Текст книги "Теоретические основы системы внутреннего контроля. Лекция"

Теоретические основы системы внутреннего контроля
Лекция
Владимир Теплов

© Владимир Теплов, 2017

ISBN 978-5-4485-4774-4

Создано в интеллектуальной издательской системе Ridero

Введение

Исследования, проведенные в ходе финансовых расследований, показали, что действующая система внутреннего контроля большинства государственных и частных предприятий не в полной мере отвечает современным условиям функционирования: низкий уровень профессионализма и компетентности руководства и сотрудников органов внутреннего контроля; коррупция, пронизывающая все уровни управления; мошенничество, охватывающее основные финансово-хозяйственные сферы деятельности; устоявшаяся тенденция к проявлению новых рисков и угроз, как внешних, так и внутренних.

Система внутреннего контроля в некоторых организациях, испытавших на себе проблемы кризиса и прошедших через процедуры банкротства, создана формально, наиболее существенные причина и симптомы не были выявлены на ранних стадиях зарождения кризиса, что не позволило провести превентивные меры по предупреждению банкротства.

1. Основные понятия системы внутреннего контроля

Внутренний контроль – это непрерывный процесс, осуществляемый всеми сотрудниками и руководством организации на всех уровнях управления, направленный на обеспечение условий для достижения целей в следующих областях:

– эффективность и результативность финансово-хозяйственной деятельности;

– сохранность активов;

– соблюдение законодательных требований, нормативных актов, внутренних документов и прочих применимых требований регуляторов;

– достоверность финансовой отчетности.

Целью функционирования системы внутреннего контроля является обеспечение достижения организацией целей по следующим категориям:

– эффективность и рациональность финансово-хозяйственной деятельности (включая сохранность активов);

– достоверность финансовой и нефинансовой отчетности;

– соответствие действующему законодательству и нормам;

– предупреждение рисков и угроз;

– предотвращение ущерба;

– создание условий для поиска и привлечения инвестиций;

– создание условий для возмещения ущерба.

Для достижения поставленных целей система внутреннего контроля призвана решать следующие ключевые задачи:

– разработка и внедрение контрольных процедур с учетом особенностей бизнес-процессов и присущих рисков;

– обеспечение надежной системы сбора, обработки и передачи информации;

– обеспечение руководства организации необходимой информацией об отклонениях от ожидаемого порядка функционирования процесса для принятия необходимых корректирующих мер.

Эффективная система внутреннего контроля – это такое состояние СВК, которое обеспечивает разумную уверенность в том, что цели организации будут достигнуты, а остаточные риски несущественны.

Система внутреннего контроля (СВК) – комплекс организационных мер, политик, инструкций, а также контрольных процедур, норм корпоративной культуры и действий, предпринимаемых Советом директоров, руководством и работниками организации для обеспечения надлежащего и эффективного ведения хозяйственной деятельности, обеспечения финансовой устойчивости, достижения оптимального баланса между ростом его стоимости, прибыльностью и рисками, обеспечения сохранности активов, выявления, исправления и предотвращения нарушений, своевременной подготовке достоверной финансовой отчетности и, тем самым, повышения инвестиционной привлекательности.

Специалисты Центра финансовых расследований в содержание системы внутреннего контроля вкладывают более глубокую практическую направленность – это комплекс скоординированных мероприятий, направленных на проверку контрагентов; выявление угроз; признаков ущерба и правонарушений; организация и проведение контрольных мероприятий, в том числе внеплановых и негласных, с привлечением независимых специалистов; проведение финансовых расследований; поиск документов и информации, лиц и имущества; сопровождение тендерных процедур, исполнительного производства, процедур несостоятельности (банкротства), внесудебного урегулирования и третейского судопроизводства.

Используя свои возможности и преимущества, такие как развитая инфраструктура, научная база Финансового университета при Правительстве Российской Федерации, богатый опыт специалистов и экспертов Центра финансовых расследований может влиять на основные элементы СВК, наполняя их инновационным содержанием.

Система внутреннего контроля представляет собой многоуровневую структуру, субъектами которой являются все органы управления, структурные подразделения и работники организации, деятельность которых связана с рисками, способными оказать влияние на достижение целей. Эффективность системы внутреннего контроля обеспечивается всеми руководителями и работниками организации в рамках управления соответствующими направлениями деятельности и исполнения служебных обязанностей.

