Общие принципы организации системы внутреннего контроля (Н.А. Одегова, "Аудитор", N 12, декабрь 2013 г.)

Общие принципы организации системы внутреннего контроля

В статье приведены отечественные и зарубежные определения понятия "внутренний контроль", рассмотрены основные цели внутреннего контроля, а также общие принципы и этапы организации системы внутреннего контроля.

С 1 января 2013 г. вступил в силу Федеральный закон от 06.12.11 N 402-ФЗ "О бухгалтерском учете" (далее - Закон N 402-ФЗ), который обязал организации осуществлять внутренний контроль над совершаемыми хозяйственными операциями [1, ст. 19]. Сегодня экономический субъект должен осуществлять контроль не только за составлением бухгалтерской (финансовой) отчетности и регистрацией фактов хозяйственной деятельности в бухгалтерском учете, но и за оформлением сделок, которые влияют на финансовый результат организации, за их экономической эффективностью и рациональностью. Появление данного пункта в Законе N 402-ФЗ свидетельствует о сближении российского порядка ведения бухгалтерского учета с международной практикой. Внутренний контроль должен стать неотъемлемой частью финансовой политики любой организации, вследствие чего вопросы по организации и внедрению системы внутреннего контроля являются актуальными для российской действительности.

Для российских организаций понятие внутреннего контроля является относительно новым (для некредитных организаций понятие "внутренний контроль" было введено только с 2013 г., а для кредитных организаций обязательство по ведению внутреннего контроля возникло в 1997 г. вследствие вступления в силу Положения ЦБ РФ от 28.08.97 N 509 "Об организации внутреннего контроля в банках", затем замененного на Положение от 16.12.03 N 242-П "Об организации внутреннего контроля в кредитных организациях и банковских группах") [2].

В США обязанность ведения внутреннего контроля была узаконена в 1977 г., а вот рекомендация в отношении ведения внутреннего контроля звучала еще в Законе о ценных бумагах и биржах 1934 г. (например, Sec.15E, t3A, p. 239 "DUTIES OF BOARD OF DIRECTORS. - ... the board shall oversee the effectiveness of the internal control system". Обязанности совета директоров: Совет должен контролировать эффективность системы внутреннего контроля) [11].

В 1977 г. Конгрессом США был принят Федеральный закон "О борьбе с коррупцией во внешнеторговой деятельности 1977" (Foreign Corrupt Practices Act, "FCPA"), который обязал акционерные общества разрабатывать и поддерживать систему внутреннего контроля, которая бы обеспечивала разумную гарантию относительно надежности подготовки финансовой отчетности в соответствии с общепринятыми бухгалтерскими учетными принципами (Generally Accepted Accounting Principles - GAAP) [7]. Закон Сарбейнса - Оксли (Sarbanes - Oxley Act) от 2002 г. добавил положение, применимое к большинству акционерных обществ, которое обязывало ежегодно оценивать эффективность системы внутреннего контроля и отчитываться перед общественностью по результатам оценки системы [12].

Некоторые рекомендации закона Сарбейнса - Оксли можно применить и к организациям, работающим с долговыми финансовыми вложениями, которые не обращаются на биржах. В частности, для усиления контроля над деятельностью таких организаций рекомендуется обязать их прикладывать к годовой финансовой отчетности Отчет об эффективности системы внутреннего контроля.

В российской действительности существует риск, что подобный Отчет станет просто формальным, особенно в организациях, которые не обязаны проводить ежегодный аудит (ведь по результатам проверки аудитора мог бы быть сделан вывод о реальности и достоверности Отчета).

Рассмотрим, что именно подразумевают в отечественной и зарубежной практике под термином "внутренний контроль" (табл. 1).

