Сведения включаемые в отчеты службы внутреннего контроля. Современные проблемы науки и образования. Характеристика системы бухгалтерского учета как составной части системы внутреннего контроля на предприятии
Эффективность управленческих решений во многом зависит от достоверности бухгалтерской и управленческой отчетности. Искажение данных в отчетности может быть связано с ошибками обработки первичных документов, неверно выстроенными бизнес-процессами компании, недобросовестным поведением персонала. Внедрение системы внутреннего контроля позволит обеспечить надежность финансовой информации, а также снизить риски принятия ошибочных решений.
В этой статье вы узнаете:
Построение системы внутреннего контроля (СВК) предполагает определение наиболее существенных рисков (которые могут повлечь за собой финансовые потери), разработку контрольных процедур, а также создание системы тестирования эффективности контрольных процедур.
Личный опыт
Вера Трошина , заместитель генерального директора по экономике, коммерции и финансам ОАО «Азовский морской порт»
Система внутреннего контроля необходима как самостоятельным юридическим лицам, так и группам предприятий с централизованным управлением. Несмотря на то что в зарубежной практике СВК получила широкое распространение, немногие финансовые директора и первые лица российских предприятий осознают ее необходимость. Это объясняется тем, что эффект от внедрения процедур внутреннего контроля не всегда может быть получен мгновенно и поддается количественной оценке.
Для нашей компании решение использовать СВК было продиктовано необходимостью внедрения системы менеджмента качества (ISO 9000/2001). Первые результаты применения процедур внутреннего контроля были получены в области материально-технического снабжения, затраты на которое равны десяткам миллионов рублей (вторая наибольшая статья расходов бюджета компании). В итоге экономия составила порядка 5–8%.Игорь Миронов , руководитель отдела внутреннего аудита компании SABMiller (ООО «ТрансМарк» и ООО «Калужская пивоваренная компания»)
Компания SABMiller внедряет документирование внутреннего контроля в рамках требований акта Sarbanes-Oxley (см. об этом законе справку. – Примеч. редакции).
Проект по сертификации СВК на соответствие положениям акта Sarbanes-Oxley в нашей компании рассчитан на период более двух лет и находится примерно на середине своего пути. Сейчас идет описание ключевых бизнес-процессов, идентификация рисков и документирование внутреннего контроля. На последующих стадиях будет проверяться эффективность контроля.
При организации СВК я бы посоветовал сфокусироваться на предупредительном (preventive control), а не последующем (detective control) контроле в компании. Затраты на предупредительный контроль в полной мере окупаются предотвращенными потерями.Михаил Подлазов , финансовый менеджер компании «Балтик Бевериджиз Холдинг АБ» (Санкт-Петербург)
Система внутреннего контроля необходима компании в первую очередь для управления эффективностью работы подразделений. Она должна решать в компании пять основных задач:
- обеспечение надежности и достоверности информации;
- защита активов и собственности;
- эффективное использование ресурсов предприятия;
- обеспечение соответствия выполняемых работ политикам, процедурам и регламентам компании;
- помощь менеджерам в достижении целей и задач компании.
Условно процесс внедрения системы внутреннего контроля включает четыре основных этапа:
- определение направлений контроля;
- описание бизнес-процессов;
- анализ и контроль рисков;
- тестирование качества СВК. Остановимся подробнее на перечисленных этапах внедрения системы внутреннего контроля, а также проблемах, с которыми компания может столкнуться в ходе этой работы.
Определение контролируемых направлений деятельности
Внедрение системы внутреннего контроля следует начать с определения подразделений и направлений деятельности, для которых будут разрабатываться контрольные процедуры. Введение контрольных процедур во всех подразделениях и направлениях деятельности приведет к тому, что на реализацию подобного проекта потребуются значительные затраты, большая часть которых не окупится. К примеру, на производственном предприятии не имеет смысла внедрять методы контроля для отдела кадров. Как правило, СВК используется в отделах сбыта, снабжения, на производстве, в бухгалтерии и казначействе, то есть в тех структурных единицах, которые напрямую связаны с формированием отчетности, управлением денежными и товарно-материальными потоками в компании. Аналогично решается вопрос для группы компаний. Состав направлений деятельности предприятия, для которых будут внедрены контрольные процедуры, определяется экспертным путем. В качестве экспертов могут выступать руководители подразделений или генеральный директор компании, то есть те специалисты, которые обладают опытом и знанием бизнес-процессов, в большей степени подверженных различным рискам.
Личный опыт
Сергей Качалов , финансовый контролер компании «Аптека 36,6»
Система внутреннего контроля будет неполноценной, если не охватывает деятельность всех сотрудников компании независимо от выполняемых ими работ. Это позволяет управлять максимальным количеством рисков, которым подвержена деятельность компании.
После того как определены границы системы внутреннего контроля, составляется календарный план-график работ и формируется рабочая группа по разработке методов контроля. В ее состав можно порекомендовать включить внутреннего аудитора и специалиста по анализу и идентификации рисков, а также привлекать в качестве экспертов руководителей тех функциональных подразделений, для которых создаются процедуры контроля.
Описание бизнес-процессов
Для того чтобы выстроить эффективную СВК, нет необходимости описывать все бизнес-процессы подразделений, которые были отобраны для внедрения процедур внутреннего контроля. В такой ситуации СВК будет неоправданно громоздкой и неуправляемой. Для ограничения состава бизнес-процессов следует определить существенные счета. Таковыми являются счета бухгалтерского или управленческого учета, искажение информации по которым может ввести в заблуждение менеджмент компании или потенциальных инвесторов. Кроме того, это могут быть счета бухгалтерского учета, оборот за период по которым составляет более 10% по отношению к выручке компании. Для определения существенности счетов также могут использоваться экспертные оценки. К примеру, деятельность компании зависит от используемых ею патентов и лицензий, стоимость которых не превышает 5% валюты баланса. Тем не менее счета учета патентов и лицензий будут классифицированы как существенные, так как от эффективности контроля за этими активами будут зависеть результаты работы предприятия.
Следующим шагом в процессе построения системы внутреннего контроля должно стать описание бизнес-процессов, связанных с отражением информации на существенных счетах. Следует отметить, что описание бизнес-процессов должно быть максимально детальным и учитывать движение отдельных документов внутри компании 2
Личный опыт
Наталия Старцева , вице-президент по финансам компании «Гамма Менеджмент Групп» (Калининград)
Основной проблемой, с которой мы столкнулись при организации СВК в компании, было отсутствие или не очень внятное содержание внутренних стандартов и регламентов. Первой задачей работников службы внутреннего контроля стала разработка системы внутрифирменных стандартов. После утверждения таких стандартов, как положение о документообороте, положение о системе бюджетирования, учетная политика (отдельно для бухгалтерского и управленческого учета), регламент представления периодической финансовой отчетности совету директоров, положение о внутреннем аудите компании, – «правила игры» стали всем понятны, а служба внутреннего контроля получила реальный инструмент для организации своей работы.
Матричная система управления и прямая подотчетность службы внутреннего контроля совету директоров позволяют иметь оперативную и объективную информацию о соответствии деятельности компании действующим регламентам и корректировать действия менеджеров в случае их нарушения.
Основная задача, которая должна быть решена в ходе описания бизнес-процессов, - наглядное представление всех работ, выполняемых сотрудниками подразделений, для того чтобы в дальнейшем на основании этих данных определить участки, связанные с риском возникновения недостоверной информации или существенных финансовых потерь.
Анализ и контроль рисков
Бизнес-процессы компании анализируются на предмет существования рисков, которые могут привести к значительным финансовым потерям для компании 3 .
Личный опыт
Михаил Подлазов
Следует отметить, что внимание нужно уделять только тем рискам, которые действительно могут привести к существенным финансовым потерям, либо исказить финансовую или управленческую отчетность. В моей практике был случай, когда внутренний аудитор настаивал на том, что хранение запасных частей на одном из складов связано с риском их утери из-за щелей в полу складского помещения. В ходе анализа данного риска выяснилось, что пол на складе покрыт кафельной плиткой, а под щелями подразумевались отверстия на стыке плитки. Очевидно, что единственные потери, которые может понести компания из-за выявленных «дефектов» пола, – утрата одной-двух гаек стоимостью несколько копеек. Разумеется, никаких процедур для контроля за данным риском внедрено не было.
Наиболее точно идентифицировать риски, связанные с теми или иными бизнес-процессами, можно путем анализа накопленной компанией информации о негативных событиях (ошибки в отчетности, кражи, порча товаро-материальных ценностей и т. д.), периодичности их возникновения и размере причиненного ущерба.
Однако подобная ситуация может существовать лишь в компаниях, внедривших систему менеджмента качества. У предприятия, которое до момента внедрения системы внутреннего контроля не осуществляло систематизированное управление рисками, подобные статистические данные, как правило, отсутствуют. В такой ситуации идентификация рисков может быть полностью возложена на экспертов - руководителей подразделений. К примеру, главный бухгалтер, длительное время проработавший в компании, всегда может довольно точно предсказать, где могла быть допущена ошибка, если не сходятся статьи актива и пассива. От экспертов также потребуется оценить периодичность возникновения неблагоприятных событий и вероятный ущерб. На этапе внедрения СВК экспертные оценки существующих рисков могут обладать большой погрешностью. Однако в будущем, внедрив систему внутреннего контроля и накопив достаточное количество данных о возникших ошибках в работе подразделений, состав рисков и их существенность могут быть оценены с высокой точностью.
Для наиболее существенных рисков, связанных с серьезными финансовыми потерями, разрабатываются контрольные процедуры 4 .
Как правило, внедрение контрольных процедур предполагает создание дополнительных уровней согласования. К примеру, для того чтобы бухгалтер осуществил платеж по заявке производственного подразделения, необходимо завизировать ее у финансового директора. Контрольные процедуры могут заключаться также в распределении ответственности. Для процесса закупок контроль будет сводиться к тому, что заказчиком выступает производственное подразделение компании и оно же контролирует качество приобретенных материалов; поиск поставщика и работу по договорам поставки осуществляет отдел снабжения, а процесс оплаты контролируется финансовым директором.
Личный опыт
Сергей Пустовалов , финансовый директор ЗАО «Бриджтаун Фудс» (Москва)
В качестве примера внутреннего контроля можно привести формирование актов сверки с дебиторами. Казалось бы, простой и понятный инструмент, но далеко не у всех предприятий формируются акты сверки со всеми своими контрагентами. Отсутствие таких актов может привести к следующей ситуации. Предположим, у компании-дебитора есть встречные требования к предприятию, например оплачен аванс в счет будущей поставки. Если в ближайшем будущем компания-дебитор обанкротится и будет образована ликвидационная комиссия, то отсудить полученный аванс без актов сверки будет крайне сложно. А доказать, что этот аванс должен быть зачтен в счет погашения ранее возникшей дебиторской задолженности, практически невозможно.Михаил Подлазов
Эффективность создаваемых процедур контроля будет зависеть от выполнения следующих факторов:
- четко определена и понятна ответственность должностных лиц за выполнение контрольных процедур;
- разграничен доступ к информации или действию;
- все транзакции авторизуются в соответствии с принятыми регламентами;
- существует документально оформленное описание процедур контроля;
- задачи контроля, исполнения и принятия решений распределены между сотрудниками.
Важно отметить, что для исполнения созданных процедур контроля необходимо их документальное оформление. Описание контрольной процедуры должно содержать следующие основные положения: цели контроля; последовательность действий; периодичность проведения контроля; ответственный за контроль сотрудник; документ, в котором отражен факт осуществления контроля (к примеру, лист согласований).
Личный опыт
Игорь Миронов
Оценка наиболее существенных рисков проводится в нашей компании ежегодно. Условный фрагмент сводного отчета об имеющихся рисках, созданных контрольных процедурах и планируемых аудиторских проверках представлен в таблице на с. 16.
Тестирование качества внедренных контрольных процедур
Эффективная система внутреннего контроля предполагает тестирование контрольных процедур и оценку их качества.
Тестирование системы контроля проводится по двум направлениям:
- соблюдение разработанных регламентов контрольных процедур;
- появление ошибок в отчетности, которые не были предотвращены системой контроля.
Соблюдение разработанных регламентов оценивается путем выборочной проверки документов, в которых должен быть отражен факт контроля. К примеру, по ряду платежных поручений проверяется наличие правильно оформленных и подписанных листов согласования.
Появление ошибок в отчетности выявляется в ходе аудита отчетности и первичной документации.
Личный опыт
Игорь Миронов
После того как проведен аудит существующих контрольных процедур, формируется аудиторский отчет, который содержит следующие разделы: аудиторские замечания; потенциальные риски; рейтинг риска (высокий, средний, низкий); рекомендации аудиторов; планируемые действия менеджмента; дата устранения замечания; ответственное лицо. В первую очередь отчет обсуждается с менеджерами подразделений, к которым есть замечания. Крайне важно получить от них ответ: согласны ли они с высказанными комментариями и в какие сроки будут предприняты меры для устранения недостатков. Только после этого отчет представляется совету директоров и аудиторскому комитету компании.
