Эффективность управленческих решений во многом зависит от достоверности бухгалтерской и управленческой отчетности. Искажение данных в отчетности может быть связано с ошибками обработки первичных документов, неверно выстроенными бизнес-процессами компании, недобросовестным поведением персонала. Внедрение системы внутреннего контроля позволит обеспечить надежность финансовой информации, а также снизить риски принятия ошибочных решений.

В этой статье вы узнаете:

Построение системы внутреннего контроля (СВК) предполагает определение наиболее существенных рисков (которые могут повлечь за собой финансовые потери), разработку контрольных процедур, а также создание системы тестирования эффективности контрольных процедур.

Личный опыт
Вера Трошина , заместитель генерального директора по экономике, коммерции и финансам ОАО «Азовский морской порт»
Система внутреннего контроля необходима как самостоятельным юридическим лицам, так и группам предприятий с централизованным управлением. Несмотря на то что в зарубежной практике СВК получила широкое распространение, немногие финансовые директора и первые лица российских предприятий осознают ее необходимость. Это объясняется тем, что эффект от внедрения процедур внутреннего контроля не всегда может быть получен мгновенно и поддается количественной оценке.
Для нашей компании решение использовать СВК было продиктовано необходимостью внедрения системы менеджмента качества (ISO 9000/2001). Первые результаты применения процедур внутреннего контроля были получены в области материально-технического снабжения, затраты на которое равны десяткам миллионов рублей (вторая наибольшая статья расходов бюджета компании). В итоге экономия составила порядка 5–8%.

Игорь Миронов , руководитель отдела внутреннего аудита компании SABMiller (ООО «ТрансМарк» и ООО «Калужская пивоваренная компания»)
Компания SABMiller внедряет документирование внутреннего контроля в рамках требований акта Sarbanes-Oxley (см. об этом законе справку. – Примеч. редакции).
Проект по сертификации СВК на соответствие положениям акта Sarbanes-Oxley в нашей компании рассчитан на период более двух лет и находится примерно на середине своего пути. Сейчас идет описание ключевых бизнес-процессов, идентификация рисков и документирование внутреннего контроля. На последующих стадиях будет проверяться эффективность контроля.
При организации СВК я бы посоветовал сфокусироваться на предупредительном (preventive control), а не последующем (detective control) контроле в компании. Затраты на предупредительный контроль в полной мере окупаются предотвращенными потерями.

Михаил Подлазов , финансовый менеджер компании «Балтик Бевериджиз Холдинг АБ» (Санкт-Петербург)
Система внутреннего контроля необходима компании в первую очередь для управления эффективностью работы подразделений. Она должна решать в компании пять основных задач:
- обеспечение надежности и достоверности информации;
- защита активов и собственности;
- эффективное использование ресурсов предприятия;
- обеспечение соответствия выполняемых работ политикам, процедурам и регламентам компании;
- помощь менеджерам в достижении целей и задач компании.

Условно процесс внедрения системы внутреннего контроля включает четыре основных этапа:
- определение направлений контроля;
- описание бизнес-процессов;
- анализ и контроль рисков;
- тестирование качества СВК. Остановимся подробнее на перечисленных этапах внедрения системы внутреннего контроля, а также проблемах, с которыми компания может столкнуться в ходе этой работы.

Определение контролируемых направлений деятельности

Внедрение системы внутреннего контроля следует начать с определения подразделений и направлений деятельности, для которых будут разрабатываться контрольные процедуры. Введение контрольных процедур во всех подразделениях и направлениях деятельности приведет к тому, что на реализацию подобного проекта потребуются значительные затраты, большая часть которых не окупится. К примеру, на производственном предприятии не имеет смысла внедрять методы контроля для отдела кадров. Как правило, СВК используется в отделах сбыта, снабжения, на производстве, в бухгалтерии и казначействе, то есть в тех структурных единицах, которые напрямую связаны с формированием отчетности, управлением денежными и товарно-материальными потоками в компании. Аналогично решается вопрос для группы компаний. Состав направлений деятельности предприятия, для которых будут внедрены контрольные процедуры, определяется экспертным путем. В качестве экспертов могут выступать руководители подразделений или генеральный директор компании, то есть те специалисты, которые обладают опытом и знанием бизнес-процессов, в большей степени подверженных различным рискам.

Личный опыт
Сергей Качалов , финансовый контролер компании «Аптека 36,6»
Система внутреннего контроля будет неполноценной, если не охватывает деятельность всех сотрудников компании независимо от выполняемых ими работ. Это позволяет управлять максимальным количеством рисков, которым подвержена деятельность компании.

После того как определены границы системы внутреннего контроля, составляется календарный план-график работ и формируется рабочая группа по разработке методов контроля. В ее состав можно порекомендовать включить внутреннего аудитора и специалиста по анализу и идентификации рисков, а также привлекать в качестве экспертов руководителей тех функциональных подразделений, для которых создаются процедуры контроля.

Описание бизнес-процессов

Для того чтобы выстроить эффективную СВК, нет необходимости описывать все бизнес-процессы подразделений, которые были отобраны для внедрения процедур внутреннего контроля. В такой ситуации СВК будет неоправданно громоздкой и неуправляемой. Для ограничения состава бизнес-процессов следует определить существенные счета. Таковыми являются счета бухгалтерского или управленческого учета, искажение информации по которым может ввести в заблуждение менеджмент компании или потенциальных инвесторов. Кроме того, это могут быть счета бухгалтерского учета, оборот за период по которым составляет более 10% по отношению к выручке компании. Для определения существенности счетов также могут использоваться экспертные оценки. К примеру, деятельность компании зависит от используемых ею патентов и лицензий, стоимость которых не превышает 5% валюты баланса. Тем не менее счета учета патентов и лицензий будут классифицированы как существенные, так как от эффективности контроля за этими активами будут зависеть результаты работы предприятия.
Следующим шагом в процессе построения системы внутреннего контроля должно стать описание бизнес-процессов, связанных с отражением информации на существенных счетах. Следует отметить, что описание бизнес-процессов должно быть максимально детальным и учитывать движение отдельных документов внутри компании 2

Личный опыт
Наталия Старцева , вице-президент по финансам компании «Гамма Менеджмент Групп» (Калининград)
Основной проблемой, с которой мы столкнулись при организации СВК в компании, было отсутствие или не очень внятное содержание внутренних стандартов и регламентов. Первой задачей работников службы внутреннего контроля стала разработка системы внутрифирменных стандартов. После утверждения таких стандартов, как положение о документообороте, положение о системе бюджетирования, учетная политика (отдельно для бухгалтерского и управленческого учета), регламент представления периодической финансовой отчетности совету директоров, положение о внутреннем аудите компании, – «правила игры» стали всем понятны, а служба внутреннего контроля получила реальный инструмент для организации своей работы.
Матричная система управления и прямая подотчетность службы внутреннего контроля совету директоров позволяют иметь оперативную и объективную информацию о соответствии деятельности компании действующим регламентам и корректировать действия менеджеров в случае их нарушения.

Основная задача, которая должна быть решена в ходе описания бизнес-процессов, - наглядное представление всех работ, выполняемых сотрудниками подразделений, для того чтобы в дальнейшем на основании этих данных определить участки, связанные с риском возникновения недостоверной информации или существенных финансовых потерь.

Анализ и контроль рисков

Бизнес-процессы компании анализируются на предмет существования рисков, которые могут привести к значительным финансовым потерям для компании 3 .

Личный опыт
Михаил Подлазов
Следует отметить, что внимание нужно уделять только тем рискам, которые действительно могут привести к существенным финансовым потерям, либо исказить финансовую или управленческую отчетность. В моей практике был случай, когда внутренний аудитор настаивал на том, что хранение запасных частей на одном из складов связано с риском их утери из-за щелей в полу складского помещения. В ходе анализа данного риска выяснилось, что пол на складе покрыт кафельной плиткой, а под щелями подразумевались отверстия на стыке плитки. Очевидно, что единственные потери, которые может понести компания из-за выявленных «дефектов» пола, – утрата одной-двух гаек стоимостью несколько копеек. Разумеется, никаких процедур для контроля за данным риском внедрено не было.

Наиболее точно идентифицировать риски, связанные с теми или иными бизнес-процессами, можно путем анализа накопленной компанией информации о негативных событиях (ошибки в отчетности, кражи, порча товаро-материальных ценностей и т. д.), периодичности их возникновения и размере причиненного ущерба.
Однако подобная ситуация может существовать лишь в компаниях, внедривших систему менеджмента качества. У предприятия, которое до момента внедрения системы внутреннего контроля не осуществляло систематизированное управление рисками, подобные статистические данные, как правило, отсутствуют. В такой ситуации идентификация рисков может быть полностью возложена на экспертов - руководителей подразделений. К примеру, главный бухгалтер, длительное время проработавший в компании, всегда может довольно точно предсказать, где могла быть допущена ошибка, если не сходятся статьи актива и пассива. От экспертов также потребуется оценить периодичность возникновения неблагоприятных событий и вероятный ущерб. На этапе внедрения СВК экспертные оценки существующих рисков могут обладать большой погрешностью. Однако в будущем, внедрив систему внутреннего контроля и накопив достаточное количество данных о возникших ошибках в работе подразделений, состав рисков и их существенность могут быть оценены с высокой точностью.
Для наиболее существенных рисков, связанных с серьезными финансовыми потерями, разрабатываются контрольные процедуры 4 .
Как правило, внедрение контрольных процедур предполагает создание дополнительных уровней согласования. К примеру, для того чтобы бухгалтер осуществил платеж по заявке производственного подразделения, необходимо завизировать ее у финансового директора. Контрольные процедуры могут заключаться также в распределении ответственности. Для процесса закупок контроль будет сводиться к тому, что заказчиком выступает производственное подразделение компании и оно же контролирует качество приобретенных материалов; поиск поставщика и работу по договорам поставки осуществляет отдел снабжения, а процесс оплаты контролируется финансовым директором.