Таблица 1

Понятия "внутренний контроль" в российской и зарубежной практике

Источник	Определение
Доклад COSO (утвержден Комитетом организаций-спонсоров Комиссии Тредвея - The Committee of Sponsoring Organizations of the Treadway Commission)	Внутренний контроль - процесс, осуществляемый советом директоров организации, менеджментом, другим персоналом, предназначенный для обеспечения разумной гарантии достижения целей в следующих категориях: эффективность и результативность операций; надежность финансовой отчетности; соблюдение соответствующих законов и правил [6]
8-я Директива Евросоюза, ст. 41 (Guidance on the 8th EU Company Law Directive article 41)	Внутренний контроль - процесс, обусловленный организационной структурой, распределением потоков власти и обязанностей, людскими ресурсами и управленческими информационными системами и разработанный с тем, чтобы помочь организации достигнуть определенных целей и минимизировать вероятность наступления нежелательных событий. Внутренний контроль играет важную роль в предотвращении и обнаружении мошенничества, защите ресурсов организации и уменьшении отрицательных воздействий различных обязательств [9]
Американский Центр аудита качества (Center for Audit Quality, SAQ)	Внутренний контроль включает все процессы и процедуры, которые использует управление для того, чтобы удостовериться, что активы организации защищены и что все действия компании осуществляются в соответствии с политикой и процедурами организации [8]
Международный стандарт аудита (МСА) 315 "Знание субъекта и его среды, оценка рисков существенных искажений"	Внутренний контроль является процессом, разработанным и осуществляемым лицами, наделенными руководящими полномочиями, руководством субъекта и прочим персоналом для представления разумной уверенности в достижении целей субъекта в отношении надежности финансовой отчетности, эффективности функционирования и соответствия установленным законам и регулированию. Внутренний контроль разрабатывается и внедряется с целью выявления бизнес-рисков, мешающих достижению любой из этих целей [3, п. 42]
Канзасский государственный университет	Внутренний контроль состоит из всех мер, принятых организацией с целью: защиты ее ресурсов против мошенничества и неэффективности, обеспечения точности и надежности бухгалтерского учета и первичной учетной информации, обеспечения соблюдения требований, установленных политикой организации, оценки уровня исполнения во всех подразделениях организации [10]
Федеральное (правило) стандарт аудиторской деятельности (ФПСАД) N 8 "Понимание деятельности аудируемого лица, среды, в которой она осуществляется, и оценка рисков существенного искажения аудируемой финансовой (бухгалтерской) отчетности"	Система внутреннего контроля представляет собой процесс, организованный и осуществляемый представителями собственника, руководством, а также другими сотрудниками аудируемого лица, для того чтобы обеспечить достаточную уверенность в достижении целей с точки зрения надежности финансовой (бухгалтерской) отчетности, эффективности и результативности хозяйственных операций и соответствия деятельности аудируемого лица нормативным правовым актам. Это означает, что организация системы внутреннего контроля и ее функционирование направлены на устранение каких-либо рисков хозяйственной деятельности, которые угрожают достижению любой из этих целей [4, п. 41]

Из приведенных определений следует, что и в отечественной, и в международной практике под внутренним контролем подразумевают процесс, осуществляемый всеми сотрудниками организации для достижения определенных целей, как то: минимизация рисков, сохранность активов, достижение стратегии бизнеса и пр. Основные цели внутреннего контроля представлены в табл. 2.

Таблица 2

Основные цели внутреннего контроля

Цели осуществления внутреннего контроля
Реализация эффективного ведения финансово-хозяйственной деятельности	Управление внутренними и внешними рисками	Соблюдение законодательства и представление достоверной бухгалтерской отчетности	Сохранность ресурсов и управление ими для достижения стратегических целей

Система внутреннего контроля представляет собой совокупность органов внутреннего контроля и мероприятий внутреннего контроля. Мероприятия внутреннего контроля складываются из фаз внутреннего контроля (постоянный предварительный, постоянный текущий, периодический контроль) и направлений внутреннего контроля (входной, процессный, выходной контроль).

Ответственным за систему внутреннего контроля назначается руководитель организации (ст. 19 Закона N 402-ФЗ). Руководитель вправе делегировать часть своих полномочий по осуществлению системы внутреннего контроля подчиненным лицам. Обязанности сотрудников службы внутреннего контроля прописываются в Положении о системе внутреннего контроля.

В процессе внутреннего контроля должен участвовать каждый сотрудник организации. Характер работы, должностные обязанности регламентируют степень вовлеченности сотрудника в систему внутреннего контроля. Они фиксируются в должностных инструкциях и распорядительных документах, регламентируя, тем самым, персональную ответственность сотрудника за осуществление контрольных функций.