Таблица Оценка рисков
Бизнес-процесс | Основные риски | Вероятность реализации риска и степень воздействия на бизнес до внедрения СВК | Контроль за рисками | Вероятность реализации риска и степень воздействия на бизнес после внедрения СВК | Запросы менеджмента на проведение аудита | Дата последнего аудита |
Продажи | ||||||
Отгрузки продукции |
Отгрузки по некорректным накладным |
Разделение обязанностей по подготовке товарных документов и контролю за отгрузкой. Продажи подтверждены договорными отношениями |
Проведение аудита ежегодно |
I кв. 2005 г. |
||
Предоставление скидок |
Предоставление скидок, необусловленных политикой по скидкам |
Процедура контроля за предоставлением скидок разработана и соблюдается. Менеджмент регулярно проверяет ее выполнение |
Аудит по требованию коммерческого директора |
- | ||
Управление складом готовой продукции |
Затоваривание или недостаток товара |
Планирование продаж и производства (закупок). Анализ и прогноз |
Ежегодный аудит |
IV кв. 2004 г. |
||
Производство |
||||||
Закупка сырья и материалов |
Некачественное или дорогое сырье |
Тендер для поставщиков. Мониторинг цен на рынке. Контроль качества |
Аудит по требованию директора по снабжению |
Надо отметить, что в течение первого полугодия с момента внедрения системы необходимо ежемесячное тестирование процедур контроля. Это позволит исключить ошибки, допущенные при разработке. В дальнейшем тестирование системы внутреннего контроля может проводиться раз в полгода.
Личный опыт
Михаил Подлазов
Систему аудитов необходимо выстраивать исходя из существенности контролируемых рисков. В нашей практике работы все подразделения компании были поделены на три группы в зависимости от размеров и объемов денежных потоков. Для первой категории аудит контрольных процедур и собственно процессов проводится раз в год, для второй категории – раз в два года, для третьей – раз в три – пять лет.
По результатам тестирования должен составляться отчет о его результатах, который также включает рекомендации по устранению выявленных недостатков контрольных процедур.
Автоматизация внутреннего контроля
Обеспечить строгое выполнение разработанных контрольных процедур можно путем внедрения информационных систем. К примеру информационная система может обеспечивать электронный документооборот и блокировать платежи, которые не были авторизованы, или не позволять сформировать документы, необходимые для отгрузки продукции покупателю, если он исчерпал свой кредитный лимит.
Существует также программное обеспечение, позволяющее тестировать созданные контрольные процедуры, к примеру Aris Audit Manager; есть отдельные модули в Axapta, SAP, Oracle.
Личный опыт
Игорь Миронов
В своей практике мы используем программу Team Mate, разработанную компанией Pricewater-houseCoopers. Эта система позволяет автоматизировать аудиторскую деятельность на всех этапах: от планирования аудита и проведения аудиторских тестов до формирования отчетов по аудиту и последующего контроля действий менеджмента.
В заключение следует отметить, что эффективная работа системы внутреннего контроля во многом будет зависеть от подразделения, тестирующего созданные процедуры. Как правило, эти задачи возлагаются на службу внутреннего аудита. Для того чтобы результаты тестирования были объективными, это подразделение должно напрямую подчиняться собственникам бизнеса, то есть на его работу не должны влиять решения топ-менеджмента компании.
Как описать бизнес-процессы для построения системы внутреннего контроля
Интервью с внутренним аудитором представительства компании Moscow Cablecom Петром Скуридиным
- Чем вызвана необходимость внедрения системы внутреннего контроля в компаниях?
- Сама идея построения систем внутреннего контроля не нова для бизнес-сообщества - основные подходы были разработаны COSO 5 еще 15-20 лет назад. Сейчас она получила большое распространение в связи с принятием в США закона Сарбейнса-Оксли, который предусматривает ответственность первых лиц компании. К примеру если выяснится, что отчетность компании была преднамеренно искажена, то ее руководителю грозит штраф до 5 млн долл. США или заключение до 20 лет.
Акции нашей управляющей компании котируются на американской бирже. Первоначально отчет руководства об уровне системы внутреннего контроля требовалось предоставить по состоянию на 31 декабря 2005 года. Однако Комиссия по ценным бумагам США приняла решение
Об отсрочке вступления в силу требований статьи 404 закона Сарбейнса-Оксли для отдельных типов компаний до 31 декабря 2006 года.
Петр, для чего необходимо описание бизнес-процессов предприятия при создании системы внутреннего контроля?
- Основная задача описания бизнес-процессов - точно определить действия в рамках бизнес-процессов, при выполнении которых существуют риски. Следует отметить, что в одном бизнес-процессе, как правило, задействовано несколько подразделений. Если бы мы пытались выявлять риски, к примеру, основываясь на организационной структуре компании, то не учли бы множество рисков, связанных со всевозможными конфликтами подразделений, а значит, система внутреннего контроля была бы неэффективной. У нас в компании бизнес-процессы описываются без использования специализированного программного обеспечения в Visio (см. рисунок 1).
Рисунок 1. Пример описания бизнес-процессов
Но наглядного представления бизнес-процесса недостаточно. Необходимо детальное описание процесса, чтобы исключить неточности в его интерпретации, а также согласовать это описание «как есть» с владельцем процесса и оформить пошаговое подтверждение. Например, к приведенному на рисунке 2 бизнес-процессу осуществления выплат подшиваются кассовый план, заявка на оплату, счет на оплату, платежное поручение, выписка из банка и прочие документы, которые дают возможность проследить, как одна транзакция проходит через различные учетные системы и отражается в документах. С помощью ссылок пошаговое подтверждение связывается с описанием процесса, что позволяет проиллюстрировать практически любой шаг процесса.
Рисунок 2 . Описание бизнес-процесса «Выплаты денежных средств с расчетных счетов»
- После того как бизнес-процессы описаны, как выявить присущие им риски?
- К сожалению, анализ и выявление рисков - это всегда экспертные оценки. Библиотеки рисков ведут компании «большой четверки», но даже у них не всегда можно найти достаточно детальные решения. Дело в том, что риски работы любого предприятия связаны с отраслевой спецификой. Однажды я совершенно случайно приобрел в книжном магазине Великого Новгорода книгу Сотниковой Л.В. «Аудиторская проверка кассовых операций», в которой были описаны примеры контрольных процедур и признаки недостатков системы контроля, на основании которых можно идентифицировать риски при выплате денежных средств. Процесс выплаты денежных средств имеет много общих этапов для компаний, работающих в разных отраслях, но этот пример скорее исключение. Поэтому риски выявляются и описываются на основе опыта аудиторских проверок. Опытным можно считать аудитора, который проработал в одной отрасли более трех лет.
Для каждого риска определяется существенный счет, данные которого могут быть искажены в результате наступления рискового события. Как правило, разные компании используют различные методики определения существенности счетов финансовой отчетности. Например, существенными могут признаваться счета, обороты или сальдовые остатки по которым превышают 5% от прибыли до вычета налога на прибыль, дивидендов и процентов по кредитам. Еще один критерий существенности счета - ликвидность учтенных на счете активов и пассивов. Скажем, денежные средства обладают высокой ликвидностью, следовательно, связаны с высокими рисками их потери. Поэтому счета учета денежных средств всегда можно рассматривать как существенные. Также необходимо анализировать действующие контрольные процедуры (см. таблицу).
Таблица Описание рисков и действующих контрольных процедур
Риск <1> | |||
Оплата незаказанных товаров и услуг |
2. Оплата незаказанных товаров и услуг (изменение требования) |
3. Несанкционированный доступ в систему «Банк-клиент» |
4. Бухгалтер не проводит операцию по списанию задолженности или проводит в неточной сумме |
Описание риска | |||
Исполнитель создаст требование на оплату товаров и услуг, не заказанных компанией, для личных целей |
Требование на оплату будет изменено после утверждения, что может привести к закупке, не заказанной компанией |
Сотрудник, имеющий право доступа в помещение казначейства, создаст платежное поручение на оплату товаров и услуг, не заказанных компанией, для личных целей |
Бухгалтер не проведет или проведет в неточной сумме операцию по списанию кредиторской задолженности |
Наименование шага бизнес-процесса | |||
Создание требования на оплату и передача документов в бухгалтерию |
Создание платежного поручения |
Проводка Дт XX Кт 51.XX |
|
Существенность риска | |||
Детальное описание контрольных процедур, цели, частота проведения контроля | |||
Согласование требования на оплату. Цель контроля: не допустить потери активов. Описание контрольной процедуры: как только создано требование, оно становится доступным для просмотра. Требование проверяют: начальник отдела, начальник управления, бюджетный контролер. Требование попадает на следующий уровень согласования, только если оно согласовано на всех предыдущих уровнях. Частота контроля: для каждого требования. Входящие документы: требование на оплату |
- | Утверждение платежного поручения. Цель контроля: не допустить потери активов. Описание контрольной процедуры: как только создано платежное поручение, оно становится доступным для утверждения в распределенной системе «Банк-клиент». Требование утверждают должностные лица, имеющие право подписи платежных поручений. При утверждении последним должностным лицом платежное поручение автоматически отправляется в банк. Частота контроля: для каждого требования. Входящие документы: шаблон платежного поручения с реквизитами платежа | Сверка взаиморасчетов. Цель контроля: точное отражение состояния расчетов. Описание контрольной процедуры: бухгалтер производит сверку с контрагентом на ежеквартальной основе. Частота контроля: ежеквартально. Входящие документы: проводки, первичные документы |
Свидетельство реализации контроля (документ/файл) < | |||
Подпись требования каждым сотрудником, который производит согласование | - | Отметка об утверждении платежного поручения в системе «Банк-клиент» | Акт сверки взаиморасчетов, квартальный анализ сверки с дебиторами/кредиторами |
Контроль покрывает риск | |||
- | Да | Да | |
Эффективность выбранной контрольной процедуры | |||
- | |||
Существенный счет | |||
Денежные средства |
Кредиторская задолженность |
||
Контрольная процедура неэффективна, так как выбор контрагентов сделан только на основании крупных балансов дебиторов/кредиторов и не учитывает крупные обороты. Доработать инструкцию по процедуре сверки с контрагентами |
|||
<1> Номера соответствуют номеру риска на схеме бизнес-процесса. - Примеч. редакции. |
- Входит ли в ваши задачи разработка контрольных процедур?
- Не всегда, наш отдел дает рекомендации по устранению существующих недостатков, а методология и внедрение контрольных процедур относятся, как правило, к полномочиям руководителей функциональных подразделений. Однако бывают ситуации, когда мы формируем рекомендации по улучшению системы контроля и содействуем их внедрению.
Наш традиционный вопрос: что можно посоветовать компаниям, которые только начинают внедрять систему внутреннего контроля?
- Описание бизнес-процессов в форме создания письменных положений, процедур и инструкций, определяющих порядок выполнения процесса, - это отправная точка для любой компании при создании системы внутреннего контроля. Только после описания финансовых, а также основных процессов закупки, производства и сбыта на примере производственной компании можно приступать к выявлению рисков.
Беседовал Александр Афанасьев
1 Текст стандарта, а также основные сведения о деятельности Международной федерации бухгалтеров (International Federation of Accountants – IFAC) можно найти на сайте www.ifac.org. – Примеч. редакции.
2 Подробнее см. интервью «Как описать и оптимизировать бизнес-процессы» («Финансовый директор», 2003, № 7–8, с. 30). - Примеч. редакции.
3 Об анализе бизнес-процессов с целью выявления рисков см. статью «Обеспечение непрерывности бизнеса» («Финансовый директор», 2003, № 9, с. 26). - Примеч. редакции.
4 Об управлении рисками компании см. статью «Построение корпоративной системы управления рисками» («Финансовый директор», 2005, № 2, с. 27). - Примеч. редакции
5 The Committee of Sponsoring Organizations of the Treadway Commission (подробнее см. www.coso.org) – некоммерческая организация, учрежденная с целью разработки рекомендаций, позволяющих улучшить качество финансовой отчетности за счет создания процедур внутреннего контроля и совершенствования корпоративного управления. – Примеч. редакции.
Вопросы создания систем внутреннего контроля в организациях стали активно обсуждаться в профессиональном сообществе с момента вступления в силу норм ст. 19 Федерального закона от 06 декабря 2011 года № 402-ФЗ «О бухгалтерском учете». Несмотря на наличие публикаций по данной тематике, многие субъекты хозяйственной деятельности не в полной мере понимают необходимость формирования системы внутреннего контроля и механизм его реализации. Поэтому считаем необходимым дать некоторые разъяснения и рекомендации по внедрению системы внутреннего контроля и отражения ее в учетной политике организаций.
В первую очередь следует обратить внимание на то, что Закон разделяет понятия внутреннего контроля совершаемых фактов хозяйственной жизни и внутреннего контроля ведения бухгалтерского учета.
Относительно первого Закон устанавливает, что «экономический субъект обязан организовать и осуществлять внутренний контроль совершаемых фактов хозяйственной жизни» (п. 1 ст. 19).
