Система внутреннего контроля на основе SOX

Сегодня для большинства крупных международных компаний актуальной задачей является обеспечение соответствия требованиям внешнего законодательства разных стран с помощью системы внутреннего контроля. Наиболее жесткими считаются требования, которые вступили в силу в марте 2005 г. в США с принятием закона Сарбейнса-Оксли. Данным законом руководству компаний была вменена обязанность подтверждать правильность финансовой отчетности лично, а также свою ответственность за эффективность системы внутреннего контроля и в первую очередь при подготовке финансовой отчетности. Помимо этого для соответствия закону необходимо получить заключение внешнего аудитора об эффективности системы внутреннего контроля компании.
Законодательство подобного рода существует во многих странах, например в Великобритании, Канаде и др. В России также предпринимаются меры в данном направлении. Примером является постановление Федеральной службы по финансовым рынкам от 15.12.04 г. N 04-1245/пз-н «Об утверждении Положения о деятельности по организации торговли на рынке ценных бумаг», предусматривающее наличие в компаниях-эмитентах положения о внутреннем контроле, утвержденного советом директоров. Кроме того, в компании необходимо создать отдельное подразделение, которое должно контролировать выполнение этого положения и докладывать о результатах комитету по аудиту.

Основные документы в области создания системы внутреннего контроля

В настоящее время сообщества аудиторов, менеджеров, бухгалтеров и ИТ-специалистов активно работают над совершенствованием систем внутреннего контроля. В результате этой работы были созданы следующие документы:
стандарт «Цели контроля при использовании информационных технологий» (COBIT) — (the Information Systems Audit and Control Foundation»s Control Objectives for Information and related Technology) — обеспечивает решение вопросов о соответствии применяемых информационных технологий существующим бизнес-процессам и является основой для создания общих правил надежности и механизма контроля за эффективностью использования информационных систем. COBIT позволяет применять лучшую практику в области управления ИТ, определить «зрелость» ИТ-процессов и адекватный уровень надежности и контроля при использовании информационных технологий. Аудиторам в области ИТ он помогает сформировать мнение об эффективности внутреннего контроля;
документ «Внутренний контроль: интегрированный подход» (COSO) — (the Committee of Sponsoring Organizations of the Treadway Commission»s Internal control — Integrated Framework) — содержит основные принципы организации системы внутреннего контроля в компании и является верхнеуровневым руководством для ее создания и совершенствования;
документ «Контроль и аудит систем» (SAC) — (the Institute of Internal Auditors Research Foundation»s Systems Auditability and Control) — предлагает поддержку внутренним аудиторам в вопросах контроля и аудита информационных систем. В документе дается определение системы внутреннего контроля и описывается ее состав, а также приводятся классификации средств контроля, его цели и риски;
Указание о рассмотрении структуры внутреннего контроля при аудите финансовой отчетности (SAS 55, 78) — (the American Institute of Certified Public Accountants» Consideration of the Internal Control Structure in a Financial Statement Audit) — является руководством для внешних аудиторов в части анализа эффективности системы внутреннего контроля, необходимой для обеспечения корректности финансовой отчетности.
Перечисленные документы включают общие концепции внутреннего контроля, при этом более поздние документы построены на принципах, разработанных в более ранних. В связи с этим они применяются разными группами сотрудников и внешних специалистов. Так, COBIT ориентирован на руководство, ИТ-специалистов и аудиторов в области ИТ, COSO — на топ-менеджмент компании, SAC — на внутренних аудиторов, а SAS 55 и 78 — на внешних аудиторов.
Если говорить о практике использования данных документов, то в большинстве случаев они содержат лишь основные принципы системы внутреннего контроля, что требует уточнений для каждого предприятия и привлечения специалистов с опытом работы в этой области. Однако необходимо отметить, что в основе системы внутреннего контроля заложена система управления операционными рисками. Это методологически упрощает работу по ее созданию и совершенствованию.
На основании требований к системе внутреннего контроля можно определить основные принципы ее построения:

• организация внутренней/управленческой среды в компании;
• установление целей развития компании;
• определение методов идентификации рисков и методов их оценки;
• выбор методов управления рисками (уклонение от риска, сокращение, перераспределение или принятие);
• установление основных принципов организации контрольных процедур;
• определение средств коммуникации и обмена информацией, а также средств тестирования системы внутреннего контроля.

Создание системы внутреннего контроля

Для определения основных точек контроля внутри компании используется методология управления процессами и рисками. Главный этап — анализ бизнес-процессов и выявление операционных рисков на основании описания процессов и взаимодействия с экспертами.
В любой деятельности присутствуют риски, и задачей сотрудников является управление этими рисками, однако не все могут и хотят этим заниматься. Цель внутреннего контроля при построении системы управления рисками — это внедрение в текущие процессы контрольных процедур, что позволяют минимизировать вероятность наступления риска либо его последствия, т. е. фактически система внутреннего контроля «заставляет» сотрудников управлять рисками. Для обеспечения возможности проверки эффективности существующих и создаваемых контрольных процедур в процессах предусматривается формирование документального подтверждения выполнения всех требований контрольной процедуры. В дальнейшем с помощью тестирования проверяется эффективность выполнения контроля через анализ существующих подтверждений правильности выполнения контрольной процедуры.
Что касается построения системы внутреннего контроля над формированием финансовой отчетности (SOX), то этому процессу можно дать следующее определение — процесс, инициируемый советом директоров, руководством и иными сотрудниками, направленный на получение достаточной степени уверенности относительно достоверности финансовой отчетности в соответствии с общепринятыми принципами ее формирования для внешних пользователей, включая политики и процедуры в следующих областях:

• все операции и сделки компании соответствующим образом авторизованы;
• активы компании защищены от несанкционированного использования;
• все операции нашли соответствующее отражение в учетных регистрах и финансовой отчетности.

Исходя из данного определения можно сделать вывод, что для создания системы внутреннего контроля в целом для компании необходимо построить процесс, направленный на формирование норм, процедур, приемов и организационных структур, разработанных для обеспечения разумной гарантии того, что бизнес-цели будут достигнуты, а нежелательные события — предотвращены или обнаружены и исправлены (COBIT).
На рисунке представлены основные этапы проекта по внедрению системы внутреннего контроля, направленной на обеспечение достоверности финансовой отчетности.
(Рисунок)
В общем случае внедрение системы внутреннего контроля в компании включает следующие этапы:

• идентификация критических процессов;
• формализация процессов;
• идентификация рисков в процессах;
• оценка рисков;
• разработка контрольных процедур;
• тестирование контрольных процедур.

Идентификация критических процессов

Необходимо определить перечень внешних нормативных актов, которым нужно соответствовать, а также требования регулирующих законов, которые должны быть выполнены в данном случае. Далее следует установить критичные области в информационном окружении, бизнес-процессах и инфраструктуре.
Часто для российских представительств западных компаний требования внутреннего контроля «спускаются сверху», где они формируются централизованно на уровне корпорации, что не всегда соответствует реальным бизнес-процессам компании и реалиям российской действительности. В связи с этим задачей данного этапа является определение того, что именно из «спущенного сверху» имеет отношение к реально существующим процессам.

Формализация процессов

Проводится описание существующих процессов компании, критичных с точки зрения системы внутреннего контроля, что дает основу для идентификации рисков. Для решения данной задачи целесообразно двигаться «сверху-вниз», формализуя деятельность с верхнего уровня до уровня рабочих мест, описывая поток работ между исполнителями, а также входящую и исходящую информацию. Такой уровень детализации требуется для дальнейшего анализа рисков в процессах и формирования контрольных процедур. На данном этапе можно использовать инструментальные системы для описания бизнес-процессов: ARIS или, в более простых случаях, VISIO.

