Компоненты системы внутреннего контроля кратко

Обновлено: 05.07.2024

Основные этапы создания и развития СВК

Система внутреннего контроля в том или ином виде существует в каждой компании. Помимо подразделений внутреннего контроля и внутреннего аудита, практически каждый руководитель и сотрудник выполняет определенные контрольные процедуры в своей работе. Как же создать эффективную СВК, чтобы она была действенной и рациональной?

Выделим 3 основных этапа создания и развития СВК в компании.

1. Анализ текущего состояния системы внутреннего контроля в компании, по результатам которого определяется текущая модель СВК и уровень ее зрелости.
2. Формирование целевой модели СВК, в том числе:
- создание правил для эффективной работы системы;
- распределение задач в сфере СВК между участниками процессов внутреннего контроля.
3. Разработка и реализация мероприятий, необходимых для перехода к целевой модели СВК с более высоким уровнем зрелости.

Первые два этапа — подготовительные, а третий — это этап внедрения целевой модели СВК в управленческую и операционную деятельности компании.

Ниже разберем подробнее каждый этап создания эффективной СВК.

Этап 1. Анализ текущего состояния СВК

Чтобы двигаться в правильном направлении, с учетом имеющихся ресурсов, необходимо проанализировать текущую модель СВК.

Определение текущей модели СВК

С точки зрения эволюции подходов к организации СВК, можно выделить 3 основные модели внутреннего контроля.

Подтверждающая модель — ориентирована на оценку соответствия работы проверяемых объектов контроля требованиям законодательства и внутренних документов компании.
Процессно-ориентированная модель — нацелена на анализ эффективности системы управления и базируется на процессном подходе. Согласно этой модели, каждое функциональное подразделение организации воспроизводит некий закрепленный за ним процесс, а компания рассматривается как цепочка или сеть таких процессов.
Риск-ориентированная модель внутреннего контроля появилась в 1985 году в США, когда национальная комиссия по борьбе с недостоверной финансовой отчетностью (комиссия Тредуэя) представила Интегрированную концепцию внутреннего контроля (COSO IC) и Концепцию управления рисками предприятия (COSO ERM).

Риск-ориентированная модель рассматривает внутренний контроль и риски как неотъемлемую часть самого бизнеса. И позволяют совету директоров, топ-менеджменту и остальному персоналу организации проверить:

эффективность и продуктивность операционной деятельности;
надежность отчетности;
соблюдение законов и внутренних регламентов.

Риск-ориентированный подход (РОП) к организации внутреннего контроля выглядит так:

вначале необходимо поставить цели (стратегические и тактические);
затем определить и оценить риски (угрозы достижения цели);
разработать меры, как их предотвратить;
постоянно проверять работоспособность и эффективность этих мер.

Согласно РОП, в любой деятельности есть риск не достичь ожидаемого результата из-за разных внешних и внутренних факторов: ошибок персонала, технических сбоев, неверных решений, изменений на рынках и пр. Если определить, где возникают риски, можно спрогнозировать реакцию на них и своевременно их предотвратить.

Именно поэтому контрольная деятельность во многих компаниях последние десятилетия переориентируется на работу с рисками. Затраты на такой превентивный контроль окупаются в полной мере за счет предотвращения более существенных потерь.

Компания может сочетать элементы трех моделей внутреннего контроля, исходя из специфики и масштабов деятельности

Моя практика работы в крупных холдингах подтверждает описанную эволюцию подходов к организации внутреннего контроля: от фокуса на последующий контроль после наступления негативных последствий — к фокусу на выявление рисков до стадии принятия решений и разработки адекватных контрольных мер.

Важно! В компаниях, как правило, присутствуют элементы всех трех моделей внутреннего контроля, что обеспечивает принцип независимости контроля при проведении его разными специалистами. Необходимо найти оптимальное сочетание моделей с точки зрения эффективности и затрачиваемых ресурсов.

Как определить уровень зрелости СВК

Согласно исследованию PWC, направления развития системы внутреннего контроля зависят от уровня зрелости СВК. Каждая компания проходит через несколько этапов развития СВК: от начального до совершенствуемого. И через промежуточные уровни: неформальный, формализованный и управляемый.

