Удовлетворительная система внутреннего контроля уменьшает вероятность ошибок

Система внутреннего контроля компании (СВК) состоит из системы внутреннего финансового контроля, системы внутреннего контроля бухгалтерского учета и др. подсистем. СВК помогает предупреждать хищения и отслеживать товарно-денежные потоки. Но зачастую СВК воспринимается как излишняя бюрократия и функционирует неэффективно. Разберемся как ее усилить.

Система внутреннего контроля в организации: недостатки и рекомендации 2022

Внутренний контроль — это процесс, который направлен на получение достаточной уверенности в том, что экономический субъект работает результативно и эффективно. СВК призвана на каждом участке, в каждом бизнес-процессе компании минимизировать риски путем выстраивания контрольной среды и адекватного реагирования на выявленные угрозы.

СВК работает эффективно, если собственник и/или руководство организации на любом этапе могут осуществлять контроль. И контроль этот должен быть оперативным. При этом не нужно полного погружения в каждый бизнес-процесс (иначе руководство просто «утонет» в деталях), нужна краткая аналитическая информация, позволяющая принимать решения для улучшения ситуации.

Какие недостатки СВК часто встречаются на практике?

1. Недостаточность контроля

Некоторые важные объекты контроля (их составляющие) не попадают «в поле зрения». Например, некоторые компании строго следят, чтобы не было недоплаты налогов, но совершенно не замечают их переплаты, а иногда сотрудники необдуманно принимают предложения налоговых органов и лишают компанию положенных ей средств.

Об ошибках и эффективных стратегиях при общении с налоговой >>

2. Нет четкого определения ответственных

Может получиться так, что ущерб есть, а виновных работников как бы нет. Что особенно опасно сегодня для руководителей и владельцев бизнеса, т.к. при определенных обстоятельствах им может быть предъявлено умышленное создание условий для ухода от налогов и другие нарушения, а это может повлечь уголовную ответственность. Кроме того, участились случаи привлечения руководителей и собственников компаний к субсидиарной ответственности по долгам компаний.

Подробнее о рисках субсидиарной ответственности руководителей >>

3. Нет стандартизированных процедур контроля

В итоге каждый контролирует, как и когда ему удобно. Так, например, распространенным нарушением является проведение формальной инвентаризации, что создает благодатную почву для хищений и злоупотреблений. Нередко в аудиторской практике встречаем ситуации, когда длительные периоды контроль может вообще отсутствовать.

О чем рассказал собственнику тайный аудит его компании >>

Рекомендации по усилению СВК

1. Сфокусировать контрольную деятельность

Определите четко объекты контроля, к которым должно быть пристальное внимание. Они индивидуальны для каждой организации и полезно не ограничиваться «стандартными» сферами (например, учет ТМЦ). Включите сюда все, что так или иначе влияет на эффективную деятельность организации. Например, это может быть контроль за соблюдением скидочной политики компании, оценка последствий предоставления скидок и т. д.

2. Детализировать контрольную деятельность

В отношении каждого объекта контроля полезно осветить 3 вопроса:

Как будет проходить контроль?

Например, какая методика будет использоваться, какие документы/действия будут проверяться, как часто и т. д.

Что является «границей нормы»?

Нарушения каких требований или отклонение от каких показателей станет тревожным сигналом.

Каким образом должны фиксироваться/устраняться нарушения?

Иными словами, какие действия должен совершить проверяющий, если заметит риск.

3. Персонифицировать контрольную деятельность

Исходя из предполагаемой методики контроля и борьбы с рисками/нарушениями нужно определить для каждого объекта контроля квалифицированных ответственных лиц.

Также важно избегать и другой крайности — «задвоение ответственности»: когда одна и та же контрольная функция по одному и тому же объекту закрепляется за разными работниками. Но важно заранее подумать, кто будет осуществлять контроль в случае временного отсутствия контролирующего лица (отпуск, например).

Также, полезно четко определить подотчетность лица, осуществляющего контроль. Кому и как этот работник будет докладывать о результатах контрольной деятельности?

Рекомендуем обратить особое внимание на документирование ключевых вопросов внутреннего контроля (кто, что, когда и как контролирует, какие действия совершает при обнаружении нарушений).Ответственные лица обязательно должны быть ознакомлены с соответствующими документами под роспись.

Пример 1.

Если в вашей компании множество договоров, множество контрагентов — очень полезно разработать инструкцию по работе с договорами.

В инструкции должен содержаться порядок согласования и подписания любого договора. Инструкция сократит возможность подделки договоров, включения неправомерных, кабальных условий и др. риски.

Также в этой инструкции можно предусматривать порядок оплаты: каким образом оплачивается счет по договору, каким образом списываются денежные средства (порядок согласования оплаты, например).

Пример 2.

Все организации, у которых имеется большой склад с товаром и присутствует большой товарооборот, просто обязаны иметь договоры о материальной ответственности.

Они могут быть заключены с каждым физическим лицом, могут быть коллективными: если склад очень большой и много кладовщиков и др. материально ответственных лиц.

В случае выявления какого-то ущерба, недостачи каждый работник склада понимает меру своей ответственности за товар.

Также обязателен регламент проведения инвентаризации. Инвентаризация должна проводиться чем чаще, тем лучше. Хотя бы раз в квартал. Инвентаризацию должны проводить не менее 3-х человек, назначенных приказом руководителя. Эти работники должны ответственно подходить к пересчету и составлению документов.

В регламенте нужно прописать не только порядок и сроки проведения инвентаризации, но и порядок утверждения ее результатов, каким образом они представляются руководству. Руководитель должен ознакомиться с тем, что выявлено по итогам инвентаризации — недостача или, наоборот, избыток, пересортица и т. д., и принять дальнейшие решения.

СВК и регламентирующие ее документы должны быть актуальны как в части организационных изменений (например, своевременная замена контролеров в случае их увольнения), так и в части обнаружения новых объектов контроля, возможностей для роста эффективности компании и т. д.

Наш многолетний опыт проверок показывает, что работы только СВК недостаточно: в 93 % случаев при комплексном аудите компаний обнаруживаются не выявленные риски и резервы, а в некоторых случаях и корпоративные мошенничества.

Почему даже хороший внутренний контроль не может решить всех проблем?

Мы рекомендуем держать СВК «в тонусе» путем периодических проверок внешних контролеров (речь, конечно, не о налоговой инспекции). Эти проверки не разрушат СВК и доверие к ней, они повысят качество ее работы. И только в такой ситуации возможно достижение синергетического эффекта, когда 1+1 = 11.

Узнать за минуту стоимость комплексного аудита >>

Ну а если вы заметили:

  • рост расходов при прежней выручке;
  • рост расходов на персонал при сокращении численности;
  • просроченную задолженность по выданным займам;
  • отсутствие четких критериев выбора поставщиков;
  • стопроцентную предоплату при закупках, если были иные условия с теми же поставщиками;
  • увеличение дебиторской задолженности при снижении выручки;
  • необоснованные скидки и отсрочки контрагентам;
  • иные действия и ситуации, которые идут «вразрез» с интересами компании,

советуем вам незамедлительно провести форензик и убедиться, что у указанных фактов все-таки есть какие-то объективные причины, либо выявить корпоративные мошенничества.

Итогом проверки является отчет с оценкой возможной величины ущерба, который может служить основанием для обращения в следственные органы и суды. Данные отчета позволяют принять необходимые управленческие решения для нивелирования рисков и потерь, а также для улучшения СВК.