Идентификация рисков в процессах

Следует определить, насколько существующие процессы в компании рискованны с точки зрения невыполнения требований регулирующих законов. Так, для удовлетворения требований SOX необходимо принимать во внимание все риски, способные привести к умышленному или случайному искажению финансовых данных и соответственно финансовой отчетности, а также к мошенничеству. Если сравнивать общее число критичных рисков и рисков, влияющих на финансовую отчетность, то можно сделать вывод, что риски в области финансовой отчетности составляют, как минимум, четверть от всех операционных рисков компании. Число рисков может превышать тысячу, что обусловливает объем проекта по построению системы внутреннего контроля.
Идентификация рисков проводится на основании анализа детального описания процессов. По его результатам формируется список рисков, привязанных к процессам и функциям, где они были обнаружены. Процедура формирования этого списка на основании только опроса экспертов и без анализа процессов, как правило, не позволяет достичь его полноты. Это приводит к тому, что при внешнем аудите обнаруживается множество неучтенных рисков, и система внутреннего контроля признается неэффективной.

Оценка рисков

Определяется эффективная стратегия минимизации и предотвращения рисков, при этом оценка рисков позволяет ранжировать их по степени критичности и исключить не опасные для компании риски. Управление всеми рисками экономически невыгодно для компании, поскольку для части рисков проще согласиться с убытками, чем создавать и внедрять контрольную процедуру. В данном случае чаще всего применяется метод качественных оценок, позволяющий ранжировать риски по критериям «вероятность» и «убытки» на основании экспертного мнения. Он используется для составления перечня (с использованием рейтинговых оценок) всех идентифицированных операционных рисков, которые актуальны для системы внутреннего контроля.

В дальнейшем уточнение качественных оценок операционных рисков проводится уже в рамках их количественной (стоимостной) оценки, требующей больших временных затрат. Поэтому ключевой задачей качественной оценки помимо определения значимости рисков является «отсечение» тех рисков, которые с высокой степенью вероятности не оправдают дальнейших затрат на их минимизацию или не влияют на критичную информацию. Метод количественных оценок, основанный на расчете ущерба и вероятности риска, в данном случае сложен в применении.

Разработка контрольных процедур

Деятельность по оптимизации процессов всегда присутствует (скрыто или явно) в любой компании. Но обычно она вызвана внутренними побуждениями: стремлением повысить эффективность работы, снизить трудозатраты, контролировать деятельность. Появление внешних требований, обязательных для выполнения, является с этой точки зрения мощным дополнительным импульсом для развития или расширения данного направления деятельности в компании.

Существуют четыре стратегии управления операционными рисками:

• принимать: низкая вероятность — низкие убытки. Эта стратегия наиболее простая — риски принимаются к сведению, но какие-либо действия по их компенсации принимать нерентабельно;
• страховать: низкая вероятность — высокие убытки. Для данной стратегии требуется страхование рисков с помощью страховых компаний;
• избегать: высокая вероятность — высокие убытки. Стратегия предлагает отказаться от рискованных процессов или сосредоточить максимальные усилия на их совершенствовании;
• предотвращать: высокая вероятность — низкие убытки. Для этой стратегии требуется построение контрольных процедур, направленных на минимизацию рисков.

Таким образом, в рассматриваемом случае применимы две последние стратегии, и на их достижение направлены такие виды деятельности, как оптимизация процессов, внедрение контрольных процедур и тестирование.
Наиболее простой способ — оценка рисков с помощью метода качественных оценок и их дальнейшая минимизация.
Целью и критерием успешного совершенствования процессов в части организации системы внутреннего контроля является минимизация обнаруженных операционных рисков путем создания и внедрения в процессы контрольных процедур.

Наиболее результативными считаются превентивные контрольные процедуры, которые позволяют минимизировать саму вероятность наступления рискового события, однако для повышения надежности процесса их часто применяют одновременно с проверочными процедурами. Например, наряду с процедурой удаления карточки-пропуска при увольнении сотрудника должна существовать контрольная процедура сверки списка сотрудников, обладающих карточкой-пропуском, со списком уволенных за определенный период.
Риск можно определить через понятие контрольного действия: недостаток системы контроля существует тогда, когда дизайн или выполнение контроля не позволяют руководству или сотрудникам компании предотвратить или своевременно обнаружить искажение финансовой отчетности в рамках реализации своих повседневных обязанностей.
В зависимости от обнаруженного недостатка необходимо воздействовать либо на процесс, либо на сотрудника, его выполняющего, поэтому для обеспечения оценки эффективности контрольных процедур должны создаваться документальные подтверждения работоспособности каждой контрольной процедуры — так называемые свидетельства контроля.

Тестирование контрольных процедур

Чтобы быть уверенным в том, что система внутреннего контроля эффективна, необходимо с определенной периодичностью проверять, насколько хорошо выполняются существующие контрольные процедуры.

Данная проверка осуществляется с помощью набора тестов, которые состоят из нескольких последовательных шагов:
устанавливается наличие основного документа (политики, регламента), где определяются порядок и правила выполнения данного процесса;
проверяется выполнение на практике требований, описанных в основном документе, и документируются конкретные примеры выполнения.
По результатам теста принимается решение об эффективности или неэффективности данной контрольной процедуры. Число тестов зависит от числа процессов, проходящих через проверяемую контрольную процедуру. Периодичность проведения тестирования устанавливается в зависимости от критичности процесса и может варьировать.

Дополнительной сложностью в организации процесса тестирования может быть требование, чтобы тестирование проводилось сотрудниками, не участвующими в проверяемых процессах. Тысяча тестов, которые необходимо выполнить в течение месяца, — это нормальная ситуация для системы внутреннего контроля крупной компании. Понятно, что всем этим многообразием нужно управлять и документировать эту работу. Для данной задачи может быть использован продукт ARIS Audit Manager, который позволяет автоматизировать процедуры тестирования и создания отчетности для внешних аудиторов.
В существующих условиях количество трансакций в деятельности компании достигает сотен тысяч в секунду, а число рисков превышает тысячу, при этом достаточно сложно обеспечить эффективность выполнения контрольных процедур «на ручном уровне», поэтому единственным эффективным путем является автоматизация как процессов, так и контрольных процедур.

В настоящее время существует достаточное количество программных продуктов импортного производства (ERP, DMS и т. д.), обеспечивающих решение этой задачи в части внедрения контрольных процедур в функционал информационных систем. Однако, даже внедрив решение определенного поставщика, можно не получить эффективную систему внутреннего контроля, поскольку для большинства контрольных процедур все еще будут требоваться ручное исполнение и фиксация, что оставляет большой потенциал для совершенствования разработчиками своих ИТ-решений в данной области.
В заключение хочется отметить, что внутренний контроль должен быть регулярным процессом. Как всякий процесс, он требует правильного планирования, выполнения, проведения и совершенствования.

А. КОПТЕЛОВ , директор департамента ИТ консалтинга компании «IDS Scheer Россия и страны СНГ»

Система внутреннего контроля - это система мер, направленных на выявление и устранение финансовых, правовых, производственных и прочих рисков, а также на выявление фактов хозяйственной деятельности, связанных с преднамеренным или непреднамеренным нарушением сотрудниками своих обязанностей, повлекшим за собой ухудшение финансового состояния предприятия или его деловой репутации.

Система внутреннего контроля может включать в себя:

· контроль соответствия деятельности предприятия российскому законодательству;

· контроль сохранности активов предприятия;

· контроль процесса материально-технического снабжения;

· контроль процесса производства(продажи) продукции(услуг);

· контроль рационального и экономного расходования ресурсов;

· контроль исполнения приказов и распоряжений;

· контроль эффективности и исполнения отдельных договоров/групп договоров;

· внутренний аудит;

· мониторинг внешней и внутренней среды предприятия на предмет выявления угроз безопасности;

· другие направления исходя из потребностей предприятия.

Сколько и какие органы контроля иметь в компании - определяется, в первую очередь, требованиями законодательства. Например, для акционерных обществ законодательством предусмотрено наличие совета директоров (наблюдательного совета) и ревизионной комиссии.

Собственники и менеджмент компании, исходя из своих потребностей, могут создавать и другие органы контроля. Выбор богатый: контрольно-ревизионная служба, служба внутреннего контроля, служба внутреннего аудита, служба безопасности, отдел контроля качества . Другое дело, что, подчас, по-разному называющиеся органы контроля в значительной мере дублируют работу друг друга. Это, как правило, приводит к экономической неэффективности их деятельности.