Таблица 1. Уровни зрелости системы внутреннего контроля

Уровень зрелости СВК	Краткая характеристика
Начальный	Контрольные процедуры отсутствуют или выполняются частично, но не формализованы.
Неформальный	Процессы СВК формализованы частично, выполняются отдельные контрольные процедуры.
Формализованный	Контрольная деятельность формализована и надлежащим образом документирована, но не стандартизирована. Отклонения могут быть не обнаружены своевременно.
Управляемый	Внедрены как унифицированные контрольные процедуры, так и процедура их периодического тестирования. Могут использоваться средства автоматизации для выполнения, тестирования или мониторинга эффективности контрольных процедур.
Совершенствуемый	Процессы СВК соответствуют лучшим практикам, а также периодически оптимизируются за счет новых подходов. Могут быть автоматизированы выполнение, тестирование и мониторинг эффективности контрольных процедур.

По данным PWC, 34% компаний оценивают уровень зрелости своей СВК как формализованный, 26% как управляемый. И всего 2% компаний достигло совершенствуемого уровня системы внутреннего контроля.

Компания может взять для оценки и другую градацию уровней зрелости СВК, в частности, определенную в рекомендациях различных регуляторов или в нормативных актах. Для успешного создания эффективной СВК необходимо прежде всего оценить и зафиксировать ее исходное состояние, а затем определить целевое видение СВК.

Этап 2. Формирование целевой модели СВК

Если рассматривать СВК с точки зрения системного подхода, то можно сказать, что внутренний контроль функционирует как эффективная система только когда:

существуют основные элементы системы: цели, составные части, объекты, субъекты;
определены принципы функционирования, задачи и функции субъектов;
определены и скоординированы связи и влияние друг на друга всех элементов системы.

Работа СВК базируется на применении набора правил и принципов, соблюдение которых обеспечивает ее эффективность.

Создание правил для эффективной работы СВК

Есть базовые принципы внутреннего контроля для всех моделей СВК. Если они не соблюдаются, то система внутреннего контроля компании функционирует на низком уровне.

Таблица 2. Базовые принципы СВК

прозрачность процессов и методологическое единство;
правовое закрепление обязанностей и ответственности, целей и плановых/нормативных параметров деятельности;
преемственность процессов при смене их участников;
эффективный контроль и мониторинг для поддержания процессов в актуальном состоянии и развитии.

Помимо базового набора правил, для создания эффективного внутреннего контроля с риск-ориентированным подходом необходимо внедрить в компании дополнительные принципы СВК.

Объективность. СВК должна предоставлять как можно более объективную информацию руководству для принятия оптимальных и рациональных решений.
Простота. Эффективный контроль должен состоять из простых процедур. Чтобы специалисты, отвечающие за него, могли их легко понять и выполнить. Если механизмы контроля сложные, есть риск, что их проигнорируют.
Эффективность по затратам. Затраты на внедрение СВК не должны превышать выгоды, которые она дает компании.
Интеграция. Необходима интеграция СВК с системой управления, в том числе, с системой планирования и принятия решений.
Целостность и комплексность. СВК должна охватывать все направления деятельности компании и бизнес-процессы на всех уровнях управления.
Самоконтроль. СВК должна, где это возможно, в лице линейных руководителей своевременно справляться с проблемами по мере их возникновения и предупреждать их. Не зависеть от последующей проверки или аудита.
Ориентированность на риски. СВК в компании тесно взаимодействует с системой управления рисками. При анализе контрольных процедур следует оценивать величину и вероятность возникновения рисков, степень их влияния на результаты финансово-хозяйственной деятельности и достижение целей компании. Это позволяет увидеть, достаточно ли существующих контрольных процедур, или нужно разработать новые.

Важно! Чтобы создать эффективную систему внутреннего контроля, нужно не только формализовать основные принципы функционирования СВК и зарегламентировать их, но и воплотить на практике. А также регулярно тестировать СВК, соответствует ли она установленным принципам.

Как распределить задачи между участниками процессов внутреннего контроля

К субъектам СВК относятся практически все причастные к деятельности компании: Совет Директоров, внутренний аудит, исполнительное и линейное руководство, сотрудники подразделений (в том числе внутренние контролеры).