Кейс

При оказании услуг форензика для крупного промышленного предприятия аудиторами «Правовест Аудит» выявлено совершение убыточных сделок, связанных с нецелевым использованием денежных средств.

По результатам проведенных процедур установлено, что в отдельные периоды Организация от исполнения некоторых договоров получила отрицательные финансовые результаты.

При анализе движения денежных средств Организации установлено, что в отдельных случаях при получении предоплаты от покупателя Организация направляла не все средства на закупку материала для исполнения заказа, частично денежные средства направлялись на погашение кредитных обязательств и на иные хозяйственные цели.

Нецелевое использование полученных авансов привело к завышению себестоимости реализованной продукции из-за роста цен на основной материал и, как следствие, привело к незапланированным убыткам.

Аудиторами рекомендовано проводить управленческое планирование, направленное на снижение производственных затрат, ужесточить контроль за использованием авансов.

Если собственник не может должным образом контролировать бизнес, то некоторые недобросовестные руководители могут воспользоваться этим, уводя выручку в свою фирму или создавая завышенные расходы, заключая ненужные договоры с самим собой (например, договоры займа под «нерыночные» проценты) или приобретая что-то у аффилированных лиц по завышенным ценам за «откаты». В нашей практике, к сожалению, нередко встречаются такие ситуации:

Неправомерные действия директора нанесли ущерб в размере 13 млн руб. >>

Раскрыта схема увода прибыли в размере 80 млн руб. >>

«Слабое звено» ценою в 500 млн руб. >>

Теория
учета даже в начале XX
в. мало интересовала бухгалтеров
англоговорящих стран. Они искренне
думали, что набор счетов в Главной книге
заменяет все правила и постулаты, а
рассуждения о предмете и методе побуждали
их воздерживаться или уклоняться от
подобных знаний.

И
тем не менее в самом конце XIX
в. в Америке появился бух­галтер с
мировым именем, один из создателей
научной бухгалте­рии Чарльз Эзра
Шпруг (1842 — 1912). Серия его статей, изданная
под общим названием «Алгебра счетов»
(1880), признана класси­ческой, а книга
«Философия счетов» (1908) — фундаментальной.
Он был одним из первых, кто стал в
университетах читать курс бухгалтерского
учета. Считая предметом учета ценности,
он описывал их балансовым уравнением
Л = П + К, интерпретируя эти элементы так:
А — то, что я имею, и то, кому я верю
(дебито­ры), равно Я — то, что я должен,
плюс К — что я стою. Эта была логическая
база для выведения двойной записи.

Модель
Шпруга считается исходной точкой
современной теории бухгалтерского
учета, она получила две интерпретации,
их расхождения связаны с трактовкой
счетов «Капитал» и «Убыт­ки и прибыли»:

  • Первая
    принад­лежит персоналистической
    школе. К данному направлению относятся
    те, кто считал, что счет «Капитал»
    отражает кредиторскую за­долженность
    предприятия его собственнику, утверждая,
    что весь актив бухгалтерского баланса
    равен требованиям собственников.
    Персоналисты,
    и прежде всего глава их школы В. Патон,
    ви­дели цель учета в выявлении
    финансового положения предприя­тия,
    в то время как главный институалист О.
    Мэй эту цель видел в исчислении
    финансового результата.

Персоналисты
также замечали, что цель предприятия —
увеличение его оборотов, постоянный
экономический рост, а следовательно,
абсолютно безразлично, достигнут ли
этот рост за счет своего или привлеченного
капитала. Задача бухгалтера — прежде
всего дать правильную оценку средств
предприятия и его прибыли, точность
последней обусловлена объективностью
первой. На практике роль бухгалтера
сводится к получению и представлению
данных об источниках средств и их
использовании, движении, оборачиваемости.

В
соответствии с взгля­дами персоналистов
прибыль — только часть капитала и,
следова­тельно, счет «Прибыли и убытки»
— субсчет балансового счета «Капитал».
Экономическая мощь, определенная
пра­вильно и независимо от источников
финансирования, — цель учета.

Персоналисты
были безусловными сторонниками
перео­ценки. Они считали, что
реалистичность учета достигается
сис­тематической переоценкой активов
предприятия и только это позволяет
избежать скрытых резервов.

Внутри
персоналистической школы образовалась
группа уче­ных во главе с Генри Свинеем
(1936). Они называли свою концепцию
стабилизированной бухгалтерией.
Достоверное определение финансового
результата, по Свинею, может быть
достигнуто только при применении
правиль­ной оценки, которая зависит
от целей хозяйственной деятельнос­ти
предприятия. Поэтому важно не то, сколько
заплатили за тот или иной предмет в
настоящем или тем более в прошлом, а то,
ка­кова будет эффективность использования
этого предмета в буду­щем.

Заслугой
персоналистов можно считать то, что они
стали ста­рательно дифференцировать
финансовые результаты.

К
заслугам американских бухгалтеров
следует отнести доказа­тельство того,
что прибыль, исчисленная в бухгалтерском
учете, не отражает экономического
содержания — действительного ре­зультата
хозяйственной деятельности. Осознание
этого привело крупных американских
ученых к четкому разграничению поня­тий
бухгалтерской и экономической прибыли.
Первое определяет прибыль как результат
реализации товаров или услуг, второе —
как следствие — результат «работы»
капитала. Различие между этими подходами
провел Ирвинг Фишер (1867 — 1947). Для Фишера
прибыль порождается капиталом, но не
зависит от стои­мости имущества,
наоборот, оценка капитала прямо зависит
от величины доходов фирмы, ибо капитал
— это актив, способный приносить прибыль.

  • Вторая
    принадлежит — институалистской школе,
    к ней принадлежали те, кто не отождествлял
    капитал с кредиторской задолженностью.

Институалисты
искренне считали, что задолженность
само­му себе -логический нонсенс, и
полагали, что смешивать долги с капиталом
нельзя. Цель предприятия — не рост
капитала вооб­ще, а рост собственного
капитала. В связи с этим и задача
бух­галтера прежде всего аналитическая,
она сводится к выявлению и раскрытию
причин образования прибыли и возникновения
убытков.

Полагая,
что в основе учета должно лежать не
балансовое, а капитальное уравнение А
— П= К, институалисты считали ди­виденды
по акциям безусловным расходом. Если
подобные вы­платы не включать в
затраты, то так можно дойти до того, что
и амортизация, и зарплата будут признаны
частью дохода. Ведь ди­виденд — это
составляющая дохода, а не прибыль,
говорили они.

Институалисты
решительно выступили за оценку по
себесто­имости. Бухгалтер, по их
мнению, должен поддерживать оценку
активов на первоначальном уровне, т.е.
по себестоимости.

Счетные
теории.

Различия в подходах персоналистов и
инсти­туалистов выявили необходимость
построения общей теории бухгалтерского
учета, вытекающей из логических постулатов
и потому принципиально не связанной с
практикой и ее обычаями. При этом разные
ученые исходили из разных постулатов.
Опира­ясь на труды Т. Куна, они ввели
в бухгалтерский учет понятие «па­радигма».

Сейчас
можно выделить в теории учета семь
парадигм: социологическую, экономическую,
биховеристическую, психо­логическую,
информационную. Каждая из них демонстрирует
весьма своеобразный подход к проблемам
теории бухгалтерского учета.

