Система внутреннего контроля система внутреннего контроля n

Система внутреннего контроля

система внутреннего контроля n Эффективная система внутреннего контроля (СВК) является важнейшим элементом управления предприятием. Система внутреннего контроля обеспечивает защиту имущества, качество учета и достоверность отчетности, выявление и мобилизацию имеющихся резервов в сфере производства, финансов и т. п. Внутренний контроль охватывает все сферы деятельности предприятия и направлен на повышение эффективности управления компанией.

Внутренний контроль n термин «внутренний контроль» можно определить как сбор информации об объекте контроля. Такого рода контроль осуществляется всеми менеджерами компании в рамках выполняемых ими функций. Так, директор по продажам с целью управления процессом продаж регулярно проверяет отчеты об объемах продаж, информацию о претензиях к качеству реализуемой продукции и т. п. В широком понимании внутренний контроль – это непрерывный процесс, включающий сбор и анализ информации для принятия управленческих решений, ориентированных на эффективность деятельности компании.

n Система внутреннего контроля представляет собой совокупность организационной структуры, методик и процедур, принятых руководством экономического субъекта в качестве средств для упорядоченного и эффективного ведения хозяйственной деятельности.

n Внутренний контроль в той или иной форме существуют на каждом предприятии. Тем не менее, практика формирования в РК эффективных систем внутреннего контроля в соответствии с современными концепциями СВК только начинает складываться. Чем крупнее компания и чем сложнее ее организационная структура, тем масштабнее задачи и жестче требования к системам внутреннего контроля. К сожалению, во многих компаниях отечественного бизнеса СВК чаще всего носит неформализованный или номинальный характер, в лучшем случае сводится к внедрению системы менеджмента качества в соответствии со стандартами ИСО (ISO International Standards Organization).

n n СВК, приведенная в соответствие принципам и политикам руководства компании, интересам акционеров и участников, позволяет выявить и снизить коммерческие, финансовые и внутрипроизводственные риски в управлении предприятием, обеспечить эффективное функционирование и развитие предприятия, достижение поставленных целей. В последнее время повышение интереса к вопросам организации внутреннего контроля со стороны казахстанских предприятий обусловлено несколькими причинами.

n n Во первых, окончание периода «дикого рынка» в стране потребовало применения цивилизованных и легитимных методов управления компаниями, обеспечивающих прозрачность бизнеса. Во вторых, переход казахстанских компаний на новый уровень развития привел к качественным изменениям в управлении ими: собственники либо полностью выходят из управления, либо происходит разделение в управлении, когда собственники концентрируют свою работу на стратегическом развитии бизнеса, а текущая работа по выполнению решений и планов собственников остается за наемными менеджерами. При этом потребность в контроле со стороны собственников возрастает и, что очевидно, затрудняется. СВК призвана обеспечивать безопасность интересов собственников и в то же время не должна ограничивать менеджеров предприятия в выполняемых ими функциях.

n В третьих, развитие холдинговых структур, объединяющих в своем составе промышленные предприятия, научно исследовательские, торговые, кредитные, инвестиционные и т. д. организации, требует комплексного и формализованного контроля над денежными потоками, системой управления и финансовым состоянием каждой бизнес единицы, входящей в структуру группы. Эти цели могут быть успешно достигнуты при рационально организованной системе внутреннего контроля.

n В четвертых, современные отечественные предприятия постоянно находятся под угрозой незаконных действий своих сотрудников. Эти угрозы многообразны: прямое воровство, «откаты» взятки, ведущие к закупкам по завышенным ценам, разглашение конфиденциальных сведений, инсайдерской информации, «увод» внутренних информационных баз данных, «работа на себя» с использованием материальной и интеллектуальной собственности работодателя и многое другое. При этом специалисты выделяют две основные причины потерь, связанных с действиями персонала, плохая организация контроля и учета на предприятии и недостаточная мотивация сотрудников. Поэтому одним из главных способов минимизации подобных рисков является разработка системы внутреннего контроля, создающей ко всему прочему атмосферу коллективной ответственности и предполагающей неотвратимость наказания за незаконные действия.

n В пятых, тенденции в законодательстве, направленном на регулирование фондовых рынков, как казахстанском, так и зарубежном, обязывают компании создавать СВК, обеспечивающие достоверность финансовой отчетности.