Касательно внутреннего контроля функционирования учетной системы компании п. 2 ст. 19 Закона определяет, что «экономический субъект, бухгалтерская (финансовая) отчетность которого подлежит обязательному аудиту, обязан организовывать и осуществлять внутренний контроль ведения бухгалтерского учета и составления бухгалтерской (финансовой) отчетности».
Следует обратить внимание на то, что к настоящему времени с понятием внутреннего контроля связано множество действующих нормативных документов, основными из которых являются:
- ст. 19 «Внутренний контроль» Федеральный закон от 6 декабря 2011 года № 402-ФЗ «О бухгалтерском учете»;
- перечень терминов и определений, используемых в правилах (стандартах) аудиторской деятельности (одобрен Комиссией по аудиторской деятельности при Президенте РФ 25 декабря 1996 года);
- п. 41 и п. 42 Правила (стандарта) № 8 (Постановление Правительства РФ от 23 сентября 2002 года № 696 «Об утверждении федеральных правил (стандартов) аудиторской деятельности»);
- п. 15-18 ст. 38 Федерального закона от 29 ноября 2001 года № 156-ФЗ «Об инвестиционных фондах»;
- ст. 10 Федерального закона от 7 февраля 2011 года «7-ФЗ «О клиринге и клиринговой деятельности»;
- ст. 9 Федерального закона от 1 декабря 2007 года № 315-ФЗ «О саморегулируемых организациях»;
- ст. 85 Федерального закона от 26 декабря 1995 года № 208-ФЗ «Об акционерных обществах»;
- положение ЦБР от 16 декабря 2003 года № 242-П «Об организации внутреннего контроля в кредитных организациях и банковских группах»;
- информация Минфина РФ от 14 сентября 2012 года «О раскрытии информации о рисках хозяйственной деятельности организации в годовой бухгалтерской отчетности (ПЗ-9/2012)»;
- система внутреннего контроля в банках: основы организации (Базельский комитет по банковскому надзору, Базель, сентябрь 1998 года) Подгруппа по управлению рисками Базельского комитета по банковскому надзору;
- п. 16 плана Минфина РФ на 20122015 годы по развитию бухгалтерского учета и отчетности в Российской Федерации на основе Международных стандартов финансовой отчетности (утв. приказом Минфина РФ от 30 ноября 2011 года № 440);
- распоряжение Федеральной комиссии по рынку ценных бумаг от 4 апреля 2002 года № 421/р «О рекомендации к применению Кодекса корпоративного поведения»;
- ст. 5 Федерального закона от 30 декабря 2008 года № 307-ФЗ «Об аудиторской деятельности».
Сами понятия «внутреннего контроль» и «система внутреннего контроля» для отечественного бизнеса являются достаточно новыми. В общем-то, эти термины пришли из аудиторской практики.
Система внутреннего контроля (СВК) - совокупность организационной структуры, методик и процедур, принятых руководством экономического субъекта в качестве средств для упорядоченного и эффективного ведения хозяйственной деятельности, которая в т. ч. включает надзор и проверку, организованные внутри данного экономического субъекта его силами:
Система внутреннего контроля в организации, как правило, включает следующие элементы:
Контрольная среда включает официальную позицию, осведомленность и действия представителей собственника и руководства относительно системы внутреннего контроля, а также понимание значения такой системы. Контрольная среда оказывает влияние на сознательность сотрудников в отношении контроля. Она является основой для эффективной системы внутреннего контроля, обеспечивающей поддержание дисциплины и порядка. Далее приводится состав основных элементов контрольной среды организации (табл. 1).
Таблица 1. Состав контрольной среды организации
Процесс оценки рисков представляет собой выявление и по возможности устранение рисков в ведении хозяйственной деятельности, а также их возможных последствий. При этом следует учитывать, что риски могут быть связаны как с внешними, так и с внутренними событиями и обстоятельствами. Перечень основных факторов, рассматриваемых в процессе оценки рисков, приведен в табл. 2.
Таблица 2. Основные факторы, рассматриваемые в процессе оценки рисков
п/п | Обстоятельства, влияющие на возникновение или изменение рисков | |
---|---|---|
1 | Внешние | Изменения в окружении хозяйствующего субъекта (макроэкономические изменения, в т. ч. связанные с изменениями в нормативной среде, могут привести к изменениям в конкурентном давлении и к значительным изменениям рисков) |
2 | Внутренние | Новый персонал (новые сотрудники могут иметь иную точку зрения на систему внутреннего контроля или иные приоритеты). |
3 | Внутренние | Внедрение новых или изменение уже применяемых информационных систем (значительные и быстрые изменения в информационных системах могут изменить и риски, связанные с системой внутреннего контроля). |
4 | Внутренние | Быстрый рост и развитие хозяйствующего субъекта (действующие средства контроля могут не справиться с возросшим объемом операций и способствовать росту риска их несоответствия новым условиям деятельности). |
5 | Внутренние | Новые технологии (внедрение новых технологий в производственные процессы или информационные системы может изменить риск, связанный с системой внутреннего контроля). |
6 | Внутренние | Новые подходы к ведению хозяйственной деятельности, новые виды товаров, работ, услуг (освоение новых видов деятельности, продукции, в отношении которых лицо имеет небольшой опыт, может стать причиной появления новых рисков, связанных с системой внутреннего контроля). |
7 | Внутренние | Реорганизация хозяйственного лица может сопровождаться сокращением численности персонала и изменениями в распределении обязанностей, а также контрольных функций, выполняемых сотрудниками: они также могут повлиять на риск, связанный с системой внутреннего контроля. |
8 | Внешние и внутренние | Расширение операций за рубежом (расширение объема хозяйственных операций за рубежом и открытие дочерних предприятий, филиалов, инвестиции в зарубежные предприятия влекут за собой новые и, как правило, необычные риски, которые могут оказать влияние на систему внутреннего контроля, например, дополнительные или изменившиеся риски в результате осуществления операций с иностранной валютой, дополнительные или изменившиеся риски в связи с особенностями зарубежного, в т. ч. налогового, законодательства). |
9 | Внешние и внутренние | Новые принципы, стандарты, положения, инструкции в области ведения бухгалтерского учета и подготовки отчетности (принятие новых учетных принципов или их изменение может повлиять на риски, связанные с подготовкой финансовой (бухгалтерской) отчетности). |
Рекомендация: При выявлении возможных рисков руководство рассматривает степень их важности, вероятность их возникновения и способы управления ими. Руководство может составлять планы, программы, осуществлять соответствующие действия для устранения этих рисков или принять решение игнорировать риски из-за дороговизны возможных средств контроля в отношении этих рисков либо по другим причинам.
Информационная система, в т. ч. связанная с подготовкой финансовой (бухгалтерской) отчетности, обеспечивает понимание сотрудниками обязанности и ответственности, связанных с организацией и применением системы внутреннего контроля. Главной составляющей системы является функция информирования персонала о значимости его участия в процессах и связи его действий в информационной системе с работой других сотрудников, а также понимание способов доведения до руководителей соответствующего уровня информации о каких-либо исключительных ситуациях.
Функционирование информационных систем, связанных с подготовкой финансовой (бухгалтерской) отчетности, обеспечивается следующими средствами:
- техническими средствами;
- программным обеспечением;
- персоналом;
- соответствующими процедурами;
- базами данных.
Перечень основных функций информационных систем направленных на организацию внутреннего контроля приводится в табл. 3.
Таблица 3. Основные функции информационных систем внутреннего контроля
п/п | Функции информационных систем |
---|---|
1 | Идентификация и регистрация всех правомерных операций. |
2 | Своевременная и достаточно подробная фиксация операций, что позволяет надлежащим образом классифицировать операции для дальнейшего включения в финансовую (бухгалтерскую) отчетность. |
3 | Осуществление оценки объектов учета таким образом, чтобы соответствующая информация могла быть включена в финансовую (бухгалтерскую) отчетность в надлежащем суммовом выражении. |
4 | Определение периода времени, в котором имели место операции, что позволяет отнести их в учете к соответствующему отчетному периоду. |
5 | Представление надлежащим образом операций и относящихся к ним случаев раскрытия информации в финансовой (бухгалтерской) отчетности. |
Таблица 4. Перечень методов и процедур, применяемых в контрольных действиях
п/п | Методы и процедуры, применяемые в контрольных действиях |
---|---|
1 | Проверка выполнения Такие контрольные действия включают:
|
2 | Обработка информации Разнообразные контрольные процедуры в отношении обработки информации выполняются для проверки точности, полноты и санкционирования операций и делятся в области информационных систем на две большие группы средств контроля:
|
Общие средства контроля над информационной системой обычно включают средства контроля в отношении:
Такие средства контроля применимы к универсальным компьютерам, мини-компьютерам и вычислительным машинам конечных пользователей в локальных сетях. Примерами таких общих средств контроля являются:
|
|
Прикладные средства контроля применяются к обработке отдельных видов информации. Эти средства контроля помогают удостовериться, что осуществленные хозяйственные операции были санкционированы в полном объеме и точно зафиксированы и обработаны. Примерами прикладных средств контроля являются:
|
|
3 | Проверка наличия и состояния объектов Указанные контрольные действия направлены на обеспечение сохранности активов, включая:
|
Таблица 5. Перечень мероприятий, связанных с мониторингом средств контроля
п/п | Мероприятия, связанные с мониторингом средств контроля |
---|---|
1 | Наблюдение руководства за тем, своевременно ли подготавливаются выверки расчетов с банками; |
2 | оценка внутренними аудиторами соответствия действий персонала, занимающегося продажами, политике организации в отношении определенных условий договоров с покупателями; |
3 | осуществление надзора за соответствием действий персонала политике организации в области этики или деловой практики; |
4 | регулярную оценку организации и применения средств контроля, а также осуществление необходимых корректирующих мероприятий в отношении средств контроля вследствие изменения условий деятельности; |
5 | мониторинговые мероприятия могут включать использование информации, полученной извне; |
6 | руководство, осуществляя мониторинг, может также учитывать сообщения внешних аудиторов, касающиеся системы внутреннего контроля; |
7 | внутренние аудиторы или персонал, выполняющий аналогичные функции регулярно предоставляет информацию о функционировании системы внутреннего контроля, сосредоточивая основное внимание на оценке организации и применении системы внутреннего контроля, сообщает информацию о достоинствах и недостатках системы внутреннего контроля, а также дает рекомендации по ее улучшению. |
Рекомендация: Система информирования персонала может принимать такие формы, как внутренние регламенты деятельности, руководства по составлению финансовой (бухгалтерской) отчетности, инструкции и указания. Доведение информации до сведения сотрудников может осуществляться с использованием средств электронной связи, устно и посредством распоряжений руководства.
Контрольные действия включают политику и процедуры, которые помогают удостовериться, что распоряжения руководства выполняются (например, что необходимые меры предприняты в отношении рисков, которые могут препятствовать достижению целей). Контрольные действия, осуществляемые вручную или с применением информационных систем, имеют различные цели и применяются на различных организационных и функциональных уровнях.
Мониторинг средств контроля включает наблюдение за тем, функционируют ли они и были ли они изменены надлежащим образом в случае необходимости. Мониторинг средств контроля представляет собой процесс оценки эффективного функционирования системы внутреннего контроля во времени.
В соответствии с вышеизложенными подходами и рекомендациями к формированию и оценке работы систем внутреннего контроля, необходимо обращать основное внимание на соответствие выстроенной в организации СВК действующим нормативным документом и основному идеологическому «посылу» заложенному в ней - стремлению к минимизации рисков в хозяйственной деятельности и своевременному выявлению нарушений.
Список литературы
- Федеральный закон от 6 декабря 2011 года № 402-ФЗ «О бухгалтерском учете».
- Постановление Правительства РФ от 23 сентября 2002 года № 696 «Об утверждении федеральных правил (стандартов) аудиторской деятельности».
- Федеральный закон от 29 ноября 2001 года № 156-ФЗ «Об инвестиционных фондах».
- Федеральный закон от 7 февраля 2011 года № 7-ФЗ «О клиринге и клиринговой деятельности».
- Федеральный закон от 1 декабря 2007 года № 315-ФЗ «О саморегулируемых организациях».
- Федеральный закон от 26 декабря 1995 года № 208-ФЗ «Об акционерных обществах».
- Положение ЦБР от 16 декабря 2003 года № 242-П «Об организации внутреннего контроля в кредитных организациях и банковских группах».
- Информация Минфина РФ от 14 сентября 2012 года «О раскрытии информации о рисках хозяйственной деятельности организации в годовой бухгалтерской отчетности (ПЗ-9/2012)».
- Система внутреннего контроля в банках: основы организации (Базельский комитет по банковскому надзору, Базель, сентябрь 1998 года). Подгруппа по управлению рисками Базельского комитета по банковскому надзору.
- План Минфина РФ на 2012-2015 годы по развитию бухгалтерского учета и отчетности в Российской Федерации на основе Международных стандартов финансовой отчетности (утв. приказом Минфина РФ от 30 ноября 2011 года № 440).
- Распоряжение Федеральной комиссии по рынку ценных бумаг от 4 апреля 2002 года № 421/р «О рекомендации к применению Кодекса корпоративного поведения».
