся информация, раскрытия которой требуют бухгалтерские стандарты].

Перечисленные характеристики часто обозначают в специализированной литературе аббревиатурой CEAVOP.

Организация системы внутреннего контроля

Хозяйственные операции с точки зрения СВК осуществляются в рамках определенных бизнес-процессов (функционально взаимосвязанных мероприятий, осуществляемых персоналом компании для достижения ее целей). Для эффективной работы СВК нужно, чтобы контроль велся не только на этапе внесения данных в бухгалтерские книги, но и на всех этапах осуществления хозяйственных операций. Также необходимо наличие прозрачной и эффективной контрольной среды во всех ключевых бизнес-процессах. Соответственно, выстраивание СВК должно начинаться с анализа бизнес-процессов, где осуществляются хозяйственные операции, влияющие на контрольную среду.

Анализ бизнес-процессов

Для этого необходимо выделить главные бизнес-процессы в компании, которые непосредственно влияют на контрольную среду и являются наиболее важными для функционирования компании.

При выделении существенных бизнес-процессов следует исходить как из материальных параметров (к примеру, количества операций), так и из значимости для функционирования компании. Например, для торговой компании значимым будет управление товарно-материальными ценностями, в то время как для IT-компании данный бизнес-процесс не является ключевым.

Очевидно, что состав бизнес-процессов может отличаться в каждой компании, но есть ряд таких, что присутствуют в любой сфере деятельности: общекорпоративное управление, управление персоналом и расчеты по оплате труда, управление денежными средствами, расчеты с поставщиками, расчеты с покупателями и заказчиками, подготовка финансовой отчетности, информационные технологии.

Остановимся подробнее на бизнес-процессе "Общекорпоративное управление". Он с точки зрения СВК включает в себя деятельность, создающую контрольную среду, т.е. условия, в которых рассматриваемая система функционирует. Это включает, в частности, стиль и принципы управления компанией; принципы управления рисками; организационную структуру управления; распределение ответственности и полномочий; кадровую политику и принципы управления персоналом; вопросы этики, профессионального поведения; политику в области коммуникаций внутри компании (например от низшего звена управления к высшему звену).

Выявление и анализ рисков

Поскольку главная цель СВК в сфере подготовки финансовой отчетности - предотвращение или снижение риска искажения ее показателей, следующим этапом построения СВК является выявление и анализ рисков.

Каждый из бизнес-процессов, выделенных на первом этапе как существенный, анализируется с точки зрения основных рисков, присутствующих в бизнес-процессе. Далее оценивается степень влияния выявленных рисков на финансовую отчетность, а также вероятность возникновения ошибки.

Для выявления рисков проводится описание бизнес-процесса путем интервьюирования сотрудников, занятых в этом бизнес-процессе, а также анализ документации, которая в нем используется. Иначе говоря, описывается, как этот процесс работает, кто в нем задействован, кто и за что отвечает и какие действия выполняет, как эти действия фиксируются документально, и анализируется документооборот по бизнес-процессу. Например, при анализе бизнес-процесса "Управление денежными средствами" проводится интервьюирование кассиров, главного бухгалтера, финансового директора, бухгалтера, отвечающего за учет на участке "Денежные средства". При этом анализируются также документы, формирующиеся при осуществлении операций с денежными средствами.

Следующим этапом является выявление существующих видов контроля, направленных на минимизацию или предотвращение риска.

Виды контроля анализируются с точки зрения их дизайна. Если в процессе анализа выявляются слабые места в дизайне контроля или обнаруживаются риски, не покрытые контролем, разрабатываются изменения к дизайну либо вводятся дополнительные виды контроля.

Результатом анализа рисков и существующего контроля является построение так называемой матрицы рисков и контроля.

Отметим, что выявленные недостатки контроля нужно исследовать на предмет их существенности. Так, если объем операций по какой-то проблемной области невелик и его увеличение не планируется, то нет смысла тратить время на контрольные мероприятия в этой области.

После того как матрица составлена и выработаны рекомендации по изменению существующего контроля, должны быть проведены мероприятия по внедрению рекомендаций: разработка форм внутренних документов, предусмотренных в рекомендациях; внесение изменений в IT-систему (например добавление новых пользователей с правами только на просмотр, т.е. с "аудиторской" функцией без права внесения изменений в записи), в структуру прав существующих пользователей, в другие настройки системы; перераспределение обязанностей и полномочий сотрудников; формализация процедур авторизации операций.

Чтобы процедуры контроля выполнялись регулярно (другими словами, чтобы операционная эффективность контроля была высокой), необходимо все задокументировать в виде регламентов по каждому из проанализированных бизнес-процессов исходя из функциональности.