n В 2005 году в США вступили в силу новые стандарты раскрытия информации публичными акционерными компаниями, провозглашенные Законом Сарбейнса Оксли (Sarbanes Oxley Act). Данный закон направлен на улучшение точности и достоверности финансовой отчетности и раскрытия информации корпорациями и предусматривает заверение независимыми аудиторами и менеджментом информации о полноте и эффективности существующих систем внутреннего контроля. В законе максимально учтены последствия громких историй с банкротством ряда крупнейших компаний, когда инвесторы потеряли свои вложения вследствие предоставления данными компаниями недостоверной финансовой отчетности. Планируется принятие аналогичных законодательных документов и в европейских странах: Германии, Великобритании, в которых расположены крупнейшие мировые фондовые площадки.

n Современные системы внутреннего контроля, в том числе формируемые в соответствии с требованиями фондового законодательства, базируются на принципах Интегрированной концепции внутреннего контроля (Integrated Internal Control Framework) комитета COSO. Этот документ является результатом анализа существовавшей по состоянию на 1992 год литературы по внутреннему контролю. Данная концепция акцентирует ответственность руководства предприятия за состояние системы внутреннего контроля, устанавливает основные понятия и определения внутреннего контроля и его ключевые компоненты.

Этапы совершенствования СВК n n Первый этап является подготовительным, его задача определить цели проекта. На основании установленных целей определяются требования к разрабатываемой системе внутреннего контроля, ее основные характеристики, соответственно, выбирается методика проведения работ по проекту.

Первый этап n На этом этапе целесообразно выбрать информационную систему, на основе которой будет осуществляться поддержка разрабатываемой СВК. В настоящее время на рынке представлен ряд IT систем, предназначенных для автоматизации СВК, и выбор необходимой из них должен осуществляться по принципу наибольшего соответствия концепции разрабатываемой системы внутреннего контроля.

Первый этап n формируются рабочая группа проекта, определяется ее состав из числа сотрудников компании заказчика и консалтинговой компании в соответствии с оговоренным распределением обязанностей по реализации проекта.

Первый этап n Далее осуществляется проведение мероприятий по подготовке персонала компании, который будет задействован в реализации проекта: проведение обучающих семинаров, информирование сотрудников компании о проекте. Формирование лояльного отношения сотрудников к осуществляемому в компании проекту является одним из важнейших факторов его успешной реализации. Это связано с тем, что проект по разработке СВК предполагает активное участие в нем специалистов компании, что отвлекает их от текущей работы и, соответственно, приводит к недовольству и неохотному сотрудничеству с рабочей группой проекта. Поэтому сотрудники должны быть информированы о важности реализуемого проекта, должны получить разъяснения, какую информацию и в какой форме необходимо предоставлять членам рабочей группы

Второй этап n проекта предполагает определение основных бизнес процессов на основании которых будет строиться СВК. Выделенные для целей построения СВК бизнес процессы детально изучаются и описываются на основе модели «как есть» , предполагающей фиксирование существующих процедур. Далее осуществляется оценка построения бизнес процессов на соответствие требованиям к системе внутреннего контроля, определенным на предварительном этапе. На основании результатов анализа бизнес процессы оптимизируются и описываются моделью «как должно быть» .

Преимущества q q закрепление распределения зон ответственности, функций и механизмов взаимодействия между подразделениями компании или между сотрудниками внутри подразделений; повышение прозрачности и управляемости процессов компании; повышение уровня технологической дисциплины сотрудников, формализация и упорядочение взаимоотношений персонала; снижение трудозатрат при введении в должность новых сотрудников и сокращение продолжительности адаптационного периода для вновь принимаемых на работу сотрудников.

Третий этап n n определение наиболее подверженных риску участков бизнес процессов и выявление критических для компании факторов риска, а также определение основных объектов риска для компании, формирование библиотеки рисков. Риск представляет собой любое событие или действие, которое может неблагоприятно отразиться на достижении предприятием своих целей и помешать предприятию успешно реализовать свою стратегию.

Третий этап n n n Выявленные риски оцениваются по двум основным параметрам: вероятность наступления и существенность последствия. На основе этих двух оценок осуществляется интегральная оценка рисков: они признаются существенными либо несущественными в рамках определенного бизнес процесса. Далее по всем существенным рискам определяется наличие и эффективность контрольных процедур. Контрольные процедуры анализируются по следующим параметрам: эффективность дизайна (возможность, удобство выполнения для исполнителя контроля); полнота покрытия рисков; эффективность закрепления за исполнителями контролей.

Четвертый этап n n n По результатам анализа существующих контрольных процедур определяются «узкие места» системы внутреннего контроля, осуществляется корректировка существующих контролей или разработка новых. Это является следующим этапом проекта, задачей которого является разработка рекомендаций по совершенствованию системы внутреннего контроля. Нужно отметить, что контрольные процедуры разрабатываются таким образом, чтобы они носили, по возможности, предупредительный характер, ведь лучше предотвратить проблему, чем только при появлении идентифицировать ее и устранить негативные последствия. Для всех разработанных контрольных процедур определяются исполнители, периодичность и формы документального подтверждения их выполнения.