- Федеральный закон от 30 декабря 2008 года № 307-ФЗ «Об аудиторской деятельности».
Перечень терминов и определений, используемых в правилах (стандартах) аудиторской деятельности (одобрен Комиссией по аудиторской деятельности при Президенте РФ 25 декабря 1996 года).
П. 42 правила (стандарта) № 8 (Постановление Правительства РФ от 23 сентября 2002 года № 696 «Об утверждении федеральных правил (стандартов) аудиторской деятельности»).
В наличии и эффективной работе на практике системы внутренних контролей (далее - СВК) отчитывающегося предприятия заинтересованы все стороны, пользующиеся его отчетностью, составленной по стандартам МСФО. В первую очередь это собственники компании, которые несут наибольшие риски и могут пострадать (материально и репутационно) в случае неэффективности работы внутренних контролей, не говоря уже о ситуациях, когда контроли вовсе не разработаны и отсутствуют.
Другие пользователи отчетности - это потенциальные инвесторы, кредиторы, поставщики, клиенты, сотрудники. Все они заинтересованы, чтобы отчетность предприятия, с которым они каким-либо образом связаны, не была предметом мошенничества и не содержала существенных ошибок, сокрытия растрат, злоупотреблений и неэффективности менеджмента.
Ведь высокая цель МСФО по предоставлению пользователям прозрачной, нейтральной и объективной информации не будет достигнута, если, например, в финансовой отчетности (далее - ФО) содержится предвзятая и односторонняя трактовка хозяйственных событий (как, скажем, неоправданно ускоренное признание выручки) или преднамеренно опущены важные раскрытия о событиях после отчетной даты - даже если при этом менеджментом соблюдается видимость выполнения всех требований стандартов МСФО.
Именно поэтому для каждого предприятия и его собственника критичным является построение СВК над процессом составления ФО. Эффективная СВК не может, конечно, полностью устранить мотивацию исказить отчетность (если, например, она существует у менеджмента ради крупного годового бонуса или для сохранения своей руководящей должности), но она может в существенной степени устранить возможности для совершения подобных манипуляций.
Справочно
В некоторых странах, например в США, аббревиатура ICOFR (Internal Controls over Financial Reporting) знакома всем инвесторам, а независимый аудит СВК является неотъемлемой отдельной частью ежегодного аудита публичных компаний США.
Там еще в 2002 г. конгрессом был принят закон (известный как акт Сарбейнса - Оксли) The Public Company Accounting Reform and Investor Protection Act, значительно усиливающий ответственность компании и даже лично ее топ-менеджмента за наличие и функционирование эффективной СВК над ФО.
Нарушение требований этого акта может привести к уголовному преследованию первых руководителей компании, которые лично подписывают («сертифицируют») регулярный отчет о состоянии внутренних контролей в своей компании и об отсутствии случаев мошенничества или манипуляций с отчетностью (Management’s Responsibility for Internal Control).
В статье мы сконцентрируемся на сугубо практических аспектах построения эффективной системы контролей. Мы не будем рассматривать внутренние контроли, обеспечивающие соблюдение предприятием различных законов, норм и кодексов (так называемые комплаенс-контроли), или контроли, призванные обеспечить высокую операционную эффективность деятельности компании и нормативов (так называемые операционные внутренние контроли).
Что такое СВК?
Обычно под СВК над ФО понимают совокупность процедур и процессов, направленных на недопущение искажения ФО и осуществляемых под надзором руководства самой отчитывающейся компании.
Покровителем («спонсором») СВК должны быть основные исполнительные и финансовые должностные лица компании. Непосредственно поддерживать СВК и тестировать ее эффективность должны назначенные высшим руководством лица, регулярно выполняющие подобные функции (например, сотрудники службы внутреннего аудита). Целью эффективного функционирования СВК в целом является обеспечение разумной уверенности в отношении достоверности ФО, а целями основных видов индивидуальных контрольных процедур является обеспечение:
Наличия первичных записей и документов, которые в разумных деталях, достоверно и точно отражают сущность хозяйственных операций и порядки использования активов компании;
Достаточной уверенности в том, что все операции отражаются в соответствии с порядком, предписанным принятыми принципами бухгалтерского учета и отчетности (например, в соответствии со стандартами МСФО);
Поступления экономических выгод и осуществления расходов компании только в соответствии с разрешениями соответствующих руководителей компании;
Предотвращения или своевременного обнаружения несанкционированного приобретения, использования или выбытия активов компании, которые могут оказать существенное влияние на показатели ФО.
Рассмотрим конкретные задачи, которые должна решать СВК в отношении отдельных элементов ФО. В отношении представленных компанией в своем отчете о финансовом положении (ОФП) активов стоит задача убедиться в том, что:
Они фактически имеются в наличии;
Предприятие имеет право собственности (или контроля) над ними;
Указанные по определенной стоимости активы с большой степенью вероятности принесут предприятию будущие экономические выгоды как минимум в этом размере (т. е. не обесценились и отражены по «правильной», консервативной стоимости);
Все активы, имеющиеся у предприятия, указаны полностью, без пропусков;
Их срок полезного использования оценен адекватно и, следовательно, амортизация начисляется исходя из разумных сроков эксплуатации актива;
При изменении способа использования актива соответствующим образом были пересмотрены способ и срок амортизации.
В отношении обязательств и расходов задача СВК заключается в обеспечении разумной уверенности в полноте их отражения, правильности измерения и правомочности авторизации их осуществления (сотрудниками от имени предприятия) соответствующим уровнем менеджмента.
К сожалению, работа по построению СВК не является конечным проектом, т. е. после ее разработки и внедрения она сама не будет бесконечно долго и правильно работать без регулярной поддержки. Даже при наличии правильно идентифицированных рисков и построении соответствующей им грамотной системы превентивных, определяющих и корректирующих контролей все равно требуется постоянная работа по поддержанию СВК. Это обусловлено большой зависимостью от человеческого фактора, наличием огромного количества единичных разнообразных хозяйственных операций и возникновением новых ситуаций, в которых возможны прямое мошенничество сотрудников, манипуляции менеджмента с отчетностью или компьютерные и непреднамеренные человеческие ошибки.
Виды контролей
Целью превентивных контролей является намерение компании предотвратить нежелательные для нее события или сдержать их развитие. Это активные контроли, которые помогают предотвратить потери. Примерами превентивных контролей являются:
Разделение обязанностей между сотрудниками - для исключения злоупотреблений и махинаций с отчетностью (в отсутствие такого контроля может возникнуть риск хищения денежных средств и соответствующего искажения отчетности, когда, например, один и тот же сотрудник полностью готовит платежные документы и отвечает за сверку с банком);
Система внутренних согласований (например, с другими функциональными подразделениями);
Правила, требующие получения надлежащего разрешения от своего руководителя для совершения определенных действий в рамках установленных лимитов полномочий;
Наличие надлежащей документации (например, специальные форматы ваучеров или других бланков строгой отчетности для исключения легкодоступных сотрудникам фальсификаций; отсутствие подписанных пустых бланков; заранее пронумерованные бланки документов, отпечатанные типографским способом для обеспечения целостности порядковых номеров и т. п.);
Система физического контроля над сохранностью активов.
Определяющие контроли предназначены для обнаружения нежелательных действий сотрудников после того, как эти действия уже совершились. Определяющие контроли, свидетельствуя о факте произошедших потерь, не предназначены для их предотвращения. Примерами таких контролей являются:
Плановые и внезапные проверки руководством деятельности своих сотрудников;
Различные анализы (например, соотношение финансовой и подлежащей нефинансовой информации, коэффициентный анализ, расследование неожиданных результатов в отчетности или необычных данных, план-факторный анализ);
Различные сверки (например, данных управленческой отчетности и ФО по сегментам бизнеса, данных из учетных систем компании с внешними источниками или контрагентами);
Инвентаризации (например, для проверки наличия запасов и основных средств, числящихся на балансе компании);
Аудит (внутренний и внешний).
Корректирующие контроли нацелены на исправление уже допущенных конкретных ошибок с целью коррекции ситуации, восстановления объективной картины бизнеса и устранения искажений в отчетности (например, корректирующие внутригрупповые сверки оборотов и балансов, в ходе которых выверяются и исправляются записи по деятельности между филиалами и дочерними компаниями отчитывающегося предприятия).
Все три типа контролей имеют важное значение для эффективной работы СВК в целом. С точки зрения поддержания качества отчетности превентивные контроли имеют особенно важное значение, потому что они активны по своей природе (требуют конкретных действий от сотрудников и (или) руководства) и подчеркнуто нацелены на поддержание качества как производственного процесса, так и отчетности, получаемой в его результате. С другой стороны, определяющие контроли играют важную роль для предоставления доказательств того, что превентивные контроли действительно функционируют как положено и предотвращают как потери бизнеса, так и искажения в его отчетности. Такая специфическая контрольная деятельность, как контроль над информационными системами, может быть как превентивной, так и определяющей (в силу самой природы ИТ-среды).
Помимо внедрения системы контролей, которые снимают или уменьшают конкретные риски (например, требование наличия подписи-разрешения руководителя на счете-фактуре от поставщика перед тем, как бухгалтерия подготовит платежные документы), возможно и проведение других мероприятий, которые в целом способствуют укреплению СВК предприятия. К ним, в частности, относятся:
Регулярное составление отчетности. Если отчетность составляется не один раз в год, а ежеквартально или даже ежемесячно, то это позволяет существенно снизить риски человеческих и машинных ошибок в силу более частого применения контрольных процедур и в связи с этим повышения вероятности обнаружения просмотров или несоответствий;
Быстрое закрытие. Процедура быстрого закрытия и формирования отчетности невозможна без четких регламентов и конкретных процедур, где каждое подразделение и даже сотрудник знает свою задачу в процессе формирования ФО. Такая четкость дисциплинирует составителей отчетности, каждый из которых, как в проектной цепочке, ожидает определенную информацию по своей секции от ее поставщика и развивает в связи с этим свое ожидание как абсолютных цифр, так и их соотношений (например, к факту прошлого года и к плану отчетного периода) и различных коэффициентов.
Построение системы
Для того чтобы правильно и эффективно начать работу по построению СВК над ФО, необходимо вначале проанализировать и оценить статус в «нулевой точке». Возможно, какие-то контрольные процедуры уже существуют в компании и без их формализации, документирования и назначения сотрудников, ответственных за их разработку и поддержание (например, специалистов службы внутреннего контроля или службы внутреннего аудита). В процессе выявления и анализа имеющихся недостатков необходимо сразу же, не откладывая в долгий ящик, начать думать о дизайне конкретных процедур СВК, которые позволят их определить, а также разрабатывать мероприятия по наиболее эффективному устранению и недопущению обнаруженных недостатков в будущем.
Те же шаги, которые предпринимаются в начале процесса построения системы контролей, необходимо будет выполнять и в случае, когда потребуется составление отчета менеджмента о функционировании внутренних контролей на предприятии (например, по требованию совета директоров, акционеров, кредиторов или при формировании отчетности в соответствии с законодательством определенной юрисдикции, как, например, для публичных компаний в США).
Представим эти этапы в виде табл. 1.
Таблица 1
Этапы анализа и план мероприятий по оценке, построению и улучшению СВК
Этап |
Мероприятия |
Планирование и сфера охвата процесса оценки |
Внедрить процесс оценки внутренних контролей, назначить ответственного исполнителя. Определить все финансовые отчеты - предметы внутренних контролей. Определить уровень материальности для каждого отчета. Определить наиболее значительные счета плана счетов, регулярно используемые в ФО допущения и основные типы хозяйственных сделок. Построить мэппинг (таблицу соответствия) счетов плана счетов и основных сделок. Определить организационный подход (кто, что и когда тестирует) |
Формализация внутренних контролей |
Задокументировать и прояснить понимание, полезность и значение уже существующих внутренних контролей для всех значительных счетов, групп счетов и хозяйственных транзакций |
Оценка дизайна и операционной эффективности системы контролей |
Оценить дизайн и операционную эффективность существующей СВК над процессом подготовки ФО. Задокументировать результаты оценки |
Определение и устранение недостатков |
Определить, сгруппировать и оценить недостатки, отдельно относящиеся к дизайну и к операционной эффективности индивидуальных внутренних контролей. Обобщить выводы. Исправить ошибки в контролях и устранить недостатки |
Подготовка отчета |
Подготовить для совета директоров или акционеров письменный отчет руководства по обеспечению функционирования эффективности СВК над подготовкой ФО |
Из этого плана становится очевидно, что выполнять их должен топ-менеджмент компании, и поэтому именно он отвечает за построение эффективной СВК.
Руководство компании не может делегировать эту задачу внешним консультантам, управленцам среднего звена, службе внутреннего контроля или внешним аудиторам. Высшее руководство компании должно выступать покровителем процесса построения системы контролей, при этом умело делегируя технические полномочия специалистам (например, сотрудникам службы внутреннего аудита).