Эффективную СВК можно выстроить, когда в компании функционируют все три линии защиты с четко определенными обязанностями

Вместо конструктивного взаимодействия, часто в компаниях:

действительно защищала компанию от препятствий на пути к поставленным целям;
способствовала выявлению не только угроз, но и возможностей для повышения эффективности деятельности компании в целом.

В следующей статье рассмотрим третий этап создания и развития СВК — внедрение целевой модели СВК в управленческую и операционную деятельности компании.

1. Настоящее Приложение содержит пояснения относительно компонентов системы внутреннего контроля, описанных в пунктах 4(c), 14 - 24 и A76 - A117, с учетом их связи с аудитом финансовой отчетности.

(a) Информирование о принципе честности и этических ценностях. Эффективность средств контроля определяется уровнем честности и этическими ценностями людей, которые создают, применяют и осуществляют их мониторинг. Честность и этическое поведение являются результатом этических и поведенческих стандартов организации, способов их доведения до сведения персонала и продвижения на практике. Продвижение честности и этических ценностей предполагает, например, действия руководства, направленные на устранение или снижение стимулов и соблазнов, которые могут подтолкнуть персонал к участию в нечестной, незаконной или неэтичной деятельности. Информирование о политике организации в отношении честности и этических ценностей может включать доведение до персонала стандартов поведения с помощью сформулированных положений политики, кодексов поведения и личного примера.

(b) Приверженность профессиональной компетентности. Профессиональная компетентность - это знания и навыки, необходимые для выполнения задач, составляющих работу сотрудника.

(c) Участие лиц, отвечающих за корпоративное управление. На осознание организацией необходимости контроля оказывают значительное влияние лица, отвечающие за корпоративное управление. Важность обязанностей лиц, отвечающих за корпоративное управление, признается в корпоративных кодексах, законах, нормативных актах или руководствах, разработанных для лиц, отвечающих за корпоративное управление. Обязанности лиц, отвечающих за корпоративное управление, включают надзор за организацией и эффективным функционированием процедур информирования о нарушениях, а также процессом проверки эффективности системы внутреннего контроля организации.

(d) Философия и стиль управления руководства. Философия и стиль управления руководства охватывают широкий спектр характеристик. Например, отношение и действия руководства в отношении подготовки финансовой отчетности могут проявиться в выборе консервативных или агрессивных вариантов из имеющихся альтернативных принципов бухгалтерского учета или в добросовестности и консерватизме при расчете оценочных значений.

(e) Организационная структура. При создании надлежащей организационной структуры учитываются ключевые области полномочий и ответственности, а также соответствующий порядок подотчетности. Надлежащий характер организационной структуры, в числе прочего, определяется размером и характером деятельности организации.

(f) Распределение полномочий и ответственности. Распределение должностных полномочий и ответственности относится к политике в отношении надлежащей практики ведения бизнеса, знаниям и опыту ключевого персонала, ресурсам, предоставляемым для выполнения обязанностей. С распределением должностных полномочий и ответственности связаны политика и информирование, направленные на обеспечение понимания всеми сотрудниками целей организации, того, как действия отдельных сотрудников взаимосвязаны и способствуют достижению этих целей, и на осознание сотрудниками того, какую ответственность они несут.

(g) Кадровая политика и практика. Кадровая политика и практика часто отражают осознание необходимости контроля в организации. Например, стандарты набора наиболее квалифицированного персонала с особым вниманием к образованию, предыдущему опыту работы, прошлым достижениям, доказательствам честности и этического поведения, демонстрируют приверженность организации принципу набора компетентных и заслуживающих доверия людей. Политика по обучению, которая информирует о будущих функциях и ответственности, включает практические занятия, например, тренинги и семинары, иллюстрирует ожидаемый уровень результатов работы и поведения. Повышение в должности на основе периодической оценки результатов работы демонстрирует приверженность организации принципу продвижения более компетентных работников.

3. Процесс оценки рисков организации в отношении финансовой отчетности включает то, каким образом руководство определяет бизнес-риски, связанные с подготовкой финансовой отчетности в соответствии с применимой концепцией подготовки финансовой отчетности, оценивает их значительность и вероятность их возникновения, а также принимает решение в отношении действий в ответ на эти риски и результатов таких действий. Например, процедуры оценки рисков в организации могут быть направлены на рассмотрение того, как руководство учитывает возможность существования неотраженных в учете операций или определяет и проводит анализ существенных оценочных значений, отраженных в финансовой отчетности.