Пятый этап n доведение информации о внедряемых контрольных процедурах до их исполнителей, определение перечня мероприятий, которые необходимо провести в компании для обеспечения полноценного функционирования разработанной системы внутреннего контроля (доработка информационных систем, разработка документации, форм отчетов, проведение обучения персонала и т. п. ).

n Далее осуществляется проведение комплекса мероприятий по тестированию системы внутреннего контроля: определяется степень внедрения контрольных процедур, выявляются факторы, затрудняющие их выполнение, в случае необходимости, разрабатываются мероприятия по корректировке СВК.

Компоненты системы внутреннего контроля Информация Оценка Мониторинг рисков исполнения Контрольная среда Процедуры контроля Информация

Контрольная среда n n n n влияет на все остальные компоненты внутреннего контроля, и является базой для создания эффективной системы. Эффективность воздействия контрольной среды на систему внутреннего контроля обеспечивается соблюдением следующих принципов: Моральные и этические ценности, поведение высшего руководства; Осознание менеджментом важности и роли внутреннего контроля, стили руководства; Приверженность менеджмента культуре компетентности; Степень вовлеченности совета директоров и аудиторского комитета в управление и надзор; Организационная культура и распределение ответственности и полномочий; Политика и практика работы с персоналом.

Модель ERM – COSO 2 (2004) n фокусируется на рисках, рассматривая внутренний контроль как необходимую часть управления рисками в организации. В документе «Концептуальные основы управления рисками организаций» описаны основные положения о процессе внутреннего контроля, что позволяет руководству и специалистам по риск менеджменту увидеть более полную концепцию и подход(www. coso. org ).

Модель внутреннего контроля – COSO-куб n Построение системы внутреннего контроля в соответствии с методикой COSO разбивается на две параллельных задачи: построение СВК на корпоративном уровне и построение СВК на уровне процессов. Суть методики COSO 1992 заключается в следующем. Система внутреннего контроля рассматривается как так называемый COSO куб. Первая ось этого куба – это компоненты контроля. Вторая ось этого куба – это уровни контроля: компания, подразделение, хозяйственная единица, дочернее предприятие. Третья ось – цели внутреннего контроля (стратегические цели, операционные цели, включая эффективность и экономичность операций, достоверность финансовой отчетности и соответствие деятельности действующему законодательству). .

n Одним из наиболее последовательных институтов в применении модели COSO является Базельский комитет по банковскому надзору. В 1998 году он выпустил два документа "Основы оценки системы внутреннего контроля" и "Система внутреннего контроля в банках: основы организации", определяющие основные принципы, задачи и приемы организации системы внутреннего контроля и аудита в банках, а также процедуры оценки эффективности внутреннего контроля в банках.

n Эти документы коренным образом пересматривали требования и положения Базельского соглашения 1988 года (т. н. Базель 1). Необходимость пересмотра требований Базельского соглашения 1 обусловлена рядом причин. Во первых, модель классификации рисков в этом соглашении была слишком упрощенной. Во вторых, за последние годы значительно усложнился банковский сектор и соответственно управление рисками. Поэтому в Базельском соглашении 1998 года (Базель 2) концептуально меняется подход к контролю над рисками

Базельский комитет n «Внутренний контроль это процесс, осуществляемый советом директоров, менеджментом и сотрудниками всех уровней. Это не только и не столько процедура или политика, которая осуществляется в определенный отрезок времени, сколько процесс, который постоянно идет на всех уровнях внутри банка. Совет директоров и менеджмент несут ответственность за создание соответствующей культуры, облегчающей эффективное осуществление внутреннего контроля, и за мониторинг его эффективности на постоянной основе; однако каждый сотрудник организации также должен принимать участие в этом процессе.

Принципы СВК n n n n принцип разделения обязанностей: принцип непрерывности; принцип предметности и конкретности; принцип объективности; принцип всеохватности и многоплановости; принцип информационной достаточности для принятия решения и ограничения доступа к информации, не относящейся к проведению конкретной операции и/или превышающей лимит функциональной необходимости в рамках должностных обязанностей; принцип использования различных видов контроля в зависимости от функциональной принадлежности объектов контроля, текущей необходимости и комплексности поставленных задач.

n n Контроль создания единого технологического уклада проведения всевозможных операций и услуг. Контроль соответствия технологического уклада, формализованного в виде положений, приказов, инструкций, методик, процедур и реальной практики банка. Контроль за адекватным учетом в рамках единого технологического уклада, а также созданием и эффективным функционированием в рамках единого технологического уклада механизмов последующего контроля операций банка. Соответствие внутренних положений, приказов, инструкций, методик, процедур внешнему Законодательству.