Каждый из этапов, описанный в табл. 1, требует от руководства значительных усилий. Проблема состоит в том, что построение СВК является не узкой задачей одного-двух специалистов, а мероприятием, охватывающим абсолютно все предприятие. При этом наверняка будет ощущаться сопротивление различных функциональных служб, которые будут считать, что разработка и внедрение СВК является задачей только бухгалтеров или финансистов компании. Напротив, каждый функциональный менеджер и руководители «под ним» должны нести свою личную ответственность за те внутренние контроли, которые зависят от них и были предписаны им в процессе внедрения СВК.
На первом этапе работ необходимо решить все основные организационные задачи, которые включают в себя - как лучшую практику - учреждение службы внутреннего аудита, которая в отличие от службы внутреннего контроля, отвечающей за соответствие требованиям и операционную эффективность, может сконцентрироваться исключительно на минимизации рисков, связанных с подготовкой ФО предприятия.
Во главу службы внутреннего аудита должен быть поставлен опытный и зарекомендовавший себя специалист, крайне желательно с опытом работы во внешнем или внутреннем аудите компаний такой же отрасли, как и отчитывающееся предприятие. Стандартами корпоративного управления рекомендуется, чтобы руководитель службы внутреннего аудита подчинялся напрямую совету директоров или хотя бы аудиторскому комитету компании, а не одному из исполнительных директоров компании, включая генерального или его заместителя по риск-менеджменту. Такая система подчинения позволит строить работу службы внутреннего аудита максимально объективно и добиться наибольшей независимости от исполнительного менеджмента, при этом участвуя во всех основных управленческих решениях.
Кроме того, рекомендуется, чтобы и другие члены команды службы внутреннего аудита были специалистами с соответствующим образованием и имели опыт работы в области финансов, информационных технологий, бухгалтерского учета или аудита. Должны быть и сотрудники, имеющие навыки и опыт управления проектами. Желательно, чтобы основные сотрудники СВА владели соответствующими сертификатами (например, дипломированный бухгалтер АССА, СРА или ДипИФР, сертифицированный внутренний аудитор или сертифицированный финансовый менеджер).
В любой крупной современной организации ИТ-контроли являются настолько важными, что как минимум один сотрудник СВА должен быть сертифицированным специалистом ИТ. Сбои в работе крупных ИТ-систем, особенно с «самописными» модулями-доработками, могут создать значительные риски искажений в процессе формирования ФО компании. Поэтому ИТ-специалист СВА должен быть компетентным в проведении симуляционного тестирования контролей используемых компанией различных ИТ-систем. Такое тестирование заключается в «прогоне» фиктивных операций, различных хозяйственных сценариев или вымышленных клиентов через тестируемую ИТ-систему и дальнейшем сравнении полученных результатов по таким «симуляционным» транзакциям с ожиданиями.
Помимо симуляционных тестов, предприятие должно разработать и внедрить следующие ИТ-контроли:
Правила доступа сотрудников к различным типам информации, серверам и файлам.
Физическая сохранность компьютерной техники и носителей информации (например, выдача гибких шнуров безопасности для ноутбуков сотрудников с целью избежать хищения техники и содержащихся служебных данных).
Правила и регламенты разработки программного обеспечения и внесения изменений в него.
Восстановление данных в случае катастрофических событий (например, пожар в серверном помещении и т. п.).
Контроли, связанные с валидацией данных, выработанных сотрудником, специалистом смежного департамента (например, бюджетного) или руководителем.
Контроли, связанные с обработкой данных и выдачей отчетов.
Другие чисто организационные шаги по построению СВК над ФО включают в себя:
Обеспечение профессиональной подготовки и тренингов. Руководитель группы по внедрению СВК (или директор СВА) должен рассмотреть необходимость подготовки и обучения для всех сотрудников, которые будут вовлечены в процесс. Обучение должно быть адаптировано к уровню и виду участия в проекте по внедрению СВК, ожидаемых от участников (например, руководители функциональных подразделений и цехов, менеджеры проектов и отдельные специалисты, такие как бухгалтеры, риск-менеджеры или экономисты).
Разработка шаблонов для документации. Необходимо разработать стандартные «рабочие бумаги» и формы, которые будут использоваться командой проекта для документирования различных процессов, их тестирования выводов по желательным типам внутреннего контроля для данного риска. Стандартизация шаблонов документации может быть достигнута путем автоматизации разработки документации. Такие электронные шаблоны, форматы и рабочие бумаги в дальнейшем значительно ускорят процесс работы специалистов с каждым из индивидуальных внутренних контролей.
Формализация спонсорских и наблюдательных обязанностей топ-менеджмента. Необходимо обеспечить документирование роли топ-менеджмента как спонсора процесса разработки и внедрения СВК в компании. Следует заранее разработать форматы, по которым топ-менеджмент будет оценивать прогресс работы группы по внедрению СВК; определить, в какие сроки и как будет производиться мониторинг вех проекта; составить рабочий «календарь» - план действий. Работы по нахождению недостатков, выявлению рисков и разработке дизайна наиболее эффективных методов их предотвращения включают в себя многочисленные собеседования с множеством руководителей и специалистов из различных функциональных и линейных подразделений.
Необходимо как можно раньше составить грамотный график таких встречинтервью, который соответствовал бы течению операционных процессов внутри компании - от получения заказов от клиентов (для анализа периода признания выручки и наличия ее различных компонентов) до закупки сырья (для проверки правильности используемого метода расчета себестоимости реализуемой продукции) и далее через всю технологическую и операционную цепочку до составления ФО.
Вовремя составленный график собеседований, который транслируется респондентам заранее, вместе с запросом не только описать существующую ситуацию, но и подумать над способами устранения или уменьшения присутствующих в ней рисков, позволит владельцам соответствующих бизнес-процессов подготовиться к встрече со специалистом СВА по обсуждению СВК, релевантных для их подразделений, и тщательно продумать пути внедрения или совершенствования тех или иных внутренних контролей. Важным элементом практического управления процессом по построению СВК является проведение регулярных совещаний с детальным обсуждением так называемых статус-отчетов. Этот инструмент позволяет вовремя идентифицировать статус всех индивидуальных задач, шагов и этапов на пути к полному определению проблемных зон (с точки зрения достоверности ФО), группирования различных рисков и нахождения адекватных ответов в виде соответствующих элементов СВК, таких как превентивные или определяющие контроли. В процессе регулярного обсуждения статус-отчетов прорисовываются задачи на ближайшее и удаленное будущее с точки зрения успешного и своевременного завершения всего проекта по построению сильной СВК, а также решаются проблемы, которые подразделения не могут решить самостоятельно или просто выпустили из зоны своего внимания и контроля. Естественно, что такие «статусные» встречи должны быть занесены заранее в рабочие календари всех участников проекта по внедрению СВК в компании.
Необходимо обратить особое внимание на такой компонент процесса формирования СВК, как учреждение новых процедур документооборота и потоков информации, связанных с дизайном и функционированием СВК. В частности, необходимо:
Сформировать базу и каналы для транслирования информации о статусе работы по разработке и внедрению внутренних контролей в различных подразделениях от топ-менеджмента в сторону специалистов СВА и в направлении линейных и функциональных подразделений, а также каналов обратной связи, когда агрегированная информация и выводы поступают, например, от руководителя СВА в сторону топ-менеджмента;
Учредить процедуры мониторинга, обзора и контроля за внедрением и текущим функционированием СВК со стороны топ-менеджмента;
Внедрить механизм исправления недостатков в процессе реализации проекта по разработке и внедрению различных индивидуальных внутренних контролей;
Создать институт согласований специалистов СВК и всех заинтересованных сторон, а также получения окончательной авторизации со стороны топ-менеджмента по поводу практического осуществления того или иного контроля в том или ином подразделении.
Как мы уже упоминали, именно топ-менеджмент является ответственным за разработку и внедрение СВК, даже несмотря на то, что многие функции, такие как документирование рабочих процессов, выявление узких мест, идентификация рисков и др., выполняются на практике специалистами, например сотрудниками службы внутреннего аудита. Поэтому необходимо удостовериться, что в компании уже существует (или создается) процесс коммуницирования всей информации, относящейся к процедурам формирования СВК на самый верх: представителям топ-менеджмента, отвечающим за функционирование эффективной СВК.
В этом процессе должны быть предусмотрены возможности и документы, позволяющие соответствующим представителям топ-менеджмента производить обзор, давать комментарии или каким-то другим образом реагировать на документацию, суммирующую ход проекта по внедрению и поддержанию СВК. В этой же системе (скажем, отдельной базе на корпоративном интернет-портале) должна иметься возможность для специалистов СВА и руководителей подразделений реагировать на замечания топ-менеджмента и для самого топ-менеджмента - давать окончательное добро на внедрение или отказ от внедрения той или иной конкретной процедуры внутреннего контроля. При наличии такой системы сопровождения процесса можно будет всегда проанализировать адекватность выделения компанией тех или иных зон риска, вернуться к ним в будущем и, возможно, пересмотреть свои решения по дизайну и функционированию СВК в случае обнаружения ее частичной (или полной) неэффективности после внедрения на практике.
Определение уровня материальности
Компания должна определить для себя, какие суммы считаются материальными (существенными) для каждого отчета. Материальным должен считаться такой уровень ошибки или другого непреднамеренного искажения финансовой информации, который изменит мнение и решения руководителей компании или других пользователей данного финансового отчета в отношении бывших и (или) будущих экономических событий.
Эти уровни должны быть проанализированы и установлены специалистами, работающими над СВК, для того чтобы сформулировать именно те тесты внутреннего контроля, которые смогут предотвратить и (или) выявить все ошибки и искажения, превышающие данный, заранее предопределенный менеджментом уровень. Процедуры внутреннего контроля должны быть адекватными в смысле идентификации всех материальных событий и обеспечивать корректность их отражения в ФО.
При этом не нужно забывать, что материальность не только измеряется количественным порогом, но и имеет и качественные критерии. Например, кража материалов со склада на сумму меньшую, чем установленный «обычный» количественный уровень материальности, тем не менее сама по себе для целей индивидуальных определяющих тестов внутреннего контроля должна считаться материальным событием, так как мелкие кражи могут быть сигналом и свидетельством более крупных проблем, приписок, попыток сокрытия недостач, других видов экономического мошенничества и общей слабости и неэффективности всей СВК на предприятии.
Соответственно, разрабатываемые индивидуальные процедуры внутреннего контроля должны быть составлены с учетом такого их дизайна, который позволил бы им вскрывать, помимо крупных транзакций, события, потенциально ведущие к искажениям ФО в относительно небольших размерах, но по «опасным» причинам, таким как растраты менеджмента, пересортица, махинации со стороны клиентов, ущерб интересов третьих сторон или банальное воровство сотрудников. Такие события, помимо прямого ущерба компании, сами по себе могут вести к потенциально гораздо более материальным проблемам, таким как крупные судебные иски от пострадавших клиентов или защитников окружающей среды, санкции со стороны правоохранительных органов или государственных регулирующих органов, штрафам или даже отзыву лицензий и полной потере бизнеса.
Важно ли пользователям ФО понимать такие возможные последствия «небольших» искажений, а топ-менеджменту - отдавать себе отчет, что подобные явления могли бы быть вскрыты эффективными процедурами внутреннего контроля? Конечно, это риторический вопрос. Именно поэтому построение эффективной, всеобъемлющей СВК является необходимостью для любого серьезного бизнеса, который нацелен на долгосрочное и равномерное устойчивое развитие.
Так как сфера обзора и взгляд внешних аудиторов на финансовую отчетность компании шире, чем «угол обзора» топ-менеджмента, применяемый при оценке индивидуальных финансовых отчетов, то вполне закономерно, что топ-менеджмент, как главный внутренний пользователь отчетности, должен установить более низкий (а возможно, и гораздо более низкий, на целый порядок) уровень материальности для целей дизайна соответствующих внутренних контролей, чем устанавливают для себя внешние аудиторы в процессе проведения тестов по существу.
Более того, для разных индивидуальных внутренних контролей должны быть установлены различные уровни материальности - для того, чтобы быть адекватными и соответствующими природе и размеру индивидуальных статей, составляющих отдельные пулы элементов финансовых отчетов.
Например, при валюте баланса в 100 млн руб. внешние аудиторы могут установить порог материальности для статей ОФП на уровне 3 млн руб., но при этом компания для целей учреждения адекватной СКВ установит свой собственный уровень материальности в целом для ОФП в размере 0,5 млн руб., при этом для элемента «Здания и сооружения» такой уровень будет установлен в 300 тыс. руб., а для элемента ОФП «Дебиторская задолженность» - в 100 тыс. руб.
Говоря о качественных критериях установления уровня материальности, необходимо отметить, что на него оказывает влияние не только природа того или иного элемента ФО (например, любое воровство активов компании, а не только свыше 3 млн руб. должно считаться материальным), но и его особая «контролируемость» со стороны менеджмента. Например, если топ-менеджмент осуществляет тщательный мониторинг соблюдения бюджета операционных расходов, то все «подбюджетные» статьи могут требовать установления еще более низкого уровня материальности для целей установления адекватных им внутренних контролей. В этом отличие подхода к формированию понятий о пороге материальности для целей дизайна индивидуальных внутренних контролей от общепринятого определения материальности в отношении аудируемой ФО в целом.