4. Риски, связанные с финансовой отчетностью, относятся к внешним и внутренним событиям, операциям или обстоятельствам, которые могут возникать и отрицательно влиять на способность организации инициировать, учитывать, обрабатывать и включать в отчетность финансовую информацию, соответствующую предпосылкам руководства. Руководство может разрабатывать планы, программы или действия в ответ на отдельные риски или может решить принять риск в силу возможных издержек или по иным соображениям. Риски могут возникать или изменяться по причине ряда обстоятельств:

- Изменения в операционной среде. Изменения в нормативном регулировании или операционной среде могут привести к изменениям давления со стороны конкурентов и значительно изменить риски.

- Новый персонал. Новый персонал может относиться иначе к системе внутреннего контроля или иметь другое ее понимание.

- Новые или обновленные информационные системы. Значительные и быстрые изменения в информационных системах могут изменить риски, связанные с системой внутреннего контроля.

- Быстрый рост. Значительное и быстрое расширение деятельности организации может перегрузить средства контроля и увеличить риск сбоев в системе контроля.

- Новые технологии. Внедрение новых технологий в производственный процесс или информационные системы может изменить риск, связанный с системой внутреннего контроля.

- Новые бизнес-модели, продукты и виды деятельности. Распространение деятельности организации на новые сферы бизнеса или появление операций, в которых у организации мало опыта, может вызвать новые риски, связанные с системой внутреннего контроля.

- Корпоративная реструктуризация. Реструктуризация может сопровождаться сокращением штата и изменениями порядка надзора и разделения обязанностей, что может изменить риск, связанный с системой внутреннего контроля.

- Расширение зарубежных операций. Расширение деятельности или приобретение иностранных подразделений создает новые и во многих случаях уникальные риски, которые могут повлиять на систему внутреннего контроля, например, дополнительные или измененные риски, связанные с операциями в иностранной валюте.

- Новые требования бухгалтерского учета. Принятие новых принципов бухгалтерского учета или изменение бухгалтерских принципов может повлиять на риски, связанные с подготовкой финансовой отчетности.

Информационная система, связанная с финансовой отчетностью, в том числе соответствующие бизнес-процессы, и информационное взаимодействие

5. Информационные системы состоят из инфраструктуры (физических компонентов и компонентов аппаратного обеспечения), программного обеспечения, людей, процедур и данных. Многие информационные системы широко используют ИТ.

6. Информационная система, обеспечивающая цели и относящаяся к порядку подготовки финансовой отчетности, охватывает методы и записи, которые:

- своевременно и с достаточной детализацией описывают операции для надлежащей классификации операций в целях подготовки финансовой отчетности;

- оценивают сумму операций таким образом, который позволяет надлежащим образом отразить их стоимостное выражение в финансовой отчетности;

- определяют период, в котором осуществлена операция, с целью ее отражения в соответствующем отчетном периоде;

- надлежащим образом представляют операции и соответствующее раскрытие информации в финансовой отчетности.

7. Качество генерируемой системой информации оказывает влияние на способность руководства принимать надлежащие решения в рамках управления и контроля за деятельностью организации и обеспечивать подготовку заслуживающих доверия финансовых отчетов.

8. Информирование, которое включает получение понимания индивидуальных функций и обязанностей в рамках системы внутреннего контроля за подготовкой финансовой отчетности, может осуществляться в форме руководств по политике, ведению учета и подготовке финансовой отчетности или меморандумов. Информирование может также осуществляться в электронной или устной форме или посредством действий руководства.

9. Обычно контрольные действия, которые могут оказаться значимыми для проводимого аудита, классифицируются как политика и процедуры, регламентирующие ряд вопросов:

- Обзоры результатов деятельности. Эти контрольные действия включают обзор и анализ фактических результатов в сравнении с бюджетом, прогнозами и результатами прошедшего периода; определение взаимосвязи между разными видами данных, операционными и финансовыми, анализ этих взаимосвязей, а также исследование и внесение корректировок; сравнение внутренних данных с внешними источниками информации; обзор результатов в разрезе функций или видов деятельности.