Например, процесс "Общекорпоративное управление" должен включать политику и регламенты высшего и общего уровня: кодекс этики в компании; регламент формирования и работы аудиторского комитета; регламент по кадровой политике, подбору персонала; политику конфиденциальности; регламент оценки рисков в компании; регламент коммуникаций о нарушении правил компании, конфиденциальности и т.д.; документы, определяющие лимиты полномочий руководителей разного уровня по финансовым вопросам (например лимит утверждения оплаты расходов); регламенты, определяющие полномочия органов управления (например положение о совете директоров).

Регламенты по бизнес-процессу "IT" должны покрывать следующие вопросы: доступ к информации; сохранение и резервное копирование данных; обновление IT-систем; защиту от несанкционированного копирования; удаление пользователей из системы.

Регламенты по бизнес-процессу "Подготовка финансовой отчетности" должны охватывать как минимум такие области, как: формирование учетной политики; изменение плана счетов; порядок закрытия бухгалтерских книг за отчетный период; порядок анализа изменений в законодательстве; распределение обязанностей и полномочий между финансовой и бухгалтерской службами; сверку с внешними контрагентами и с компаниями группы (при консолидации); проверку отчетности перед ее выпуском.

В целом регламенты должны отражать: полномочия и обязанности соответствующих сотрудников соответствующих подразделений; документооборот; порядок внесения изменений в регламенты; сроки и порядок хранения документации; детальное описание контрольных процедур и периодичность их выполнения.

Аудиторский след в контроле

Важным является наличие аудиторского следа в контроле (использованный термин означает, что контрольные процедуры фиксируются документально). Помимо собственно обычных первичных документов, с которыми работает бухгалтерия и которые содержат подписи уполномоченных лиц, подтверждающие авторизацию транзакции, потребуются внутренние документы, которые будут фиксировать выполнение процедур. Такими документами могут быть проверочные листы, содержащие контрольные вопросы о выполнении процедур, предусмотренных регламентами, а также подписи исполнителя и лица, осуществляющего проверку данного проверочного листа.

В контрольных листах обязательно должны быть указаны исполнитель и лицо, проверившее контрольный лист, дата заполнения и проверки листа.

Регламенты по внутреннему контролю и все внутренние формы документов к нему должны быть утверждены руководством. Для этого должен существовать отдельный регламент по утверждению регламентов и принятию изменений к ним. Также все регламенты должны быть доведены до сведения соответствующих подразделений, желательно оформить это подписями соответствующих сотрудников подразделений.

Автоматизированный контроль

Важной составляющей СВК является IT-система, используемая компанией.

После разработки дизайна СВК и ее внедрения важно обеспечить операционную эффективность СВК и постоянное выполнение контрольных процедур. Для этого необходимо документировать выполняемые процедуры и проводить мониторинговые мероприятия.

Как правило, мониторинг выполняет служба внутреннего аудита. В ее отсутствие определенные мониторинговые мероприятия могут проводиться финансовой службой. Мониторинг должен включать как полноту и постоянство выполнения контрольных процедур, так и периодический анализ соответствия существующих процедур актуальным рискам и бизнес-процессам, поскольку бизнес-процессы и риски могут с течением времени изменяться.

Резюмируя, можно выделить следующие основные моменты, влияющие на эффективность работы СВК.

Во-первых, система должна охватывать все ключевые бизнес-процессы компании, а не только непосредственно процесс подготовки отчетности. Соответственно, построение СВК должно начинаться с анализа бизнес-процессов.

Во-вторых, контроль строится на основе матрицы рисков и разрабатывается таким образом, чтобы снизить риски искажения отчетности. При этом должно учитываться, на какие характеристики отчетности влияют конкретный риск и конкретный бизнес-процесс.

В-третьих, каждый вид контроля должен быть продуман с точки зрения его дизайна, т.е. изначальной способности минимизировать риски, при условии, что все контрольные процедуры выполняются, как задумано. Предпочтение по возможности должно отдаваться превентивному автоматизированному контролю.

В-четвертых, дизайн контроля должен быть задокументирован в регламентах, которые должны содержать детальное описание контрольных процедур, полномочия и обязанности вовлеченных лиц, формы документов, используемых в контрольных процедурах, а также график документооборота.

В-пятых, для обеспечения операционной эффективности СВК все контрольные процедуры должны документироваться. Необходимы мониторинговые мероприятия, направленные на проверку постоянства выполнения контрольных процедур.

В шестых, мониторинг должен включать периодический анализ СВК на предмет устаревания дизайна, т.е. определение степени соответствия действующих видов контроля актуальным бизнес-процессам.

Литература

1. National intstrument 52-109 - Certification of Disclosure in Issuers' Annual and Interim Filings // http://www.osc.gov.on.ca (дата обращения 27 октября 2015 г.).

2. Sarbanes-Oxley Act // http://www.soxlaw.com (дата обращения 27 октября 2015 г.).

3. International standard on auditing 240 "The Auditor's Responsibilities Relating to Fraud in an Audit of Financial Statements" // https://www.frc.org.uk (дата обращения 27 октября 2015 г.).