Роль внешних аудиторов
Как известно, в процессе проведения внешнего аудита финансовой отчетности независимые аудиторы производят свою собственную оценку СВК проверяемой компании. Это требуется Международными стандартами аудита по ряду причин: для адекватного планирования самого аудита (в части определения сферы работ, отвечая на вопрос «Можно ли внешнему аудитору полагаться на СВК и, следовательно, сократить количество и глубину тестов «по существу»?»), для идентификации потенциальных слабых мест в отчетности компании (т. е. рисков, не снятых эффективной СВК), временных рамок проведения тех или иных процедур аудита и по ряду других причин.
В связи с этим вполне естественным с точки зрения организации процесса построения СВК, который включает в себя ее дизайн, детальную разработку и внедрение, является привлечение внешних аудиторов в качестве если не прямых консультантов (что может быть запрещено из-за необходимости поддерживать независимость внешнего аудитора по сущности и по форме отношений с клиентом), то хотя бы в качестве стороны, предоставляющей квалифицированное профессиональное заключение по уровню качества разработанной предприятием СВК.
В случае привлечения внешнего аудитора компании к процессу разработки СВК с самого начала, выгоды от такого сотрудничества, несомненно, получат обе стороны. Аудиторы получат доступ к процессу формирования СВК начиная с фазы ее планирования, что позволит им указать компании на необходимость разработки и внедрения определенных процедур внутреннего контроля, которые, как аудиторы знают исходя из истории работы с данным клиентом, часто вызывали в прошлом наибольшее количество проблем и ошибок в учете и финансовой отчетности. Если аудитор с самого начала был вовлечен в процесс разработки дизайна СВК, то, естественно, он сможет с большей уверенностью полагаться на ее использование и, как следствие, сократить объем своих собственных аудиторских процедур. А это является уже прямой выгодой для компании как в плане улучшения процесса формирования финансовой отчетности, так и снижения стоимости аудита и сокращения его сроков.
Очевидно, что в эффективной, работающей и мощной СВК заинтересованы обе стороны: и сама компания (по крайней мере в лице ее акционеров), и ее внешние аудиторы, поэтому их кооперация в процессе разработки СВК - это классический пример ситуации, когда обе стороны (и проверяющий, и проверяемые) однозначно выигрывают от тесного сотрудничества.
Идентификация существенных счетов
После того как менеджмент определит все виды индивидуальных отчетов, которые должны быть охвачены СВК, и установит соответствующие уровни материальности, необходимо заняться анализом и выделением тех счетов плана счетов или их групп, которые индивидуально или в совокупности с другими, связанными с ними счетами могут приводить к материальным отклонениям в отдельных финансовых отчетах компании.
В работе по определению таких «материальных» счетов должны внимательно рассматриваться как их количественные, так и качественные атрибуты.
Количественные характеристики основным, «отделяющим» критерием должны включать в себя вопрос, существует ли вероятность по принципу «больше да, чем нет» того, что учетная запись может содержать искажения (как в сторону преувеличения, так и преуменьшения действительных данных). При этом необходимо помнить, что речь идет не только об отдельных искажениях на данном счете плана счетов, но и о его способности оказать существенное влияние на финансовую отчетность в совокупности с другими подобными ошибками или манипуляциями в пределах данного счета.
Качественные характеристики выделения материальных счетов могут включать в себя:
Высокую волатильность или чувствительность данной хозяйственной деятельности или балансовой статьи, в расчет которых входит данный счет плана счетов;
Важность данной балансовой статьи или элемента отчета о прибылях и убытках для деятельности компании с точки зрения ее управления или целей регулирования с точки зрения различных ведомств и агентств по надзору подведомственных им учреждений (например, для банков в этом плане очень важны счета плана счетов, входящие в расчет различных нормативов для банков, от которых зависит отзыв их лицензии Банком России);
Статистику, опыт и знания о частоте и (или) величине прошлых ошибок на данном счете;
Восприимчивость данного счета к потерям из-за ошибок или мошенничества (например, умышленное манипулирование оценками и допущениями, используемыми в финансовых отчетах, или наличие информации о незаконном присвоении (в прошлом) активов, отражаемых на данном счете);
Расчетные сложности, связанные с учетом и отчетностью по данному счету (например, обязательства или активы по отложенным налогам, экологические обязательства, актуарные обязательства);
Вероятность значительного наличия условных обязательств, вытекающих из основной деятельности и отражаемых на данном счете (например, последствия судебных разбирательств, штрафы и т. п.);
Изменения в характеристиках или атрибутах данного счета (например, установленные компанией новые правила амортизации нематериальных активов после пересмотра характера их использования).
Идентификация релевантных утверждений, отраженных в финансовых отчетах
Группа, уполномоченная руководством компании разработать СВК (например, сотрудники СВА), должна понять и определить, какие конкретно финансовые утверждения (или так называемые management’s assertions - утверждения или «заверения» менеджмента) связаны с каждым из значительных счетов плана счетов и, следовательно, найдут через него свое отражение в ФО. Считается, что существуют следующие типы утверждений менеджмента, которые могут быть присущи многим счетам:
- Наличие и факт осуществления (Existence and occurrence ). Это утверждение говорит пользователю отчетности о том, что все активы и обязательства действительно существуют по состоянию на отчетную дату, а также что все хозяйственные операции, попавшие и отраженные в отчетах о прибылях и убытках, о движении капитала и о движении денежных средств, на самом деле произошли за время отчетного периода.
- Полнота (Completeness ). Все активы, обязательства и операции, которые должны были быть отражены в ФО, были полностью включены в нее; с другой стороны, никаких «воздушных» операций или остатков включено в отчетность не было.
- Права и обязанности (Rights and obligations ). Все активы являются юридически принадлежащими компании (или контролируемыми ею, как в случае финансовой аренды), и все обязательства являются правовыми, договорными или конструктивными обязательствами компании.
- Оценка (Valuation ). Все активы и обязательства компании были должным образом рассчитаны или оценены, и там, где это применимо, все расходы были правильно распределены (аллоцированы).
- Представление и раскрытие информации (Presentation and disclosure ). Финансовые отчеты представлены в соответствующей стандартам отчетности (например, МСФО) форме, и все необходимые раскрытия осуществлены.
- Комплаенс (соблюдение законов - Compliance ). Все отраженные в отчетности операции были осуществлены в соответствии с применимыми законами и правилами соответствующей юрисдикции. Эту концепцию можно объяснить следующим наглядным примером. Если компания, решив «сэкономить» на различных налогах, выдала своему руководителю большой бонус в виде беспроцентного займа на 20-30 лет или вообще списала выданные средства на фиктивные «представительские» или «консультационные» расходы, то руководитель СВК должен добиться отражения этой операции в ФО как расходов на компенсацию труда, а не займа или других видов расходов. Такого подхода, кстати, придерживаются и стандарты МСФО, которые также потребуют дополнительно отразить и понесенные финансовые расходы в связи с «упаковкой» транзакции в виде беспроцентного займа.
- Сохранность активов (Safeguarding ). Все активы компании были в разумной степени достаточности защищены от мошенничества и злоупотреблений.
- Документирование (Documentation ). Документация, подтверждающая все существенные хозяйственные операции и другие значительные для компании события, а также рабочие документы по тестированию внутренних контролей есть в наличии и легкодоступны для изучения и проверки.
Необходимо осознавать, что не все вышеперечисленные «утверждения» являются релевантными для каждого из значительных счетов плана счетов.
Например, с точки зрения построения СВК утверждение «Оценка» не будет релевантным для счета «Расчетный счет в банке», потому что баланс этого счета уже выражен в конкретной и четкой сумме в российских рублях и никакой дополнительной оценки или допущений со стороны менеджмента здесь не требуется (если не принимать во внимание маловероятную ситуацию частичной или полной потери этих денежных средств в связи с банкротством банка, в котором открыт расчетный счет, и последующей невозможностью их получения в процессе ликвидации или реорганизации банка; если вероятность таких событий все же имеется, то, возможно, от компании потребуется создать резерв даже под такой актив).
Так как каждому типу «утверждения» соответствуют свои определенные риски, то сотрудники СВА должны рассмотреть каждый значительный (как по сумме, так и по значимости для компании) счет плана счетов на предмет определения этих рисков и связанных с ними видов (пулов) существенных ошибок или искажений, которые могут происходить в рамках каждого утверждения. Этот шаг является наиболее важным при построении СВК. Результаты анализа и оценки утверждений в рамках каждого счета и определение соответствующих им рисков поможет менеджменту определить конкретные типы элементов внутреннего контроля, которые должны быть разработаны и внедрены для «защиты» данного счета.
Идентификация основных транзакционных циклов
Следующим шагом на пути учреждения СВК является определение основных транзакционных циклов. Под таковыми обычно понимают основные, повторяющиеся классы хозяйственных операций, которые существенно влияют на отдельные значительные счета плана счетов или группы счетов.
Важный транзакционный цикл - это один из регулярных бизнес-процессов компании, для которого количество и денежный объем присущих ему хозяйственных операций настолько велики, что если в данном бизнес-процессе произошла материальная ошибка, то она существенно исказит отчетность и, следовательно, повлияет на процесс принятия решений пользователями отчетности (в первую очередь менеджментом и (или) акционерами).
Например, транзакционный цикл «Выручка» является важным для любой компании и, соответственно, для ее СВК, потому что существенная ошибка в этом цикле может повлиять на несколько ключевых счетов (например, таких как выручка и дебиторская задолженность), которые, в агрегированном виде попав в финансовую отчетность, самым прямым образом влияют на экономическое поведение кредиторов, инвесторов, поставщиков и клиентов в отношении данной компании.
Каждая компания должна определить свои основные транзакционные циклы, прежде чем готовить полномасштабный дизайн СВК. Ниже приведены примеры таких транзакционных циклов с их обычными составными частями:
- «Управление человеческими ресурсами», включает в себя компоненты:
- обработка заработной платы;
- контроль времени (отработанного и отпусков);
- пенсионные планы;
- управление добровольным медицинским страхованием;
- управление кадрами и связанными бюджетами.
- система заказов основных средств и бюджет капитальных затрат;
- амортизация;
- выбытие основных средств;
- переоценка зданий;
- тестирование основных средств на обесценение;
- аренда (операционная и финансовая).
- управление приобретением запасов;
- распределение запасов;
- потребление запасов.
Информационные технологии:
- общая контрольная среда информационной безопасности;
- разработка программного обеспечения;
- изменения в используемых программах;
- управление доступом к системам;
- поддержка систем ИТ.
Рассмотрим теперь соотношение транзакционного цикла и внутренних контролей, которые должные быть встроены для успешного функционирования этого цикла, на примере транзакционного цикла «Основные средства».
Тип контроля: «Разделение обязанностей ».
Сотрудник, ответственный за ведение журнала основных средств, не должен делать записи в главной книге.
Выверка деталей журнала основных средств с контрольными счетами и внесение проводок в программу отделены друг от друга.
Сотрудник, отвечающий за хранение и сохранность основных средств, не может принимать решения и самостоятельно проводить их физическую инвентаризацию.
Сотрудник, ответственный за установление меток на основные средства, не может быть одновременно лицом, отвечающим за сохранность активов.
Сотрудник, ответственный за поиск и возмещение отсутствующих основных средств, не может быть лицом, отвечающим за сохранность активов.
Все покупки основных средств должны требовать соответствующего разрешения и не могут быть совершены каким-либо одним сотрудником.
Все выбытия основных средств требуют соответствующего разрешения.
Тип контроля: «Необходимость получения надлежащего разрешения ».
Имеются письменные процедуры для приобретения, получения, регистрации активов и управления запасами.
Тип контроля: «Наличие надлежащей документации ».
Учетные записи правильно идентифицируют и классифицируют активы.
Прибыли и убытки от выбытия активов правильно записаны.
Специальные акты и накладные составляются каждый раз, когда активы получены, проданы, перемещены, переданы, повреждены или утилизированы.
Тип контроля: «Система физического контроля над сохранностью активов ».
Активы застрахованы на адекватную сумму.
Активы сразу при их оприходовании получают инвентарные номера.
Активы, не обнаруженные во время инвентаризации, отражены в специальном журнале отсутствующих активов для дальнейшего расследования.
Тип контроля: «Проверка расчетов ».
Все поступления активов правильно оприходованы в правильной сумме.
Капитализируемые затраты, необходимые для доведения актива до требуемого места и состояния готовности для эксплуатации, правильно добавлены к стоимости активов (в том числе прямые затраты и затраты на подготовку, сборку, капитализируемые проценты, обязательства по демонтажу активов и т. д.).
Тип контроля: «Сверка (реконсилиация данных из различных систем) ».
Сверки сумм активов в журналах и главной книге фактически выполняются.
Тип контроля: «Инвентаризации ».
Плановые инвентаризации активов на самом деле выполняются.
Внеплановые инвентаризации активов осуществляются каждый раз при смене сотрудника, ответственного за сохранность активов.