- Обработка информации. К двум большим группам контрольных действий в отношении информационных систем относятся прикладные средства контроля, которые применяются в отношении обработки данных отдельными приложениями, и общие средства контроля за ИТ-системами, которые представляют собой политику и процедуры, связанные со многими приложениями и поддерживающие эффективное функционирование средств контроля за приложениями посредством обеспечения надлежащей работы информационной системы. Примерами средства контроля приложений являются проверка математической точности записей, ведение и проверка счетов и оборотно-сальдовых ведомостей, автоматизированные средства контроля, такие как контрольные проверки вводимых данных и проверка сквозной нумерации, а также принимаемые в ручном режиме меры по результатам отчетов об отклонениях. Примеры общих средств контроля за ИТ-системами включают средства контроля за изменениями программного обеспечения; средства контроля, ограничивающие доступ к программам или данным, средства контроля над внедрением новых версий пакетного программного обеспечения; средства контроля над системным программным обеспечением, ограничивающие доступ или осуществляющие мониторинг использования системных служебных программ, которые могут изменить финансовые данные или записи без возможности последующей проверки.

- физическую безопасность активов, включая надлежащие меры предосторожности, такие как устройства, регламентирующие доступ к активам и записям;

- периодический пересчет и сравнение с суммами, указанными в контрольных записях (например, сравнение результатов инвентаризации денежных средств, ценных бумаг и запасов с данными бухгалтерского учета).

Степень значимости физических средств контроля, направленных на предотвращение хищения активов, для надежности подготовки финансовой отчетности и, следовательно, аудита, зависит от таких обстоятельств, как высокая подверженность активов присвоению.

- Разделение должностных обязанностей. Назначение разных лиц для выполнения обязанностей по санкционированию операций, записи операций, обеспечению сохранности активов. Разделение должностных обязанностей направлено на снижение возможностей любого лица совершить или скрыть ошибки или недобросовестные действия в процессе выполнения им своих обязанностей.

10. Некоторые контрольные действия могут зависеть от существования соответствующей политики более высокого уровня, разработанной руководством организации или лицами, отвечающими за корпоративное управление. Например, контроль за санкционированием операций, таких как установление критериев инвестирования, может быть делегирован лицами, отвечающими за корпоративное управление, на основе соответствующих директив; напротив, нестандартные операции, такие как крупные приобретения или выбытие инвестиций, могут потребовать утверждения на более высоком уровне, в том числе в некоторых случаях - утверждения акционерами.

11. Важной обязанностью руководства является разработка и постоянное поддержание системы внутреннего контроля. Мониторинг средств контроля руководством предполагает рассмотрение следующего: функционируют ли средства контроля в соответствии с установленными целями и модифицируются ли они, чтобы при необходимости соответствовать изменяющимся условиям. Мониторинг средств контроля может включать такие действия, как проверка руководством того, были ли своевременно подготовлены банковские сверки, оценка внутренними аудиторами соблюдения сотрудниками службы продаж политики организации в отношении условий договоров купли-продажи, а также надзор, осуществляемый юридической службой, за соблюдением политики организации в отношении этики и практики ведения бизнеса. Мониторинг также проводится для непрерывного обеспечения долгосрочного эффективного функционирования средств контроля. Например, если своевременность и точность банковских сверок не осуществляется, персонал может прекратить их подготовку.

12. Внутренние аудиторы или сотрудники, выполняющие аналогичные функции, могут вносит вклад в мониторинг средств контроля организации, проводя отдельную оценку этих средств. Как правило, они регулярно предоставляют информацию о функционировании системы внутреннего контроля, уделяя значительное внимание оценке эффективности системы внутреннего контроля, а также информируют о сильных сторонах и недостатках системы внутреннего контроля и дают свои рекомендации по ее усовершенствованию.

13. В ходе мониторинга может использоваться информация, полученная от сторонних лиц, которая может указывать на наличие проблем или выделять области, требующие усовершенствования. Покупатели косвенно подтверждают данные по выставленным счетам, оплачивая их или предъявляя претензии в отношении начисленных сумм. Регулирующие органы могут информировать организацию о вопросах, оказывающих влияние на функционирование системы внутреннего контроля, например, сообщая о результатах проверки органами регулирования банковской деятельности. Также руководство может рассмотреть информацию, касающуюся системы внутреннего контроля, полученную от внешних аудиторов.