  • Социологический
    подход. Его сторонники А. Белкаой, А.Ч.
    Литтлтон, В.К. Циммерман, Н.М. Бедфорд
    понимали под целью учета обеспечение
    справедливости по отношению ко всем
    участ­никам хозяйственного процесса.
    Они полагают, что каждое тео­ретическое
    положение учета влияет на общество и
    каждое поло­жение должно приниматься
    или отвергаться в зависимости от
    противоречивых интересов различных
    общественных групп и социального
    эффекта этого положения.

Это
выходило за границы традиционной
бухгалтерии, так как социальная
бухгал­терия вместо традиционных
затрат и доходов вводила категорию
социальных затрат и доходов.

В
число социальных затрат включа­ют:
1) использование человеческого фактора
(расходы, связан­ные с созданием
условий работы на предприятии, лечение
рабо­чих и служащих); 2) очистка воздуха;
3) очистка воды; 4) восста­новление
флоры и фауны; 5) восполнение энергетических
ресур­сов; 6) введение новых технологических
процессов; 7) прочие расходы и компенсации
безработным.

Разновидностью
социологического подхода можно считать
критическую теорию учета (Д. Купер, Т.
Хоппер, Р. Рослендер). Ее сторонники
считают, что бухгалтеры служат объектом
эксплу­атации.

  • Экономический
    подход. Представители этого направления
    (ГГ. Миллер, С. Зефф, М. Мунитц) считают,
    что цель бухгалтерского учета заключается
    в контроле и оценке экономических
    показате­лей, в обеспечении условий
    для достижения максимальной эф­фективности
    производства. В связи с этим руководство
    предпри­ятия должно выбирать те
    методологические бухгалтерские прие­мы,
    которые обеспечивают рост национального
    благосостояния.

  • Биховеристический
    подход. Его родоначальником можно
    счи­тать К.Т. Девине. Именно он обратил
    внимание на то, что учетный процесс —
    это прежде всего процесс поведения
    бухгалтеров в раз­личных служебных
    ситуациях, поэтому цель учета — это
    выработка способов влияния, воздействия
    на поведение сначала бухгалтеров, а
    через них и на всех лиц, занятых в
    хозяйственной деятельности. Бухгалтер,
    с этой точки зрения, объясняет, описывает
    и предска­зывает поведение этих
    людей.

Методы
бухгалтерского учета долж­ны выбираться
в зависимости от целей и поведения
людей. Пос­леднее рассматривается по
схеме SR
(стимул-реакция). Поступающие данные
включают множество показателей, каждый
из которых вызывает определенную реакцию
бухгалтера. В результате обработки
данных возникает качественно новый
ин­формационный поток. Бухгалтер,
формируя методологическую концепцию,
анализирует необходимость каждого
показателя, его восприятие различными
пользователями, адекватность текущим
или ожидаемым событиям.

  • Психологический
    подход. Самым ярким его выразителем
    мож­но назвать Р. Антони. Психологический
    подход учит тому, что по­нять бухгалтерию
    — это значит понять и поставить под
    контроль бухгалтера. У предприятия нет
    и не может быть цели, она может быть
    только у людей, заинтересованных в нем.
    Отсюда организа­ция бухгалтерского
    учета должна начинаться с видения
    бухгалте­ром роли предприятия и
    своего места в нем. Правильно организованная
    система учета должна предполагать
    четкое и ясное выделение интересов
    лиц, занятых в хозяйственной деятельности.
    Смысл учетной системы, писал Антони,
    сводится к тому, что она фактом своего
    существования заставляет лиц, занятых
    в хозяйственном процес­се, работать
    с оглядкой на необходимость отчитаться,
    и в этом ее значение.

  • Информационный
    подход. Ситуационная (событийная)
    бухгал­терия. Ее основоположник
    Джордж Г Сортер полагал, что тради­ционная
    бухгалтерия исходит из трактовки
    предмета как стоимости или как стоимостной
    оценки учитываемых объектов. Он же
    считал, что в основу предмета должно
    быть положено инфор­мационное событие,
    под которым он понимал элементарную
    ин­формационную единицу о факте
    хозяйственной жизни.

Далее
Сортер формулирует правило, которое
повторя­ет смысл «экономической
границы Шера»: стоимость информации не
должна превышать затрат на ее получение,
поэтому всякая потеря информации должна
приносить большие убытки, чем стоимость
потерянных данных. Следовательно,
главное достоинство данных — их полезность.
Отсюда возникает понятие релевантности
— уместности, ис­пользуемости информации.
Она может быть рассмотрена с трех точек
зрения: синтаксической, семантической
и прагматической (табл. 2). То, что
нерелевантно, становится ненужным.

Таблица
1 Релевантность учетной информации

Синтаксис

Имеет
место, если информация способствует
достижению целей пользователя.
Установить ее трудно, ибо цели
субъ­ективны.

Семантика

Имеет
место, если получатель информации
понимает подразумеваемое значение
представленной информации.

Прагматика

Имеет
место, если информация способствует
принятию решения ее пользователем.
Это окончательная цель.

Каждый
из пяти подходов выражал рациональные
взгляды бухгалтеров Америки. По их
мнению, только теперь стало воз­можным
считать бухгалтерский учет наукой. В
настоящее время наиболее популярны две
концепции.

Первая
представлена Е. С. Хендриксеном, который
определяет теорию учета как набор
ши­роко трактуемых принципов; они
составляют общую систему эталонов,
позволяющих оценить различные
хозяйственные ситу­ации и создают
новые практические методики и процедуры.
Тео­рия учета — база для объяснения
сложившейся практики, цель теории —
представление согласованного множества
логически выведенных принципов, которые
служат основанием для оценки и развития
существующей практики учета.

Наиболее
яркий выразитель второй, менее утилитарной
кон­цепции — Д. Л. Макдональд. Он
полагает, что любая теория долж­на
иметь три элемента: символическое
представление феноменов реального мира
путем кодирования; обработка и комбинация
дан­ных символов согласно выработанным
правилам и обратный пере­вод
символических конструкций в феномены
реального мира.

Структура
бухгалтерского учета.

Самым существенным обсто­ятельством
в организации бухгалтерского учета США
следует признать деление его на финансовый
и управленческий. Практически финансовый
учет — это и есть бухгал­терский учет
в нашем понимании, а управленческий
представля­ет собой в первую очередь
аналитический учет к счету основного
производства, калькуляцию себестоимости,
регистрацию затрат агентами предприятия
и во вторую — преимущественно перспек­тивный
анализ хозяйственной деятельности.

Управленческий
учет был создан инженерами и технологами,
но получил современную форму благодаря
трудам замечательно­го бухгалтера
Роберта Антони. Суть управленческого
учета, его назначение передает извест­ная
формулировка: производство информации
для управления.

На
практике возрастание роли бухгалтерского
учета в амери­канском обществе связано
с появлением специальной должности
контролера. В его функции входят:
разработка и проверка фи­нансовых и
учетных директив, представление
отчетности, сос­тавление сметы и
контроль ее выполнения, составление
норма­тивных и фактических данных и
их оценка.

Эти
функции приво­дят к формированию на
предприятии, как правило, четырех
учет­ных отделов: 1) планового, 2)
финансового, 3) инвентарного (ма­териального),
4) производственного (калькуляционного).
Такая структура, в частности, способствовала
возникновению управ­ленческого учета.