2. Принципы функционирования системы внутреннего контроля

Интегрированность – СВК является неотъемлемой частью корпоративного управления Общества и встраивается в его процессы и ежедневные операции. СВК включает процедуры по информированию руководства соответствующего уровня управления о любых существенных нарушениях финансово-хозяйственной деятельности, недостатках и слабых местах контроля, которые были обнаружены, вместе с анализом их причин, деталями корректирующих мероприятий, которые были предприняты или которые следует предпринять;

Непрерывность – СВК действует на постоянной основе, непрерывно и на всех уровнях управления, что позволяет Обществу своевременно выявлять отклонения в системе внутреннего контроля и предупреждать их возникновение в будущем;

Методологическое единство – процессы СВК реализуются на основе единых требований и подходов для всех подразделений Общества;

Целостность/комплексность – СВК действует на всех уровнях и во всех подразделениях Общества, охватывает все субъекты внутреннего контроля и направления деятельности и, соответственно, все риски:

– обязанность по построению и поддержанию надежной и эффективной СВК лежит на руководителях всех уровней управления Общества;

– контрольные процедуры существуют во всех бизнес-процессах и на всех уровнях управления;

– каждый работник Общества знает, понимает и выполняет свою роль в системе внутреннего контроля.

Ответственность – за функционирование СВК ответственны все работники и руководство на всех уровнях Общества в рамках своих полномочий;

Ориентированность на риски – СВК в Обществе находится в тесном взаимодействии с системой управления рисками, что способствует своевременному и эффективному внедрению мероприятий по воздействию на риски. При анализе контрольных процедур следует оценивать величину и вероятность реализации рисков, степень их влияния на результаты финансово-хозяйственной деятельности и достижение целей Общества, что позволяет сделать вывод о достаточности существующих контрольных процедур, либо о необходимости разработки и внедрения новых.

Оптимальность – объем и сложность контрольных процедур, используемых в Обществе, являются необходимыми и достаточными для эффективного управления рисками и достижения целей Общества. Ресурсы и затраты на внедрение и последующее функционирование контрольных процедур не должны превышать последствия реализации рисков (соотношение «затраты – экономический эффект»), а совокупный уровень остаточного риска должен соответствовать риск-аппетиту Общества.

Разделение обязанностей – в Обществе разграничиваются права и обязанности субъектов внутреннего контроля в зависимости от их отношения к процессам разработки, утверждения, применения и мониторинга СВК. Не допускается, чтобы на одного сотрудника/подразделение были одновременно возложены полномочия по:

– утверждению операций с активами;

– осуществлению операций с активами;

– учету/регистрации операций;

– проверке корректности, полноты и факта выполнения операции и обеспечению сохранности активов.

Формализация – СВК должна быть формализована:

– описаны риски и контроли по всем существенным бизнес процессам, влияющим на достижение целей Общества;

– задокументированы и сохраняются результаты выполнения контрольных процедур (первичные документы, отчеты, журналы операций и др.).

3. Содержание системы внутреннего контроля

Основой организации и функционирования системы внутреннего контроля экономического субъекта являются следующие элементы:

а) контрольная среда;

б) оценка рисков;

в) процедуры внутреннего контроля;

г) информация и коммуникация;

д) оценка (мониторинг) внутреннего контроля.

3.1 Контрольная среда

Контрольная среда представляет собой совокупность принципов и стандартов деятельности экономического субъекта, которые определяют общее понимание внутреннего контроля и требования к внутреннему контролю на уровне экономического субъекта в целом. Контрольная среда отражает культуру управления экономическим субъектом и создает надлежащее отношение персонала к организации и осуществлению внутреннего контроля. Контрольная среда является основой для всех остальных элементов внутреннего контроля.

К факторам контрольной среды относятся:

– стиль и основные принципы управления;

– организационная структура;

– распределение ответственности и полномочий;

– политика и практика управления персоналом;

– порядок подготовки бухгалтерской (финансовой) отчетности;

– процедуры, устанавливающие требования по соблюдению организацией и ее работниками применимого законодательства, а также установленных этических норм и принципов. Оценка собой соействий,

3.2 Оценка рисков

Оценка рисков представляет собой совокупность действий, направленных на определение и анализ рисков, возникающих в процессе достижения целей организации, и являются основой для определения контрольных процедур и мероприятий по управлению рисками.

В основе организации системы внутреннего контроля лежит риск-ориентированный подход. Он означает тесную интеграцию системы внутреннего контроля с процессами управления рисками, в результате которой обеспечивается своевременное и эффективное применение методов по управлению рисками с использованием эффективных механизмов системы внутреннего контроля. При этом руководство хозяйствующего субъекта и его сотрудники концентрируют усилия по построению и совершенствованию системы внутреннего контроля, в первую очередь, в тех областях деятельности, которые характеризуются наиболее высоким уровнем рисков.

Оценка уровня риска является одним из важнейших этапов риск – менеджмента, так как для управления риском его необходимо прежде всего проанализировать и оценить. В экономической литературе существует множество определений этого понятия, однако в общем случае под оценкой риска понимается систематический процесс выявления факторов и видов риска и их количественная оценка, то есть методология анализа рисков сочетает взаимодополняющие количественный и качественный подходы.