Личный опыт
Сергей Пустовалов , финансовый директор ЗАО «Бриджтаун Фудс» (Москва)
В качестве примера внутреннего контроля можно привести формирование актов сверки с дебиторами. Казалось бы, простой и понятный инструмент, но далеко не у всех предприятий формируются акты сверки со всеми своими контрагентами. Отсутствие таких актов может привести к следующей ситуации. Предположим, у компании-дебитора есть встречные требования к предприятию, например оплачен аванс в счет будущей поставки. Если в ближайшем будущем компания-дебитор обанкротится и будет образована ликвидационная комиссия, то отсудить полученный аванс без актов сверки будет крайне сложно. А доказать, что этот аванс должен быть зачтен в счет погашения ранее возникшей дебиторской задолженности, практически невозможно.

Михаил Подлазов
Эффективность создаваемых процедур контроля будет зависеть от выполнения следующих факторов:
- четко определена и понятна ответственность должностных лиц за выполнение контрольных процедур;
- разграничен доступ к информации или действию;
- все транзакции авторизуются в соответствии с принятыми регламентами;
- существует документально оформленное описание процедур контроля;
- задачи контроля, исполнения и принятия решений распределены между сотрудниками.

Важно отметить, что для исполнения созданных процедур контроля необходимо их документальное оформление. Описание контрольной процедуры должно содержать следующие основные положения: цели контроля; последовательность действий; периодичность проведения контроля; ответственный за контроль сотрудник; документ, в котором отражен факт осуществления контроля (к примеру, лист согласований).

Личный опыт
Игорь Миронов
Оценка наиболее существенных рисков проводится в нашей компании ежегодно. Условный фрагмент сводного отчета об имеющихся рисках, созданных контрольных процедурах и планируемых аудиторских проверках представлен в таблице на с. 16.

Тестирование качества внедренных контрольных процедур

Эффективная система внутреннего контроля предполагает тестирование контрольных процедур и оценку их качества.
Тестирование системы контроля проводится по двум направлениям:
- соблюдение разработанных регламентов контрольных процедур;
- появление ошибок в отчетности, которые не были предотвращены системой контроля.
Соблюдение разработанных регламентов оценивается путем выборочной проверки документов, в которых должен быть отражен факт контроля. К примеру, по ряду платежных поручений проверяется наличие правильно оформленных и подписанных листов согласования.
Появление ошибок в отчетности выявляется в ходе аудита отчетности и первичной документации.

Личный опыт
Игорь Миронов
После того как проведен аудит существующих контрольных процедур, формируется аудиторский отчет, который содержит следующие разделы: аудиторские замечания; потенциальные риски; рейтинг риска (высокий, средний, низкий); рекомендации аудиторов; планируемые действия менеджмента; дата устранения замечания; ответственное лицо. В первую очередь отчет обсуждается с менеджерами подразделений, к которым есть замечания. Крайне важно получить от них ответ: согласны ли они с высказанными комментариями и в какие сроки будут предприняты меры для устранения недостатков. Только после этого отчет представляется совету директоров и аудиторскому комитету компании.

Таблица Оценка рисков

Бизнес-процесс	Основные риски	Вероятность реализации риска и степень воздействия на бизнес до внедрения СВК	Контроль за рисками	Вероятность реализации риска и степень воздействия на бизнес после внедрения СВК	Запросы менеджмента на проведение аудита	Дата последнего аудита
Продажи
Отгрузки продукции	Отгрузки по некорректным накладным		Разделение обязанностей по подготовке товарных документов и контролю за отгрузкой. Продажи подтверждены договорными отношениями		Проведение аудита ежегодно	I кв. 2005 г.
Предоставление скидок	Предоставление скидок, необусловленных политикой по скидкам		Процедура контроля за предоставлением скидок разработана и соблюдается. Менеджмент регулярно проверяет ее выполнение		Аудит по требованию коммерческого директора	-
Управление складом готовой продукции	Затоваривание или недостаток товара		Планирование продаж и производства (закупок). Анализ и прогноз		Ежегодный аудит	IV кв. 2004 г.
Производство
Закупка сырья и материалов	Некачественное или дорогое сырье		Тендер для поставщиков. Мониторинг цен на рынке. Контроль качества		Аудит по требованию директора по снабжению

Надо отметить, что в течение первого полугодия с момента внедрения системы необходимо ежемесячное тестирование процедур контроля. Это позволит исключить ошибки, допущенные при разработке. В дальнейшем тестирование системы внутреннего контроля может проводиться раз в полгода.

Личный опыт
Михаил Подлазов
Систему аудитов необходимо выстраивать исходя из существенности контролируемых рисков. В нашей практике работы все подразделения компании были поделены на три группы в зависимости от размеров и объемов денежных потоков. Для первой категории аудит контрольных процедур и собственно процессов проводится раз в год, для второй категории – раз в два года, для третьей – раз в три – пять лет.

По результатам тестирования должен составляться отчет о его результатах, который также включает рекомендации по устранению выявленных недостатков контрольных процедур.

Автоматизация внутреннего контроля

Обеспечить строгое выполнение разработанных контрольных процедур можно путем внедрения информационных систем. К примеру информационная система может обеспечивать электронный документооборот и блокировать платежи, которые не были авторизованы, или не позволять сформировать документы, необходимые для отгрузки продукции покупателю, если он исчерпал свой кредитный лимит.
Существует также программное обеспечение, позволяющее тестировать созданные контрольные процедуры, к примеру Aris Audit Manager; есть отдельные модули в Axapta, SAP, Oracle.

Личный опыт
Игорь Миронов
В своей практике мы используем программу Team Mate, разработанную компанией Pricewater-houseCoopers. Эта система позволяет автоматизировать аудиторскую деятельность на всех этапах: от планирования аудита и проведения аудиторских тестов до формирования отчетов по аудиту и последующего контроля действий менеджмента.

В заключение следует отметить, что эффективная работа системы внутреннего контроля во многом будет зависеть от подразделения, тестирующего созданные процедуры. Как правило, эти задачи возлагаются на службу внутреннего аудита. Для того чтобы результаты тестирования были объективными, это подразделение должно напрямую подчиняться собственникам бизнеса, то есть на его работу не должны влиять решения топ-менеджмента компании.

Как описать бизнес-процессы для построения системы внутреннего контроля

Интервью с внутренним аудитором представительства компании Moscow Cablecom Петром Скуридиным

- Чем вызвана необходимость внедрения системы внутреннего контроля в компаниях?
- Сама идея построения систем внутреннего контроля не нова для бизнес-сообщества - основные подходы были разработаны COSO 5 еще 15-20 лет назад. Сейчас она получила большое распространение в связи с принятием в США закона Сарбейнса-Оксли, который предусматривает ответственность первых лиц компании. К примеру если выяснится, что отчетность компании была преднамеренно искажена, то ее руководителю грозит штраф до 5 млн долл. США или заключение до 20 лет.
Акции нашей управляющей компании котируются на американской бирже. Первоначально отчет руководства об уровне системы внутреннего контроля требовалось предоставить по состоянию на 31 декабря 2005 года. Однако Комиссия по ценным бумагам США приняла решение
Об отсрочке вступления в силу требований статьи 404 закона Сарбейнса-Оксли для отдельных типов компаний до 31 декабря 2006 года.

Петр, для чего необходимо описание бизнес-процессов предприятия при создании системы внутреннего контроля?
- Основная задача описания бизнес-процессов - точно определить действия в рамках бизнес-процессов, при выполнении которых существуют риски. Следует отметить, что в одном бизнес-процессе, как правило, задействовано несколько подразделений. Если бы мы пытались выявлять риски, к примеру, основываясь на организационной структуре компании, то не учли бы множество рисков, связанных со всевозможными конфликтами подразделений, а значит, система внутреннего контроля была бы неэффективной. У нас в компании бизнес-процессы описываются без использования специализированного программного обеспечения в Visio (см. рисунок 1).

Рисунок 1. Пример описания бизнес-процессов

Но наглядного представления бизнес-процесса недостаточно. Необходимо детальное описание процесса, чтобы исключить неточности в его интерпретации, а также согласовать это описание «как есть» с владельцем процесса и оформить пошаговое подтверждение. Например, к приведенному на рисунке 2 бизнес-процессу осуществления выплат подшиваются кассовый план, заявка на оплату, счет на оплату, платежное поручение, выписка из банка и прочие документы, которые дают возможность проследить, как одна транзакция проходит через различные учетные системы и отражается в документах. С помощью ссылок пошаговое подтверждение связывается с описанием процесса, что позволяет проиллюстрировать практически любой шаг процесса.

Рисунок 2 . Описание бизнес-процесса «Выплаты денежных средств с расчетных счетов»

- После того как бизнес-процессы описаны, как выявить присущие им риски?
- К сожалению, анализ и выявление рисков - это всегда экспертные оценки. Библиотеки рисков ведут компании «большой четверки», но даже у них не всегда можно найти достаточно детальные решения. Дело в том, что риски работы любого предприятия связаны с отраслевой спецификой. Однажды я совершенно случайно приобрел в книжном магазине Великого Новгорода книгу Сотниковой Л.В. «Аудиторская проверка кассовых операций», в которой были описаны примеры контрольных процедур и признаки недостатков системы контроля, на основании которых можно идентифицировать риски при выплате денежных средств. Процесс выплаты денежных средств имеет много общих этапов для компаний, работающих в разных отраслях, но этот пример скорее исключение. Поэтому риски выявляются и описываются на основе опыта аудиторских проверок. Опытным можно считать аудитора, который проработал в одной отрасли более трех лет.

Для каждого риска определяется существенный счет, данные которого могут быть искажены в результате наступления рискового события. Как правило, разные компании используют различные методики определения существенности счетов финансовой отчетности. Например, существенными могут признаваться счета, обороты или сальдовые остатки по которым превышают 5% от прибыли до вычета налога на прибыль, дивидендов и процентов по кредитам. Еще один критерий существенности счета - ликвидность учтенных на счете активов и пассивов. Скажем, денежные средства обладают высокой ликвидностью, следовательно, связаны с высокими рисками их потери. Поэтому счета учета денежных средств всегда можно рассматривать как существенные. Также необходимо анализировать действующие контрольные процедуры (см. таблицу).