Учет
затрат
стал
главным в управленческом учете. Его
создателем можно считать Александра
Гамильтона Черча (1901). Хант Лоуренс Гант
(1909) привнес в американский учет проблему
определения состава затрат, но основная
заслуга аме­риканских бухгалтеров
связана с возникновением четырех
основ­ных методов учета затрат
калькулирования готовой продукции:
стандарт-костс, директ-костинг, центры
ответственности и АВС-метод.

    1. Стандарт-костс.
      Творцом нового направления в учете
      был инженер-путеец Гаррингтон Эмерсон
      (1853 — 1931). Эмерсон прокламировал
      преимущества опера­тивного учета
      перед бухгалтерским, так как подлинная
      «цель уче­та состоит в том, чтобы
      увеличить число и интенсивность
      предос­тережений». Учет должен быть
      обращен в будущее, ибо «предвидеть —
      значит предупреждать». Следовательно,
      весь хозяйственный процесс дол­жен
      быть строго проконтролирован еще до
      его реального начала.

Производительность
измеряется подан­ным учета соотношением
Сф/Сн, т.е. отношением фактических
расходов к нормативным (стандартным).
При этом всегда имеет место отношение
Сн < Сф, т.е. нормативные расходы никогда
не могут быть больше фактических. (Чем
меньше разность Сф — Сн, тем выше
производительность.)

Исходя
из этого X.
Л. Гант прово­дил различие между
естественными (стандартными) расходами,
вернее расходами, отвечающими требованиям
Сн, и непроизво­дительными расходами,
возникающими вследствие непроизво­дительных
потерь и простоев завода.

В
результате возникло зна­менитое
правило Ганта: все расходы сверх
установленных норм должны относиться
на виновных лиц и никогда не включаться
в счета, отражающие зат­раты. Отсюда
требование, чтобы расходы фиксировались
еще до того, как их осуществили.

Идея
стандарт-костс трансформировалась в
два правила.

  1. Все
    расходы должны быть указаны в сопоставлении
    со стан­дартами (нормативами);

  2. Увеличение
    и уменьшение при сравнении действительных
    рас­ходов со стандартами должно быть
    расчленено по причинам.

Взгляды
Гаррисона оказали глубокое влияние на
развитие учета как в Америке, так и в
Европе и дожили до наших дней.

  • Директ-костинг.
    Существуют пять вариантов нахождения
    себес­тоимости при комплексных
    затратах: 1) средняя себестоимость
    единицы (все виды готовой продукции
    принимаются равноправ­ными); 2)
    коэффициентный (вес, объем, калорийность);
    3) взве­шенная средняя себестоимость
    (находится посредством прида­ния
    различного удельного веса каждой
    калькуляционной группе — вариант
    коэффициентного выбора); 4) стоимостный
    — пропор­ционально продажным ценам;
    5) стандартный — по установлен­ным
    ранее стандартным затратам.

Новое
направление, которое явилось определенным
этапом в становлении управленческого
учета, теперь часто связывают с работой
(1923) вьщающегося экономиста Джона Мориса
Кларка (1884 — 1963). В том же году К. Симпсон
(1923) провел ста­тистическое исследование
бухгалтерских калькуляций и пришел к
выводу, что на цены оказывают влияние
не значения средней себестоимости, а
предельные издержки производства.

В
1936 г., развивая эти идеи, Джонатан Харрис
создал учение, получившее название
директ-костинг, согласно которому в
составе себестои­мости необходимо
учитывать только прямые расходы.

Его
сущность заключается в том, что все
издержки делятся на две группы: пере­менные
и постоянные. В основу учета себестоимости
кладутся только переменные (прямые)
издержки. Таким обра­зом, для
директ-костинга самым характерным
является строгое отделение в учете
прямых издержек от косвенных.

  • Центры
    ответственности.
    Первоначально
    стандарт-костс был задуман как инструмент,
    выявляющий неиспользованные резервы,
    без связи с конкретными исполнителями.
    Но в дальней­шем возникла идея
    использовать отклонения для оценки
    работы тех или иных администраторов.
    Это привело к формированию Джоном А.
    Хиггинсом концепции центров
    ответственности, то есть степени
    ответственности определенных лиц за
    финансовые результаты своей работы.

Целью
учета по центрам ответственности
является создание для администраторов
условий самоконтроля. Отсюда вытекает
и правило Хиггинса: каждую структурную
единицу предприятия обременяют те и
только те расходы или доходы, за которые
она может отвечать и которые контролирует.

При
определении центров ответственности
прежде всего при­нимают во внимание
технологическую структуру предприятия,
а далее выделяют ее горизонтальный и
вертикальный разрезы. Первый ограничивается
кругом деятельности каждого лица,
ответственного за центр; второй
предопределяет иерархическую лестницу
правомочий лиц, принимающих управленческие
реше­ния. Каждый из центров может быть
центром или затрат, или доходов, или
инвестиций. В первом случае отчет
составляют по расходам, во втором — по
прибыли и в третьем — по срокам
оку­паемости. При этом каждый центр
может выполнять самые раз­личные
функции (производства, маркетинга,
технических разра­боток, учета,
контроля и т.п.).

  • АВС-метод.
    Новейший подход к учету затрат предложен
    Р. Капланом. Затраты распределяются
    по производственно-уп­равленческим
    функциям. Определяется, например, во
    что обхо­дится хранение ценностей,
    информационное обслуживание, пе­реработка
    материалов, реализация готовой продукции
    и услуг и т.п.

Аудит
и развитие его постулатов.
Пер­вым
теоретиком аудита был англичанин Л.
Дикси, но человеком, вдохнувшим в него
подлинную жизнь, стал американец Р.Х.
Монтгомери (1872 — 1953). Именно он, развивая
идеи Дикси, на­зываемые им бухгалтерским
аудитом, создал современную докт­рину
«тестового аудита».

Научное
описание проблем аудита началось с
формулирова­ния его постулатов. Первые
восемь из них были выдвинуты Р.К. Маутцем
и Х.А. Шарафом (1961). Следуя законам развития
нау­ки, Маутц и Шараф предложили
следующие постулаты:

  1. Финансовая
    отчетность может быть проверена. Если
    дан­ное предположение не выполняется,
    проведение аудиторской проверки теряет
    смысл. Если финансовая отчетность
    неадекват­на, не поддается проверке,
    то аудитор должен отказаться от
    выра­жения мнения о ней.

  2. Конфликт
    интересов между аудиторами и администрацией
    не является неизбежным. Аудитор и
    администрация предприятия преследуют
    одну и ту же цель: представление
    достоверной отчет­ности. Поэтому
    должна быть создана атмосфера доверия
    между проверяющим и проверяемым. При
    наличии конфликта интере­сов аудитор
    не может полагаться на заявления
    руководства и до­верять внутренней
    информации, как правило, это ведет к
    отказу от выражения мнения.

  3. Финансовая
    отчетность и подтверждающие ее документы
    не содержат преднамеренных или иных
    необычных искажений. Этот постулат
    позволяет сделать процесс аудита
    экономически оправ­данным.

  4. Удовлетворительная
    система внутреннего контроля умень­шает
    вероятность ошибки. Объективность
    отчетных данных пря­мо пропорциональна
    эффективности внутреннего контроля.
    Од­на из основных задач руководства
    фирмы клиента — организация эффективно
    функционирующего внутреннего контроля,
    на ко­торый внешний аудитор может
    опираться для уменьшения объе­ма
    проверки.

  5. Постоянное
    следование стандартам учета позволяет
    соз­дать объективное представление
    о финансовом состоянии и резуль­татах
    хозяйственной деятельности.

  6. То
    что справедливо для предприятия в
    прошлом, будет справед­ливо и в
    будущем, если нет доказательства
    противного. Аудиторская проверка не
    может быть последней, в следующем
    отчетном перио­де будет как минимум
    еще одна. Аудитор, высказывая мнение о
    верности проверенной финансовой
    отчетности, исходит из предположения,
    что фирма будет функционировать по
    крайней ме­ре еще год (допущение
    непрерывности деятельности).

  7. Мнение
    аудитора зависит только от его
    компетенции. На количество и качество
    собранных доказательств влияют многие
    обстоятельства, но превалирующим
    является объем знаний ауди­тора о
    деятельности клиента и уровень его
    образования.

  8. Профессиональный
    статус аудитора адекватен его
    професси­ональным обязанностям.

Впоследствии
были предложены и другие постулаты.
Посту­лат Т.А. Ли (1982). Годовой
бухгалтерский отчет, не подвергшийся
аудиту, не заслуживает достаточного
доверия. Надежность учетной информации
компании мо­жет быть признана в
основном удовлетворительной после
проверки ее внешним аудитором. Робертсон
в 1985 г. предложил такой пос­тулат.
Информация, подвергшаяся аудиторской
проверке более по­лезна, чем не
подвергавшаяся ей.

Профессиональная
этика бухгалтера.

Большой заслугой аме­риканской
бухгалтерии следует признать выработку
положений профессиональной этики.
Впервые это требование выдвинул
Монтгомери, но создателем этики бухгалтера
можно считать Джона Ленсинга Кэри (1900
— 1984).

Создание
этического кодекса, приня­того
Американской ассоциацией бухгалтеров
(ААА) в 1987 г. Вве­дение кодекса укрепило
статус бухгалтера и увеличило спрос на
его услуги. Суть кодекса можно представить
по следующим требова­ниям:

  • Прежде
    чем занять место, бухгалтер должен
    тщательно изу­чить работу
    предшественника, и если предшественник
    уже не ра­ботает, к нему следует
    обратиться с письменным запросом.
    Профессиональный долг обязывает ранее
    работавшего бухгалтера дать исчерпывающий
    и правдивый ответ на этот запрос. Если
    из предварительного ознакомления с
    делами следует, что работода­тель
    нарушает или может нарушить действующее
    законодатель­ство, то бухгалтер, не
    говоря никому не слова, должен отказаться
    от предложения.

  • Бухгалтер
    не может требовать ни увеличения
    зарплаты, ни по­вышения по службу.
    Более того, он не может получать премию
    или доплату за финансовые результаты,
    которые вывел, и не мо­жет делить
    свое вознаграждение с работниками
    других служб предприятия.

  • Взаимоотношения
    бухгалтера с администрацией строятся
    так: бухгалтер обязан немедленно
    ответить на все вопросы руковод­ства,
    касающиеся хозяйственной деятельности
    предприятия, при этом он должен отвечать
    так, чтобы это было понятно лицам, не
    знающим бухгалтерский учет. Ни при
    каких обстоятельствах бухгалтер не
    должен советовать администрации, как
    совершать правонару­шения и участвовать
    в сокрытии их следов.

  • Бухгалтер
    должен хранить профессиональную тайну
    о делах клиента. Прекращение работы
    не освобождает его от этой обязанности.

  • Все
    справки о хозяйственной деятельности
    предприятия сто­ронним лицам бухгалтер
    может предоставить только пo
    письмен­ному согласию работодателя.

  • Бухгалтер
    обязан регулярно повышать свою
    профессиональ­ную квалификацию.

Этический
кодекс бухгалтера имеет огромную
моральную и профессиональную силу. Он
оказывает влияние и на статус бух­галтеров
в фирме, и на организаторскую структуру
бухгалтерско­го учета.

Соседние файлы в предмете [НЕСОРТИРОВАННОЕ]

  • #
  • #
  • #
  • #
  • #
  • #
  • #
  • #
  • #
  • #
  • #

Алексей Тихомиров, at-ihom@yandex.ru
Институт внутренних аудиторов

Критерием эффективности внутреннего контроля финансовой организации не может являться только степень соблюдения требований регулирующих органов.

1. «Государство, бывшее веками органом угнетения и ограбления народа, оставило нам в наследство величайшую ненависть и недоверие масс ко всему государственному» 1

Финансовое сообщество готовится к переменам, ясный сигнал о которых подан Банком России: в начале июля 2003 года он разрешил своим территориальным подразделениям не применять меры воздействия к банкам-нарушителям положений Указания № 603-У от 7 июля 1999 г. «О порядке осуществления внутреннего контроля за соответствием деятельности на финансовых рынках законодательству о финансовых рынках в кредитных организациях», а в конце августа объявил о замене в ближайшие месяцы Положения № 509 от 28 августа 1997 г. «Об организации внутреннего контроля в банках» принципиально новым документом, основанном на рекомендациях Базельского комитета по банковскому надзору.

Не остаются в стороне и другие регулирующие органы: Федеральная комиссия по рынку ценных бумаг (ФКЦБ) активно занимается анализом и совершенствованием требований к системе внутреннего контроля в финансовых организациях, работающих на рынке ценных бумаг, вовлекая в проверки внутреннего контроля саморегулируемые организации. После принятия Закона «О противодействии легализации (отмыванию) доходов, полученных преступным путем» Правительство России, Банк России и ФКЦБ выпустили документы, в которых обязали все финансовые организации использовать внутренний контроль как инструмент в борьбе с легализацией преступных доходов.

Только вот понимание внутреннего контроля и способы оценки его эффективности у различных регулирующих органов, а часто и различных их подразделений «на местах» весьма различаются. Поэтому для финансовых организаций ключевым остается один вопрос: изменится ли на практике подход регулирующих органов к оценке эффективности внутреннего контроля, или по-прежнему отсутствие документа под названием «Инструкция о внутреннем контроле» (sic!), выявленное расхождение в две копейки или случайный сбой системы будут безапелляционно признаны свидетельством неэффективности работы системы внутреннего контроля в целом, и службы внутреннего контроля в частности?

Для такой постановки вопроса, к сожалению, есть основания. Все первоначальные редакции нормативных документов, регулирующих деятельность внутреннего контроля, имели нечто общее с мечтой основателя Советского государства о «…победоносном и беспощадном походе против нарушителей этого контроля или беззаботных насчет контроля». Основная причина, на наш взгляд, — концепция тотального контроля, глубоко пустившая корни в сознании многих людей, занятых в финансовом секторе экономики России, и уходящая этими корнями в ее далекую историю.

Эта концепция подразумевает в идеале установление всеобъемлющего свода правил, регулирующих все аспекты деятельности организации, и создание такого режима работы, который не позволял бы отклоняться от установленных стандартов (намеренно или случайно). Основным инструментом воздействия на управленческие процессы является демонстративное наказание нарушившего, а задачу соблюдения такого режима обычно возлагают на выделенное штатно и организационно подразделение (службу внутреннего контроля), имеющее статус «особо доверенного» и подчиняющееся «лично» самому высокому руководителю организации.

Сама по себе идея полного регулирования всех аспектов деятельности не несет негативного характера, и во многих случаях оправдана (вспомним, например, про воинские уставы, каждый параграф которых основан на реальных человеческих потерях). Более того, канонически контроль и представляет собой процесс управления, состоящий из трех элементов: определение стандартов деятельности системы, сравнение достигнутых ею результатов с установленными стандартами, и, в случае расхождений, корректировка процессов управления.

Одна беда — при воплощении этой концепции в жизнь, по крылатому выражению В.С. Черномырдина, постоянно «получается как всегда». Основными слабостями этой концепции является умозрительность при первоначальном определении стандартов, изумляющая простота и формальность проверок («… что противоречит п. x.x.x Инструкции №NNN»), а также, что более существенно, трудность своевременного и точного распознавания некорректного управленческого процесса, приведшего к отклонению от стандарта. К тому же детальная регламентация деятельности и сосредоточение функций контроля в одном подразделении, свойственное для концепции тотального контроля, неизбежно приводит к бюрократизации всего процесса внутреннего контроля. Такая система перестает реагировать на новые, актуальные вызовы и угрозы, поскольку основой для оценки деятельности внутреннего контроля (и службы внутреннего контроля как его главного воплощения) является формальное соответствие заданным правилам и регулирующим документам. Только два вида событий могут внести возмущение в такую систему: во-первых, смена руководителя и реорганизация, во-вторых — пересмотр внутренних правил вследствие кризиса управления системой, или, как частный случай, иное «толкование» старых правил в угоду новому руководству.

Ответом на несовершенство идеи тотального контроля стала концепция контроля, ориентированного на риск, известная в профессиональном мире как модель COSO. Пояснить эту модель можно на житейском примере. Задумываясь о последствиях происходящих с нами и вокруг нас событий, в большинстве бытовых ситуаций мы оперируем понятиями «повезло» — «не повезло», «судьба» и т.д. Разумный и ответственный человек часто может предотвратить нежелательные последствия, действуя в соответствии с нормами поведения, общепринятыми или выработанными им самим, в основном в целях личной безопасности и безопасность семьи, сохранения нажитого имущества и репутации: закрывает дверь, когда выходит из дома (потому что могут ограбить), ставит на сигнализацию машину (потому что могут угнать), интересуется у знакомых, где лучше отдохнуть (потому что можно сэкономить), и т.д. Но поступать так или нет — дело добровольное, и многим людям это, увы, не свойственно. Для российского менталитета, как это принято считать, свойственно прямо противоположное стремление полагаться на «русский авось».

В мире серьезного бизнеса «расчет на авось» противопоказан, особенно если предпринимателю дано право распоряжаться чужими деньгами или имуществом. Любые вероятные изменения (внутренние или внешние) должны быть идентифицированы заранее, и при их возникновении должны быть применены меры, смягчающие их воздействие на бизнес. Поэтому должен также существовать процесс мониторинга изменений, который позволит применить разработанные ранее меры тогда, когда «пациент скорее жив», а не при посмертном вскрытии. Причина очевидна: в худшем случае в бытовой ситуации пострадает конкретная семья, а результаты кризиса российской финансовой системы 1998 года почувствовали на себе миллионы людей…

Для того чтобы различать изменения по характеру их воздействия, предприниматели договорились вероятные события, которые могут оказать негативное воздействие называть «рисками», а события, которые могут оказать позитивное воздействие — «возможностями». Поскольку многие из рисков имеют одинаковый характер или одинаковую природу, им стали присваивать названия, которые условно выражали их характер (например, «кредитный риск», «операционный риск», «рыночный риск» и т.д.). В соответствии с концепцией контроля, ориентированного на риск, с каждым видом деятельности (предприятием2) изначально связаны специфические (свойственные, inherent) риски, и избежать их возможно только одним способом — в это предприятие не вступая. Однако можно и нужно, во-первых, своевременно идентифицировать эти риски, во-вторых, создать такие управленческие механизмы (процессы), которые при реализации риска смягчат последствия его воздействия до приемлемого уровня. Тогда внутренний контроль (или, следуя английской грамматике, контроли) – это те части бизнес-процесса, которые обеспечивают приемлемый для бизнеса уровень контролируемого (или остаточного,residual) риска.

Давайте вернемся к примеру с закрываемой перед уходом дверью и зададим себе ряд вполне риторических вопросов для оценки эффективности «бытовых» контролей:
— Уменьшится ли риск ограбления, если поставить в квартире металлическую дверь? 
— Неизвестно. Вроде бы с ней надежней…
— Переформулируем вопрос. Уменьшится ли риск, если металлическую дверь поставить, а на замок ее не закрывать? 
— Ответ очевиден — нет. 
— Может ли установка металлической двери уменьшить риск ограбления (другими словами — является ли контролем установка металлической двери)?
— Нет, если дверь останется открытой; да — если дверь закрыта. 
— Является ли контролем ежедневная проверка состояния двери перед уходом? 
— Да. 
— Усиливает ли установка металлической двери степень контроля, при условии ежедневной проверки перед уходом состояния двери?
— Конечно, да.

Этот пример, несмотря на его условность, показывает одну важную характеристику внутреннего контроля: только с точки зрения целей процесса становится важным, какие элементы контроля (в нашем примере — двери, замки, ежедневная проверка, сигнализация и т.д.) в него включены, и только с этой точки зрения можно оценить их эффективность. В концепции риск-ориентированного внутреннего контроля в роли стандарта выступает уровень риска, приемлемый для предприятия, проверка уровня остаточных рисков проходит постоянно и неотъемлемо от основной деятельности предприятия, а в случае выявления отклонений от стандартного уровня коррекции подлежит именно тот бизнес-процесс, контроли которого не обеспечивают смягчения воздействия риска.

При этом выбор наиболее эффективных методов и технологий внутреннего контроля определяется целями и видами деятельности предприятия, окружающей средой и соответствующим набором свойственных рисков. Не обязательно поручать осуществление всех видов контроля отдельному подразделению. Можно распределить ответственность между различными подразделениями, встраивая контроли в их текущую деятельность, и знать, где и какие контроли установлены. При этом основную ответственность за правильное функционирование системы внутреннего контроля несет руководство предприятия, а владельцы предприятия кровно заинтересованы в ее эффективности, так как она способствует снижению рискованности их вложений.

Тем не менее, без выделенного подразделения и в этом случае не обойтись. Одна функция в системе внутреннего контроля не может быть распределена или совмещена с другой деятельностью – это внутренний аудит. Независимо от его формального названия, должно быть создано независимое подразделение, осуществляющее мониторинг состояния системы внутреннего контроля и ее адекватности рискам в динамике. Согласно профессиональным стандартам3, выработанным международным Институтом внутренних аудиторов (IIA), профессиональные внутренние аудиторы играют ключевую роль в оценке и гарантировании эффективности систем управления рисками, контроля и корпоративного управления. В функцию внутреннего аудита входит оценка достоверности отчетности (как внешней, финансовой и регуляционной, так и внутренней, управленческой), проверка целесообразности и экономической эффективности операций, сохранности активов, и, безусловно, проверка соблюдения законодательства, требований нормативных документов регулирующих органов и контрактных обязательств предприятия.

Но в отличие от роли подобного подразделения в модели тотального контроля, внутреннему аудиту важнее не личная преданность руководителю, а независимость, не фиксирование нарушений пунктов инструкции, а квалифицированный анализ рисков, процессов и причин, приведших к таким нарушениям, не примерное наказание виновных, а установление и совершенствование контролей, смягчающих воздействие выявленных рисков.

Главные инструменты внутреннего аудитора – это концепция риск-ориентированного контроля и выстроенная на ее базе методология аудиторской деятельности. Именно эти инструменты позволяют приступить к анализу новой финансовой услуги, сформировать адекватный план проверки и распределить ресурсы. Именно эти инструменты позволяют отделить в ходе проверки случайную ошибку оператора от отсутствия или нарушения контролей и/или процессов. Именно эти инструменты дают возможность при обсуждении выявленных проблем противодействовать как упорству консерваторов («мы всегда так делали», «нас уже проверяли и ничего не нашли» и т.д.), так и оптимизму новаторов («да ничего не случится», «жутко выгодное дело» и т.д.), а при необходимости – эскалировать проблему до самого высокого уровня.

Гибкость и быстрота реакции на изменения среды и большая эффективность являются основными преимуществами риск-ориентированного контроля по сравнению с идеей тотального контроля. Но пришли специалисты, бизнесмены и регулирующие органы к такому взаимопониманию пониманию не сразу.

2. «…их ознакомлением также в области того, что сделала современная наука буржуазного государства в деле постановки наилучшей работы служащих всякого рода»4

Современный этап истории унификации требований к системе внутреннего контроля предприятий начался в 1985 году в США, когда при участии и на средства пяти профессиональных саморегулируемых организаций — AICPA (American Institute of Certified Public Accountants), Американская Ассоциация по учету и отчетности (American Accounting Association), FEI (Financial Executives Institute), Института внутренних аудиторов (Institute of Internal Auditors, IIA) и Института специалистов управленческого учета (Institute of Management Accountants) — была создана национальная комиссия по борьбе с недостоверной финансовой отчетностью, известная по имени первого своего председателя, Джеймса С. Тредуэя (James C. Treadway), как Комиссия Тредуэя. Выпущенный ими в 1987 году отчет, помимо других рекомендаций, содержал призыв к перечисленным организациям — спонсорам Комиссии Тредуэя объединить усилия по достижению договоренности об общих для всех основных понятиях внутреннего контроля. Основываясь на этом предложении, рабочая группа под покровительством Комитета спонсорских организаций Комиссии Тредуэя (Committee of Sponsoring Organizations of the Treadway Commission, COSO) провела анализ существовавшей на тот момент литературы по внутреннему контролю. Результат этой работы был представлен общественности в 1992 году под названием «Интегрированная концепция внутреннего контроля» (Internal Control — Integrated Framework). Кратко этот документ принято называть по наименованию комитета-организатора, концепцией COSO, моделью COSO, или просто COSO.

Модель COSO была особенно важна, поскольку акцент в ней был сделан на ответственности руководства предприятия за состояние контроля.В ней также были определены основные понятия и определения внутреннего контроля и его ключевые компоненты, исходя из следующих ключевых предпосылок:

  • Внутренний контроль — это процесс, то есть средство достижения цели, а не самоцель.
  • Внутренний контроль осуществляется людьми, поэтому для него важны не только (и не столько) правила, процедуры и другие руководящие документы, но люди на всех уровнях организации.
  • От внутреннего контроля владельцы и руководство предприятия могут ожидать только обоснованного уровня обеспечения достижения поставленных целей, но ни как не абсолютной гарантии безошибочной работы.
  • Внутренний контроль обеспечивает достижение поставленной цели, или нескольких целей в смежных областях деятельности. 5

Согласно COSO, внутренний контроль — это процесс, осуществляемый высшим органом предприятия, определяющим его политику (например, советом директоров, который представляет владельцев компании), его управленческим персоналом высшего уровня (менеджментом) и всеми другими сотрудниками, в достаточной и оправданной мере обеспечивающий достижение предприятием следующих целей:

  1. Целесообразность и финансовая эффективность6 деятельности (включая сохранность активов).
  2. Достоверность финансовой отчетности
  3. Соблюдение применимого законодательства и требований регулирующих органов.

Система внутреннего контроля, по оценке COSO, должна строиться из пяти взаимосвязанных компонентов:

  1. контрольная среда и нравственный климат,
  2. оценка риска,
  3. мероприятия контроля,
  4. сбор и анализ информации и передача ее по назначению,
  5. мониторинг и исправление ошибок

Основанный Лондонской Фондовой Биржей комитет под председательством Эдриана Кэдбери (Adrian Cadbury) в своих рекомендациях по разработке требований к Кодексу корпоративного управления, изданных в 1992 году, принял в общем идентичные COSO определения контроля. С 1995 года высшие органы управления всех предприятий, акции которых официально значились в листингах на фондовом рынке Великобритании, были обязаны ежегодно проверять и анализировать эффективность внутреннего финансового контроля7 и сообщать результаты этой проверки в специальном Ежегодном отчете директората. В 1998 году Лондонской Фондовой Биржей был издан Объединенный Кодекс Корпоративного Управления(Combined Code), который объединял в себе принципы, изложенные комиссией Кэдбери и принципы, относящиеся к роли и ответственности руководства компаний, изданные в 1995 году Комитетом Гринбери. В Объединенный Кодекс было включено требование о проверке и подготовке отчета всех трех перечисленных COSO типов контроля, а не только финансового контроля. Документы по корпоративному управлению, действующие в Великобритании не добавили ничего существенного к понятийному аппарату внутреннего контроля, однако само признание данных рекомендаций обязательными для значительного количества компаний, акции которых торгуются на фондовом рынке этой страны, сыграло значительную роль для осознания их важности.

В 1995 году Совет по критериям контроля (CoCo) Канадского Института Дипломированных Бухгалтеров опубликовал Руководство по контролю. В полном соответствии с принципами COSO, в руководстве были детально разработаны 20 критериев эффективного контроля, разбитые на 4 категории: Назначение; Обязательства; Возможности; Наблюдение и Обучение. Руководство призывало органы управления компаний обосновывать оценку эффективности контроля по каждому из 20 критериев. В CoCo нашла отражение также мысль о том, что ошибки в распознавании и использовании возможностей должны рассматриваться как особый вид риска, который должен специально оцениваться.

В том же 1995 году была первая попытка создания официального нормативного документа по управлению рисками — Стандартов Австралии и Новой Зеландии по Управлению Рисками (ANZ Risk Management Standard). В основе его концепции лежали известные принципы оценки риска в таких областях как безопасность мореплавания, мостостроение и ядерная безопасность. Пересмотренные стандарты AS/NZS 4360 были изданы в апреле 1999 года.

«Цели контроля за информационными и связанными с ними технологиями» (CobiT, Control Objectives for Information and Related Technology), впервые опубликованные в 1996 году, были попыткой на международном уровне установить стандарты безопасности и контроля в сфере информационных технологий. Документ использовал интегрированную модель контроля за информационными технологиями для поддержки бизнес-процессов, предложенную Ассоциацией Аудита и Контроля Информационных Систем (Information Systems Audit and Control Association, ISACA). Последняя редакция этого документа была опубликована в июле 2000 года.

Пожалуй, одним из наиболее последовательных институтов в применении модели COSO является Базельский комитет по банковскому надзору, признанный законодатель моды в области банковского регулирования. В 1998 году он выпустил два документа («Основы оценки системы внутреннего контроля» и «Система внутреннего контроля в банках: основы организации», Публикации №33 и 40), посвященных оценке эффективности внутреннего контроля в банках.8 Базельский комитет предложил для всех органов надзора набор принципов, согласно которым должна строиться оценка адекватности систем внутреннего контроля банка за всеми балансовыми и внебалансовыми инструментами. Три основные цели, к достижению которых должна стремиться кредитная организация путем создания эффективной системы внутреннего контроля, совпадали с основными целями внутреннего контроля в модели COSO.