Немалую роль в принятии решения о структуре органов контроля играет состояние контрольной среды в компании и, если говорить более широко, уровень развития ее корпоративной культуры.

Поскольку построение системы внутреннего контроля есть процесс трудоемкий и длительный, наличие в компании отдельного контрольно-ревизионного подразделения (контрольно-ревизионной службы) является объективной необходимостью на определенном этапе. Данное подразделение приобретает особую значимость, если у руководства компании нет возможности и/или желания строить эффективную систему контроля и создавать высокоразвитую корпоративную культуру. В данном случае контрольно-ревизионное подразделение будет фокусироваться на выявлении ошибок и злоупотреблений, исполняя роль корпоративного полицейского в «чистом виде». Но следует помнить, что ревизионная деятельность, по своей сути, направлена на ретроспективу, т. е. на уже произошедшие события и их последствия. Внутренний аудит ориентирован на перспективу, т. е. на анализ будущих событий, которые могут неблагоприятным образом сказаться на деятельности отдельных подразделений и/или компании в целом.

Иначе говоря, ревизия оценивает последствия уже материализовавшихся рисков, в то время как внутренний аудит оценивает возможность и предлагает пути снижения рисков и/или негативных эффектов их воздействия. Наличие в компании контрольно-ревизионного подразделения ни в коей мере не означает ненадобности во внутреннем аудите и других формах контроля. Все определяется тем, на каком этапе своего развития находится компания и в каком направлении, с точки зрения внутренней корпоративной культуры, она будет двигаться.

Кроме того, контрольно-ревизионная деятельность и внутренний аудит не охватывают остальных направлений контроля, в частности: технологический контроль, управленческий контроль, контроль угроз безопасности и т.д. Следовательно, подход к организации системы внутреннего контроля предприятия должен носить комплексный характер.

Согласно методологии COSO , существуют три основных цели внутреннего контроля:

· проверка эффективности хозяйственных операций;

· проверка соответствия операций и учета требованиям законов;

· проверка обеспечение достоверности финансовой отчетности.

Соответственно, задача построения эффективной системы внутреннего контроля состоит в том, чтобы структурировать все контрольные процедуры для всех важных бизнес-процессов, дабы выполнить три этих "сверхзадачи". В качестве примера покажем методологию организацию системы внутреннего контроля на основе модели COSO.

Модель COSO состоит из пяти ключевых компонентов:

· контрольной среды;

· оценки рисков;

· контролирующих мероприятий;

· внутренних коммуникаций;

· мониторинга.

1. Эффективная внутренняя контрольная среда - это фундамент системы внутреннего контроля. Она включает: корпоративную культуру, управленческий стиль высшего менеджмента, кадровую политику, корпоративный кодекс, организационную форму и полномочия структур внутреннего контроля, содержание программ по противодействию внутреннему мошенничеству, хищениям, системы бюджетирования, политики в сфере ИТ, закупок, сбыта и т.п. Весь свод внутренних писаных и неписаных правил формирует контрольную среду и в конечном счете предопределяет качество отчетности и эффективность хозяйственных процессов.

2. Рациональный риск-менеджмент . Система контроля должна начинаться с зон повышенного риска, с тех участков деятельности компании, где существует наибольшая угроза финансовых потерь: хищения, порча сырья или готовой продукции, нерациональное расходование средств, значительные убытки из-за налоговых штрафов и так далее. Поэтому важной составляющей систем внутреннего контроля является риск-менеджмент. Его задача - идентифицировать риски и составить "карту рисков", выделить наиболее критичные риски с точки зрения потенциального ущерба (при отсутствии должного контроля), разработать пути их минимизации, и, наконец, проводить ежегодную переоценку рисков. Процесс анализа должен быть осмысленным, например риск хищений в столовой путем подписания фальшивых платежек имеет высокую вероятность наступления, но небольшой ущерб. Если затраты на устранение риска превышают размер потенциального ущерба, не имеет смысла им заниматься.

3. Разработка контрольных процедур "на все случаи жизни". Когда приоритеты системы внутреннего контроля благодаря риск-менеджменту расставлены и выявлены бреши в системе контроля, наступает черед конкретных мер по усилению контроля. Модель COSO предусматривает девять видов контролирующих воздействий, то есть способов реагирования на недостатки. Вот несколько примеров. Неясно, кто за что отвечает - нужно четко разграничить сферы ответственности; трудно определить виновников ущерба - нужно придумать способы авторизации операций, контрактов, изменений в документах. Если слишком много лиц имеют доступ к конфиденциальным данным или ценным активам - следует ограничить доступ; а когда намечаются расхождения между реальными и отчетными запасами на складах - провести инвентаризацию складских остатков.

4. Система внутренней коммуникации. Речь идет о том, чтобы в компании были созданы условия для получения полных и достоверных данных, их хранения и обработки, а главное - для полноценного информационного обмена между подразделениями и различными уровнями руководства.

5. Мониторинг. Сюда относятся способы контроля высших уровней управления за работой низших. Часто мониторинг проводится для того, чтобы найти какие-либо отклонения от стандартных показателей или правил. Поэтому основой мониторинга являются различные корпоративные нормативы, например, по складским остаткам или же срокам закрытия бухгалтерских книг.

Рис.1. Структура системы внутреннего контроля предприятия

Из предложенной методологии логически складывается система внутреннего контроля предприятия, структурная схема представлена на рис.1. Субъекты и объекты внутреннего контроля включают: структурные подразделения предприятия, которые предназначены для организации и проведения контрольных мероприятий, контролируемые подразделения и бизнес-процессы. Политика предприятия в сфере внутреннего контроля формулирует цели и задачи, достижения которых должна обеспечить система внутреннего контроля распределение функций между участниками контроля и методы контроля. Формулировка политики внутреннего контроля - является основополагающим аспектом в организации системы, т.к. именно в ней определяется отношений к ней собственника.

Следует отметить, что политика предприятия в сфере внутреннего контроля отражает и отношение к нему собственников.

СВК на предприятии является важнейшей частью современной системы управления, позволяющей достичь целей, поставленных собственниками с минимальными затратами.

Основная задача СВК состоит в обеспечении наблюдения и (или) проверки функционирования любого объекта внутреннего контроля (предприятия в целом, его подразделений и филиалов, иных объектов внутреннего контроля) на предмет соответствия их деятельности законам, стандартам, планам, нормам, правилам, приказам, принимаемым управленческим решениям. Устанавливая отклонения от требований этих документов и выявляя причины их возникновения, СВК способствует своевременной разработке собственниками и/или исполнительными органами управления предприятием мероприятий по их устранению. На рис. 2. показано место СВК в системе управления предприятием.

Рис.2. Место СВК в системе управления

Наличие эффективно работающей СВК является важнейшим фактором роста конкурентоспособности предприятия. Как показывает международная практика, наличие СВК создает реальные предпосылки успешного развития бизнеса, в связи с:

· появлением возможности на выгодных условиях привлекать инвестиции путем повышения качества финансовой (бухгалтерской) отчетности хозяйствующего субъекта;

· появлением возможности эффективно управлять использованием материальных и трудовых ресурсов хозяйствующего субъекта и проводить эффективную ценовую политику.

· появлением у собственников возможности контролировать деятельность топ-менеджмента на соответствие его действий целям бизнеса хозяйствующего субъекта, а у топ менеджмента - эффективности работы филиалов и структурных подразделений хозяйствующего субъекта.

Рассмотрим сущность этих предпосылок.

Привлечения инвестиций. Невозможно получить на льготных условиях кредиты в международных и транснациональных банках и фондах без наличия СВК. Это требование международных финансовых организаций, таких как Международный банк реконструкции и развития или Международный валютный фонд вытекает из положений Закона Сарбейнса - Оксли» (раздел 404 «Оценка руководства и внутренний контроль»). В нем определено, что годовые отчеты публичных компаний, подписанные ее руководством, должны в обязательном порядке содержать проверенный внешним аудитором отчет о внутреннем контроле, в котором должна содержаться следующая информация:

1) о деятельности руководства компании по созданию и обеспечению функционирования адекватной бизнесу структуры внутреннего контроля, а также процедур формирования финансовой отчетности;

2) об оценке эффективности (по состоянию на конец последнего финансового года компании) структуры внутреннего контроля и процедур, применяемых ею по отношению к финансовой отчетности.

Совершенствование системы управления. СВК путем выявления резервов повышения эффективности использования материальных и трудовых ресурсов стимулирует разработку мероприятий по снижению себестоимости выпускаемой продукции, т.е. повышает финансовую устойчивость хозяйствующего субъекта и его конкурентоспособность..

Усиление контрольных функций позволяет собственникам хозяйствующего субъекта своевременно принимать меры по дальнейшему развитию бизнеса в направлении достижения намеченных программных целей, а самому топ менеджменту своевременно выявлять зоны максимального риска.

Конечная цель организации СВК - выполнение контрольных функций непосредственно на предприятии и обеспечение готовности к ревизиям и проверкам, проводимыми внешними контрольными органами. Для этого необходимо создать гибкую систему контрревизионных мероприятий, внутреннего финансового и хозяйственного контроля, которая предусматривает и регламентирует следующие стратегически важные функций контроля и контрревизионных мероприятий :

• Организация и осуществление постоянного контроля за производственно-хозяйственной и финансово-экономической деятельностью предприятия на всех участках, а также за своевременностью и полнотой реализации продукции, выполненных работ и оказанных услуг.
• Своевременное предоставление руководству и другим должностным лицам предприятия всей необходимой информации для руководства, координации и осуществления производственно-хозяйственной и финансово-экономической деятельности предприятия.
• Организация и обеспечение сохранности материальных и денежных средств на всех этапах деятельности предприятия.
• Организация и проведение в полном объеме требований руководящих документов плановых и внеплановых инвентаризаций имущества и финансовых обязательств предприятия.
• Организация контроля за полным выполнением своих функций структурными подразделениями и службами предприятия.
• Разработка и оптимизация документооборота с учетом особенностей производственно-хозяйственной и финансово-экономической деятельности предприятия.
• Достижение взаимосвязанности на предприятии управленческого, бухгалтерского и налогового учета, а также адаптация форм управленческой, бухгалтерской и налоговой отчетности.
• Организация и своевременное проведение мониторинга всех сторон деятельности предприятия, а также результатов проведенных ревизий и проверок внешними контрольными органами и внутренними контрольными органами предприятия.
• Своевременное представление достоверной информации о состоянии производственно-хозяйственной и финансово-экономической деятельности предприятия внешним пользователям.
• Планомерная подготовка предприятия к проведению ревизий и проверок, эффективное взаимодействие с внешними аудиторами, предупреждение санкций со стороны налоговых и других внешних контрольных органов.
• Разработка предложений по улучшению производственной, финансово-экономической и хозяйственной деятельности предприятия.
• Создание службы внутреннего аудита или других контрольных органов на предприятии.

Выше было сказано, что в структуру СВК входят пять составляющих. Рассмотрим подробнее первые три:

1. Контрольная среда.

2.Механизмы и средства внутреннего контроля.

3.Система оценки рисков.

Рассмотрим основные характеристики каждой из этих частей.

Контрольная среда в соответствии с международными стандартами внутреннего аудита - это общее отношение высших органов управления хозяйствующим субъектом к необходимости осуществления внутреннего контроля и предпринимаемые в связи с этим действия. Правильно сформированная контрольная среда позволяет обеспечить необходимую процедуру и предпосылки для эффективной работы СВК с помощью комплекса внутренних нормативных документов в обязательном порядке предусматривающих разделение несовместимых функций, позволяющих руководителям хозяйствующих субъектов всех уровней принимать комплексные управленческие решения, касающиеся, в первую очередь, использования его активов, в том числе, через систему визирования документов.

Под вышеупомянутыми несовместимыми функциями понимаются те из них, сосредоточение которых у одного лица в любых комбинациях может способствовать совершению им случайных или умышленных ошибок, а также затруднять их обнаружение.

Сюда следует отнести:

1) непосредственный доступ к активам;

2) разрешение на осуществление операций с активами;

3)непосредственное осуществление хозяйственных операций;

4) отражение хозяйственных операций в бухгалтерском учете.

Контрольная среда включает в себя следующие элементы:

1) этические ценности;

2) философию и стиль управления;

3) организационная структура;

4) процесс распределения полномочий и ответственности;

5) политику и практику управления персоналом;

6) компетентность персонала.

Механизмы внутреннего контроля, главным из которых является система бухгалтерского учета, должны обеспечивать достижение следующих целей:

1)финансово-хозяйственные операции выполняются с разрешения уполномоченных на то руководителей;

2) все операции фиксируются в бухгалтерском учете в правильных суммах, на надлежащих счетах бухгалтерского учета, в правильном периоде времени, в соответствии с принятой хозяйствующим субъектом учетной политикой, что обеспечивает возможность подготовки достоверной финансовой (бухгалтерской) отчетности;

3)непосредственный доступ к активам разрешен регламентирующими документами строго определенному кругу сотрудников хозяйствующего субъекта;

4)соответствие зафиксированных в бухгалтерском учете и фактически имеющихся в наличии активов методами инвентаризации определяется руководством с установленной нормативными документами периодичностью и, в случае расхождения, оно предпринимает надлежащие действия.

Правильное применение хозяйствующим субъектом механизмов контроля призвано обеспечить удержание рисков потерь в допустимых пределах, установленных в рамках действующей системы управления рисками.

Система оценки рисков должна выявлять и предупреждать возможность появления финансовых или иных потерь связанных с внутренними и внешними факторами. Оценка рисков в рамках СВК осуществляется с помощью проверок эффективности работы бухгалтерии, наличия контрольной среды, механизмов и системы средств внутреннего контроля, результативности их деятельности. Цель этой системы - выявлять потенциальные объекты внутреннего контроля, отклонения в работе которых от регламентированных параметров могут существенным образом негативно отразиться на финансово-хозяйственной деятельности предприятия в целом.

Функционирование СВК, сформированной в соответствии с вышеприведенной структурой, будет приносить предприятию реальную пользу, если в процессе ее работы будут соблюдаться следующие основные принципы:

1. Принцип ответственности состоит в том, что каждый субъект внутреннего контроля, т.е. внутренний аудитор или внутренний контролер, за ненадлежащее выполнение контрольных функций, предусмотренных должностными обязанностями, должен нести экономическую и \ или дисциплинарную ответственность. В противном случае этот субъект не будет в должной мере выполнять возложенные на него функции.

2. Принцип сбалансированности означает, что субъекту внутреннего контроля нельзя поручать выполнение функций, не обеспеченных соответствующими организационными (приказ, распоряжение) и техническими (программами, счетными и мерными устройствами) средствами для их надлежащего исполнения.

3. Принцип своевременного сообщения о выявленных существенных отклонениях гласит, что информация о них должна быть оперативно доведена до лиц, непосредственно принимающих решения по данным отклонениям.

4. Принцип соответствия контролирующей и контролируемой систем гласит, что степень сложности СВК хозяйствующего субъекта должна в каждый конкретный момент времени соответствовать степени сложности его бизнеса.

5. Принцип постоянства определяет, что СВК действует на постоянной основе. Это позволит своевременно выявлять отклонения от плановых заданий и норм.

6. Принцип комплексности определяет, что весь комплекс объектов внутреннего контроля в хозяйствующем субъекте должен быть им охвачен его различными формами в зависимости от уровня риска.

7. Принцип распределения обязанностей гласит, что функции работников аппарата управления распределяются между ними таким образом, чтобы выполнялись требования к формированию контрольной среды.

С учетом указанных принципов разработчики СВК разрабатывают конкретные требования к участникам процесса внутреннего контроля и аудита. Они могут выглядеть следующим образом:

1. Требование подконтрольности каждого субъекта внутреннего контроля, работающего в хозяйствующем субъекте. Выполнение одним субъектом контрольных функций должно быть в обязательном порядке подконтрольно на предмет качества другому субъекту внутреннего контроля.

2. Требование ущемления интересов.

С помощью нормативных документов создаются условия, при которых любые отрицательные отклонения ставят конкретного работника в экономически невыгодное положение. Это стимулирует его к устранению отрицательных отклонений и вызвавших их причин.

3. Недопущение сосредоточения прав контроля на всех его объектах в руках одного лица.

В СВК могут действовать независимо различные субъекты контроля. Несоблюдение этого требования создает условия для необъективного отражения в отчетных материалах результатов проверок.

4. Требование заинтересованности руководства хозяйствующего субъекта.

Эффективное функционирование СВК невозможно без должной заинтересованности и участия в ее работе представителей собственников и топ менеджмента хозяйствующего субъекта.

5. Требование компетентности, добросовестности и честности внутренних аудиторов и внутренних контролеров хозяйствующего субъекта.

Если сотрудники хозяйствующего субъекта, в служебные функции которых входит осуществление внутреннего контроля, не обладают вышеуказанными характеристиками, то даже идеально организованная СВК не сможет работать эффективно.

6. Требование пригодности методик и программ, применяемых в работе СВК.

Методики и программы должны быть целесообразны и рациональны. В результате их применения в минимальной степени будет снижаться эффективность работы объектов внутреннего контроля, а сам внутренний контроль будет рационален, т.е. и не вызывает излишних затрат труда и средств.

7. Требование единичной ответственности.

Недопустимо закрепление одной и той же контрольной функции за несколькими субъектами контроля, так как это неизбежно приведет к безответственности, затрате излишних сил и средств.

8. Требование функционального потенциального замещения.

Временное выбытие отдельных субъектов контроля (например, в отпуск) не должно прерывать контрольные процедуры или затруднять их выполнение. Для снижения влияния этого фактора необходимо добиться, чтобы каждый субъект контроля умел выполнять в должной степени контрольную работу вышестоящего и одного - двух работников своего уровня.

9. Требование регламентации.

Эффективность функционирования СВК напрямую зависит от наличия, качества и уровня утверждения регламентов (правил, стандартов), которыми она руководствуется, а также от их точного выполнения субъектами контроля.

10. Требование взаимодействия и координации.

СВК должна функционировать на основе четкого взаимодействия всех подразделений и служб хозяйствующего субъекта. Такого взаимодействия можно добиться путем разработки комплекса нормативных документов, регламентирующих контрольную деятельность структурных подразделений и руководителей хозяйствующего субъекта.

Как показывает практика на российских предприятиях в СВК применяются следующие организационные структуры. Это:

1. Служба внутреннего аудита (СВА).

2. Наблюдательный совет.

3. Ревизионная комиссия и контрольно-ревизионная служба (КРС);

4. Службы и отделы предприятия (включая службу безопасности).

Следует подчеркнуть, что вышеуказанные формы могут применяться в хозяйствующих субъектах в различных комбинациях. При выборе из возможных альтернатив следует оценить преимущества и недостатки каждой из них.

СВА обладает следующими преимуществами:

· сотрудники СВА хорошо знакомы с внутренней культурой и особенностями хозяйствующего субъекта, его подразделений и филиалов;

· навыки и опыт внутренних аудиторов остаются внутри хозяйствующего субъекта.

Как недостаток следует отметить сравнительно высокий уровень затрат на формирование СВА, что, в конечном счете приводит к возникновению дополнительных общезаводских затрат, распределяемых между видами производимой продукции (работ, услуг).

СВА, как показала практика, организуется, в основном, хозяйствующими субъектами крупного и среднего бизнеса, при наличии следующих условий:

· стремления собственников и высшего руководства получить достоверную информацию и оценку действий руководителей всех уровней управления;

· усложненной структуры;

· наличия филиалов и дочерних компаний;

· разнообразия видов деятельности.

Результативность работы СВА будет во многом определяться ее подчиненностью, которая, безусловно, определяется собственником предприятия. Однако, как показывает практика, деятельность СВА наиболее эффективна, если она подчиняется функционально Комитету по аудиту Совета директоров или другому органу, представляющему интересы собственника при их наличии, а административно - представителю высшего исполнительного руководства хозяйствующего субъекта, определенному собственником.

Это утверждение справедливо, так как указанный Комитет использует результаты деятельности СВА для того, чтобы:

· увеличивать общественное доверие к надежности и объективности публикуемой финансовой (бухгалтерской) отчетности хозяйствующего субъекта, т.е. повысить его инвестиционную привлекательность;

· усиливать независимую позицию внешних аудиторов путем представления им дополнительного канала получения достоверной информации;

· содействовать взаимодействию СВА и руководителей всех уровней управления хозяйствующего субъекта.

В предприятиях среднего и малого бизнеса наиболее часто используется структурно-функциональная форма СВК. Ее преимущество перед СВА в меньшей затратности. Эта форма внутреннего контроля предусматривает разработку специалистами хозяйствующего субъекта, как правило, совместно с внешними аудиторами или консультантами комплекса нормативных документов, регламентирующих порядок взаимодействия его структурных единиц и руководителей в части проведения внутреннего контроля, оформления его результатов, а также подготовки рекомендаций по устранению выявленных недостатков и осуществление последующего контроля над их устранением.

Недостаток этой формы в том, что, она недостаточно эффективна на стадии формирования планов проверок и последующего контроля над устранением выявленных недостатков.

Весьма перспективным, как показывает практика, является сочетание СВА со структурно-функциональной формой внутреннего контроля. Такой гибрид весьма полезен с точки зрения экономии затрат при обеспечении достаточно высокой степени эффективности СВК, поскольку небольшая СВА играет роль разработчика, организатора и методолога контрольной работы, проводимой, в основном, силами внутренних контролеров.

В этом случае СВА выполняет следующие организационные функции:

1. Выбор объектов проверки и их предварительное изучение.

2. Разработка общих планов и программ проведения проверки.

3. Формирование команды проверяющих из внутренних аудиторов и внутренних контролеров.

4. Согласование направления и цели проверки с ее заказчиком.

5. Подготовка заключительных материалов по результатам проверки.

6. Составление плана последующего контроля над устранением выявленных недостатков и проверка хода его выполнения, информирования об этом заказчика.

внутренний контроль регулирование нормативный

В широком смысле под целью функционирования СВК следует понимать сохранение и эффективное использование разнообразных ресурсов и потенциалов коммерческой организации, обеспечение ее эффективного функционирования, а также устойчивости и максимального развития в условиях многоплановой конкуренции.

Достижение общей цели СВК обеспечивается взаимодействием различных ее элементов для достижения следующих показателей, по которым можно судить об эффективности управления и развития организации:

• 1) соответствие деятельности организации принятому курсу действий (целевым установкам и ориентирам) и стратегии;
• 2) устойчивость организации с финансово-экономической, рыночной и правовой точек зрения;
• 3) упорядоченность и эффективность текущей финансово-хозяйственной деятельности;
• 4) сохранность имущества организации (внеоборотных активов и оборотных средств), в том числе сохранность систематизированных и обобщенных данных для их использования в управлении. Здесь существуют два аспекта контроля:
• 1. контроль, ориентированный на адекватность организационных мероприятий по обеспечению физической безопасности активов (обеспечение защиты от воровства, от потерь в результате пожаров, наводнений, отказов компьютеров, перебоев в энергоснабжении, умышленных повреждений и т.д.);
• 2. контроль на предмет обоснованности финансово-хозяйственных операций, платежеспособности и добросовестности контрагентов по договорам, добросовестности менеджеров, принимающих решения по данным операциям;
• 5) должный уровень полноты и точности первичных документов и качества первичной информации для успешного руководства и принятия эффективных управленческих решений;
• 6) показатели эффективности системы бухгалтерского учета - наличие, полнота, арифметическая точность, разноска по счетам, формальная разрешенность, временная определенность, представление и раскрытие данных в отчетности;
• 7) рост производительности труда, снижение издержек производства и обращения, улучшение финансово-экономических результатов деятельности;
• 8) рациональное и экономное использование всех видов ресурсов;
• 9) соблюдение должностными лицами и иными работниками организации установленных администрацией требований, правил и процедур - положений о подразделениях, должностных инструкций, правил поведения, планов документации и документооборота, планов организации труда, приказа об учетной политике, иных приказов и распоряжений;
• 10) соблюдение требований федеральных законов и подзаконных актов, изданных органами власти Российской Федерации и ее субъектов, а также полномочными органами местного самоуправления.