Таблица Описание рисков и действующих контрольных процедур

Риск <1>
Оплата незаказанных товаров и услуг	2. Оплата незаказанных товаров и услуг (изменение требования)	3. Несанкционированный доступ в систему «Банк-клиент»	4. Бухгалтер не проводит операцию по списанию задолженности или проводит в неточной сумме
Описание риска
Исполнитель создаст требование на оплату товаров и услуг, не заказанных компанией, для личных целей	Требование на оплату будет изменено после утверждения, что может привести к закупке, не заказанной компанией	Сотрудник, имеющий право доступа в помещение казначейства, создаст платежное поручение на оплату товаров и услуг, не заказанных компанией, для личных целей	Бухгалтер не проведет или проведет в неточной сумме операцию по списанию кредиторской задолженности
Наименование шага бизнес-процесса
Создание требования на оплату и передача документов в бухгалтерию		Создание платежного поручения	Проводка Дт XX Кт 51.XX
Существенность риска
Детальное описание контрольных процедур, цели, частота проведения контроля
Согласование требования на оплату. Цель контроля: не допустить потери активов. Описание контрольной процедуры: как только создано требование, оно становится доступным для просмотра. Требование проверяют: начальник отдела, начальник управления, бюджетный контролер. Требование попадает на следующий уровень согласования, только если оно согласовано на всех предыдущих уровнях. Частота контроля: для каждого требования. Входящие документы: требование на оплату	-	Утверждение платежного поручения. Цель контроля: не допустить потери активов. Описание контрольной процедуры: как только создано платежное поручение, оно становится доступным для утверждения в распределенной системе «Банк-клиент». Требование утверждают должностные лица, имеющие право подписи платежных поручений. При утверждении последним должностным лицом платежное поручение автоматически отправляется в банк. Частота контроля: для каждого требования. Входящие документы: шаблон платежного поручения с реквизитами платежа	Сверка взаиморасчетов. Цель контроля: точное отражение состояния расчетов. Описание контрольной процедуры: бухгалтер производит сверку с контрагентом на ежеквартальной основе. Частота контроля: ежеквартально. Входящие документы: проводки, первичные документы
Свидетельство реализации контроля (документ/файл) <
Подпись требования каждым сотрудником, который производит согласование	-	Отметка об утверждении платежного поручения в системе «Банк-клиент»	Акт сверки взаиморасчетов, квартальный анализ сверки с дебиторами/кредиторами
Контроль покрывает риск
	-	Да	Да
Эффективность выбранной контрольной процедуры
	-
Существенный счет
Денежные средства			Кредиторская задолженность
			Контрольная процедура неэффективна, так как выбор контрагентов сделан только на основании крупных балансов дебиторов/кредиторов и не учитывает крупные обороты. Доработать инструкцию по процедуре сверки с контрагентами
<1> Номера соответствуют номеру риска на схеме бизнес-процесса. - Примеч. редакции.

- Входит ли в ваши задачи разработка контрольных процедур?
- Не всегда, наш отдел дает рекомендации по устранению существующих недостатков, а методология и внедрение контрольных процедур относятся, как правило, к полномочиям руководителей функциональных подразделений. Однако бывают ситуации, когда мы формируем рекомендации по улучшению системы контроля и содействуем их внедрению.

Наш традиционный вопрос: что можно посоветовать компаниям, которые только начинают внедрять систему внутреннего контроля?
- Описание бизнес-процессов в форме создания письменных положений, процедур и инструкций, определяющих порядок выполнения процесса, - это отправная точка для любой компании при создании системы внутреннего контроля. Только после описания финансовых, а также основных процессов закупки, производства и сбыта на примере производственной компании можно приступать к выявлению рисков.

Беседовал Александр Афанасьев

1 Текст стандарта, а также основные сведения о деятельности Международной федерации бухгалтеров (International Federation of Accountants – IFAC) можно найти на сайте www.ifac.org. – Примеч. редакции.

2 Подробнее см. интервью «Как описать и оптимизировать бизнес-процессы» («Финансовый директор», 2003, № 7–8, с. 30). - Примеч. редакции.

3 Об анализе бизнес-процессов с целью выявления рисков см. статью «Обеспечение непрерывности бизнеса» («Финансовый директор», 2003, № 9, с. 26). - Примеч. редакции.

4 Об управлении рисками компании см. статью «Построение корпоративной системы управления рисками» («Финансовый директор», 2005, № 2, с. 27). - Примеч. редакции

5 The Committee of Sponsoring Organizations of the Treadway Commission (подробнее см. www.coso.org) – некоммерческая организация, учрежденная с целью разработки рекомендаций, позволяющих улучшить качество финансовой отчетности за счет создания процедур внутреннего контроля и совершенствования корпоративного управления. – Примеч. редакции.

Л.В. Чхутиашвили, канд. экон. наук, аудитор, член ИПБ Московского региона

Внутренний контроль – важнейшая часть системы управления, позволяющая предупреждать, выявлять недостатки и нарушения, а также своевременно устранять их последствия. Он способствует достижению целей деятельности организации, но не гарантирует их достижение.

Варианты организации внутреннего контроля

Порядок организации внутреннего контроля, в том числе обязанности и полномочия подразделений и персонала, определяются руководителем. При этом в расчет принимаются характер и масштаб деятельности компании, особенности его системы управления. Польза внутреннего контроля должна быть сопоставима с затратами на его организацию и осуществление.

Конечно, организация может обойтись без создания отдельного подразделения внутреннего контроля. Только высшее руководство способно оценить его необходимость. Однако практика дает однозначную оценку значению системы внутреннего контроля – это наиболее эффективный инструмент управления организацией.

Внутренний контроль может осуществлять собственная служба внутреннего контроля (внутреннего аудита), представленная специальными отделами, службами, комиссиями или так называемыми ревизорами – высококвалифицированными сотрудниками. Создание собственной службы целесообразно, если риски высоки, необходим контроль на постоянной основе.

Для его осуществления требуются специальные знания, навыки и опыт, существуют требования законодательства или регулятора финансового рынка о создании такой службы. Структура, состав, штатная численность не являются строго заданными. Вариант организации службы внутреннего контроля во многом зависит от правовой формы, организационной структуры, вида деятельности, а также необходимости контроля за теми или иными процессами.

Например, служба внутреннего контроля чаще всего создается организациями, чьи ценные бумаги допущены к организованным торгам. В этом случае полномочия и функции по организации и осуществлению внутреннего контроля должны быть распределены между руководителями различного уровня (советом директоров, комитетом по аудиту, генеральным и финансовым директорами, руководителями подразделений и персоналом отдела внутреннего контроля).

Для малого бизнеса часть контрольных функций возлагается на менеджеров. Если численность персонала не позволяет осуществить разграничение полномочий и ротацию обязанностей, руководитель может принять на себя все функции по организации и осуществлению внутреннего контроля и использовать сверку, надзор.

Для эффективной организации внутреннего контроля руководству хозяйствующего субъекта следует руководствоваться такими принципами, как:

• рациональная организация рабочих процессов;
• разделение функциональных обязанностей между работниками;
• информационное обеспечение работников;
• обязательный, систематизированный контроль за выполнением операций.

Оценка внутренних потребностей

Внутренний контроль в каждом конкретном случае организуется исходя из целей и задач управления организацией, поэтому пакет отчетности по работе внутреннего контролера устанавливается индивидуально. В него могут быть включены следующие разделы:

1) соответствие учета и отчетности действующему бухгалтерскому законодательству, в том числе:

• отражение в учете всех фактов хозяйственной деятельности в различных характеристиках;
• уровень систематизации хозяйственных операций и фактов хозяйственной деятельности в первичных документах;
• соответствие оценочных показателей стоимости активов, обязательств и хозяйственных операций в денежном выражении требованиям законодательства по оценке учредителей, рыночной стоимости и т.д.;
• отражение фактов хозяйственной деятельности в периоды их совершения;
• своевременное, правильное и оперативное формирование внешней и внутренней отчетности;

2) состояние первичной документации, ее сохранность и достоверность для отражения в учете;

3) соответствие квалификации работников бухгалтерии или соответствие их должностных обязанностей фактически выполняемой работе, а также распределение обязанностей между работниками бухгалтерии.

Внутренний контроль с точки зрения руководителя может осуществляться по таким основным критериям, как:

• соотношение выгод и потерь для предприятия в целом;
• соответствие предусмотренных законом действий устоявшимся принципам и традициям;
• соблюдение конфиденциальности и уважения к работникам бухгалтерии, работа которых будет подвергаться дополнительной проверке на предмет соблюдения бухгалтерского законодательства.

Результатом осуществления внутреннего контроля является отчетная информация, готовящаяся по результатам проверки внутренним контролером для руководителей организации, где должны быть зафиксированы выявленные факты нарушений или зоны риска, к которым, в частности, могут быть отнесены:

• выявленные факты нарушений законодательства Российской Федерации;
• факты неправильного ведения бухгалтерского учета и составления отчетности в контексте внутренних регламентов;
• выявленные факты недостач и хищений денежных средств и материальных ценностей;
• размеры причиненного материального ущерба и другие последствия допущенных нарушений (с указанием фамилий и должностей лиц, по вине которых они были допущены).

В результате анализа причин отклонений, отступлений от требований законодательства внутренним контролером должны формироваться предложения по устранению выявленных нарушений и корректировке. На основании материалов обобщения результатов проверок должны быть разработаны мероприятия по предотвращению нарушений в будущем, могут быть подготовлены рекомендации по новым методам и способам бухгалтерского (управленческого и финансового) учета.

Напомним, что недостачи и хищения денежных средств и материальных ценностей выявляются также в ходе обязательных годовых инвентаризаций имущества организации независимо от его местонахождения и все виды финансовых обязательств и регулярных (в том числе внезапных) проверок отдельных видов ценностей организации – денежных средств, МПЗ и т.п.

Для проведения инвентаризаций в организации создаются инвентаризационные комиссии. Это могут быть постоянно действующая инвентаризационная комиссия, рабочая комиссия, разовая комиссия.

Постоянно действующая инвентаризационная комиссия создается в составе руководителя организации или его заместителя, главного бухгалтера, начальников структурных подразделений, представителей общественности.