Внутренний контроль – это механизмы, правила и процедуры, применяемые компанией для обеспечения целостности финансовой и бухгалтерской информации, содействия подотчетности и предотвращения мошенничества. Помимо соблюдения законов и нормативных актов и предотвращения кражи активов сотрудниками или совершения мошенничества, внутренний контроль может помочь повысить операционную эффективность за счет повышения точности и своевременности финансовой отчетности .

Как работает внутренний контроль

Внутренний контроль стал ключевым бизнес-направлением для каждой американской компании после бухгалтерских скандалов в начале 2000-х годов. Вслед за ними был принят Закон Сарбейнса-Оксли 2002 года для защиты инвесторов от мошеннической бухгалтерской деятельности и повышения точности и надежности раскрытия корпоративной информации. Это оказало глубокое влияние на корпоративное управление, возложив на руководителей ответственность за финансовую отчетность и создав контрольный журнал. Руководители, признанные виновными в ненадлежащем создании системы внутреннего контроля и управлении ею, несут серьезные уголовные наказания.

Важность для аудиторов

В аудиторском заключении , которое сопровождает финансовую отчетность основано на проверке процедур и записей , используемых для их производства. В рамках аудита внешние аудиторы проверят бухгалтерские процессы и систему внутреннего контроля компании и выскажут свое мнение об их эффективности.

Внутренний аудит оценивает систему внутреннего контроля компании, включая процессы корпоративного управления и бухгалтерского учета. Они обеспечивают соблюдение законов и нормативных актов, а также точную и своевременную финансовую отчетность и сбор данных, а также помогают поддерживать операционную эффективность, выявляя проблемы и исправляя недостатки до того, как они будут обнаружены в ходе внешнего аудита. Внутренний аудит играет критически важную роль в деятельности компании и ее корпоративном управлении теперь, когда Закон Сарбейнса-Оксли 2002 года возложил на руководителей юридическую ответственность за точность ее финансовой отчетности.

Краткая справка

Конгресс США принял Закон Сарбейнса-Оксли 2002 года, чтобы защитить инвесторов от возможности мошенничества в бухгалтерском учете со стороны корпораций, который требует строгих реформ для улучшения раскрытия финансовой информации корпорациями и предотвращения мошенничества в бухгалтерском учете.

Операционная эффективность

Нет двух идентичных систем внутреннего контроля, но многие основные принципы финансовой целостности и практики бухгалтерского учета стали стандартными методами управления. Хотя внутренний контроль может быть дорогостоящим, правильно внедренный внутренний контроль может помочь упростить операции и повысить операционную эффективность, а также предотвратить мошенничество.

Ключевые моменты

Внутренний контроль – это механизмы, правила и процедуры, применяемые компанией для обеспечения целостности финансовой и бухгалтерской информации, содействия подотчетности и предотвращения мошенничества.
Помимо соблюдения законов и нормативных актов и предотвращения кражи активов сотрудниками или совершения мошенничества, внутренний контроль может помочь повысить операционную эффективность за счет повышения точности и своевременности финансовой отчетности.
Внутренний аудит играет критически важную роль во внутреннем контроле и корпоративном управлении компании, поскольку Закон Сарбейнса-Оксли 2002 г. возложил на руководителей юридическую ответственность за точность ее финансовых отчетов.

Превентивный и детективный методы контроля

Внутренний контроль обычно состоит из контрольных действий, таких как авторизация, документирование, сверка, безопасность и разделение обязанностей. И они широко делятся на профилактическую и детективную деятельность.

Превентивные меры контроля направлены в первую очередь на предотвращение ошибок или мошенничества и включают в себя тщательную документацию и методы авторизации. А разделение обязанностей гарантирует, что ни один человек не сможет санкционировать, регистрировать и хранить финансовую транзакцию и связанный с ней актив. Авторизация счетов и проверка расходов являются внутренним контролем. Кроме того, превентивные меры внутреннего контроля включают ограничение физического доступа к оборудованию, инвентарным запасам, денежным средствам и другим активам.

