Проблема организации внутреннего контроля
Если руководство организации задумалось о создании системы внутреннего контроля, это говорит об определенной зрелости бизнеса. При достижении критического уровня операций, численности персонала, территориального рассредоточения вопрос организации регулярного контроля встает остро. В какой момент организационного роста выгоды от создания специализированного подразделения, службы внутреннего контроля превысят затраты на ее содержание? Попробуем проанализировать проблему организации внутреннего контроля и "примерить" на свою организацию этот новый инструмент управления.
Контроль - необходимая функция управления, как правило, заключительная, подводящая итог и оценивающая результаты предыдущих: планирования, организации и стимулирования. Руководитель любого уровня профессионально обязан осуществлять контрольные функции по отношению к своим подчиненным. На практике, к сожалению, контроль отодвигается на последнее место в системе управления - в силу того, что не имеет, как правило, быстрой отдачи. Наверняка бухгалтерские работники не раз наблюдали, как руководитель с удовольствием поддерживает вопросы расширения бизнеса и не проявляет заинтересованности, когда ему предлагают обсудить разного рода контрольные мероприятия. Справедливости ради отметим: вероятность наступления неблагоприятных последствий из-за низкого уровня контроля мала, что и объясняет пренебрежение к данной проблеме. Тем не менее ненадлежащий контроль обычно является одной из причин таких катастрофических последствий, как банкротство организации. Подтверждением тому выступает печальный мировой опыт: крах британского банка Barings в 1995 году из-за фальсификации отчетов трейдером, череда корпоративных скандалов 2001-2002 годов в Америке из-за подтасовки финансовой отчетности, среди которых выделяется банкротство американского энергетического гиганта Enron; убыток в 5 млрд. евро, который понес в 2008 году банк из-за финансовых афер трейдера. Безусловно, во всех названных компаниях существовал внутренний контроль, однако он дал серьезный сбой. Это свидетельствует, что наличия специализированной службы мало, должна быть высокая корпоративная культура контроля.
Место СВК в структуре организации
Независимо от наличия в структуре организации службы внутреннего контроля (далее - СВК) система контроля должна быть выстроена. Инициатором контроля и постоянным контролером в организации исторически выступает главный бухгалтер. Создание СВК ломает привычную иерархическую подчиненность в организации. Не является исключительным случай, когда СВК напрямую подчиняется Совету директоров, хотя более привычным является подчинение руководителю организации или его заместителю. Исходя их принятой иерархии СВК будет решать задачи, которые ставит перед ней непосредственный руководитель, тем самым охватывая более узкий или широкий фронт работ.
В чем специфические особенности СВК, которые надо учитывать при подборе кадров? СВК призвана контролировать риски в широком смысле этого слова. Профессиональных риск-менеджеров не так уж и много, и работают они в основном в финансовых структурах. На должность СВК могут выдвигаться из состава организации финансисты, сотрудники службы безопасности, IT-специалисты. Как таковые теоретические основы внутреннего контроля просты и в большей степени опираются на логику и здравый смысл. В области контроля важнее следовать установленным процедурам, чем быть "продвинутым" специалистом. И хотя недостаточная компетентность сотрудника СВК может стать причиной пропуска им ошибок и нарушений, регулярные контрольные процедуры повышают культуру управления организацией в целом.
Отметим организационные противоречия, связанные с наличием в структуре СВК. Руководитель СВК обладает высоким статусом, однако не несет уголовной, административной ответственности за действия организации; он не подписывает документы от имени организации. По правилам он не должен принимать участия в сделках, разрабатывать разного рода схемы. Другие работники могут вполне аргументированно настаивать на предварительном контроле разрабатываемых ими схем со стороны СВК, однако ее вовлеченность в планирование сделок делает этот участок непроверяемым в дальнейшем (сам себя проверить не сможешь). По мнению автора, данную проблему каждая организация решает сама. И хотя автору внутренне ближе та позиция, что СВК сопровождает текущие сделки и дает рекомендации, тем самым способствуя достижению общей цели - получению организацией прибыли, он согласен с тем, что такая форма работы создает дополнительные риски.