Система внутреннего контроля может создаваться в разрезе контроля за определенными бизнес-процессами. Бизнес-процесс, в классическом определении, является совокупностью видов деятельности, в рамках которой "на входе" используются один или более видов ресурсов, и в результате этой деятельности на "выходе" создается продукт, представляющий ценность для потребителя [5, c. 332]. Описание бизнес-процесса и изучение рисков, связанных с ним, является необходимым элементом при разработке системы внутреннего контроля в организации в целом. Если изучать риски, возникающие по подразделениям (т.е. основываясь на организационной структуре), а не по процессам, то существует вероятность пропуска рисков, возникших в результате внутриорганизационных конфликтов. Например, в бизнес-процесс вовлечены несколько подразделений, в этом случае при некорректном отражении полномочий подразделений возможен конфликт по поводу зон ответственности (кто ответственен за осуществление определенных операций либо оформление документов и т.п.). При анализе рисков только по подразделениям данные нестыковки и отклонения не будут выявлены, что, в свою очередь, приведет к неэффективности системы внутреннего контроля.

Что касается периодичности внутреннего контроля, то он может осуществляться в двух вариантах:

постоянный внутренний контроль, осуществляемый исполнителями бизнес-процесса в течение всего периода деятельности. Тип контроля - непрерывный. Проводится на всех управленческих и исполнительных уровнях вне зависимости от этапа выполнения хозяйственной операции (на этапах планирования, организации, исполнения и т.п.);

периодическая проверка (в зависимости от объема и необходимости может быть еженедельной, ежеквартальной, но не реже чем один раз в год) системы внутреннего контроля, проводимая ответственными лицами (независимыми от исполнителя бизнес-процесса и руководства организации). Периодическая проверка является, по сути, надстройкой над постоянным внутренним контролем, вследствие которой выявляются "слабые" стороны системы и по итогам которой могут быть разработаны рекомендации по улучшению.

По нашему мнению, процесс организации внутреннего контроля включает четыре этапа:

разработка: разрабатываются организационные и оценочные методики, мероприятия внутреннего контроля для определенных объектов, формируется порядок документального оформления процедур внутреннего контроля, подготавливается иерархия органов внутреннего контроля с описанием разграничения полномочий;

внедрение: разработанная система доводится до сведения персонала (при необходимости происходит обучение) и внедряется в текущую деятельность организации;

реализация: внутренний контроль непрерывно реализуется всеми субъектами, осуществляется постоянный мониторинг системы, исполняются контрольные процедуры, фиксируются возникшие отклонения;

оценка: происходит оценка эффективности системы внутреннего контроля за определенный период (посредством собственных или внешних сил). Эффективность системы внутреннего контроля подразумевает эффективность выбранной модели контроля и эффективность реализации (осуществления) контроля.

Внутренний контроль может осуществляться как собственными силами, так и с привлечением сторонних специалистов. В зависимости от размеров организации осуществлением внутреннего контроля могут заниматься как специально созданный для этих целей отдел, так и сам руководитель. Варианты осуществления внутреннего контроля на различных этапах его организации представлены в табл. 3.

Таблица 3

Варианты осуществления внутреннего контроля на различных этапах организации

Этап организации внутреннего контроля	Варианты осуществления
	Собственными силами	Аутсорсинг
Разработка	+	+
Внедрение	+	+
Реализация (осуществление)	+	-
Оценка	+	+

При принятии решения о создании системы внутреннего контроля необходимо руководствоваться принципами рациональности и экономической эффективности. При выборе варианта осуществления внутреннего контроля стоит учитывать такие факторы, как масштаб деятельности, размер затрат на организацию системы контроля, специфичность деятельности и пр. Например, если организация является субъектом малого предпринимательства, то организацию внутреннего контроля может осуществлять руководитель; если же у организации не хватает собственных ресурсов на разработку, организацию и оценку системы внутреннего контроля, то рациональнее может быть аутсорсинг. Если же деятельность организации имеет отраслевую специфику и связанные с этим бухгалтерские и налоговые особенности, то рекомендуется разрабатывать систему внутреннего контроля собственными силами.