Источниками информации для анализа риска являются:

– бухгалтерская отчетность предприятия;

– организационная структура и штатное расписание предприятия;

– карты технологических потоков (технико-производственные риски);

– договоры и контракты (деловые и юридические риски);

– себестоимость производства продукции;

– финансово-производственные планы предприятия.

Выделяются два этапа оценки риска: качественный и количественный. Задачей качественного анализа риска является выявление источников и причин риска, этапов и работ, при выполнении которых возникает риск, то есть:

– определение потенциальных зон риска;

– выявление рисков, сопутствующих деятельности предприятия;

– прогнозирование практических выгод и возможных негативных последствий проявления выявленных рисков.

Основная цель данного этапа оценки – выявить основные виды рисков, влияющих на финансово-хозяйственную деятельность. Преимущество такого подхода заключается в том, что уже на начальном этапе анализа руководитель предприятия может наглядно оценить степень рискованности по количественному составу рисков и уже на этом этапе отказаться от претворения в жизнь определенного решения.

Итоговые результаты качественного анализа риска, в свою очередь, служат исходной информацией для проведения количественного анализа, то есть оцениваются только те риски, которые присутствуют при осуществлении конкретной операции алгоритма принятия решения.

На этапе количественного анализа риска вычисляются числовые значения величин отдельных рисков и риска объекта в целом. Также выявляется возможный ущерб и дается стоимостная оценка от проявления риска и, наконец, завершающей стадией количественной оценки является выработка системы антирисковых мероприятий и расчет их стоимостного эквивалента.

Количественный анализ можно формализовать, для чего используется инструментарий теории вероятностей, математической статистики, теории исследования операций. Наиболее распространенными методами количественного анализа риска являются статистические, аналитические, метод экспертных оценок, метод аналогов.

Качественный и количественный анализ производится на основе оценки влияния внутренних и внешних рисков. Для анализа и мониторинга внешних и внутренних рисков предприятию целесообразно разработать иерархическую систему таблиц отдельно для учета внешних и внутренних рисков.

Для описания внешних рисков таблицы желательно проранжироватъ следующим образом:

– первая таблица должна содержать данные всех юридических и физических лиц с перечислением возможных вариантов «атак» и целей;

– вторая и последующие таблицы должны содержать данные конкретного юридического или физического лица, статистику «атак» и состояние системы рисков;

– итоговая таблица должна представлять собой матрицу угроз, которая отражает вероятность и величину потенциального ущерба предприятию или отдельным объектам и бизнес-проектам.

Для описания внутренних рисков также разрабатываются таблицы. Эти таблицы должны быть привязаны к определенным сферам деятельности и технологическим линиям, например, потенциальные внутренние риски:

– в производственной сфере;

– в инвестиционной сфере;

– в финансовой сфере;

– информационным ресурсам;

– в процессе логистики.

Для фиксации частоты попыток реализации рисков, нанесенном и предотвращенном ущербе создается отдельная таблица. Важно иметь следующие характеристики рисков: вероятность осуществления (по данным статистики), усредненный ущерб по однородным целям, основной источник рисков и привлекаемые силы и средства.

Одним из важных направлений оценки рисков является оценка риска возникновения злоупотреблений и мошенничества. Мошенничество в любом своем проявлении приводит к длинной цепочке неблагоприятных последствий для бизнеса, которые могут послужить причинами кризиса.

Такие виды мошенничества как хищение активов компании, присвоение прибыли, осуществляемое обманным путем и выражающееся в манипуляциях с активами, а в некоторых случаях с пассивами компании с использованием документации, и в первую очередь учетной и договорной, хищения, связанные с искажением финансовой отчетности наносят серьезный ущерб компании и могут привести к банкротству.

По мнению специалистов Центра финансовых расследований, главная ошибка многих руководителей компаний – это попытка организовать систему выявления финансового мошенничества в российских организациях силами иностранных аудиторов и консультантов, гражданских юристов и других специалистов, не имеющих реального опыта в подобных делах.

Оценка данного риска предполагает выявление участков (областей, процессов), на которых могут возникать злоупотребления и мошенничество, а также возможностей для их совершения, в том числе связанных с недостатками контрольной среды и процедур внутреннего контроля экономического субъекта. (Большой консалтинг, №1, январь 2014, стр. 29)

При выявлении фактов мошенничества целесообразно привлечь специалистов и экспертов Центра финансовых расследований для поиска и сбора доказательств, связанных с противоправными действиями, проведения финансовых расследований и исследований (экспертиз) в целях выявления и документирования нарушений.

3.3 Процедуры внутреннего контроля

Процедуры внутреннего контроля представляют собой действия, направленные на минимизацию рисков, влияющих на достижение целей организации.