То, что обозначенная выше проблема "не высосана из пальца", подтверждает история взлета и краха аудиторской фирмы Arthur Andersen. На протяжении многих лет Arthur Andersen входила в число мировых лидеров в области аудита, имела безупречную репутацию и широкий круг клиентов. Как мы отметили выше, контроль много денег не приносит. С данной проблемой аудиторские компании успешно боролись путем развития консалтинга. В Arthur Andersen отделение налогового и бухгалтерского консультирования стало донорским подразделением, а аудиторы в большей степени несли репутационную нагрузку, не принося заметной прибыли. Созрел конфликт интересов: вначале консультанты участвовали в разработке схем клиентов и получали часть выгоды от их воплощения в жизнь, затем аудиторы выходили на проверку и вынуждены были оценивать труд своих коллег. Данная ситуация в конце концов привела к тому, что на проверяемые документы аудиторы смотрели "сквозь пальцы". Искажение бухгалтерской отчетности клиентами фирмы Arthur Andersen привело в 2001-2002 годах к краху таких "монстров" американского бизнеса, как Enron, WorldCom, Global Crossing, Merck. Когда регулятор обнаружил, что всех перечисленных банкротов связывает один и тот же аудитор - Arthur Andersen, его реакция поставила крест на аудиторском бизнесе компании. Спустя несколько лет после дисквалификации Arthur Andersen Верховный суд США счел принятые меры чрезмерными, но компания к жизни уже не вернулась.
Понятийный аппарат
Литература по контролю, в том числе нормативная, богата различными терминами. Для того чтобы исключить дальнейшие неясности, связанные с различным их толкованием, оговорим, что же они означают.
По мнению автора, наиболее полно понятие "внутренний контроль" отражено в материалах, разработанных комитетом COSO*(1), а именно в руководстве "Интегрированная концепция внутреннего контроля"*(2) (далее - Концепция COSO).
Согласно COSO внутренний контроль - это процесс, осуществляемый высшим органом предприятия, определяющим его политику (например, Советом директоров, который представляет владельцев компании), его управленческим персоналом высшего уровня (менеджментом) и всеми остальными сотрудниками, в достаточной и оправданной мере обеспечивающий достижение предприятием следующих целей:
- целесообразность и финансовая эффективность деятельности (включая сохранность активов);
- достоверность финансовой отчетности;
- соблюдение действующего законодательства и требований регулирующих органов.
Кроме Концепции COSO, безусловный интерес представляют рекомендации Базельского комитета*(3) "Система внутреннего контроля в банках: основы организации" (далее - Рекомендации БКБН), несмотря на то что они адресованы кредитным организациям. Неофициальный перевод данных рекомендаций был направлен для сведения заинтересованных лиц Письмом ЦБР от 10.07.2001 N 87-Т "О рекомендациях Базельского комитета по банковскому надзору". Базельский комитет последовательно реализует основные принципы COSO, формулируя цели внутреннего контроля аналогичным образом:
1) производственная и финансовая эффективность деятельности (производственно-финансовые цели);
2) надежность, полнота и своевременность финансовой и управленческой информации (информационные цели);
3) соблюдение действующих законодательных и нормативных актов (комплаенс-цели).
Производственно-финансовые цели ставятся для того, чтобы сотрудники организации стремились к эффективному и честному решению поставленных задач, избегая непродуманных или чрезмерных расходов и не ставя другие интересы (например, свои, партнера или клиента) выше интересов организации.
Информационные цели затрагивают подготовку своевременных, достоверных и адекватных отчетов, необходимых для принятия управленческих решений, а также прочей финансовой отчетности для акционеров, надзорных органов и сторонних организаций.
Цели в сфере комплаенса касаются соблюдения положений действующего законодательства, требований надзорных органов, а также документов, определяющих внутреннюю политику и процедуры организации.
Понятие "контроллинг" (нем. controlling, управление) обязано своим появлением немецким ученым-управленцам. Контроллинг - это система обеспечения выживаемости предприятия в двух аспектах: краткосрочном - оптимизация прибыли и долгосрочном - сохранение и поддержание гармоничных отношений и взаимосвязей данного предприятия с окружающими его сферами (природной, социальной, хозяйственной*(4)). Контроллинг, таким образом, представляет собой, скорее, систему управления, поскольку не ограничивается рамками внутреннего контроля.
Комплаенс (англ. compliance, соответствие) - это контроль за операциями кредитных организаций на финансовых рынках. В настоящее время контроль комплаенс-рисков осуществляется не только в банках, но и на предприятиях других отраслей, дорожащих своей репутацией перед контрольными органами, клиентами, инвесторами и другими деловыми партнерами. Как видно из рассмотренной выше Концепции COSO, комплаенс является составной частью внутреннего контроля.