Детективный контроль – это резервные процедуры, предназначенные для обнаружения предметов или событий, которые были пропущены первой линией защиты. Здесь наиболее важным видом деятельности является согласование, используемое для сравнения наборов данных, и корректирующие действия принимаются в случае существенных различий. Другие средства детективного контроля включают внешний аудит бухгалтерских фирм и внутренний аудит активов, таких как запасы.

Краткая справка

Методы аудита и методы контроля перекочевали из Англии в Соединенные Штаты во время промышленной революции. В 20 веке практика аудиторской отчетности и методы тестирования были стандартизированы.

Недостатки внутреннего контроля

Независимо от политики и процедур, установленных организацией, может быть предоставлена только разумная уверенность в том, что внутренний контроль эффективен, а финансовая информация верна. Эффективность внутреннего контроля ограничивается человеческим суждением. Бизнес часто дает высокопоставленному персоналу возможность обходить внутренний контроль по причинам операционной эффективности, а внутренний контроль можно обойти с помощью сговора.

Для оптимальной, рациональной, безопасной и эффективной работы любой системе необходим контроль. Деятельность организации как единой системы управления не является исключением.

Без контроля нежизнеспособен бизнес. Предпринимательство существует в достаточно агрессивной бизнес-среде, выживает в ней и даже развивается благодаря своей защитной функции, которую активирует контроль — внешний и внутренний.

Все хозяйствующие субъекты постоянно находятся под внешним контролем. Им нужно выстоять под натиском разрешительных, сопроводительных, контролирующих и надзирающих государственных органов, расчетливых контрагентов (поставщики, заказчики, кредиторы, потребители), наблюдательных участников рынка и беспокойной общественности.

Поскольку субъекты внешнего вмешательства мотивированы прежде всего на решение своих задач, то в вопросах внешнего контроля субъект предпринимательства, по сути, держит оборону.

Внутренний контроль не так враждебен. В нем все свои — собственники, акционеры, руководство, администрация, персонал. Несмотря на внутренний периметр, все правила и требования должны быть четко обозначены.

Всем важно понимать, что внутренний контроль не репрессивная машина. Наоборот, это отличная возможность адекватно оценить внешние угрозы, мобилизоваться и гармонично встроиться в бескомпромиссную конкурентную среду, адаптироваться к рискам, продуктивно работать, сохранить устойчивость, развиваться и расширять перспективы.

Внутренний контроль и внутренний аудит — не одно и то же. Задачи внутреннего аудита сводятся к проверке учета и отчетности на предмет соответствия законодательным нормам, локальным нормативным актам, существующим регламентам и положениям.

Показатели проверяют на предмет обоснованности, документального подтверждения и корректного отражения в учете и отчетности. Чаще всего это проверка постфактум, когда все уже случилось.

Внутренний контроль призван:

дать максимально достоверную оценку законности, правомерности, эффективности, рациональности и безопасности хозяйственной деятельности;
выявить негативные тенденции, просчитать риски и минимизировать потери.

При этом нарушения законодательства, как текущие, так и потенциальные, не влекут негативных последствий. Компания сохранит деловую репутацию, денежные средства, избегая убытков и штрафов.

Внутренний контроль — прогрессивный устойчивый тренд. Его значимость возрастает с каждым годом.

В условиях сурового бизнес-климата, динамично меняющегося законодательства, сложнопредсказуемой и неоднозначной правоприменительной и судебной практики система внутреннего контроля защищает интересы государственных и частных организаций, крупных компаний и микробизнеса.

Организации, отчетность которых подлежит обязательному аудиту, должны осуществлять внутренний контроль ведения бухгалтерского учета и составления бухгалтерской отчетности.

ПРИНЦИПЫ И ВИДЫ ВНУТРЕННЕГО КОНТРОЛЯ

Рассмотрим принципы работы, на которых строится контрольная деятельность в целом и внутренний контроль в частности. К наиболее важным принципам относят:

Виды внутреннего контроля:

по функциональной направленности: административный, финансовый, бухгалтерский, правовой, технический, технологический, кадровый, контроль системы безопасности;
по решению задач: стратегический, тактический, оперативный;
по глубине охвата: тематический, комплексный;
по полноте: сплошной, выборочный;
по периодичности: систематический, периодический, эпизодический (ситуационный);
по времени проведения: предварительный, текущий, последовательный;
по степени внезапности: плановый, внеплановый (внезапный).