Выводы

Понятие "внутренний контроль" может трактоваться с различных точек зрения (и как процесс, и как совокупность мер), но и в отечественной, и в международной практике подразумевается, что данный контроль осуществляется всеми сотрудниками организации на непрерывной основе и направлен на достижение текущих и стратегических целей организации. Организация системы внутреннего контроля включает четыре этапа и может реализовываться как собственными силами, так и с использованием услуг сторонних организаций. Оценка эффективности системы внутреннего контроля может осуществляться в виде как постоянного мониторинга, так и периодических проверок.

Список литературы

1. Федеральный закон от 06.12.2011 N 402-ФЗ "О бухгалтерском учете" (с изм. и доп., вступившими в силу с 02.11.2013).

2. Положение ЦБ РФ от 16.12.2003 N 242-П "Об организации внутреннего контроля в кредитных организациях и банковских группах" (с изм. и доп., вступившими в силу с 05.03.2009).

3. Международный стандарт аудита 315 "Знание субъекта и его среды, оценка рисков существенных искажений" / пер.: Международная федерация бухгалтеров. - 2006. - п. 42 [Электронный ресурс] // URL: http://online.zakon.kz/Document/ ?doc_id=30207830 #sub_id=4300 (дата обращения 17.10.2013).

4. Федеральное правило (стандарт) аудиторской деятельности N 8 "Понимание деятельности аудируемого лица, среды, в которой она осуществляется, и оценка рисков существенного искажения аудируемой финансовой (бухгалтерской) отчетности, утв. Постановлением Правительства РФ от 23.09.2002 N 696 (с изм. и доп., вступившими в силу с 27.01.2011).

5. Хаммер, M. Реинжиниринг корпорации: манифест революции в бизнесе / M. Хаммер, Д. Чампи. - СПб., 2000. - 332 с.

6. Сравнение концепций внутреннего контроля / Международный институт внутренних аудиторов. - 2007. - 18 янв. [Электронный ресурс] // URL: http://bankir.ru/tehnologii/s/sravnenie-koncepcii-vnytrennego-kontrolya-1 383854/#ixzz2jggQAbLq (дата обращения 30.04.2013).

7. A Resource Guide to the FCPA U.S. Foreign Corrupt Practices Act // the U.S. Department of Justice and the Enforcement Division of the U.S. Securities and Exchange Commission. - 14.11.2012. - p. 40 [Электронный ресурс] // URL: http://www.justice.gov/criminal/fraud/fcpa/ (дата обращения 12.11.2013).

8. Guide to Internal Control Over Financial Reporting// Center for Audit Quality [Электронный ресурс] // URL: http://www.thecaq.org/reports-and-publications/guidetoicfr/guide-to-inter nal-control-over-financial-reporting (дата обращения - 30.05.2013).

9. Guidance on the 8th EU Company Law Directive for boards and audit committees // FERMA, ECIIA. - article 41 р. 15 [Электронный ресурс] // URL: http://www.ferma.eu/wp-content/uploads/2011/09/eciia-ferma-guidance-on-th e-8th-eu-company-law-directive.pdf (дата обращения 25.09.2013).

10. Internal Controls // Kanzas State University. - 30.06.2003 [Электронный ресурс] // URL: http:// www.k-state.edu/internalaudit/intcontr.html (дата обращения 01.11.2013).

11. Securities Exchange Act of 1934 // U.S. Securities and Exchange Comission . - 10.08.2012. - p. 239 [Электронный ресурс] // URL: http://www.sec.gov/about/laws/sea34.pdf (дата обращения 24.06.2013).

12. The "Sarbanes - Oxley Act of 2002", An Act To protect investors by improving the accuracy and reliability of corporate disclosures made pursuant to the securities laws, and for other purposes // the Senate and House of Representatives of the United States of America. - 23.01.2002. - Sec. 404. - P. 45.

Н.А. Одегова,

аспирант кафедры "Управленческий учет" ФГОБУ

ВПО "Финансовый университет при Правительстве Российской Федерации"

"Аудитор", N 12, декабрь 2013 г.