Уроки внутреннего контроля
Концепция COSO и Рекомендации БКБН основываются на печальном опыте ошибок и злоупотреблений, а также на анализе причин, которые привели к тяжелым последствиям. В Рекомендациях БКБН содержится обзор причин, приведших к реализации рисков*(5). Наибольшую пользу данный обзор несет собственникам бизнеса и руководителям, так как залогом надлежащего уровня контроля выступает в первую очередь внутрикорпоративная культура, то есть область, которая находится в компетенции высшего звена. Базельский комитет особо отметил: менеджмент может ослабить культуру контроля, если будет поощрять и продвигать по службе руководителей подразделений, успешных с точки зрения получения прибыли, невзирая на то, что они не выполняют правил внутреннего контроля и не решают проблем, выявляемых сотрудниками службы внутреннего аудита. В глазах других сотрудников такие действия означают, что внутренний контроль занимает второстепенное место по сравнению с другими целями организации, что ослабляет желание сотрудников поддерживать на должном уровне культуру контроля*(6).
Далее в развитие своей позиции Базельский комитет выделяет как зону риска те участки работы, которые приносят организации нехарактерно высокую прибыль. Финансовый постулат гласит: где сверхприбыль, там и неприемлемый уровень риска. Однако об этом все забывают, видя высокие показатели прибыли в отчетах; успех кружит голову, давая надежды на блестящее будущее и притупляя чувство опасности. Когда все празднуют победу, СВК должна проявить озабоченность и проанализировать причины получения высоких доходов. Как правило, подразделения, которые позднее потерпели существенные убытки, сообщали о прибыли, значительно превосходящей ожидаемую по сравнению с декларируемым уровнем риска, что должно было бы встревожить руководство. Однако, поскольку отклонения от ожидаемых результатов были положительными, руководство не требовало разъяснений и не проводило расследований до тех пор, пока проблемы не вырастали до неуправляемых масштабов*(7).
Возвращаясь к примерам с убытками, которые понесли банки Barings и Societe Generale, отметим, что оба провинившихся трейдера входили в число блестящих сотрудников, демонстрировали потрясающие результаты. Когда трейдеры не смогли соответствовать заданной ими же самими высокой планке, они стали решать проблемы путем сокрытия информации о реальном положении дел и подтасовок в отчетах. Повторимся, непоправимой бедой может обернуться не только искажение отчетности. Даже достоверно отраженные данные о сверхдоходах чреваты последующими убытками на том основании, что работа переместилась в недопустимую зону риска.
Самой распространенной причиной злоупотреблений со стороны персонала является игнорирование при построении бизнес-процессов принципа разделения полномочий. Заключать сделку и документировать ее должны разные лица, также недопустимо, чтобы учет и контроль сделок совершало одно лицо. Как только мы начинаем получать подтверждение правильности остатков счетов от своих подчиненных, мы выпускаем контроль из рук, открывая дорогу хищениям. Учет и сверку расчетов должно осуществлять не заинтересованное в сделке лицо, каким в классической схеме управления выступает бухгалтер. Последний не проводит переговоров с контрагентом, не принимает товар, не договаривается о скидках и т.д. Неслучайно внешние аудиторы при сверке счетов запрашивают информацию от контрагентов проверяемого лица напрямую на свой адрес (факс). Это не является признаком недоверия к конкретному клиенту, это стандарт, "выстраданный" многолетней историей аудита.
Во всех известных автору случаях хищений и злоупотреблений присутствовало совмещение функций, в частности не было бухгалтерского контроля остатков счетов. В одном случае нарушение могло быть выявлено раньше, если бы сотрудник СВК обладал достаточной квалификацией. Имея сомнения, он не поделился ими с главным бухгалтером, полагаясь на высокий профессионализм проверяемого сотрудника. Последний же всячески подчеркивал свою занятость, тем самым вызывая у неопытного сотрудника СВК желание поскорее завершить проверку. Кстати, отметим, что уклонение от посвящения в "свои дела" со стороны проверяемого лица может служить сигналом: что-то неблагополучно!
Внутреннему контролю - быть!
Введение в кадровый состав сотрудника, ответственного за контроль, или создание СВК может быть продиктовано следующими основными причинами:
1) понимание руководством значения внутреннего контроля для развития организации;
2) требования надзорных органов (таким способом был внедрен внутренний контроль в кредитных организациях);
3) требования инвесторов при привлечении иностранных займов или размещении акций на зарубежных биржах.
В зависимости от причин формирования СВК будут соответствующие ожидания: от возложения на нее ответственности за состояние внутреннего контроля до формального наличия с поручением ей иных, не связанных с контролем, задач.