Порядок сочетания разных видов внутреннего контроля зависит от конкретных обстоятельств. Каждая организация определяет их самостоятельно.

ВНУТРЕННИЙ КОНТРОЛЬ И ЦИФРОВЫЕ РЕШЕНИЯ

Сегодня внутренний контроль активно внедряет цифровые решения. С помощью электронных сервисов можно отслеживать движение документов по процессам и исполнителям, применять алгоритмы для проверки и подсчета общих сумм, проводить анализ на предмет соответствия и сопоставления данных.

Сервисы используют для онлайн-мониторинга бизнес-процессов и даже для риск-ориентированного подхода по заданным контрольным показателям-индикаторам. Нужно только правильно поставить задачу, составить верный алгоритм и прописать код.

Если информационная система адаптивна, с дружелюбным интерфейсом и богатым конструктором гибких настроек под капризы конкретного заказчика, то польза от нее огромная. Однако заменить в полной мере специалиста никак нельзя.

На мой взгляд, далеко не все процессы можно эффективно автоматизировать и запустить контрольный алгоритм лишь нажатием одной кнопки. Не все задачи внутреннего контроля можно доверить решениям искусственного интеллекта.

Даже если вся аналитика выстроена верно, настроены автоматические выгрузки данных, необходимость выполнения контрольных процедур человеком остается. Хотя бы для того, чтобы убедиться в корректности работы автоматизированной системы.

В числе преимуществ автоматизации эксперты отмечают сокращение времени на аудит на 25 %. Это существенно. За автоматизацией и цифровой экономикой — будущее.

Программные средства и технологии каждый подбирает для себя: по потребностям, возможностям, цене и сроку ожидания окупаемости. Универсальных решений нет.

Здесь принцип внутреннего контроля о сопоставимости затрат с полученным эффектом как раз кстати.

ОБ ОРГАНИЗАЦИИ ВНУТРЕННЕГО КОНТРОЛЯ

Основные правила проведения внутреннего контроля находят отражение в локальном нормативном акте — внутрифирменном стандарте по проведению контроля. Это может быть Положение о внутреннем контроле, в котором закрепляют порядок организации и работы службы внутреннего контроля, ее задачи, процедуры и полномочия.

Чем подробнее прописаны контрольные процедуры, тем эффективнее результат контроля. Высший пилотаж, когда система выстроена по методу самоконтроля и работает сама, учитывая требования внешней среды, традиции и особенности работы конкретной организации.

Малый бизнес также осуществляет контрольные действия, но в менее зарегулированной форме, чем крупный и средний. Нередко контрольные процедуры завязаны на главного бухгалтера или руководителя компании.

Как организовать внутренний контроль, организация решает самостоятельно. Это зависит от:

стиля управления организацией;
сложности ее организационной структуры;
разнообразия видов деятельности;
автоматизации бизнес-процессов;
охвата контролем различных сфер хозяйственной жизни;
объема решаемых задач;
требований руководства компании;
готовности бенефициара выделять ресурсы на контроль.

Крупные публичные акционерные общества с усложненной структурой, филиальною сетью, диверсифицированным бизнесом создают службы внутреннего контроля, отделы и даже департаменты. У компаний поменьше внутренний контроль тоже присутствует, пусть и в ограниченном функционале.

Для выполнения процедур внутреннего контроля назначают ревизора или передают контрольные функции на аутсорсинг сторонней организации, внешнему консультанту.

ЭТО ВАЖНО

Внутренний контроль не должен превратиться в формальность и профанацию. Затраты на внутренний контроль не должны превышать эффект от его внедрения и функционирования.

Нужно помнить, что основные задачи внутреннего контроля следующие:

организовать надзор за значимыми процессами и должностными лицами, которые на них влияют;
определять правовые, финансовые, административные риски;
выявлять нарушения и недостатки в бизнес-процессах и оперативно на них реагировать.

Внутренний контроль необходим как для организации в целом, так и отдельным бизнес-процессам, элементам процесса управления.

Т. Зозуля, налоговый консультант-практик

Читайте также: