Внутренний контроль как инструмент обеспечения экономической безопасности организации

Система внутреннего контроля - это совокупность организационных структур, политик, процедур и действий сотрудников организации, направленных на минимизацию рисков и обеспечение достижения ее целей [4].

Общепризнанным стандартом в области построения системы внутреннего контроля является Концепция внутреннего контроля, сформулированная в 1992 году американской некоммерческой организацией COSO. Российские условия таковы, что сейчас хозяйствующий субъект сам решает, как будет организован внутренний контроль.

Для выработки системы внутреннего контроля необходимо определить, какие элементы лягут в основу контрольных действий. Согласно ПБУ 1/2008, Учетная политика определяет принципы ведения бухгалтерского учета на предприятии. Организация бухгалтерского учета зависит от иерархии подчиненности. На любом предприятии важен график документооборота. Здесь отражены принципы создания и хранения документов, отражающих хозяйственную деятельность субъекта. Учетной политикой предусматриваются регистры бухгалтерского учета и программное обеспечение.

В законе о бухгалтерском учете дано понятие унифицированным документам. Предприятие может использовать свои формы документов, но с указанием всех необходимых реквизитов. В документах, регулирующих вопросы кассовой дисциплины, указывается на недопустимость исправлений в платежных документах [3].

До введения в действие нового закона о бухгалтерском учете предприятия решали вопросы качества бухгалтерского учета и отчетности с помощью ревизий и внутреннего аудита. Проанализируем различия между системами внутреннего контроля, ревизионными отделами и отделами внутреннего аудита.

Целью ревизионного контроля является выявление и предупреждение злоупотреблений, связанных с использованием ресурсов. Внутренний аудит нацелен на повышение эффективности деятельности предприятия. В круг задач внутреннего контроля входит построение и поддержание системы внутреннего контроля. Основными пользователями результатов оценки ревизионного контроля выступает высший исполнительный орган, внутреннего аудита – совет директоров в союзе с исполнительной властью, а внутреннего контроля – операционное руководство. Существенное отличие ревизионного контроля от остальных контрольных служб состоит в том, что в данном случае оцениваются совершившиеся действия и их последствия. Внутренний аудит выполняет широкий спектр задач, включая процессы управления рисками и корпоративного управления.

Внутренний бухгалтерский контроль осуществляется бухгалтерскими службами в процессе обработки и принятия к учету хозяйственной информации.

Средствами внутреннего контроля являются [6]:

• 1)    проверка первичных документов;

• 2)    документальное подтверждение всех бухгалтерских операций;

• 3)    контроль взаимосвязанных операций;

• 4)    проверка полноты бухгалтерских записей и внесение их в автоматизированную систему;

• 5)    сверка взаиморасчетов с дебиторами и кредиторами;

• 6)    контроль за соблюдением смет расходов;

• 7)    обеспечение сохранности и конфиденциальности информации.

Функционирование системы внутреннего контроля будет результативным, если в процессе ее работы соблюдены следующие основные принципы.

Принцип ответственности предполагает, что каждый субъект внутреннего контроля должен нести дисциплинарную и экономическую ответственность. Принцип сбалансированности предъявляет высокие требования к техническим средствам, используемым в процессе выполнения контрольных и оценочных действий.

Один из важнейших принципов системы внутреннего контроля в своевременности сообщения о выявленных отклонениях [2].

Система внутреннего контроля должна функционировать ни время от времени, а постоянно. Система внутреннего контроля должна охватывать все процессы, определяя уровни риска. Функции управленцев распределяются в соответствии с требованиями контрольной среды.

Основные задачи системы внутреннего контроля [10]:

• 1.    Обеспечение строгого исполнения работниками требований законодательства;

• 2.   Соблюдение всех процедур при принятии решений;

• 3.   Эффективное управление рисками;

• 4.   Обеспечение сохранности активов;

• 5.   Взаимодействие с внешними аудиторами  и органами

государственного контроля.

Права работников системы внутреннего контроля:

• 1)    получать от проверяемых подразделений все необходимые документы;

• 2)    снимать копии с документов и файлов;

• 3)    определять деятельность работников в соответствии с нормативами;

• 4)    привлекать в целях системы внутреннего контроля работников других подразделений.