Экономический субъект может применять следующие стандартные процедуры внутреннего контроля: философия и стиль руководства;

– документальное оформление. Например, записи в регистрах бухгалтерского учета должны осуществляться на основе первичных учетных документов, в том числе бухгалтерских справок. Существенные оценочные значения, включенные в бухгалтерскую (финансовую) отчетность, должны основываться на расчетах;

– подтверждение соответствия между объектами (документами) или их соответствия установленным требованиям. Например, при принятии первичных учетных документов к бухгалтерскому учету должна производиться проверка их оформления на соответствие требованиям законодательства. К данным процедурам внутреннего контроля относятся также процедуры контроля связанных операций, в частности, соотнесение перечисления денежных средств в оплату материальных ценностей с получением и оприходованием этих ценностей;

– санкционирование (авторизация) хозяйственных операций, которое подтверждает правомочность совершения операции и, как правило, выполняется персоналом более высокого уровня, чем инициатор операции. Например, авансовый отчет сотрудника должен быть утвержден руководителем;

– сверка данных. Например, для подтверждения сумм дебиторской и кредиторской задолженности экономического субъекта должна проводиться сверка его расчетов с поставщиками и покупателями; остатки по счетам учета наличных денежных средств должны сверяться с остатками денежных средств по данным кассовой книги;

– разграничение полномочий и ротация обязанностей. С целью уменьшения рисков возникновения ошибок и злоупотреблений полномочия по подготовке первичных учетных документов, санкционированию (авторизации) хозяйственной операции и отражению результатов хозяйственных операций в бухгалтерском учете, как правило, должны возлагаться на разных лиц на ограниченный период;

– физический контроль, в том числе охрана, ограничение доступа, инвентаризация объектов;

– надзор. Данная процедура внутреннего контроля предполагают оценку достижения поставленных целей или показателей. Например, оценка правильности выполнения хозяйственных и учетных операций, точности составления бюджетов (смет), соблюдения установленных сроков составления бухгалтерской (финансовой) отчетности;

– процедуры, связанные с компьютерной обработкой информации и информационными системами, среди которых, как правило, выделяют процедуры общего компьютерного контроля и процедуры контроля уровня приложений. Процедуры общего компьютерного контроля включают правила и процедуры, регламентирующие доступ к информационным системам, данным и справочникам, правила внедрения и поддержки информационных систем, процедуры восстановления данных и другие процедуры, обеспечивающие бесперебойное использование информационных систем. Процедуры контроля уровня приложений включают, в частности, логическую и арифметическую проверку данных в ходе обработки информации о фактах хозяйственной жизни (проверку правильности заполнения полей документов, контроль введенных сумм, автоматическую сверку данных, отчеты об операциях и ошибках, др.).

Особое внимание специалисты Центра финансовых расследований уделяют процедурам по снижению риска мошенничества и предотвращению экономических преступлений. К ним относятся:

– проведение контрольных мероприятий, в том числе внеплановых и негласных с привлечением независимых специалистов. Использование результатов проверок для усовершенствования процедур контроля во всей компании, а не только в той ее части, которая пострадала от мошеннических действий;

– сбор информации о сотрудниках и контрагентах: поставщиках, партнерах, клиентах;

– обеспечение информационной безопасности для защиты данных;

– эффективный контроль над паролями: регулярная смена и запрет на предоставление своего пароля третьим лицам;

– внедрение корпоративной культуры, не допускающей мошенничества;

– этически безупречное поведение руководства – генерального директора и совета директоров;

– создание в компании специализированной база данных, содержащей информацию о случаях мошенничества. В базу данных вносится вся информация из сообщений горячей линии, результатов проведения внутреннего и внешнего аудита, информации об известных случаях мошенничества и коррупции, а также случаях мошенничества и коррупции в бизнесе в целом;

– санкционирование (авторизация) хозяйственных операций, разграничение полномочий и ротация обязанностей, физический контроль;

– постоянная проверка поведения персонала.

В зависимости от момента осуществления различают предварительные и последующие процедуры внутреннего контроля. Предварительные процедуры внутреннего контроля направлены на предупреждение появления ошибок и нарушений установленного порядка деятельности (физический контроль, санкционирование хозяйственных операций, др.). Последующие процедуры внутреннего контроля направлены на выявление ошибок и нарушений установленного порядка деятельности (сверка, надзор, др.). В зависимости от степени автоматизации различают автоматические, полуавтоматические, ручные процедуры внутреннего контроля. Автоматические процедуры внутреннего контроля выполняются информационной системой без участия персонала, например, контроль доступа. Полуавтоматические процедуры внутреннего контроля выполняются информационной системой, но должны быть инициированы или завершены вручную; например, отчеты о выполненных в информационной системе исправлениях данных бухгалтерского учета должны быть проверены исполнителем. Ручные процедуры внутреннего контроля выполняются персоналом экономического субъекта вне информационных систем.