Рассмотрим ситуацию, в которой руководитель анализирует альтернативные варианты организации внутреннего контроля и выделяет финансирование на эти мероприятия. Создать СВК (хотя бы в лице одного сотрудника) или распределить обязанности среди руководителей высшего и среднего звена? Если контроль является исключительной трудовой обязанностью сотрудника СВК, то вполне можно ожидать, что процесс будет регулярным. Если же функции распределены между другими сотрудниками, то, скорее всего, до контроля "руки доходить не будут". Получить от подчиненных ответ на вопрос: "Что вы осуществили за последний месяц из контрольных мероприятий?" - руководителю вряд ли удастся, и не исключено, что он сам забудет о контроле. Сказанное не упрек в адрес руководителей, они психологически "заточены" на успех, обладают склонностью к риску, что сделало их лидерами и является основой процветания бизнеса. Речь, скорее, идет об объективных противоречиях, которые удается разрешить путем введения в штат сотрудника, отвечающего только за контроль.
Если в вашей организации основные контрольные функции сосредоточены в руках главного бухгалтера, то будет полезным ознакомиться с обобщенным опытом ошибок*(8) и привести бизнес-процессы в организации в соответствие с минимальными требованиями, которые продекларированы COSO и Базельским комитетом. Конечно, таким образом вы не защитите свою организацию от всех видов рисков, но сможете ценой "малой крови" решить важнейшие задачи, а именно: закрыть лазейки для недобросовестных работников и регулярно обращать внимание руководства на зоны риска. И главное, нельзя забывать, что принцип разделения полномочий - основной столп системы внутреннего контроля!
* * *
В заключение - несколько слов об атмосфере, которую желательно создать при внедрении системы контрольных мероприятий. Чтобы защита от нечестности (возможной, но не обязательной!) не привела к установлению угнетающего климата в коллективе, введение новых процедур должно быть более-менее комфортным для персонала. Если раньше сотрудника никогда не проверяли по какому-либо вопросу, начало контроля он будет воспринимать как признак недоверия к нему. Как следствие, возможны охлаждение к работе, падение производительности труда, текучка кадров. Поэтому хорошо иметь повод для проведения контрольных процедур, например рекомендации внешних аудиторов, принятие регламентов Советом директоров, введение в штат должности сотрудника СВК, требование банка для получения кредитов и т.д. От морально-психологической атмосферы в коллективе зависит, "приживется" контроль или нет, а потому не стоит компрометировать эту функцию управления в глазах сотрудников.
О.Е. Орлова,
эксперт журнала "Актуальные вопросы бухгалтерского учета и налогообложения"
"Актуальные вопросы бухгалтерского учета и налогообложения", N 6, март 2012 г.
-------------------------------------------------------------------------
*(1) COSO (англ. The Committee of Sponsoring Organizations of the Treadway Commission, Комитет организаций-спонсоров Комиссии Тредвея) - добровольная частная организация, созданная в США и предназначенная для выработки рекомендаций для корпоративного руководства по важнейшим аспектам организационного управления, деловой этики, финансовой отчетности, внутреннего контроля, управления рисками компаний и противодействия мошенничеству.
*(2) Материалы COSO опубликованы на сайте организации www.coso.org.
*(3) Базельский комитет по банковскому надзору является комитетом органов банковского надзора, который был создан управляющими центральных банков стран "большой десятки" в 1975 году. Он состоит из представителей высших должностных лиц органов банковского надзора и центральных банков Бельгии, Канады, Франции, Германии, Италии, Японии, Люксембурга, Нидерландов, Швеции, Швейцарии, Великобритании и США.
*(4) Майер, Э. Контроллинг как система мышления и управления / Э. Майер - М.: Финансы и статистика, 1993.
*(5) Приложение II "Уроки в области надзора, извлеченные из ошибок внутреннего контроля" Рекомендаций БКБН.
*(6) Пункт 2 раздела А приложения II "Уроки в области надзора, извлеченные из ошибок внутреннего контроля" Рекомендаций БКБН.
*(7) Пункт 8 раздела В приложения II "Уроки в области надзора, извлеченные из ошибок внутреннего контроля" Рекомендаций БКБН.
*(8) Приложение II "Уроки в области надзора, извлеченные из ошибок внутреннего контроля" Рекомендаций БКБН.
Если вы являетесь пользователем интернет-версии системы ГАРАНТ, вы можете открыть этот документ прямо сейчас или запросить по Горячей линии в системе.
Журналы издательства "Аюдар Инфо"
На страницах журналов вы всегда найдете комментарии и рекомендации экспертов, ответы на актуальные вопросы, возникающие в процессе вашей работы. Авторы - это аудиторы-практики, налоговые консультанты и работники налоговых служб, они всегда подскажут вам, как правильно строить взаимоотношения с налоговой инспекцией, оптимизировать налоги законным путем, помогут разобраться в новом нормативном акте, применить его на практике и избежать ошибок в работе.
Издатель: ООО "Аюдар Инфо"