Для непосредственного проведения инвентаризации имущества рабочие комиссии создаются в составе представителя руководителя предприятия, назначившего инвентаризацию, и специалистов (экономиста, работника бухгалтерии, товароведов и т.п.).

В организационно-контрольные функции постоянно действующей комиссии входит проведение плановых, а также выборочных инвентаризаций и контрольных проверок всех видов имущества в межинвентаризационный период. В течение года в организациях с большой номенклатурой учитываемых ценностей могут проводиться выборочные инвентаризации материальных ценностей в местах их хранения и переработки.

Кроме того, постоянно действующие инвентаризационные комиссии решают вопросы об отнесении возможных убытков, выявленных в процессе проведения инвентаризаций, на виновных лиц, а также решают множество других вопросов.

Рабочие комиссии, которые непосредственно проводят плановые инвентаризации материальных ценностей и денежных средств в местах их хранения, участвуют в определении результатов инвентаризации. Они обычно создаются при большом объеме работ или территориальной разобщенности имущества организации для одновременного проведения инвентаризации. Как правило, рабочие комиссии утверждаются на весь отчетный год с возложением на них обязанностей по проведению разовых инвентаризаций.

Состав разовых комиссий в каждом конкретном случае утверждается руководителем организации при проведении инвентаризации по мере необходимости – по проверке и выборочной инвентаризации. Персональный состав постоянно действующих и рабочих инвентаризационных комиссий утверждается руководителем организации в приказе об инвентаризации.

В состав инвентаризационной комиссии включаются представители службы внутреннего контроля (внутреннего аудита) организации, независимых аудиторских организаций.

Сфера деятельности и задачи внутреннего контроля

Сферой деятельности внутреннего контролера (аудитора) является:

• подотчетность одних работников другим;
• внутренние проверки финансово-хозяйственной деятельности;
• участие в инвентаризации денежных средств, ценных бумаг, товарно-материальных ценностей;
• проведение сверок расчетов с контрагентами организации;
• осуществление контроля за информационными системами бухгалтерского и управленческого учета;
• ограничение доступа к активам, бухгалтерским первичным документам, файлам данных;
• сравнение и анализ полученных финансовых результатов с плановыми показателями и т.д.

Основная задача внутреннего контролера (аудитора) – участие в независимой проверке бухгалтерской (финансовой) отчетности организации в целях выражения мнения о достоверности такой отчетности, а также осуществление внутреннего контроля составления бухгалтерской (финансовой) отчетности, которая формируется по данным бухгалтерского учета. Внутренний контролер (аудитор) своими своевременными действиями может сократить время присутствия в организации налоговых инспекторов и внешних аудиторов.

Элементы внутреннего контроля

В Информации Минфина России № ПЗ-11/2013 «Организация и осуществление экономическим субъектом внутреннего контроля совершаемых фактов хозяйственной жизни, ведения бухгалтерского учета и составления бухгалтерской (финансовой) отчетности» приводятся общие подходы к организации внутреннего контроля, а также описаны элементы внутреннего контроля и необходимые процедуры внутреннего контроля. Основными элементами внут­реннего контроля Минфин России называет: контрольную среду, оценку рис­ков, процедуры внутреннего контроля, информацию и коммуникации, оценку внутреннего контроля .

Контрольная среда

Контрольная среда – это комплекс принципов и стандартов работы компании, который говорит о важности внутреннего контроля и определяет требования к нему. Это система этических ценностей, стиля управления, процесса принятия решений, делегирования полномочий и принятия ответственности, политика в отношении персонала, компетентность сотрудников и отношение управленческого аппарата организации к внутреннему контролю.

Контрольная среда должна создавать надлежащее отношение персонала к тому, что в компании осуществляется внутренний контроль. Обычно правила и принципы фиксируются во внутренних нормативных документах, предусматривающих разделение функций и ответственности работников с целью недопущения злоупотребления использованием тех или иных активов, исключения возможных случайных или умышленных искажений фактов хозяйственной жизни в бухгалтерском учете и финансовой отчетности.

Оценка рисков

Процесс оценки рисков направлен на анализ, выявление и устранение рисков, а также минимизацию их возможных последствий. При оценке рисков вне зависимости от того, будет ли проводиться аудит бухгалтерской (финансовой) отчетности, руководство должно оценивать вероятность искажения отчетных данных. При этом исходят из следующих допущений:

• возникновение и существование – активы, обязательства и капитал фактически существуют на отчетную дату. Факты хозяйственной жизни, отраженные в бухгалтерском учете, имели место в течение отчетного периода и относятся к деятельности экономического субъекта;
• полнота – факты хозяйственной жизни, имевшие место в отчетном периоде, фактически отражены в бухгалтерском учете в нужном периоде;
• права и обязательства – компания имеет права на отраженные в бухгалтерском учете активы и несет ответственность по существующим обязательствам;
• оценка и распределение – активы, обязательства, доходы и расходы правильно оценены и отражены в стоимостном и количественном измерении на соответствующих счетах и в соответствующих регистрах бухгалтерского учета;
• представление и раскрытие – данные бухгалтерского учета корректно представлены и раскрыты в бухгалтерской (финансовой) отчетности.

Минфин России обращает внимание на то, что этим принципам должна соответствовать также и информационная система субъекта, которая обеспечивает ведение бухгалтерского учета и составление бухгалтерской (финансовой) отчетности.

Персонал организации должен быть осведомлен о рисках, относящихся к сфере его ответственности, об отведенной ему роли и задачах по осуществлению внутреннего контроля и информированию руководства о различных фактах.

Все эти допущения хорошо известны внешним аудиторам, и в своих рабочих документах они их детально отражают и производят тестирование бухгалтерских операций именно с учетом этих допущений.

С целью минимизации всех известных рисков организация должна разрабатывать адекватные контрольные процедуры. Состав и содержание контрольных процедур зависят от элементов системы бухгалтерского учета, например средств и способов обработки информации, объема хозяйственных операций, уровня автоматизации и т.п. Поэтому все документы, отчеты службы (работника) внутреннего контроля будут носить сугубо конфиденциальный характер.

Процедуры внутреннего контроля

Процедуры внутреннего контроля – это действия, направленные на минимизацию рисков. Такими действиями могут быть:

• документальное оформление операций и фактов хозяйственной жизни. Например, записи в регистрах бухгалтерского учета должны осуществляться на основе первичных учетных документов, в том числе бухгалтерских справок. Существенные оценочные значения, включенные в бухгалтерскую (финансовую) отчетность, должны основываться на расчетах;
• подтверждение соответствия объектов (документов) установленным требованиям. Например, при принятии первичных учетных документов к бухгалтерскому учету должна производиться проверка их оформления на соответствие требованиям, установленным в компании, Федеральном законе от 06.12.2011 № 402-ФЗ «О бухгалтерском учете» и Налоговом кодексе РФ. К этим контрольным процедурам относится и контроль связанных операций, например соотнесение выданных авансов на закупку материальных ценностей с получением и оприходованием этих ценностей. Аналогично осуществляется контроль выданных подотчетных сумм на предмет своевременности составления авансовых отчетов;
• санкционирование (авторизация) хозяйственных операций. Как правило, разрешение на совершение операций их инициатором дается персоналом более высокого уровня. Например, авансовый отчет сотрудника должен быть утвержден руководителем (уполномоченным на это лицом).
• сверка данных. Например, для подтверждения сумм дебиторской и кредиторской задолженности должна проводиться сверка расчетов с поставщиками и покупателями. Остатки по счетам учета наличных денежных средств должны сверяться с остатками денежных средств по данным кассовой книги. Остатки по счетам учета материальных запасов должны сверяться с данными склада и др.;
• разграничение полномочий и ротация обязанностей. С целью уменьшения рисков возникновения ошибок и злоупотреблений подготовка первичных учетных документов, санкционирование (авторизация) хозяйственных операций и отражение их результатов в бухгалтерском учете, как правило, должны возлагаться на разных лиц;
• физический контроль. Сюда относятся вопросы надежности охраны ценностей, ограничение доступа, инвентаризация объектов учета и др.;
• надзор. Предполагает оценку достижения поставленных целей или показателей. Например, оценку правильности выполнения хозяйственных и учетных операций, точности составления бюджетов (смет), соблюдения установленных сроков составления бухгалтерской (финансовой) отчетности;
• процедуры, связанные с компьютерной обработкой информации и информационными системами. Выделяют процедуры общего компьютерного контроля и контроля уровня приложений. Общий компьютерный контроль включает правила и процедуры, регламентирующие доступ к информационным системам, данным и справочникам, правила внедрения и поддержки информационных систем, процедуры восстановления данных и др. Они должны обеспечивать бесперебойное и надежное использование программного обеспечения. Процедуры контроля уровня приложений включают, в частности, логическую и арифметическую проверку данных в ходе обработки информации о фактах хозяйственной жизни (проверку правильности заполнения полей документов, контроль введенных сумм, автоматическую сверку данных, отчеты об операциях и ошибках и др.).

Из перечисленных процедур для целей противодействия злоупотреблениям и мошенничеству наиболее эффективными являются санкционирование (авторизация) хозяйственных операций, разграничение полномочий и ротация обязанностей, физический контроль.

Процедуры контроля могут быть предварительные и последующие. Предварительные направлены на предупреждение появления ошибок и нарушений (физический контроль, санкционирование (авторизация) хозяйственных операций и др.). Последующие процедуры направлены на выявление уже свершившихся ошибок и нарушений установленного порядка (сверка, надзор и др.).

Процедуры можно разделить по степени автоматизации их выполнения на автоматические, полуавтоматические и ручные.

Автоматические процедуры выполняются информационной системой без участия персонала. Например, автоматически в программном обеспечении осуществляется контроль доступа.

Полуавтоматические процедуры выполняются информационной системой, но должны быть инициированы или завершены вручную. Пример: отчеты о выполненных в программе исправлениях данных бухгалтерского учета должны быть проверены исполнителем.

Ручные процедуры внутреннего контроля выполняются персоналом экономического субъекта вне информационных систем. Например, инвентаризация производится вне программного обеспечения, но затем ее результаты сравниваются с данными учета, и корректировки производятся вручную.

Оценка внутреннего контроля

Не реже одного раза в год принятая система внутреннего контроля должна оцениваться. Объем, характер способов и методов оценки определяются руководителем соответствующего уровня.

Минфин России рекомендует составлять матрицу рисков и проверять достаточность процедур внутреннего контроля, направленных на минимизацию их последствий, формировать методом случайного отбора выборку операций для тестирования эффективности контроля. При определении выборки следует учитывать особенности функционирования системы внутреннего контроля.

В ходе повседневной жизни организация должна проводить непрерывный мониторинг работы системы внутреннего контроля. Это делается путем регулярного анализа результатов деятельности, поверки результатов выполнения отдельных хозяйственных операций, регулярной оценки и уточнения применимой организационно-распорядительной документации и т.д.

Комбинация непрерывного мониторинга и периодической оценки внутреннего контроля позволяет удостовериться в том, что внутренний контроль обеспечивает достаточную уверенность в достижении заявленных компанией целей. При необходимости в систему внутреннего контроля вносятся изменения, но не реже одного раза в год по итогам оценки ее работы.

Документальное оформление

Порядок организации и осуществления внутреннего контроля в компании должен быть оформлен документально. Для разных элементов контроля должны быть оформлены разные документы.

Например, контрольная среда может быть оформлена:

• положением о стратегии, целях и ценностях компании, определяющим поведение ее на рынке и методы управления;
• кодексом деловой этики, описывающим правила поведения руководства и сотрудников при наступлении различных событий, процедуры рассмотрения жалоб;
• организационной структурой организации, определяющей место и роль ее подразделений, уровни принятия решений, штатным расписанием;
• положениями об отдельных подразделениях организации, определяющими функции подразделений, полномочия и ответственность их руководителей;
• внутренними распорядительными документами, определяющими правила принятия решений и осуществления отдельных хозяйственных операций, в том числе учетной политикой;
• кадровой политикой, устанавливающей подходы к найму, обучению и развитию персонала, критерии оценки результатов деятельности, систему оплаты труда.

Применительно к ведению бухгалтерского учета и составлению бухгалтерской (финансовой) отчетности контрольную среду могут описывать такие документы, как положение о бухгалтерской службе, учетная политика организации, требования к квалификации бухгалтерского персонала и другие документы, устанавливающие общие требования к среде, в которой организуется и ведется бухгалтерский учет, порядку взаимодействия подразделений и персонала экономического субъекта и принятия решений по вопросам бухгалтерского учета.

Документирование рисков начинается с описания бизнес-процессов и процедур работы. Описание может производиться в текстовой и графической форме, по направлениям деятельности, юридической или организационной структуры.

Непосредственно описание риска должно включать в себя указание на потенциальное неблагоприятное внутреннее и (или) внешнее событие (факт, обстоятельство), порождающее риск; причину и вероятность его возникновения; возможные негативные последствия (ущерб), их количественную и (или) качественную оценку.

По результатам оценки рисков определяются наиболее существенные. Для минимизации их последствий разрабатывается конкретный перечень процедур внутреннего контроля. Процедура должна описывать риск; область или процесс, подверженный риску; наименование и краткое описание процедур внутреннего контроля, посредством осуществления которых минимизируются последствия риска.

Может быть приведена ссылка на регламент осуществления процедуры. Устанавливают исполнителя (сотрудник или информационная система); частоту (периодичность) осуществления процедуры внутреннего контроля; входящие документы, на основании которых осуществляется процедура внутреннего контроля, а также исходящие документы, которые свидетельствовали бы об осуществлении процедуры. По возможности указывается ожидаемый результат контроля.

Риски и соответствующие им процедуры внутреннего контроля могут быть описаны матрицей рисков и процедур внутреннего контроля. Такая форма описания позволяет оценить полноту покрытия внутренним контролем выявленных рисков.

Документами, устанавливающими правила коммуникации, могут являться политика в области внешних и внутренних коммуникаций, графики предоставления данных и составления отчетности, должностные инструкции.

Вся документация по правилам и осуществлению внутреннего контроля подлежит регулярному обновлению не реже одного раза в год после оценки необходимости ее обновления. В основу решения об обновлении документов могут быть положены результаты периодической оценки и непрерывного мониторинга внутреннего контроля, организационные изменения, изменения процессов и процедур работы экономического субъекта.

Права и обязанности внутреннего контролера можно разработать по аналогии с аудиторской деятельностью в соответствии со статьей 13 Федерального закона № 307-ФЗ «Об аудиторской деятельности», несколько изменив приоритеты проверки. Внутренние контролеры вправе:

1) самостоятельно определять формы и методы проведения внутреннего контроля (аудита) с использованием положений федеральных стандартов аудиторской деятельности;

2) исследовать в полном объеме документацию, связанную с финансово-хозяйственной деятельностью проверяемого лица, а также проверять фактическое наличие любого имущества, отраженного в этой документации;

3) получать у должностных лиц проверяемого лица разъяснения и подтверждения в устной и письменной форме по возникшим в ходе аудита вопросам;

4) отказаться от проведения контрольных процедур или от выражения своего мнения о достоверности бухгалтерской (финансовой) отчетности в выдаваемом заключении в случаях:

• непредставления проверяемым лицом всей необходимой документации;
• выявления в ходе проверки обстоятельств, оказывающих либо способных оказать существенное влияние на мнение аудиторской организации, индивидуального аудитора о достоверности бухгалтерской (финансовой) отчетности проверяемого лица;

5) осуществлять иные права, вытекающие из трудового договора.

Формы и методы проведения контроля внутренним контролером строятся на основании собственных стандартов организации и регламентов службы внутреннего контроля конкретной организации.

Поскольку внутреннему контролю подвергается только бухгалтерский учет, соответственно первичные документы и бухгалтерские регистры должны сшиваться, нумероваться и храниться в организации в соответствии с порядком архивирования в самой бухгалтерии, а внутреннему контролеру останется хранить только свои собственные отчеты и комментарии к ним. В обязанности внутреннего контролера может входить и умение работать с электронной документацией, передавать ее, хранить, разархивировать и т.д.

Для выполнения поставленных перед внутренним контролером задач он должен будет уметь проверить:

1) полноту, законность и экономическую целесообразность отраженных в бухгалтерском учете операций. Другими словами, контролер будет проверять объекты учета на предмет правильности классификации и оценки;

2) соответствие отраженных финансово-хозяйственных операций в бухгалтерском учете принятым в организации внутренним регламентам: учетной политике по бухгалтерскому учету, стандарту формирования себестоимости, кадровой политике и пр.;

3) наличие лишних данных в бухгалтерской (финансовой) отчетности;

4) объективность бухгалтерской (финансовой) отчетности, что будет соответствовать верному представлению о предприятии в целом;

5) компьютерные программы, обслуживающие функционирование учетной системы и включающие формирование первичных документов. Контролер должен уметь проводить их анализ, разноску по счетам, чтобы программы не могли быть сфальсифицированы.

Для таких целей можно использовать и специальные программные разработки для аудита информационных систем, которые автоматически проверяют положения учетной политики, заложенные в бухгалтерскую программу для автоматического исполнения; бухгалтерские итоги и бухгалтерские записи на отсутствие сальдо по количеству или по сумме у соответствующих счетов; ошибки переоценки валютных средств на конец отчетного периода; сомнительные бухгалтерские записи или бухгалтерские записи, которые недопустимы; постоянных и временных разниц; данных по расчетам с поставщиками.

Таким образом, главные бухгалтеры и внутренние контролеры (аудиторы) могут использовать для подготовки правил внутреннего контроля международные и национальные стандарты аудиторской деятельности и рекомендации финансового ведомства.

Внутренний контролер (аудитор) должен документально оформить все сведения, которые важны с точки зрения предоставления доказательств о каждом из элементов системы внутреннего контроля. Форма, содержание и объем рабочих документов являются предметом профессионального суждения внутреннего контролера (аудитора).

Кроме того, внутренний контролер (аудитор) должен своевременно доводить до своего руководителя и представителей собственника полученную информацию о недостатках в организации и применении системы внутреннего контроля. Здесь возможно либо провести совещание с работниками организации, либо направить руководству письмо с изложением своих замечаний и предложениями по их устранению. При этом сведения о выявленных недостатках системы внутреннего контроля в любом случае будут включены в письменную информацию, полученную по результатам проведения внутреннего контроля и доведенную до руководства, а также представителей собственника.

Примерно те же положения содержатся и в международных стандартах аудита, в частности, в Федеральном правиле (стандарте) № 8 «Понимание деятельности аудируемого лица, среды, в которой она осуществляется, и оценка рисков существенного искажения аудируемой финансовой (бухгалтерской) отчетности» и в МСА 400 «Оценка рисков и внутренний контроль».

Система внутреннего контроля на основе SOX

Сегодня для большинства крупных международных компаний актуальной задачей является обеспечение соответствия требованиям внешнего законодательства разных стран с помощью системы внутреннего контроля. Наиболее жесткими считаются требования, которые вступили в силу в марте 2005 г. в США с принятием закона Сарбейнса-Оксли. Данным законом руководству компаний была вменена обязанность подтверждать правильность финансовой отчетности лично, а также свою ответственность за эффективность системы внутреннего контроля и в первую очередь при подготовке финансовой отчетности. Помимо этого для соответствия закону необходимо получить заключение внешнего аудитора об эффективности системы внутреннего контроля компании.
Законодательство подобного рода существует во многих странах, например в Великобритании, Канаде и др. В России также предпринимаются меры в данном направлении. Примером является постановление Федеральной службы по финансовым рынкам от 15.12.04 г. N 04-1245/пз-н «Об утверждении Положения о деятельности по организации торговли на рынке ценных бумаг», предусматривающее наличие в компаниях-эмитентах положения о внутреннем контроле, утвержденного советом директоров. Кроме того, в компании необходимо создать отдельное подразделение, которое должно контролировать выполнение этого положения и докладывать о результатах комитету по аудиту.

Основные документы в области создания системы внутреннего контроля

В настоящее время сообщества аудиторов, менеджеров, бухгалтеров и ИТ-специалистов активно работают над совершенствованием систем внутреннего контроля. В результате этой работы были созданы следующие документы:
стандарт «Цели контроля при использовании информационных технологий» (COBIT) — (the Information Systems Audit and Control Foundation»s Control Objectives for Information and related Technology) — обеспечивает решение вопросов о соответствии применяемых информационных технологий существующим бизнес-процессам и является основой для создания общих правил надежности и механизма контроля за эффективностью использования информационных систем. COBIT позволяет применять лучшую практику в области управления ИТ, определить «зрелость» ИТ-процессов и адекватный уровень надежности и контроля при использовании информационных технологий. Аудиторам в области ИТ он помогает сформировать мнение об эффективности внутреннего контроля;
документ «Внутренний контроль: интегрированный подход» (COSO) — (the Committee of Sponsoring Organizations of the Treadway Commission»s Internal control — Integrated Framework) — содержит основные принципы организации системы внутреннего контроля в компании и является верхнеуровневым руководством для ее создания и совершенствования;
документ «Контроль и аудит систем» (SAC) — (the Institute of Internal Auditors Research Foundation»s Systems Auditability and Control) — предлагает поддержку внутренним аудиторам в вопросах контроля и аудита информационных систем. В документе дается определение системы внутреннего контроля и описывается ее состав, а также приводятся классификации средств контроля, его цели и риски;
Указание о рассмотрении структуры внутреннего контроля при аудите финансовой отчетности (SAS 55, 78) — (the American Institute of Certified Public Accountants» Consideration of the Internal Control Structure in a Financial Statement Audit) — является руководством для внешних аудиторов в части анализа эффективности системы внутреннего контроля, необходимой для обеспечения корректности финансовой отчетности.
Перечисленные документы включают общие концепции внутреннего контроля, при этом более поздние документы построены на принципах, разработанных в более ранних. В связи с этим они применяются разными группами сотрудников и внешних специалистов. Так, COBIT ориентирован на руководство, ИТ-специалистов и аудиторов в области ИТ, COSO — на топ-менеджмент компании, SAC — на внутренних аудиторов, а SAS 55 и 78 — на внешних аудиторов.
Если говорить о практике использования данных документов, то в большинстве случаев они содержат лишь основные принципы системы внутреннего контроля, что требует уточнений для каждого предприятия и привлечения специалистов с опытом работы в этой области. Однако необходимо отметить, что в основе системы внутреннего контроля заложена система управления операционными рисками. Это методологически упрощает работу по ее созданию и совершенствованию.
На основании требований к системе внутреннего контроля можно определить основные принципы ее построения:

• организация внутренней/управленческой среды в компании;
• установление целей развития компании;
• определение методов идентификации рисков и методов их оценки;
• выбор методов управления рисками (уклонение от риска, сокращение, перераспределение или принятие);
• установление основных принципов организации контрольных процедур;
• определение средств коммуникации и обмена информацией, а также средств тестирования системы внутреннего контроля.

Создание системы внутреннего контроля

Для определения основных точек контроля внутри компании используется методология управления процессами и рисками. Главный этап — анализ бизнес-процессов и выявление операционных рисков на основании описания процессов и взаимодействия с экспертами.
В любой деятельности присутствуют риски, и задачей сотрудников является управление этими рисками, однако не все могут и хотят этим заниматься. Цель внутреннего контроля при построении системы управления рисками — это внедрение в текущие процессы контрольных процедур, что позволяют минимизировать вероятность наступления риска либо его последствия, т. е. фактически система внутреннего контроля «заставляет» сотрудников управлять рисками. Для обеспечения возможности проверки эффективности существующих и создаваемых контрольных процедур в процессах предусматривается формирование документального подтверждения выполнения всех требований контрольной процедуры. В дальнейшем с помощью тестирования проверяется эффективность выполнения контроля через анализ существующих подтверждений правильности выполнения контрольной процедуры.
Что касается построения системы внутреннего контроля над формированием финансовой отчетности (SOX), то этому процессу можно дать следующее определение — процесс, инициируемый советом директоров, руководством и иными сотрудниками, направленный на получение достаточной степени уверенности относительно достоверности финансовой отчетности в соответствии с общепринятыми принципами ее формирования для внешних пользователей, включая политики и процедуры в следующих областях:

• все операции и сделки компании соответствующим образом авторизованы;
• активы компании защищены от несанкционированного использования;
• все операции нашли соответствующее отражение в учетных регистрах и финансовой отчетности.

Исходя из данного определения можно сделать вывод, что для создания системы внутреннего контроля в целом для компании необходимо построить процесс, направленный на формирование норм, процедур, приемов и организационных структур, разработанных для обеспечения разумной гарантии того, что бизнес-цели будут достигнуты, а нежелательные события — предотвращены или обнаружены и исправлены (COBIT).
На рисунке представлены основные этапы проекта по внедрению системы внутреннего контроля, направленной на обеспечение достоверности финансовой отчетности.
(Рисунок)
В общем случае внедрение системы внутреннего контроля в компании включает следующие этапы:

• идентификация критических процессов;
• формализация процессов;
• идентификация рисков в процессах;
• оценка рисков;
• разработка контрольных процедур;
• тестирование контрольных процедур.

Идентификация критических процессов

Необходимо определить перечень внешних нормативных актов, которым нужно соответствовать, а также требования регулирующих законов, которые должны быть выполнены в данном случае. Далее следует установить критичные области в информационном окружении, бизнес-процессах и инфраструктуре.
Часто для российских представительств западных компаний требования внутреннего контроля «спускаются сверху», где они формируются централизованно на уровне корпорации, что не всегда соответствует реальным бизнес-процессам компании и реалиям российской действительности. В связи с этим задачей данного этапа является определение того, что именно из «спущенного сверху» имеет отношение к реально существующим процессам.

Формализация процессов

Проводится описание существующих процессов компании, критичных с точки зрения системы внутреннего контроля, что дает основу для идентификации рисков. Для решения данной задачи целесообразно двигаться «сверху-вниз», формализуя деятельность с верхнего уровня до уровня рабочих мест, описывая поток работ между исполнителями, а также входящую и исходящую информацию. Такой уровень детализации требуется для дальнейшего анализа рисков в процессах и формирования контрольных процедур. На данном этапе можно использовать инструментальные системы для описания бизнес-процессов: ARIS или, в более простых случаях, VISIO.

Идентификация рисков в процессах

Следует определить, насколько существующие процессы в компании рискованны с точки зрения невыполнения требований регулирующих законов. Так, для удовлетворения требований SOX необходимо принимать во внимание все риски, способные привести к умышленному или случайному искажению финансовых данных и соответственно финансовой отчетности, а также к мошенничеству. Если сравнивать общее число критичных рисков и рисков, влияющих на финансовую отчетность, то можно сделать вывод, что риски в области финансовой отчетности составляют, как минимум, четверть от всех операционных рисков компании. Число рисков может превышать тысячу, что обусловливает объем проекта по построению системы внутреннего контроля.
Идентификация рисков проводится на основании анализа детального описания процессов. По его результатам формируется список рисков, привязанных к процессам и функциям, где они были обнаружены. Процедура формирования этого списка на основании только опроса экспертов и без анализа процессов, как правило, не позволяет достичь его полноты. Это приводит к тому, что при внешнем аудите обнаруживается множество неучтенных рисков, и система внутреннего контроля признается неэффективной.

Оценка рисков

Определяется эффективная стратегия минимизации и предотвращения рисков, при этом оценка рисков позволяет ранжировать их по степени критичности и исключить не опасные для компании риски. Управление всеми рисками экономически невыгодно для компании, поскольку для части рисков проще согласиться с убытками, чем создавать и внедрять контрольную процедуру. В данном случае чаще всего применяется метод качественных оценок, позволяющий ранжировать риски по критериям «вероятность» и «убытки» на основании экспертного мнения. Он используется для составления перечня (с использованием рейтинговых оценок) всех идентифицированных операционных рисков, которые актуальны для системы внутреннего контроля.

В дальнейшем уточнение качественных оценок операционных рисков проводится уже в рамках их количественной (стоимостной) оценки, требующей больших временных затрат. Поэтому ключевой задачей качественной оценки помимо определения значимости рисков является «отсечение» тех рисков, которые с высокой степенью вероятности не оправдают дальнейших затрат на их минимизацию или не влияют на критичную информацию. Метод количественных оценок, основанный на расчете ущерба и вероятности риска, в данном случае сложен в применении.

Разработка контрольных процедур

Деятельность по оптимизации процессов всегда присутствует (скрыто или явно) в любой компании. Но обычно она вызвана внутренними побуждениями: стремлением повысить эффективность работы, снизить трудозатраты, контролировать деятельность. Появление внешних требований, обязательных для выполнения, является с этой точки зрения мощным дополнительным импульсом для развития или расширения данного направления деятельности в компании.

Существуют четыре стратегии управления операционными рисками:

• принимать: низкая вероятность — низкие убытки. Эта стратегия наиболее простая — риски принимаются к сведению, но какие-либо действия по их компенсации принимать нерентабельно;
• страховать: низкая вероятность — высокие убытки. Для данной стратегии требуется страхование рисков с помощью страховых компаний;
• избегать: высокая вероятность — высокие убытки. Стратегия предлагает отказаться от рискованных процессов или сосредоточить максимальные усилия на их совершенствовании;
• предотвращать: высокая вероятность — низкие убытки. Для этой стратегии требуется построение контрольных процедур, направленных на минимизацию рисков.

Таким образом, в рассматриваемом случае применимы две последние стратегии, и на их достижение направлены такие виды деятельности, как оптимизация процессов, внедрение контрольных процедур и тестирование.
Наиболее простой способ — оценка рисков с помощью метода качественных оценок и их дальнейшая минимизация.
Целью и критерием успешного совершенствования процессов в части организации системы внутреннего контроля является минимизация обнаруженных операционных рисков путем создания и внедрения в процессы контрольных процедур.

Наиболее результативными считаются превентивные контрольные процедуры, которые позволяют минимизировать саму вероятность наступления рискового события, однако для повышения надежности процесса их часто применяют одновременно с проверочными процедурами. Например, наряду с процедурой удаления карточки-пропуска при увольнении сотрудника должна существовать контрольная процедура сверки списка сотрудников, обладающих карточкой-пропуском, со списком уволенных за определенный период.
Риск можно определить через понятие контрольного действия: недостаток системы контроля существует тогда, когда дизайн или выполнение контроля не позволяют руководству или сотрудникам компании предотвратить или своевременно обнаружить искажение финансовой отчетности в рамках реализации своих повседневных обязанностей.
В зависимости от обнаруженного недостатка необходимо воздействовать либо на процесс, либо на сотрудника, его выполняющего, поэтому для обеспечения оценки эффективности контрольных процедур должны создаваться документальные подтверждения работоспособности каждой контрольной процедуры — так называемые свидетельства контроля.

Тестирование контрольных процедур

Чтобы быть уверенным в том, что система внутреннего контроля эффективна, необходимо с определенной периодичностью проверять, насколько хорошо выполняются существующие контрольные процедуры.

Данная проверка осуществляется с помощью набора тестов, которые состоят из нескольких последовательных шагов:
устанавливается наличие основного документа (политики, регламента), где определяются порядок и правила выполнения данного процесса;
проверяется выполнение на практике требований, описанных в основном документе, и документируются конкретные примеры выполнения.
По результатам теста принимается решение об эффективности или неэффективности данной контрольной процедуры. Число тестов зависит от числа процессов, проходящих через проверяемую контрольную процедуру. Периодичность проведения тестирования устанавливается в зависимости от критичности процесса и может варьировать.

Дополнительной сложностью в организации процесса тестирования может быть требование, чтобы тестирование проводилось сотрудниками, не участвующими в проверяемых процессах. Тысяча тестов, которые необходимо выполнить в течение месяца, — это нормальная ситуация для системы внутреннего контроля крупной компании. Понятно, что всем этим многообразием нужно управлять и документировать эту работу. Для данной задачи может быть использован продукт ARIS Audit Manager, который позволяет автоматизировать процедуры тестирования и создания отчетности для внешних аудиторов.
В существующих условиях количество трансакций в деятельности компании достигает сотен тысяч в секунду, а число рисков превышает тысячу, при этом достаточно сложно обеспечить эффективность выполнения контрольных процедур «на ручном уровне», поэтому единственным эффективным путем является автоматизация как процессов, так и контрольных процедур.

В настоящее время существует достаточное количество программных продуктов импортного производства (ERP, DMS и т. д.), обеспечивающих решение этой задачи в части внедрения контрольных процедур в функционал информационных систем. Однако, даже внедрив решение определенного поставщика, можно не получить эффективную систему внутреннего контроля, поскольку для большинства контрольных процедур все еще будут требоваться ручное исполнение и фиксация, что оставляет большой потенциал для совершенствования разработчиками своих ИТ-решений в данной области.
В заключение хочется отметить, что внутренний контроль должен быть регулярным процессом. Как всякий процесс, он требует правильного планирования, выполнения, проведения и совершенствования.

А. КОПТЕЛОВ , директор департамента ИТ консалтинга компании «IDS Scheer Россия и страны СНГ»

Термин «система внутреннего контроля » означает совокупность организационных мер, методик и процедур, используемых руководством аудируемого лица для упо­рядоченного и эффективного ведения финансово-хозяй­ственной деятельности. То есть цель системы внутренне­го контроля - предупреждение возникновения ошибок в процессе ведения бухгалтерского учета и составления отчетности.

Система внутреннего контроля организована эффек­тивно , если позволяет:обеспечивать сохранность активов;выявлять, исправлять и предотвращать ошибки и искажения информации; точно и полно оформлять документы бухгалтер­ского учета; своевременно подготавливать достоверную финан­совую (бухгалтерскую) отчетность; соблюдать прочие требования законодательства.

Система внутреннего контроля должна включать в себя: надлежащую систему бухгалтерского учета;отдельные средства (методы) контроля; контрольную среду.При знакомстве с системой бухгалтерского учета аудитор прежде всего изучает учетную политику орга­низации, дает оценку ее сложности и делает вывод о ее соответствии нормативным требованиям и специфическим характеристикам аудируемого объекта. Для успешной работы весьма важно, чтобы мнение аудитора об основ­ных положениях учетной политики совпадало с мнени­ем руководства проверяемого объекта.Аудитор знакомится с системой организации бухгал­терского учета экономического субъекта. Особую роль в оценке системы бухгалтерского учета играет знакомство с первичными документами, планом счетов и регистра­ми бухгалтерского учета. Степень детализации учета в большой мере влияет на объем аудиторской работы и может либо способствовать, либо затруднять ход ауди­торской проверки.

Важное место в оценке внутреннего контроля зани­мает знакомство со средствами (методами) контроля , которые используются в организации, в частности: порядок и систематичность проведения инвентари­заций; сверка документов;состояние организационно-распорядительной доку­ментации; наличие внутренних регламентов, регулирующих права и ответственность должностных лиц и поря­док их взаимодействия с бухгалтерией. Для получения представления о методах контроля аудитор часто использует тестирование специалистов аудируемого объекта. Тестирование позволяет оценить не только состояние документов, регламентирующих внутренний контроль на предприятии, но и их исполне­ние.

Наиболее трудоемкой при оценке внутреннего конт­роля является оценка контрольной среды , которая на­прямую связана с анализом системы управления (в частности структуры управления на всех уровнях), распре­делением прав, обязанностей и ответственности, уровнем регламентации подразделений и наличием должностных инструкций, порядком обоснования и принятия управ­ленческих решений (в частности коллегиальностью это­го процесса), структурой документооборота и порядком оформления основных плановых, отчетных, финансовых документов.

Под контрольной средой понимаются осведомленность и действия руководства аудируемого лица, направлен­ные на установление и поддержание системы внутрен­него контроля, а также понимание важности такой сис­темы. Контрольная среда влияет на эффективность кон­кретных средств контроля и включает в себя следующие составляющие:Стиль и основные принципы управления данным аудируемым лицом. Организационная структура аудируемоголица.Распределение ответственности и полномочий. Осуществляемая кадровая политика. Порядок подготовки финансовой (бухгалтерской) отчетности для внешних пользователей.Порядок осуществления внутреннего управленче­ского учета и подготовки отчетности для внутренних целей. Обеспечение соответствия хозяйственной деятель­ности аудируемого лица требованиям законодательства.Наличие и особенности организации работы реви­зионной комиссии, службы внутреннего аудита в соста­ве органа управления аудируемого лица.

Порядок изучения и оценки систем внутреннего кон­троля аудитором изложены в федеральном правиле (стан­дарте) № 8 «Оценка аудиторских рисков и внутренний контроль, осуществляемые аудируемым лицом». ПРАВИЛО (СТАНДАРТ) N 8. ПОНИМАНИЕ ДЕЯТЕЛЬНОСТИ АУДИРУЕМОГО ЛИЦА, СРЕДЫ,В КОТОРОЙ ОНА ОСУЩЕСТВЛЯЕТСЯ, И ОЦЕНКА РИСКОВ СУЩЕСТВЕННОГО ИСКАЖЕНИЯ АУДИРУЕМОЙ ФИНАНСОВОЙ (БУХГАЛТЕРСКОЙ) ОТЧЕТНОСТИ

Руководство предприятия несет ответственность за разработку и фактическое воплощение системы внутреннего контроля. От него зависит, чтобы система внутреннего контроля отвечала размерам и специфике деятельности предприятия, функционировала регулярно и эффективно. На предприятии, в соответствии с его учредительными документами или правилами внутреннего распорядка, может быть назначен ревизор, создана ревизионная комиссия или организован отдел внутреннего аудита, которым может быть передана часть функций по поддержанию системы внутреннего контроля. Эффективная организационная структура предполагает оправданное разделение ответственности и полномочий сотрудников. Она должна по возможности препятствовать нарушениям требований контроля и обеспечивать разделение несовместимых функций. Функции сотрудника являются несовместимыми, если их сосредоточение у одного лица может способствовать совершению случайных или умышленных ошибок и нарушений и затруднять обнаружение таких ошибок и нарушений. Обычно подлежат распределению между различными лицами такие функции, как:непосредственный доступ к активам предприятия; разрешение на осуществление операций с активами;непосредственное осуществление хозяйственных операций;отражение хозяйственных операций в бухгалтерском учете.

Надлежащее функционирование системы внутреннего контроля зависит также от сотрудников, которым поручена соответствующая деятельность. Система отбора, найма, продвижения по службе, обучения и подготовки кадров должна обеспечивать высокую квалификацию и честность соответствующего персонала. Аудитор должен убедиться в том, что средства контроля проверяемого предприятия достигают следующих целей:хозяйственные операции выполняются с одобрения руководства как в целом, так и в конкретных случаях все операции фиксируются в бухгалтерском учете в правильных суммах, на надлежащих счетах бухгалтерского учета, в правильном периоде времени, в соответствии с принятой учетной политикой и обеспечивают возможность подготовки достоверной бухгалтерской отчетности; доступ к активам возможен только с разрешения соответствующего руководства; соответствие зафиксированных в бухгалтерском учете и фактически имеющихся в наличии активов определяется руководством с установленной периодичностью, и в случае расхождений руководством предпринимаются надлежащие действия.Аудитору следует убедиться в применении на проверяемом им экономическом субъекте таких процедур внутреннего контроля, как: арифметическая проверка правильности бухгалтерских записей; проведение сверок расчетов; проверка правильности осуществления документооборота и наличия разрешительных записей руководящего персонала; проведение в соответствии с установленным порядком периодических плановых и внезапных инвентаризаций кассовой наличности, бланков строгой отчетности, ценных бумаг и товарно-материальных ценностей на предмет выяснения соответствия данных бухгалтерского учета фактическому наличию; использование для целей контроля информации из источников, расположенных вне предприятия;осуществление мер, направленных на физическое ограничение доступа несанкционированных лиц к активам предприятия, к системе ведения документации и записей по бухгалтерским счетам; исследование динамики хозяйственных показателей, сравнение плановых и сметных хозяйственных показателей с фактически имевшими место и выяснение причин существенных расхождений.

Аудитор оценивает систему внутреннего контроля в три этапа: общее знакомство с системой внутреннего контроля;первичная оценка надежности системы внутреннего контроля; подтверждение достоверности оценки системы внутреннего контроля.

При общем знакомстве с системой внутреннего контроля на предприятии аудитор выясняет следующее:

а) В начале проверки он получает общее представление о специфике и масштабе деятельности предприятия и системе его бухгалтерского учета. По итогам первоначального знакомства аудитор должен принять решение о том, может ли он в своей работе вообще полагаться на систему внутреннего контроля.

б) Если аудитор принимает решение о том, что он не может полагаться в своей работе на систему внутреннего контроля предприятия, он должен планировать аудит таким образом, чтобы аудиторское мнение не основывалось на доверии к этой системе. Это может быть сделано, когда надежность системы внутреннего контроля оценивается аудитором как "низкая" или когда аудитору более удобно или экономически оправданно не полагаться на эту систему.

в) В том случае, если по итогам общего знакомства с системой внутреннего контроля аудитор примет решение о том, что она может сделать попытку полагаться в своей работе на систему внутреннего контроля, ему следует осуществить первичную оценку надежности системы внутреннего контроля.

При выполнении второго этапа проверки системы внутреннего контроля на предприятии производятся следующие шаги. Процедура первичной оценки надежности системы внутреннего контроля осуществляется на основе методики и приемов, которые аудиторы разрабатывают самостоятельно, но с учетом требований стандарта аудиторской деятельности.При выполнении процедуры первичной оценки надежности системы внутреннего контроля аудитор обязан принимать во внимание, что:

а) следует проверять на предмет надежности средств контроля бухгалтерскую и хозяйственную документацию предприятия всего отчетного периода, а не только избранных периодов времени;

б) при проверке необходимо уделить большее внимание тем периодам, деятельность в которых имела особенности или различия по сравнению с деятельностью, типичной для всего периода в целом;

в) оценка надежности всей системы внутреннего контроля и отдельных средств

контроля как "низкой" не исключает возможности оценки надежности других отдельных

средств контроля как "средней" или "высокой".

Третий этап заключается в подтверждении достоверности оценки системывнутреннего контроля. Аудитор, принявший по итогам процедуры первичной оценки решение о доверии системе внутреннего контроля и отдельным средствам контроля, обязан в ходе аудиторской проверки осуществлять процедуры подтверждения достоверности этой системы. Процедуры подтверждения достоверности системы внутреннего контроля и отдельных средств контроля осуществляются на основе методики и приемов, которые разрабатываются аудиторской фирмой самостоятельно, но с учетом требований стандарта аудиторской деятельности. Если аудитор в ходе процедур подтверждения надежности придет к выводу о том, что оценка надежности системы внутреннего контроля окажется ниже той, которая была получена в ходе первичной оценки, он обязана соответствующим образом скорректировать порядок осуществления аудиторских процедур, чтобы в целом повысить достоверность своих выводов по результатам проведения аудита. Аудиторские процедуры, проводимые для проверки работоспособности и надежности системы внутреннего контроля и отдельных средств контроля, называются тестами средств контроля.Все этапы оценки системы внутреннего контроля должны документироваться с указанием аргументов.

Внутренний аудит осуществляется специальной службой субъекта или его работниками, непосредственно подчиненными руководству субъекта. Внутренний аудит - это фактически внутренний контроль, но по содержанию и методам проведения он имеет много общего с внешним аудитом .

Множество компаний по все­му миру страдает от неэффектив­ного использования разного рода ресурсов - людских, финансовых, материальных, от недостатка не­обходимой для принятия пра­вильных решений информации, непреднамеренного и преднаме­ренного искажения отчетности, прямого мошенничества со сто­роны персонала и управляющих. Подобных проблем можно избе­жать путем создания внутри са­мих компаний эффективной системы внутреннего контроля. Каждый из нас, как считает Сонин А., практически ежедневно применяет самоконт­роль или, другими словами, внут­ренний контроль. Это происхо­дит, когда мы закрываем дверь перед уходом из дома (сохране­ние наших активов - того, что находится в квартире), проверя­ем счет в ресторане (сохранение денежных средств - не платить же больше, чем должен - и, одновре­менно, проверка правильности учетных записей в виде оформ­ленного счета), покупаем стра­ховку (желание обезопасить себя от возможной потери активов в будущем), выбираем оптималь­ный маршрут движения (эффек­тивное использование ресурсов, в данном случае - времени и де­нег). И подобные примеры мож­но продолжать .

Любая деятельность внутри организации происходит, по мнению Сонина А., в рам­ках двух систем. Одна - это опе­рационная (организационная) система, построенная для дости­жения заданных целей. Другая система - это система контроля, пронизывающая операционную (организационную) систему. Она состоит, в общем виде, из поли­тики, процедур, правил, инструк­ций, бюджетов, системы учета и отчетности. Эта система направ­лена, в конечном итоге, на созда­ние необходимых предпосылок и повышение вероятности того, что компания в целом и менеджеры компании в частности достигнут поставленных целей. Мы согласны с данным утверждением.

Внутренний контроль, по нашему мнению, есть процесс, направленный на дос­тижение целей компании, и яв­ляющийся результатом дей­ствий руководства по планиро­ванию, организации, мониторин­гу деятельности компании в це­лом и ее отдельных подразделе­ний. Менеджеры компании дол­жны, во-первых, поставить цели и определить задачи компании и отдельных подразделений и по­строить соответствующую этому структуру организации. И, во-вторых, обеспечить функциони­рование эффективной системы документирования и отчетности, разделения полномочий, автори­зации, мониторинга для дости­жения поставленных целей и решения стоящих задач.

Определение внутреннего кон­троля с точки зрения его бухгалтерского понимания звучит следу­ющим образом: внутренний кон­троль есть структура, политика, правила, процедуры по обеспече­нию сохранности активов компа­нии и надежности бухгалтерских записей . Говоря о внутреннем контро­ле, важно осознавать, что он по­лезен только в том случае, если направлен на достижение конк­ретных целей, и, прежде чем оце­нивать результаты контроля, не­обходимо определить эти цели. Есть пять основных целей внут­реннего контроля:

1. Надежность и полнота ин­формации.

2. Соответствие политике, пла­нам, процедурам, законодательству.

3. Обеспечение сохранности активов.

4. Экономичное и эффективное использование ресурсов.

5. Достижение подразделени­ями компании поставленных це­лей и задач.

Концепция внутреннего контроля включает в себя несколько компонентов. Во-первых, это внутренняя среда компании, то есть этические ценности, стиль управления, процесс принятия решений, делегирование полно­мочий и принятие ответственно­сти, политика в отношении пер­сонала, компетентность сотруд­ников и, что крайне важно, отно­шение управленческого аппарата компании к внутреннему контро­лю. Во-вторых, это определение, анализ и управление рисками, стоящими перед компанией на пути достижения своих целей. В-третьих, повседневное осуще­ствление контроля: учет и отчет­ность, разделение полномочий, права доступа к активам, мони­торинг. В-четвертых, система санкционированного доступа к информации - соответствующая информация должна быть доступ­на тому, кто в ней нуждается в силу возложенных на него функ­ций/обязанностей. В-пятых, мо­ниторинг самой системы внутрен­него контроля, необходимый для определения его эффективности.

Структура системы внутреннего контроля приведена на рисунке 1.

Рисунок 1 - Структура системы внутреннего контроля

Организация: простая орга­низационная структура с четки­ми линиями подчиненности, от­ветственность в рамках полно­мочий, отчетность перед выше­стоящими руководителями, раз­граничение критических функ­ций, возможность быстрого реа­гирования при изменении как внутренних, так и внешних фак­торов, четкое определение роли и ответственности каждого отде­ла, надлежащий уровень контро­ля деятельности сотрудников и периодическая оценка результа­тов их работы.

Политика: утверждается на уровне руководства в соответ­ствии с целями и задачами орга­низации и издается в письменном виде, доводится до сведения со­трудников, периодически пере­сматривается и обновляется.

Процедуры: обеспечивают разграничение критических фун­кций, максимально просты и по­нятны, не противоречат и не дуб­лируют друг друга, периодичес­ки пересматриваются и обновля­ются по мере необходимости.

Персонал: оценка личных ка­честв кандидатов при приеме на работу, профессиональные тре­нинги и курсы, четкое определе­ние цели.

Учет: необходим для приня­тия эффективных решений, ве­дется по организационным под­разделениям компании.

Отчетность: отчеты своевре­менны, просты и последовательны.

Бюджеты: служат инструмен­том анализа достижения целей, поставленных перед подразделе­ниями, и способствуют улучше­нию координации деятельности различных отделов.

Важно отметить, что целью компании должно являться не создание системы контроля, ко­торая бы полностью гарантиро­вала отсутствие отклонений, ошибок и неэффективности в ра­боте, а системы, которая помога­ла бы их своевременно выявлять и устранять, способствуя повы­шению эффективности работы. Ведь ресурсы, направленные компанией на создание избыточ­ного контроля, могли бы быть использованы для достижения других целей и задач. Однако, даже хорошо выстроенная и орга­низованная система внутреннего контроля нуждается в оценке сво­ей эффективности как с точки зрения достижения поставлен­ных целей, так и с точки зрения экономичности. Этой цели слу­жит, как уже говорилось, внут­ренний аудит .

Основная цель внутреннего аудита - помочь менеджерам компании эффектив­но выполнять возложенные на них обязанности, придать менед­жерам компании достаточную уверенность в том, что активы компании используются наибо­лее эффективным образом для достижения целей и задач, сто­ящих перед компанией в целом и ее отдельными подразделениями.

Литература:

1. Булыга Р. П., Мельник М. В. Аудит бизнеса: практика и проблемы развития. – М.: Юнити-Дана, 2013. - 263 с.

2. Сонин А. Внутренний контроль и внутренний аудит - необходимость для компании // Евразийский вестник аудитора, № 6 июнь, 2003

3. Суйц В. П. Аудит: Практическое пособие для аудиторов. - М.: АНКИЛ, 2004.

4. Березюк В. И. Аудит: Учебное пособие – Караганда, 2009.

Похожие статьи