Концепция тотального контроля n подразумевает в идеале установление всеобъемлющего свода правил, регулирующих все аспекты деятельности организации и создание такого режима работы, который не позволял бы отклоняться от установленных стандартов (намеренно или случайно). Основным инструментом воздействия на управленческие процессы является демонстративное наказание нарушившего, а задачу соблюдения такого режима обычно возлагают на выделенное штатно и организационно подразделение (службу внутреннего контроля), имеющее статус "особо доверенного" и подчиняющееся "лично" самому высокому руководителю организации.

Концепция риск-ориентированного внутреннего контроля n в роли стандарта выступает уровень риска приемлемый для предприятия, проверка уровня остаточных рисков проходит постоянно и неотъемлемо от основной деятельности предприятия, а в случае выявления отклонений от стандартного уровня – коррекции подлежит именно тот бизнес процесс, контроли которого не обеспечивают смягчения воздействия риска.

Внутренний аудит n Одна функция в системе внутреннего контроля не может быть распределена или совмещена с другой деятельностью это внутренний аудит. Независимо от его формального названия, должно быть создано независимое подразделение, осуществляющее мониторинг состояния системы внутреннего контроля и ее адекватности рискам в динамике. Согласно профессиональным стандартам, выработанным международным Институтом внутренних аудиторов, профессиональные внутренние аудиторы играют ключевую роль в оценке и гарантировании эффективности систем управления рисками, контроля и корпоративного управления. В функцию внутреннего аудита входит оценка достоверности отчетности (как внешней, финансовой и регуляционной, так и внутренней, управленческой), проверка целесообразности и экономической эффективности операций, сохранности активов, и, безусловно, проверка соблюдения законодательства, требований нормативных документов регулирующих органов и контрактных обязательств предприятия.

Инструменты n Главные инструменты внутреннего аудитора это концепция риск ориентированного контроля и выстроенная на ее базе методология аудиторской деятельности. Гибкость и быстрота реакции на изменения среды и большая эффективность являются основными преимуществами риск ориентированного контроля по сравнению с идеей тотального контроля.

Недостатки контроля, обычно присущие проблемным банкам, можно разделить на пять категорий: n n n Отсутствие надлежащего управленческого контроля и системы подотчетности, неумение сформировать высокую культуру контроля в банке. Недостаточно эффективное выявление и оценка риска, связанного с некоторыми видами балансовых и забалансовых операций банка. Отсутствие или слабость ключевых контрольных структур и видов деятельности, таких как разделение обязанностей, санкционирование операций, выверка счетов, перекрестные проверки, проверки операционной деятельности. Отсутствие разделения полномочий сыграло особенно существенную роль в случаях получения банками значительных убытков.

Недостатки контроля, обычно присущие проблемным банкам, можно разделить на пять категорий: n n Неудовлетворительный обмен информацией между различными уровнями руководства в банке, особенно при сообщении о проблемах на верхний уровень. Неадекватный или неэффективный аудит (или) мониторинг устранения недостатков. Во многих случаях недостаточно строгие аудиторские проверки не смогли выявить и указать на недостатки внутреннего контроля, обычно присущие проблемным банкам. В других случаях, несмотря на то, что аудиторы сообщали о проблемах, отсутствовал механизм, обеспечивающий исправление недостатков силами руководства банка.

Документы n n стандарт «Цели контроля при использовании информационных технологий» (COBIT), разработанный Ассоциацией аудита и контроля информационных систем ISACA (The Information Systems Audit and Control Foundation’s Control Objectives for Information and related Technology); доклад «Контроль и аудит систем» (SAC), подготовленный Исследовательским фондом Института внутренних аудиторов (The Institute of Internal Auditors Research Foundation’s Systems Auditability and Control); доклад «Внутренний контроль: интегрированный подход» (COSO), подготовленный Комитетом спонсорских организаций Комиссии Тридуэя (The Committee of Sponsoring Organizations of the Treadway Commission’s Internal control — Integrated Framework); указание о рассмотрении структуры внутреннего контроля при аудите финансовой отчетности (SAS 55), утвержденное Американским институтом дипломированных бухгалтеров (The American Institute of Certified Public Accountants’ Consideration of the Internal Control Structure in a Financial Statement Audit), с внесенными позднее изменениями (SAS 78).