Эти и многие другие задачи обусловливают создание в организации эффективной СВК. В качестве одной из второстепенных причин стремления руководства организовать приемлемую СВК может выступать возможность снижения издержек на внешний аудит.

Принципы системы внутреннего контроля.

Критерием эффективности СВК служит соблюдение принципов внутреннего контроля организации.

• 1. Принцип ответственности: каждый субъект, работающий в организации, должен нести экономическую, административную и дисциплинарную ответственность за ненадлежащее выполнение контрольных функций. Ответственность должна быть формально установлена за выполнение каждой контрольной функции, ясно очерченной и формально закрепленной за конкретным субъектом. В противном случае субъект не будет в должной мере осуществлять контроль.
• 2. Принцип сбалансированности: этот принцип неразрывно связан с предыдущим. Сбалансированность означает, что субъекту нельзя предписывать контрольные функции, не обеспеченные средствами для их выполнения. Точно так же не должно быть средств, не связанных той или иной функцией. Иными словами, при определении обязанностей субъекта контроля должен быть предписан соответствующий объем прав и возможностей и наоборот.
• 3. Принцип подконтрольности каждого субъекта внутреннего контроля, работающего в организации: в должностных инструкциях необходимо предусматривать следующее условие: выполнение контрольных функций каждого субъекта должно быть подконтрольно на предмет качества другому субъекту внутреннего контроля без какого бы то ни было дублирования. Очевидно, что в надлежащем исполнении контрольных функций такими субъектами внутреннего контроля, как председатель правления, президент, вице-президент, главный исполнительный директор, неисполнительный директор, главный аудитор, главный контроллер, председатель ревизионной комиссии, заинтересованы прежде всего владельцы организации. Поэтому деятельность перечисленных субъектов должна контролироваться собственниками организации посредством услуг независимых экспертов различного профиля, в том числе внешних аудиторов.
• 4. Принцип своевременного сообщения об отклонениях: информация об отклонениях должна быть представлена лицам, уполномоченным принимать решения по соответствующим отклонениям, в максимально короткие сроки. Если сообщение запаздывает, то нежелательные последствия отклонений усугубляются, кроме того, объект переходит уже в другое состояние (действие), что лишает смысла сам проведенный контроль. При предварительном контроле несвоевременное сообщение о возможности возникновения отклонений также лишает смысла проведенный контроль.
• 5. Принцип ущемления интересов: необходимо создавать специальные условия, при которых любые отклонения ставят какого-либо работника или подразделение организации в невыгодное положение и побуждают их к урегулированию проблем. Необходимость таких условий обусловливается возможностью появления отклонений, в которых заинтересованы определенные работники или коллектив.
• 6. Принцип интеграции: любой элемент управления не может существовать обособленно. Контроль необходимо рассматривать в корреляции с другими элементами в едином контуре процесса управления. Иными словами, при решении задач, связанных с контролем, должны создаваться надлежащие условия для тесного взаимодействия работников различных функциональных направлений.
• 7. Принцип заинтересованности администрации: функционирование СВК не может быть эффективным без честности, должной заинтересованности и участия должностных лиц управления.
• 8. Принцип компетентности, добросовестности и честности субъектов внутреннего контроля: если персонал организации, в служебные функции которого входит осуществление контроля, не обладает этими характеристиками, то даже идеально организованная СВК не сможет быть эффективной.
• 9. Принцип постоянства: постоянное адекватное функционирование СВК позволит вовремя предупреждать о возможности возникновения отклонений, а также своевременно их выявлять.
• 10. Принцип непрерывности развития и совершенствования: со временем даже самые прогрессивные методы управления устаревают. СВК должна быть построена таким образом, чтобы можно было гибко ее "настраивать" на решение новых задач, возникающих в результате изменения внутренних и внешних условий функционирования организации, и обеспечить возможность ее расширения и модернизации.
• 11. Принцип приоритетности: абсолютный контроль над обычными незначительными операциями (например, мелкие расходы) не имеет смысла и будет только отвлекать силы от более важных задач. Но если высшее руководство считает, что какие-либо области деятельности организации имеют стратегическое значение, то в каждой такой области обязательно должен быть налажен контроль, даже если эта область с трудом поддается измерению по принципу "затраты-эффект".
• 12. Принцип комплексности: объекты различного типа должны быть охвачены адекватным контролем, нельзя добиться общей эффективности, сосредоточив контроль только над относительно узким кругом объектов.
• 13. Принцип потенциальных функциональных имитаций: временное выбытие отдельных субъектов внутреннего контроля не должно прерывать контрольных процессов. Для этого каждый работник (субъект внутреннего контроля) должен уметь имитировать контрольную работу вышестоящего, нижестоящего и одного-двух работников своего уровня во избежание потери адекватной связи с объектом контроля на время их выбытия. Стоит отметить, что данный принцип распространяется и на ЦО.
• 14. Принцип разделения обязанностей: функции между сотрудниками распределяются таким образом, чтобы за одним человеком не были закреплены одновременно следующие функции: санкционирование операций с определенными активами, регистрация данных операций, обеспечение сохранности данных активов, осуществление их инвентаризации. Во избежание злоупотреблений эти функции должны быть распределены между несколькими лицами.
• 15. Принцип взаимодействия и координации: контроль необходимо осуществлять на основе четкого взаимодействия всех подразделений и служб организации.

Совокупность указанных принципов является основанием эффективности СВК, т.е. функционирование СВК при соблюдении данных принципов эффективно независимо от организационно-правовой формы, размера, видов и масштаба деятельности организации.

Множество компаний во всем мире страдает от неэффективного использования разного рода ресурсов - людских, финансовых, материальных, от недостатка необходимой для принятия правильных решений информации, непреднамеренного и преднамеренного искажения отчетности, прямого мошенничества со стороны персонала и управляющих. Подобных проблем можно избежать путем создания внутри самих компаний эффективной системы внутреннего контроля. Какова же роль и значимость внутреннего контроля?

Любая деятельность в организации происходит в рамках двух систем. Одна - это операционная (организационная) система, построенная для достижения заданных целей. Другая система - это система контроля, пронизывающая операционную систему. Она состоит, в общем виде, из политики, процедур, правил, инструкций, бюджетов, системы учета и отчетности. Эта система направлена, в конечном итоге, на создание необходимых предпосылок и повышение вероятности того, что компания в целом и менеджеры в частности достигнут поставленных целей.

Внутренний контроль есть процесс, направленный на достижение целей компании, и являющийся результатом действий руководства по планированию, организации, мониторингу деятельности компании в целом и ее отдельных подразделений. Менеджеры компании должны, во-первых, поставить цели и определить задачи компании и отдельных подразделений и построить соответствующую этому структуру организации. И, во-вторых, обеспечить функционирование эффективной системы документирования и отчетности, разделения полномочий, авторизации, мониторинга для достижения поставленных целей и решения стоящих задач.

Внутренний контроль - это контроль изнутри компании, в противоположность внешним видам контроля, таким как законодательное регулирование, контроль со стороны внешних контролирующих организаций и т.п. в данном контексте понятие внутреннего контроля синонимично понятиям управленческого контроля, операционного контроля.

Необходимо также отметить такую важную деталь, что внутренний контроль полезен только в том случае, если направлен на достижение конкретных целей и, прежде чем оценивать результаты контроля, необходимо определить эти цели.

внутренний контроль акт

1. Объекты внутреннего контроля

Система внутреннего контроля организуется руководством предприятия. Это первое и основное отличие внутреннего контроля от прочих видов контроля.

Независимый аудит проводится независимым аудитором, формы, и виды контрольных действий также определяются аудитором (п.9 Временных правил аудиторской деятельности в Российской Федерации и п. Закона “Об аудиторской деятельности”). Ревизия проводится штатным ревизором какого-либо ведомства, формы, и виды контрольных действий также определяются этим ведомством.