Система внутреннего контроля должна быть выстроена в соответствии с требованиями к процессу внутреннего контроля.

Деятельность контрольных функций одного субъекта в обязательном порядке контролируется другим субъектом внутреннего контроля с целью определения качества. С помощью нормативных документов создаются условия, ставящие работника в экономически невыгодное положение при совершении отрицательных отклонений в бизнес-процессе.

В системе внутреннего контроля действуют различные субъекты контроля. Эффективное функционирование системы внутреннего контроля происходит лишь при заинтересованности топ-менеджеров хозяйствующего субъекта.

Методики и программы внутреннего контроля должны быть целесообразны и рациональны, то есть достижение эффективности работы объектов внутреннего контроля должно достигаться без излишних затрат труда и средств. Временное выбытие отдельных субъектов контроля не должно прерывать контрольные процедуры или затруднять их выполнение.

Для эффективного функционирования системе внутреннего контроля необходимо оснащение качественного уровня регламентов, правил и стандартов. Система внутреннего контроля должна функционировать при четком взаимодействии всех подразделений и служб предприятия.

Численность службы внутреннего контроля должна зависеть от поставленных задач и состояния контрольной среды. Численность определяется исходя из количества подразделений и бизнес-процессов, и временных затрат на контроль и аудит каждого из них.

К регламентным документам службы внутреннего контроля относят:

• 1)   положение о службе внутреннего контроля;

• 2)   руководство службы внутреннего аудита;

• 3)    внутрифирменные стандарты;

• 4)    должностные инструкции сотрудников службы.

Рис. 1. Источники информации для внутреннего контроля

Положение о системе внутреннего контроля определяет миссию цели и задачи, ответственность и полномочия сотрудников. Руководство службы содержит вопросы организации работы службы и взаимодействия с другими подразделениями. Стандарты СВК содержат типовые формы и методики проведения проверок и других задач.

Построение системы внутреннего контроля использует три подхода: создание собственной службы внутреннего контроля, аутсорсинг косорсинг.

В том случае, если организация обладает необходимыми ресурсами, верным решением будет создание собственной службы внутреннего контроля. Выполнение функции внутреннего контроля специализированной компанией или внешним консультантом называется аутсорсингом внутреннего контроля.

Служба внутреннего контроля, созданная в рамках организации, но с привлечением время от времени к выполнению заданий экспертов специализированной, компании называется косорсингом.

Указанные подходы могут применяться в хозяйствующих субъектах в различных комбинациях.

Таблица 1 – Оценка разных подходов по созданию системы внутреннего контроля [7]

Преимущества подхода	Недостатки подхода
Собственная служба внутреннего контроля
Сотрудники хорошо знакомы с внутренней культурой и особенностями деятельности предприятия	Сравнительно высокий уровень затрат на формирование службы
Аутсорсинг и косорсинг
Возможность    использовать    услуги экспертов в различных областях; Доступ к высокопрофессиональным кадрам; Доступ к передовым технологиям и методикам	Навыки и опыт специалистов не остаются на предприятии

В специальной литературе уже появляются материалы о типичных ошибках системы внутреннего контроля, характерных для российских предприятий.

Первостепенной задачей работников службы внутреннего контроля является разработка системы внутрифирменных стандартов, к числу которых относится Положение о внутреннем контроле. Весь перечень работ по созданию и функционированию системы внутреннего контроля должен осуществляться по определенным правилам, зафиксированным в Положении о внутреннем контроле.

Для недопущения реализации рисков или минимизации последствий используется система внутреннего контроля, в рамках которой не только определяется ответственный за операционный риск, но и создается контрольная процедура, которая внедряется в существующий бизнес-процесс.

Контрольная процедура — это действие, которое помогает удостовериться, что все необходимые меры в отношении предотвращения случаев реализации операционных рисков приняты. При этом, чтобы проверить работоспособности контрольной процедуры, важно также получить свидетельство контроля — документальное подтверждение факта ее исполнения [5].