1В последнее время актуальным вопросом является формирование достоверной, прозрачной и нейтральной бухгалтерской (финансовой) отчетности. В данной статье рассматривается содержание закона Сарбейнса – Оксли и его применение для подготовки достоверной бухгалтерской (финансовой) отчетности, показано влияние закона Сарбейнса – Оксли на формирование системы внутреннего контроля (СВК) американских компаний. В статье проанализированы требования, предъявляемые законодательством Российской Федерации к системе внутреннего контроля. В связи с необходимостью организации и осуществления внутреннего контроля совершаемых операций, ведения бухгалтерского учета и составления отчетности, а также для снижения затрат на создание системы внутреннего контроля авторами предложено использование данных управленческого учета как инструмента системы внутреннего контроля для целей повышения достоверности и прозрачности бухгалтерской (финансовой) отчетности организации.
внутренний контроль
финансовая отчетность
закон Сарбейнса – Оксли
управленческий учет
1. Аудит и консалтинг [сайт] Закон Сарбейнса - Оксли (Sarbanes-Oxley Aсt (SOX)) на русском языке / перевод. - URL: http://www.as-audit.ru/сonsult/show/2821/ (дата обращения: 03.04.2015).
2. БМЦ [Официальный сайт] Разъяснение Х/2013 «Организация системы внутреннего контроля». - URL: http://bmсenter.ru/Files/R_2013_Organizaсiya_vnutrennego_kontrolya (дата обращения: 03.04.2015).
3. Комитет спонсорских организаций США (COSO) [Официальный сайт]. - URL: http://www.сoso.org (дата обращения: 03.04.2015).
4. Коптелов А.К., Шматалюк А.Е. Технологии управления бизнес-процессами [Электронный ресурс] // Управление корпоративными финансами. – 2004. - № 5. - URL: http://businessproсess.narod.ru/index2.htm (дата обращения: 03.04.2015).
6. Об утверждении Положения по ведению бухгалтерского учета и бухгалтерской отчетности в Российской Федерации: Приказ Минфина РФ от 29.07.1998 N 34н (ред. от 24.12.2010).
7. Об утверждении положений по бухгалтерскому учету (вместе с «Положением по бухгалтерскому учету «Учетная политика организации» (ПБУ 1/2008)», «Положением по бухгалтерскому учету «Изменения оценочных значений» (ПБУ 21/2008)») : Приказ Минфина России от 06.10.2008 N 106н (ред. от 18.12.2012).
8. О бухгалтерском учете: Федеральный закон от 06.12.2011 N 402-ФЗ (ред. от 04.11.2014).
Достоверность финансовой отчетности оказывает существенное влияние на принятие управленческих решений хозяйствующими субъектами, а, следовательно, на эффективность их деятельности и будущее развитие. За последние двадцать лет существенно снизилось доверие к финансовой отчетности как российских, так и международных компаний.
Наиболее известным случаем в международной практике является разорение энергетической корпорации Enron и ее подрядчика, компании Arthur Andersen, проводившей аудит Enron. В результате недостоверной финансовой отчетности пострадало большое число мелких акционеров, что привело к банкротству ранее надежных и вполне прибыльных компаний.
В связи с многочисленными корпоративными скандалами, вызванными недобросовестным поведением менеджеров крупных компаний, а именно фальсификацией финансовой отчетности, 30 июля 2002 г. президент США Д. Буш подписал закон Сарбейнса - Оксли (англ. Sarbanes-Oxley Aсt, или SOX).
Цель принятия закона - восстановление доверия инвесторов и обеспечение прозрачности корпоративного бухгалтерского учета и финансовой отчетности, компаний, имеющих или планирующих деловые связи с коммерческими партнерами и их зарубежными подразделениями, ценные бумаги которых котируются на открытом рынке США. В законе жестко обозначена необходимость внедрения систем внутреннего контроля. С июля 2005 года SOX распространяется на компании-резиденты и компании-нерезиденты, ценные бумаги которых имеют устойчивые рейтинговые показатели на фондовом рынке США. В соответствии с законом руководители компаний обязаны оценивать систему внутреннего контроля, раскрывая в приложениях к финансовой отчетности все ее существенные недостатки и предлагая мероприятия по их устранению .
Общемировая практика более чем десятилетнего его применения диктует необходимость перестройки коммерческой организации своих бизнес-процессов с целью повышения инвестиционной привлекательности и ведения деятельности на международном рынке.
Законодательный акт предъявляет серьезные требования к процедурам внутреннего контроля, организации бизнеса, в т.ч. к ведению управленческого учета и бюджетирования. Его основные положения направлены на регламентацию работы финансовых служб, прозрачность банковских операций и независимость аудиторов, введение новых стандартов аттестации для внешних аудиторов и правил сертификации для финансовых и исполнительных директоров, что в конечном счете повышает ответственность руководства, аудиторских комитетов и увеличивает штрафы за их неисполнение - руководители компаний несут личную ответственность. К примеру, если выяснится, что отчетность компании была преднамеренно искажена, то ее руководителю грозит штраф до 5 млн долл. США .
Закон SOX содержит 11 глав, регулирующих деятельность публичных компаний и аудиторов, обеспечивает независимость аудиторов и аудиторских комитетов, указывает на ответственность менеджмента за организацию системы внутреннего контроля на предприятии, а аудиторского комитета - за подтверждаемую отчетность, устанавливает как дополнительную ответственность совета директоров, так и уголовные санкции в области документооборота компании и финансовой отчетности.
Глава 4 SOX обязывает компании представлять максимально расширенную финансовую информацию в своей отчетности, которая должна составляться в соответствии с общепринятыми принципами учета и раскрывать информацию обо всех существенных сделках, договоренностях и обязательствах.
Кроме того, раскрытию подлежит информация о забалансовых сделках, о сделках с участием руководства и крупных акционеров компании, а также дополнительная информация о существенных изменениях в финансовом состоянии или деятельности компании (представление и тенденции развития, качественный анализ, графические данные).
С точки зрения организации внутреннего контроля, особого внимания заслуживают разделы 302 и 404. Они закрепляют персональную ответственность руководства высшего и среднего управленческого звена компании, а также необходимость внедрения системы внутреннего контроля и обеспечения сохранности всей корпоративной корреспонденции.
Раздел 302 «Корпоративная ответственность за финансовые отчеты» говорит о том, что должностные лица, подписывающие финансовую отчетность, несут персональную ответственность за организацию и осуществление внутреннего контроля, отражение в отчете своих выводов о его эффективности, согласно осуществленной ими оценке по состоянию на день ее проведения. Руководство компании (генеральный, исполнительный, финансовый директоры, руководители среднего звена по направлениям) обязано включать собственные отчеты в протоколы проведенного аудита для того, чтобы подтвердить точность информации, содержащейся в данных протоколах. Руководители, которые намеренно представляют недостоверные финансовые показатели в отчетной документации, несут серьезную административную и уголовную ответственность. Согласно разделу 802 «Уголовное наказание за изменение содержания документов» за уничтожение, изменение или фальсификацию записей может быть наложен штраф или вынесен приговор о тюремном заключении на срок до 20 лет .
Раздел 404 «Оценка внутреннего контроля руководством» закрепляет необходимость внедрения системы внутреннего контроля и устанавливает ответственность руководства компании за создание и поддержание адекватной структуры и процедур внутреннего контроля в отношении финансовой отчетности, к которой предъявляются пять основных требований: существование или возникновение, полнота и оценка, точность, права и обязательства, представление и раскрытие .
Данный раздел закона является самым сложным в применении, так как большинство компаний управляли своими финансовыми потоками без использования детальной отчетности. Компаниям рекомендуется разработать систему внутренних показателей при подготовке финансовых данных и периодически подвергать ее тестированию.
Раздел 404 напрямую связан с внутренним аудитом, который производит оценку системы внутреннего контроля компании. В международной практике существует несколько общепринятых принципов построения данной системы. Закон Сарбейнса - Оксли ссылается на модель внутреннего контроля, разработанную Комитетом спонсорских организаций (The Committee of Sponsoring Organizations of the Treadway Commission или COSO) . Модель CCSO Internal Control - Integrated Framework включает несколько взаимосвязанных блоков, каждый из которых относится ко всем категориям бизнес-целей (стратегическим, операционным, целям отчетности и соответствия требованиям законодательства) . Это пять ключевых компонентов: контрольная среда, оценка рисков, контролирующие мероприятия, внутренние коммуникации, мониторинг. В октябре 2004 г. была опубликована модель СOSO ERM - Integrated Framework (ERM - enterprise risk model), которая, по сути, объединила в себе как элементы системы внутреннего контроля, так и элементы системы управления рисками .
В 2005 году был принят международный стандарт аудита 315 «Выявление и оценивание риска существенного искажения финансовой отчетности в ходе получения понимания деятельности и среды, в которой действует организация». Понимание деятельности организации охватывает и такую составляющую, как система внутреннего контроля, которая, в свою очередь, включает контрольную среду, процесс оценки рисков в организации, информационную систему, процедуры контроля и контрольные действия и мониторинг средств контроля. Таким образом, оценка риска увязана с анализом надежности системы внутреннего контроля организации с точки зрения риска возможного ненамеренного искажения или ошибки, а также фальсификации финансовой отчетности в результате мошенничества.
Согласно МСА 315 «система внутреннего контроля - совокупность применяемых организацией средств и методов, позволяющих снизить бизнес-риски, угрожающие достижению таких целей организации, как соответствие данных финансовой отчетности фактическому состоянию дел, достижение эффективности и продуктивности осуществляемых операций, а также выполнение требований законодательства» .
В России к 2016 году планируется окончательный переход на МСФО, знание которых и умение грамотно их применять является залогом успеха составления достоверной бухгалтерской (финансовой) отчетности, позволяющей привлекать потенциальных инвесторов.
В Российской Федерации с 1 января 2013 года вступила в силу новая редакция закона о бухгалтерском учете. В соответствии со статьей 19 Федерального закона от 21.12.2011 № 402-ФЗ «О бухгалтерском учете» организация обязана «организовать и осуществлять внутренний контроль совершаемых фактов хозяйственной жизни. Организация, бухгалтерская (финансовая) отчетность которой подлежит обязательному аудиту, обязана организовать и осуществлять внутренний контроль ведения бухгалтерского учета и составления бухгалтерской (финансовой) отчетности (за исключением случаев, когда его руководитель принял обязанность ведения бухгалтерского учета на себя)» .
Введение в организации системы внутреннего контроля и соблюдение требований, регламентирующих порядок ведения бухгалтерского учета, повысит надежность и достоверность отчетности, усилит доверие инвесторов к бухгалтерской (финансовой) отчетности и приведет к повышению эффективности деятельности организации и устойчивому экономическому росту организации.
Согласно п. 4 Положения по ведению бухгалтерского учета и бухгалтерской отчетности в Российской Федерации, утвержденного Приказом Минфина России от 29.07.1998 № 34н (в ред. от 24.12.2010 N 186н), при ведении бухгалтерского учета организация должна обеспечить информацией внутренних и внешних пользователей бухгалтерской отчетности с целью контроля за соблюдением законодательства Российской Федерации при осуществлении хозяйственных операций и их целесообразностью, наличием и движением имущества и обязательств, использованием основных, материальных, трудовых и денежных ресурсов в соответствии с утвержденными нормами, нормативами, тарифами и сметами .
В соответствии с ПБУ 1/2008 «Учетная политика организации», утвержденным Приказом Минфина России от 06.10.2008 N 106н, организация формирует в учетной политике правила документооборота, технологию обработки учетной информации, порядок контроля за хозяйственными операциями и итогового обобщения фактов хозяйственной деятельности и другие решения, необходимые для организации бухгалтерского учета, а, следовательно, и системы внутреннего контроля .
Систему внутреннего контроля можно также рассматривать как совокупность организационной структуры, методик и процедур, принятых руководством организации в качестве средств для упорядоченного и эффективного ведения финансово-хозяйственной деятельности, для обеспечения достаточной уверенности в достижении целей с точки зрения надежности и достоверности финансовой (бухгалтерской) отчетности, эффективности и результативности хозяйственных операций и соответствия деятельности организации нормативным правовым актам .
Организация и функционирование системы внутреннего контроля направлены на снижение рисков хозяйственной деятельности организации. Внедрение системы внутреннего контроля предполагает наличие инструментария, который позволит отслеживать процессы внутреннего контроля в реальном времени, оптимизировать документооборот, ввести персональную ответственность по разделам внутреннего контроля, оценить степень достоверности результирующих отчетов, выявить и оценить влияние различных факторов на достоверность финансовой отчетности. Таким образом, вводимая Законом 402-ФЗ система внутреннего контроля направлена на снижение рисков при принятии управленческих решений и призвана обеспечить достоверность информации, содержащейся в финансовой отчетности компаний.
Организация и функционирование системы внутреннего контроля в компании чаще всего строится на следующих ключевых принципах .
1. Интегрированность - заключается в информировании руководства соответствующего уровня управления об обнаруженных существенных нарушениях финансово-хозяйственной деятельности с анализом их причин, недостатках и слабых местах контроля, о мероприятиях корректирующего характера, которые либо были предприняты, либо которые следует предпринять.