n n 1. Документ COBIT (1996 г. ) — это система взглядов, обеспечивающая хозяина бизнес процесса инструментом для разумного и эффективного исполнения его обязанностей по контролю информационных систем, глобально одобренный сбор целей контроля, организованных в процессы и зоны и связанных с бизнес требованиями к информации. 2. Документ SAC (1991 г. , с изменениями 1994 г. ) предлагает поддержку внутренним аудиторам в вопросах контроля и аудита информационных систем и технологии. Это детальное руководство о влиянии различных аспектов информационной технологии на систему средств внутреннего контроля.

n n 3. Документ COSO (1992 г. ) дает рекомендации менеджменту по вопросам оценки, описания и совершенствования систем контроля, представляет общее определение внутреннего контроля и делает акцент на том, что средства внутреннего контроля помогают организациям достичь эффективных и целесообразных операций, надежной финансовой отчетности и соответствия применимым законам и правилам. Документ является руководством по оценке систем контроля, по предоставлению внешней отчетности о внутреннем контроле, по проведению оценок систем контроля. 4. Документы SAS 55 (1986) и SAS 78 (1995) дают указание внешним аудиторам относительно влияния внутреннего контроля на планирование и проведение аудита финансовой отчетности организации, адаптируют 5 компонентов внутреннего контроля документа COSO, рассматривают влияние внутреннего контроля организации на планирование и проведение аудита финансовой отчетности, обращаются к взаимосвязи между средствами внутреннего контроля и риском контроля.

Типовые потери от отсутствия системы внутреннего контроля № п/п Подсистемы управления Типовые потери 1. Защита бизнеса Бизнес целиком 2. Договорная работа Бизнес целиком 3. Финансы 0, 2 -1% от финансового потока 4. Продажи 1 -5% от выручки от продаж 5. Закупки 5 -10% от стоимости закупок 6. Производство 3 -5% от производственных расходов 7. Капитальные вложения и ремонты 8 -20% от общего объема инвестиций и ремонтов 8. Персонал До 25% от расходов на ФОТ

n n n В 2007 году компанией Pricewaterhouse. Coopers с привлечением к исследованию международного института маркетинговых и социальных исследований TNS Emnid было проведено четвертое всемирное исследование экономических преступлений. [[i]] Результаты исследования показали, что мошенничество является одной из основных проблем для бизнеса во всём мире. За последние два года 43% компаний разных стран пострадали от экономических преступлений. В России этот показатель равен 59%, что на 10% выше уровня 2005 года и значительно выше средних показателей по странам Центральной и Восточной Европы (50%). [i] Четвертый всемирный обзор экономических преступлений. Экономические преступления: люди, культура и механизмы контроля. Россия. Материалы сайта: www. pwc. ru/forensic

n У 63% опрошенных компаний убытки от мошеннических действий превысили 1 млн. долларов США, а 20% компаний потеряли по той же причине более 10 млн. долларов США, притом, что средний уровень прямого финансового ущерба, по данным опроса, составил 12, 8 млн. долларов США. Это означает, что с 2005 года прямой ущерб от экономических преступлений в России вырос более, чем в четыре раза (с 3, 1 млн долларов США) и более чем, в пять раз по сравнению со средним показателем по всему миру (2, 4 млн долларов США).

n Большинство совершивших экономические преступления – мужчины в возрасте от 31 года до 40 лет, имеющие высшее образование. Несмотря на то, что большая часть серьёзнейших экономических преступлений, по сообщениям российских компаний, за последние два года были совершены третьими сторонами (такими, как заказчики или деловые партнёры), тем не менее всё большее число экономических преступлений совершается сотрудниками самой компании (38% в 2007 году против 13% в 2005 году). Настораживает тот факт, что более 40% преступников внутри российских компаний занимают руководящие посты. Этот показатель, по данным опроса, несколько выше, чем в странах Центральной и Восточной Европы (38%) и значительно выше, чем в остальных странах мира (20%).

Вывод n n Эффективность системы внутреннего контроля зависит от ее актуальности. Все изменения, происходящие в компании должны своевременно и полно находить отражение в системе внутреннего контроля. Поэтому еще при разработке системы внутреннего контроля необходимо строить ее таким образом, чтобы существовала возможность ее гибкого изменения, а также определить методику поддержания СВК в актуальном состоянии. Создание системы внутреннего контроля является сложной задачей, с которой предприятие не всегда имеет возможность справиться самостоятельно. Поэтому, приняв решение о разработке СВК, компаниям рекомендуется обратить внимание на возможность привлечения к работе консалтинговых компаний, имеющих опыт в реализации аналогичных проектов.