Наиболее результативными считаются превентивные контрольные процедуры, которые позволяют минимизировать саму вероятность наступления рискового события. Однако для повышения надежности бизнес-процесса их часто применяют одновременно с детективными процедурами. Например, наряду с процедурой изъятия карточки-пропуска при увольнении сотрудника должна существовать контрольная процедура сверки списка сотрудников, которым закрыт доступ по их карточкам-пропускам, со списком уволенных за определенный период.

Для создания контрольной процедуры в бизнес-процессе нужно ответить на следующие вопросы [1]:

• 1.    Когда и как часто выполняются процедуры контроля?

• 2.    Кто выполняет контрольную процедуру?

• 3.    Что необходимо выполнить в процедуре контроля?

• 4.    Как понять, что процедура контроля выполнена правильно?

• 5.    Как процедура контроля документирована?

• 6.    Какие свидетельства выполнения процедуры контроля существуют?

• 7.    Где расположены контрольные точки в бизнес-процессах?

При проектировании контрольной процедуры в обязательном порядке необходимо предусмотреть необходимость создания свидетельств контроля, подтверждающих факт правильного выполнения контрольной процедуры. На практике свидетельством контроля может являться акт сверки, log-файл информационной системы, — все то, что подтвердит факт успешного выполнения контрольной процедуры сотрудником или информационной системой.

При этом нужно учитывать, что ручной контроль требует серьезных трудозатрат, и поэтому автоматизация контрольных процедур является ключевым направлением развития системы внутреннего контроля в последнее время. Чем больше в компании автоматизированных контрольных процедур, результаты выполнения которых видны в log-файлах информационных систем, тем эффективнее и, главное, дешевле, система внутреннего контроля.

Чтобы быть уверенным в том, что система внутреннего контроля эффективна, необходимо с определенной периодичностью проверять, как на практике выполняются контрольные процедуры. Данная проверка осуществляется с помощью специализированных тестов, которые состоят из следующих шагов [6]:

Сначала устанавливается наличие регламента, где определяется порядок, правила выполнения данного бизнес-процесса и соответствующих контрольных процедур.

Далее проверяется выполнение на практике требований, описанных в документе, и документируются конкретные примеры выполнения.

По результатам проведенного теста принимается решение об эффективности или неэффективности анализируемых контрольных процедур.

Дополнительной сложностью в тестировании является требование, чтобы тестирование выполнялось сотрудниками, не участвующими в проверяемых бизнес-процессах. Тысяча тестов, которые необходимо выполнить в течение месяца, — это нормальная ситуация для системы внутреннего контроля крупной компании. При этом количество проводимых тестов зависит от количества экземпляров бизнес-процессов, проходящих через проверяемую контрольную процедуру. Таким образом, периодичность проведения тестирования устанавливается в зависимости от критичности операционных рисков и частоты исполнения бизнес-процесса и может варьироваться.

В существующих условиях количество трансакций в деятельности крупной компании достигает сотен тысяч в день, а число операционных рисков превышает несколько сотен. При этом достаточно сложно отследить эффективность выполнения контрольных процедур на ручном уровне, поэтому единственным эффективным путем является максимальная автоматизация как контрольных процедур, так и проверочных тестов [8].

Анализ разных подходов к построению систем внутреннего контроля показал, что максимально жесткой и проработанной в части внедрения является именно методология закона SOX, которая предназначена для минимизации нарушений, связанных с финансовой отчетностью. Только в системе внутреннего контроля, построенной по требованиям SOX, можно обнаружить не только контрольные процедуры и свидетельства контроля, но и специализированные тесты, с помощью которых в регулярном режиме проверяют эффективность работы контрольных процедур.

При этом вся система, помимо внутренних тестов, дополнительно контролируется внешним аудитором. Его задача — выборочно проверять не только качество оценки операционных рисков, но и правильность работы контрольных процедур, существование свидетельств контроля, а также регулярность внутреннего тестирования системы [9].

И хотя внедрение такого объема контрольных процедур и тестов часто слишком дорого для компании, в тех бизнес-процессах, над которыми нужно установить максимальный контроль, можно использовать методологию SOX в полном объеме.