2. Непрерывность - заключается в осуществлении внутреннего контроля на постоянной основе на всех уровнях управления, что позволяет компании своевременно выявлять и анализировать отклонения в системе внутреннего контроля, а также предупреждать их возникновение в будущем.
3. Методологическое единство - заключается в единстве требований и подходов для всех подразделений компании.
4. Комплексность - означает, что система контроля действует на всех уровнях и во всех подразделениях компании, охватывает все объекты внутреннего контроля и направления деятельности компании и, соответственно, все возникающие риски.
5. Ответственность - означает, что за функционирование СВК несут ответственность все работники и руководство на всех уровнях компании в рамках своих полномочий.
6. Ориентированность на управление рисками - внутренний контроль должен находиться в тесном взаимодействии с системой управления рисками в компании, что способствует своевременному и эффективному внедрению мероприятий по воздействию на риски. При проведении контрольных процедур следует оценивать и величину, и вероятность возникновения рисков, а также степень их влияния на финансовые результаты.
7. Оптимальность - означает, что объем и сложность контрольных процедур, используемых в компании, являются необходимыми и достаточными для эффективного управления рисками и достижения поставленных целей, т.е. должно выполняться соотношение «затраты - экономический эффект». Затраты на внедрение и последующее функционирование контрольных процедур не должны превышать последствия реализации рисков, а совокупный уровень остаточного риска должен соответствовать допустимым размерам, установленным компанией.
8. Актуальность и развитие - означает, что вся документация по системе внутреннего контроля (описание рисков, результаты контроля и др.) должна своевременно актуализироваться и постоянно совершенствоваться с целью повышения эффективности управления рисками. Для постоянного развития системы внутреннего контроля руководством компании должны быть созданы определенные условия, так как приходится решать новые задачи, возникающие в результате изменения внутренних и внешних условий функционирования.
Задачами системы внутреннего контроля являются .
1. Установление соответствия проводимых финансовых операций в части финансово-хозяйственной деятельности и их отражение в бухгалтерском учете и отчетности требованиям нормативных правовых актов.
2. Установление соответствия осуществляемых операции регламентам, полномочиям сотрудников.
3. Соблюдение установленных технологических процессов и операций при осуществлении функциональной деятельности. С этой целью учреждение должно разработать и утвердить положение о внутреннем финансовом контроле.
В настоящее время многие организации РФ ведут управленческий учет, цель которого состоит в обеспечении информацией внутрипроизводственного планирования, управления и контроля. Поэтому систему внутреннего контроля в таких организациях целесообразно организовать в рамках управленческого учёта с тем, чтобы избежать серьезных затрат на создание этой системы. После введения в действие закона SOX в компаниях произошло увеличение на 30% затрат на проведение аудита, также значительных затрат потребовали внедрение системы внутреннего контроля, проверка ее эффективности и уязвимости.
Система внутреннего контроля может быть построена на базе центров ответственности, уже созданных в рамках системы управленческого учета. Центры - это структурные подразделения, возглавляемые руководителями, которые несут ответственность за результаты их работы . При этом руководителя подразделения ответственны лишь за те показатели, на которые они реально могут оказывать воздействие. Основным оценочным показателем обычно принимают финансовый результат, который отражается в бухгалтерской и управленческой отчетности.
В управленческом учёте должно быть четко регламентировано и обеспечено соблюдение правил и сроков составления и представления управленческой отчетности и непосредственно связанных с ней контрольных показателей внешней финансовой (бухгалтерской) отчётности (доходов, расходов, финансовых результатов).
Известно, что управленческий учет обеспечивает:
- формирование системы достоверной и полной информации о хозяйственных процессах и финансовых результатах деятельности компании для управления бизнесом в целом, на основании которой менеджмент принимает оперативные и стратегические решения;
- оценку эффективности деятельности компании, ее структурных подразделений и функциональных блоков, планирование (бюджетирование) и контроль хозяйственной деятельности, обеспечение оптимального использования основных, материальных, трудовых и денежных ресурсов и в соответствии утвержденными нормами, нормативами и сметами;
- децентрализацию управления, т.е. распределение полномочий и обязанностей в принятии решений между различными уровнями управления, делегирование ответственности между менеджерами в части управления, планирования и контроля затрат и результатов деятельности подразделения, что позволит своевременно предупреждать и предотвращать негативные явления в хозяйственно-финансовой деятельности компании и выявлять внутрихозяйственные резервы;
- корректировку управляющих воздействий на процессы производства и продажи продукции, товаров и услуг, снижение субъективности при принятии управленческих решений на всех уровнях, анализ и оценку аналитических показателей внутреннего контроля, раскрывающих выявленные резервы экономического роста эффективности компании.
Таким образом, подход к организации системы внутреннего контроля в рамках управленческого учета позволит подготовить достоверную, надежную и качественную бухгалтерскую (финансовую) отчетность.
Рецензенты:
Макарова Л.Г., профессор, д.э.н., профессор кафедры бухгалтерского учета, анализа и аудита ФГАОУ ВПО «Национальный исследовательский университет «Высшая школа экономики», г. Нижний Новгород.
Плехова Ю.О., профессор, д.э.н., профессор кафедры экономики фирмы ФГАОУ ВО «Нижегородский государственный университет им. Н.И. Лобачевского», г. Нижний Новгород.
Закон получил свое название от имен создателей - сенатора Пола Сарбейнза (демократическая партия, штат Мэрилэнд) и члена палаты представителей Майкла Оксли (республиканская партия, штат Огайо).
Библиографическая ссылка
Щепетова В.Н., Почекаева О.В. УПРАВЛЕНЧЕСКИЙ УЧЕТ КАК ОСНОВА СИСТЕМЫ ВНУТРЕННЕГО КОНТРОЛЯ ДОСТОВЕРНОСТИ ФИНАНСОВОЙ ОТЧЕТНОСТИ // Современные проблемы науки и образования. – 2015. – № 1-1.;URL: http://science-education.ru/ru/article/view?id=18818 (дата обращения: 27.06.2019). Предлагаем вашему вниманию журналы, издающиеся в издательстве «Академия Естествознания»
И внутренний контроль, осуществляемый аудируемым лицом» аудитору необходимо оценить системы бухгалтерского учета и внутреннего контроля в объеме, достаточном для проведения аудита финансовой отчетности и выражения профессионального мнения о степени ее достоверности.
Система бухгалтерского учета — это упорядоченная система сбора, регистрации, обобщения информации в денежном выражении об имуществе и обязательствах организации и их движении путем сплошного, непрерывного и документального учета всех хозяйственных операций.
Система внутреннего контроля — это совокупность организационных мер, методик и процедур, используемых руководством аудируемого лица в качестве средств для упорядоченного и эффективного ведения финансово-хозяйственной деятельности, обеспечения сохранности активов, выявления, исправления и предотвращения ошибок и искажения информации, а также своевременной подготовки достоверной финансовой отчетности.
Аудитору необходимо получать представление о системах бухгалтерского учета и внутреннего контроля аудируемого лица, достаточное для планирования аудита и разработки эффективного подхода к проведению аудита. В процессе аудита финансовой отчетности аудитор уделяет внимание только тем основным целям и конкретным процедурам в системах бухгалтерского учета и внутреннего контроля, которые имеют отношение к процессу подготовки финансовой отчетности.
Понимание системы внутреннего контроля наряду с оценкой неотъемлемого риска, риска средств контроля и учетом иной информации позволяет аудитору:
- определить виды вероятных существенных искажений, которые могут встретиться в финансовой отчетности;
- учитывать факторы, влияющие на риск появления существенных искажений;
- разрабатывать надлежащие аудиторские процедуры.
При изучении и оценке систем бухгалтерского учета и внутреннего контроля необходимо учитывать их взаимосвязь с компонентами аудиторского риска (табл. 5.1).
Таблица 5.1. Взаимосвязь систем бухгалтерского учета и внутреннего контроля с компонентами аудиторского рискаРассмотрим каждую из систем более подробно. Аудитор изучает и оценивает систему бухгалтерского учета. При этом ему необходимо рассмотреть средства внутреннего контроля, имеющие отношение к системе бухгалтерского учета, которые содействуют достижению следующих целей:
- осуществление операций по общему или специальному разрешению руководства аудируемого лица;
- своевременный учет всех операций и прочих событий в точных суммах на надлежащих счетах бухгалтерского учета и в должные отчетные периоды с тем, чтобы сделать возможной подготовку финансовой (бухгалтерской) отчетности в соответствии с установленным порядком;
- возможность доступа к активам и записям только по разрешению руководства аудируемого лица;
- регулярное сопоставление учетных активов с активами, имеющимися в наличии, и принятие надлежащих мер в отношении любых расхождений.
Аудитору необходимо получить понимание системы , достаточное, чтобы определить:
- основные группы и типы операций, осуществляемые аудируемым лицом;
- способы инициирования таких операций;
- основные регистры бухгалтерского учета, методы систематизации и хранения первичных учетных документов, счета бухгалтерского учета, используемые при подготовке финансовой и иной отчетности;
- процесс ведения бухгалтерского учета и составления финансовой отчетности от момента инициирования важных операций до момента их включения в отчетность.
Система внутреннего контроля включает в себя контрольную среду и процедуры контроля.
Контрольная среда — понятие, характеризующее общее отношение, осведомленность и практические действия руководства проверяемой организации, направленные на установление, поддержание и развитие системы внутреннего контроля в организации.
Она влияет на эффективность конкретных средств контроля и имеет следующие составляющие:
- стиль и основные принципы управления данным аудируемым лицом;
- организационная структура аудируемого лица;
- распределение ответственности и полномочий;
- осуществляемая кадровая политика;
- порядок подготовки бухгалтерской отчетности для внешних пользователей;
- порядок осуществления внутреннего управленческого учета и подготовки отчетности для внутренних целей;
- обеспечение соответствия хозяйственной деятельности аудируемого лица требованиям действующего законодательства;
- наличие и особенности организации работы ревизионной комиссии, службы внутреннего аудита в составе органа управления аудируемого лица.
При рассмотрении организационной структуры необходимо учитывать, что она является эффективной, если предполагает оправданное распределение несовместимых функций между сотрудниками экономического субъекта. Функции данного сотрудника являются несовместимыми, если их сосредоточение у одного лица может способствовать совершению случайных или умышленных ошибок и нарушений и затруднять их обнаружение. Подлежат распределению между различными сотрудниками следующие функции:
- непосредственный доступ к активам экономического субъекта;
- разрешение на осуществление операций с активами;
- непосредственное осуществление хозяйственных операций;
- отражение хозяйственных операций в бухгалтерском учете.
Процедуры контроля — это составные части системы внутреннего контроля, установленные руководством организации на отдельных направлениях и участках хозяйственной деятельности для обеспечения эффективного и надежного управления ею.
К процедурам контроля, принятым руководством аудируемого лица, относятся:
- подотчетность одних работников другим;
- внутренние проверки и сверки данных по вопросам финансово- хозяйственной деятельности;
- сравнение результатов подсчета денежных средств, ценных бумаг и товарно-материальных запасов с бухгалтерскими записями (т.е. проведение инвентаризации);
- сравнение данных, полученных из внутренних источников, с данными внешних источников информации;
- проверка аналитических счетов и оборотных ведомостей и арифметической точности записей;
- осуществление контроля за прикладными программами и компьютерными информационными системами;
- ограничение доступа к активам и записям;
- сравнение и анализ финансовых результатов с плановыми показателями.
Системам бухгалтерского учета и внутреннего контроля присущи ограничения по следующим причинам:
- затраты на функционирование системы внутреннего контроля не должны быть выше ожидаемых выгод;
- ориентация большей части средств внутреннего контроля направлена на текущие, а не на редкие операции;
- существует возможность наличия ошибок вследствие человеческого фактора;
- имеется возможность обойти процедуры внутреннего контроля путем сговора работников;
- существует возможность злоупотребления полномочиями лицами, на которых возложены обязанности по осуществлению внутреннего контроля;
- процедуры контроля могут быть неадекватными, так как изменились условия деятельности экономического субъекта.
Эффективность системы внутреннего контроля может быть сведена к нулю, если имеются в наличии следующие факты: неправильное понимание инструкций; ошибки в суждениях; халатность персонала; рассеянность или усталость со стороны лица, несущего ответственность за процедуры контроля; столкновение между отдельными лицами; неправильный выбор процедур контроля.
Оценка систем бухгалтерского учета и внутреннего контроля состоит из следующих этапов:
- общее знакомство с системами бухгалтерского учета и внутреннего контроля;
- предварительная оценка надежности систем бухгалтерского учета и внутреннего контроля;
- подтверждение предварительной оценки надежности систем бухгалтерского учета и внутреннего контроля.
Аудитор должен в разумные сроки информировать руководство аудируемого лица о выявленных им существенных недостатках структуры или функционирования систем бухгалтерского учета и внутреннего контроля. При этом необходимо отметить, что представлены только недостатки, которые стали известны аудитору в ходе проверки, и что проверка не предназначена для определения полной эффективности систем бухгалтерского учета и внутреннего контроля.