Внутренний контроль - это система мер, организованных руководством предприятия и осуществляемых на предприятии с целью наиболее эффективного выполнения всеми работниками своих обязанностей при совершении хозяйственных операций. Внутренний контроль определяет законность этих операций и их экономическую целесообразность для предприятия.

Целями организации системы внутреннего контроля на предприятии являются:

1) осуществление упорядоченной и эффективной деятельности предприятия;

2) обеспечение соблюдения политики руководства каждым работником предприятия;

3) обеспечение сохранности имущества предприятия.

Для достижения вышеперечисленных целей необходимым условием является согласованность системы бухгалтерского учета (более широко - Учета) и системы внутреннего контроля, так как система двойной записи, лежащая в основе любой системы бухгалтерского учета (в том числе автоматизированных систем бухгалтерского учета), определяет порядок регистрации хозяйственных операций и обеспечивает надлежащий контроль.

Для достижения целей организации системы внутреннего контроля необходимо решение отдельных задач. Руководство предприятия обязано обеспечить организацию и поддержание на должном уровне такой системы внутреннею контроля, которая являлась бы достаточной для того, чтобы:

* в бухгалтерскую (финансовую) отчетность было включено все, что должно быть в нее включено, и не включено ничего из того, что не должно быть в нее включено, а то, что включено в отчетность, было бы правильно определено, классифицировано, оценено и зарегистрировано;

* бухгалтерская (финансовая) отчетность давала верное и объективное представление о предприятии в целом;

* компьютерные программы, контролирующие функционирование учетной системы, включающие формирование первичных документов, их анализ и разноску по счетам, не могли быть сфальсифицированы;

* средства предприятия не могли быть незаконно присвоены или неэффективно использованы;

* все отклонения от планов своевременно выявлялись, анализировались, а виновные несли ответственность;

* внутренняя отчетность оперативно передавалась лицам, уполномоченным принимать управленческие решения, для ее оптимального использования. Из перечисленных выше задач руководства предприятия по организации внутреннего контроля видна неразрывная связь системы внутреннего контроля с двумя видами бухгалтерского учета; бухгалтерским финансовым и бухгалтерским управленческим учетом.

Первые три задачи обеспечиваются связью системы внутреннего контроля с системой бухгалтерского финансового учета, а три последние с системой бухгалтерского управленческого учета.

Именно поэтому в дальнейшем мы будем различать две системы:

* систему внутреннего финансового контроля;

* систему внутреннего управленческого контроля.

Как видно из содержания поставленных задач, создание системы внутреннего контроля - это достаточно сложный процесс, а сама система внутреннего контроля - это очень сложный и тонкий организм, неотъемлемыми частями которого являются абсолютно все подразделения предприятия, все сферы его деятельности и деятельность каждого работника-предприятия. Система внутреннего контроля - это своеобразная организация внутри организации (предприятия).

Степень сложности внутреннего контроля должна соответствовать организационной структуре предприятия, численности персонала, разветвленности сети филиалов и подразделений, степени централизации бухгалтерского учета и другим характеристикам предприятия в целом.

Объектами внутреннего контроля являются циклы деятельности организации - циклы снабжения, производства и реализации. Важнейшей функцией внутреннего контроля является обеспечение соблюдения работниками предприятия своих должностных обязанностей,

Методы, используемые при осуществлении внутреннего контроля, весьма разнообразны и включают элементы таких методов, как:

* бухгалтерский финансовый учет (счета и двойная запись, инвентаризация

и документация, балансовое обобщение);

* бухгалтерский управленческий учет (выделение центров ответственности,

нормирование издержек);

* ревизия, контроль, аудит (проверка документов, проверка арифметических расчетов, проверка соблюдения правил учета отдельных хозяйственных операций, инвентаризация, устный опрос персонала, подтверждение и прослеживание);

* теория управления.

Все вышеперечисленные методы интегрируются в единую систему и используются в целях управления предприятием.

В современных условиях в жизнь предприятий постепенно входит новое понятие, называемое “эккаунтингом" (accounting). Это чрезвычайно емкое экономическое понятие, в основе которого лежит счетоводство - ведение бухгалтерского учета в соответствии с общепринятыми нормами. Однако счетоводство - это лишь основополагающий элемент эккаунтинга. Посредством счетоводства создается информационная база, необходимая для управления предприятием.

Профессиональная деятельность, связанная с формированием этой информационной

базы, и называется эккаунтингом.

В это понятие входит работа:

* плановая;

* по составлению отчетности;

* контрольная;

* аналитическая.

Таким образом, контроль является неотъемлемой частью эккаунтинга.

В некоторых случаях акты не только фиксируют установленные факты и события, но и содержат выводы, рекомендации и предложения (акты проверок, обследований, ревизий и т.п.).

Акты отличаются широким разнообразием по своему назначению и содержанию:

· сдачи-приемки (работ, материальных ценностей, документов);

· обследования (состояния техники безопасности, противопожарной безопасности; условий труда; результатов деятельности);

· испытаний (образцов, систем, технологий);

· выделения к уничтожению (материальных ценностей, документов);

· передачи (структурного подразделения из одной организации в другую);

· нарушения установленных правил;

· ревизии, инвентаризации;

· расследования аварий, несчастных случаев;

· ликвидации организации и т.д.

Акты составляются коллегиально (не менее двух составителей). Нередко акты составляются комиссиями, специально создаваемыми, состав которых утверждается распорядительным документом руководителя организации. Акты могут составляться и постоянно действующими комиссиями на регулярной основе.

Главное при составлении акта - установление фактического состояния дел и объективное отражение в акте. Акт составляется на основе черновых записей, которые ведутся во время работы комиссии или группы лиц и содержат фактические данные, количественные показатели и другие сведения.

Термин «система внутреннего контроля » означает совокупность организационных мер, методик и процедур, используемых руководством аудируемого лица для упо­рядоченного и эффективного ведения финансово-хозяй­ственной деятельности. То есть цель системы внутренне­го контроля - предупреждение возникновения ошибок в процессе ведения бухгалтерского учета и составления отчетности.

Система внутреннего контроля организована эффек­тивно , если позволяет:обеспечивать сохранность активов;выявлять, исправлять и предотвращать ошибки и искажения информации; точно и полно оформлять документы бухгалтер­ского учета; своевременно подготавливать достоверную финан­совую (бухгалтерскую) отчетность; соблюдать прочие требования законодательства.

Система внутреннего контроля должна включать в себя: надлежащую систему бухгалтерского учета;отдельные средства (методы) контроля; контрольную среду.При знакомстве с системой бухгалтерского учета аудитор прежде всего изучает учетную политику орга­низации, дает оценку ее сложности и делает вывод о ее соответствии нормативным требованиям и специфическим характеристикам аудируемого объекта. Для успешной работы весьма важно, чтобы мнение аудитора об основ­ных положениях учетной политики совпадало с мнени­ем руководства проверяемого объекта.Аудитор знакомится с системой организации бухгал­терского учета экономического субъекта. Особую роль в оценке системы бухгалтерского учета играет знакомство с первичными документами, планом счетов и регистра­ми бухгалтерского учета. Степень детализации учета в большой мере влияет на объем аудиторской работы и может либо способствовать, либо затруднять ход ауди­торской проверки.

Важное место в оценке внутреннего контроля зани­мает знакомство со средствами (методами) контроля , которые используются в организации, в частности: порядок и систематичность проведения инвентари­заций; сверка документов;состояние организационно-распорядительной доку­ментации; наличие внутренних регламентов, регулирующих права и ответственность должностных лиц и поря­док их взаимодействия с бухгалтерией. Для получения представления о методах контроля аудитор часто использует тестирование специалистов аудируемого объекта. Тестирование позволяет оценить не только состояние документов, регламентирующих внутренний контроль на предприятии, но и их исполне­ние.

Наиболее трудоемкой при оценке внутреннего конт­роля является оценка контрольной среды , которая на­прямую связана с анализом системы управления (в частности структуры управления на всех уровнях), распре­делением прав, обязанностей и ответственности, уровнем регламентации подразделений и наличием должностных инструкций, порядком обоснования и принятия управ­ленческих решений (в частности коллегиальностью это­го процесса), структурой документооборота и порядком оформления основных плановых, отчетных, финансовых документов.

Под контрольной средой понимаются осведомленность и действия руководства аудируемого лица, направлен­ные на установление и поддержание системы внутрен­него контроля, а также понимание важности такой сис­темы. Контрольная среда влияет на эффективность кон­кретных средств контроля и включает в себя следующие составляющие:Стиль и основные принципы управления данным аудируемым лицом. Организационная структура аудируемоголица.Распределение ответственности и полномочий. Осуществляемая кадровая политика. Порядок подготовки финансовой (бухгалтерской) отчетности для внешних пользователей.Порядок осуществления внутреннего управленче­ского учета и подготовки отчетности для внутренних целей. Обеспечение соответствия хозяйственной деятель­ности аудируемого лица требованиям законодательства.Наличие и особенности организации работы реви­зионной комиссии, службы внутреннего аудита в соста­ве органа управления аудируемого лица.

Порядок изучения и оценки систем внутреннего кон­троля аудитором изложены в федеральном правиле (стан­дарте) № 8 «Оценка аудиторских рисков и внутренний контроль, осуществляемые аудируемым лицом». ПРАВИЛО (СТАНДАРТ) N 8. ПОНИМАНИЕ ДЕЯТЕЛЬНОСТИ АУДИРУЕМОГО ЛИЦА, СРЕДЫ,В КОТОРОЙ ОНА ОСУЩЕСТВЛЯЕТСЯ, И ОЦЕНКА РИСКОВ СУЩЕСТВЕННОГО ИСКАЖЕНИЯ АУДИРУЕМОЙ ФИНАНСОВОЙ (БУХГАЛТЕРСКОЙ) ОТЧЕТНОСТИ

Руководство предприятия несет ответственность за разработку и фактическое воплощение системы внутреннего контроля. От него зависит, чтобы система внутреннего контроля отвечала размерам и специфике деятельности предприятия, функционировала регулярно и эффективно. На предприятии, в соответствии с его учредительными документами или правилами внутреннего распорядка, может быть назначен ревизор, создана ревизионная комиссия или организован отдел внутреннего аудита, которым может быть передана часть функций по поддержанию системы внутреннего контроля. Эффективная организационная структура предполагает оправданное разделение ответственности и полномочий сотрудников. Она должна по возможности препятствовать нарушениям требований контроля и обеспечивать разделение несовместимых функций. Функции сотрудника являются несовместимыми, если их сосредоточение у одного лица может способствовать совершению случайных или умышленных ошибок и нарушений и затруднять обнаружение таких ошибок и нарушений. Обычно подлежат распределению между различными лицами такие функции, как:непосредственный доступ к активам предприятия; разрешение на осуществление операций с активами;непосредственное осуществление хозяйственных операций;отражение хозяйственных операций в бухгалтерском учете.

Надлежащее функционирование системы внутреннего контроля зависит также от сотрудников, которым поручена соответствующая деятельность. Система отбора, найма, продвижения по службе, обучения и подготовки кадров должна обеспечивать высокую квалификацию и честность соответствующего персонала. Аудитор должен убедиться в том, что средства контроля проверяемого предприятия достигают следующих целей:хозяйственные операции выполняются с одобрения руководства как в целом, так и в конкретных случаях все операции фиксируются в бухгалтерском учете в правильных суммах, на надлежащих счетах бухгалтерского учета, в правильном периоде времени, в соответствии с принятой учетной политикой и обеспечивают возможность подготовки достоверной бухгалтерской отчетности; доступ к активам возможен только с разрешения соответствующего руководства; соответствие зафиксированных в бухгалтерском учете и фактически имеющихся в наличии активов определяется руководством с установленной периодичностью, и в случае расхождений руководством предпринимаются надлежащие действия.Аудитору следует убедиться в применении на проверяемом им экономическом субъекте таких процедур внутреннего контроля, как: арифметическая проверка правильности бухгалтерских записей; проведение сверок расчетов; проверка правильности осуществления документооборота и наличия разрешительных записей руководящего персонала; проведение в соответствии с установленным порядком периодических плановых и внезапных инвентаризаций кассовой наличности, бланков строгой отчетности, ценных бумаг и товарно-материальных ценностей на предмет выяснения соответствия данных бухгалтерского учета фактическому наличию; использование для целей контроля информации из источников, расположенных вне предприятия;осуществление мер, направленных на физическое ограничение доступа несанкционированных лиц к активам предприятия, к системе ведения документации и записей по бухгалтерским счетам; исследование динамики хозяйственных показателей, сравнение плановых и сметных хозяйственных показателей с фактически имевшими место и выяснение причин существенных расхождений.

Аудитор оценивает систему внутреннего контроля в три этапа: общее знакомство с системой внутреннего контроля;первичная оценка надежности системы внутреннего контроля; подтверждение достоверности оценки системы внутреннего контроля.

При общем знакомстве с системой внутреннего контроля на предприятии аудитор выясняет следующее:

а) В начале проверки он получает общее представление о специфике и масштабе деятельности предприятия и системе его бухгалтерского учета. По итогам первоначального знакомства аудитор должен принять решение о том, может ли он в своей работе вообще полагаться на систему внутреннего контроля.

б) Если аудитор принимает решение о том, что он не может полагаться в своей работе на систему внутреннего контроля предприятия, он должен планировать аудит таким образом, чтобы аудиторское мнение не основывалось на доверии к этой системе. Это может быть сделано, когда надежность системы внутреннего контроля оценивается аудитором как "низкая" или когда аудитору более удобно или экономически оправданно не полагаться на эту систему.

в) В том случае, если по итогам общего знакомства с системой внутреннего контроля аудитор примет решение о том, что она может сделать попытку полагаться в своей работе на систему внутреннего контроля, ему следует осуществить первичную оценку надежности системы внутреннего контроля.

При выполнении второго этапа проверки системы внутреннего контроля на предприятии производятся следующие шаги. Процедура первичной оценки надежности системы внутреннего контроля осуществляется на основе методики и приемов, которые аудиторы разрабатывают самостоятельно, но с учетом требований стандарта аудиторской деятельности.При выполнении процедуры первичной оценки надежности системы внутреннего контроля аудитор обязан принимать во внимание, что:

а) следует проверять на предмет надежности средств контроля бухгалтерскую и хозяйственную документацию предприятия всего отчетного периода, а не только избранных периодов времени;

б) при проверке необходимо уделить большее внимание тем периодам, деятельность в которых имела особенности или различия по сравнению с деятельностью, типичной для всего периода в целом;

в) оценка надежности всей системы внутреннего контроля и отдельных средств

контроля как "низкой" не исключает возможности оценки надежности других отдельных

средств контроля как "средней" или "высокой".

Третий этап заключается в подтверждении достоверности оценки системывнутреннего контроля. Аудитор, принявший по итогам процедуры первичной оценки решение о доверии системе внутреннего контроля и отдельным средствам контроля, обязан в ходе аудиторской проверки осуществлять процедуры подтверждения достоверности этой системы. Процедуры подтверждения достоверности системы внутреннего контроля и отдельных средств контроля осуществляются на основе методики и приемов, которые разрабатываются аудиторской фирмой самостоятельно, но с учетом требований стандарта аудиторской деятельности. Если аудитор в ходе процедур подтверждения надежности придет к выводу о том, что оценка надежности системы внутреннего контроля окажется ниже той, которая была получена в ходе первичной оценки, он обязана соответствующим образом скорректировать порядок осуществления аудиторских процедур, чтобы в целом повысить достоверность своих выводов по результатам проведения аудита. Аудиторские процедуры, проводимые для проверки работоспособности и надежности системы внутреннего контроля и отдельных средств контроля, называются тестами средств контроля.Все этапы оценки системы внутреннего контроля должны документироваться с указанием аргументов.