Комитет представил 13 принципов, соблюдение которых необходимо для достижения эффективного внутреннего контроля. Эти принципы были сгруппированы в пяти категориях, совпадающих с предложенными COSO, и одной специфической, характерной для сложившейся в мире стандартной двухуровневой банковской системы — Оценка состояния системы внутреннего контроля органами банковского надзора.

В июле 2000 года и августе 2001 были изданы также рекомендации «Внутренний аудит в кредитных организациях и отношения регулирующих органов с внутренними и внешними аудиторами» и «Внутренний аудит в банках и взаимоотношения регулирующих органов и аудиторов» (Публикации №72 и 84). Дальнейшее развитие концепция риск-ориентированного внутреннего контроля получила в документах Базельского комитета, посвященных управлению операционным риском. В этих документах частично нашли отражение и многие новые идеи, изложенные в последней разработке COSO – «Концепции управления рисками предприятия» (Enterprise Risk Management Framework).

Enterprise Risk Management Framework является дальнейшим развитием модели COSO, и в значительной мере — ответом профессионального сообщества на осложнение обстановки в связи с ростом угрозы терроризма и громкими банкротствами международных компаний последних лет, вызванными некорректностью их финансовой отчетности. В настоящее время Enterprise Risk Management Framework проходит этап публичного обсуждения и будет издана в окончательном виде в начале 2004 года.

3. «Возможное возражение против этого плана: слишком много ревизоров, слишком много надзора, слишком много начальства, имеющего право требовать немедленного ответа и отрывающего служащих от своей прямой работы»9

Постепенный отход российских регулирующих органов и финансовых учреждений от использования концепции тотального контроля, происходящий на наших глазах, пока не завершился выработкой общепринятой концепции внутреннего контроля, близкой к модели COSO. Для Банка России и ФКЦБ среди всех целей внутреннего контроля наиболее значимой остается цель обеспечения соответствия деятельности кредитных организаций его нормативным актам и достоверность отчетности. Для работающего финансового института более важным является достижение поставленных им самим целей и оптимизация связанных с этим затрат, то есть оба аспекта эффективности деятельности. Значит, и существующий внутренний контроль будет, прежде всего, ориентироваться на эти цели, тем более что несоответствие регулирующим документам может рассматриваться как один из видов рисков – важный, но не единственный.

Согласованное принятие регуляторами и их подопечными концепции COSO могло бы разрешить такое противоречие. С точки зрения модели COSO, главной целью выпуска регулирующими органами нормативных документов должно являться снижение уровня системных рисков в финансовой системе страны, путем проецирования смягчающих риски контролей на уровень каждого конкретного финансового института. Никто не может гарантировать, что однажды придуманный финансовыми властями контроль реально смягчит воздействие риска в современных, весьма изменчивых условиях, если система не будет получать сигналы об уровне риска по каналам обратной связи.

С другой стороны, внедрение компонентов системы внутреннего контроля, необходимых по модели COSO для ее эффективного функционирования, может оказать на деятельность финансовой организации существенное позитивное влияние, поскольку предоставляют и менеджменту, и владельцам возможность сконцентрироваться на постановке и достижении целей предприятия (куда развиваться, какие и кому финансовые услуги предлагать с учетом присущих им рисков, и т.д.), а не на текущем процессе банковской деятельности.

Однако для формирования эффективного внутреннего контроля необходима воля и согласованная работа менеджеров и владельцев банка. Естественной реакцией персонала банка на усиление системы внутреннего контроля будет определенное противодействие, явное или скрытое. Во-первых, в силу инерции. Во-вторых, в силу свойственного значительной части россиян отношения к контролируемому как к потенциальному объекту присвоения («что охраняешь, то и имеешь»). В-третьих, в силу не забытого еще опыта по подмене самого строгого контроля формальными отписками. В четвертых, из-за отсутствия опыта распознавания рисков и возможностей, и т.д. К тому же, как представляется, любой контроль просто невыносимо мешает работе.

В этом есть своя правда – ориентированный на риск внутренний контроль мешает работать по-старому, поскольку при встраивании контролей в повседневную деятельность существенно изменяется как сам процесс работы, так и критерии оценки персонала. Нельзя забывать и совет Никколо Макиавелли о том, что «должно быть твердо усвоено, что нет ничего более сложного для осуществления, более сомнительного для успеха и более угрожающего для ведения дел, чем инициировать изменения».

Разумеется, концепция ориентированного на риск внутреннего контроля описывает идеал, к которому нужно стремиться. Как же менеджерам и регулирующим органам оценить эффективность и адекватность системы внутреннего контроля?

Учитывая, что одним из основных постулатов COSO является прямая ответственность как совета директоров (т.е. органа, представляющего интересы владельцев и устанавливающего исходя из этого общие принципы деятельности предприятия), так и менеджмента (т.е. исполнительного органа предприятия и его руководителей) за создание и обеспечение эффективного осуществления внутреннего контроля, можно сказать, что система внутреннего контроля может быть признана эффективной только когда:

  • Утверждены и периодически пересматривается владельцами (Советом директоров) документы, устанавливающий стратегию и политику финансовой организации в области внутреннего контроля:
    • установлены основные виды деятельности организации
    • идентифицированы основные неотъемлемые риски, связанные с основными видами деятельности
    • установлены приемлемые уровни риска, который может (должен) принимать на себя организация и его подразделения для достижения поставленных целей
    • определены основные методы контроля и структура контроля, не позволяющие превысить установленные уровни риска
  • Утвержденная стратегия и политика внедряется менеджментом в практику на базе оценки рисков:
    • проводится идентификация, оценка и контроль внутренних и внешних факторов, которые могут неблагоприятно повлиять на достижение организацией поставленных целей (идентификация, мониторинг и контроль за рисками)
    • утверждена организационная структура и распределение полномочий
    • разрабатываются необходимые процедуры и процессы, направленные на выявление, отслеживание изменений и контроль за рисками
    • планируется и контролируется деятельность по мониторингу эффективности системы внутреннего контроля
    • в организации создана контрольная среда, которая выражает и демонстрирует персоналу всех уровней важность внутреннего контроля и соблюдения этических норм
  • Создана необходимая инфраструктура, позволяющая обеспечить эффективность контролей:
    • процедуры контроля реализуются на всех уровнях управления
    • осуществляются периодические проверки обеспечения соответствия всех областей деятельности установленным политикам и процедурам
    • обеспечивается встроенность мероприятий контроля в ежедневные операции
    • обеспечено разделение обязанностей и отсутствие конфликтов интересов при выполнении персоналом своих обязанностей
    • обеспечена адекватность, полнота и достоверность внешних рыночных данных о событиях, которые могут повлиять на принятие решений
    • обеспечена адекватность, полнота и достоверность финансовой и управленческой отчетности
    • обеспечено соответствие операций действующему законодательству
  • Созданы эффективные и безопасные каналы доведения информации :
    • весь персонал предупрежден о существующих политиках и процедурах, касающихся их обязанностей и ответственности
    • обеспечена адресация и быстрота доведения необходимой информацией до соответствующего персонала
    • обеспечено соответствие уровня информационных систем и всех видов деятельности организации
    • обеспечена безопасность информационных систем, осуществляется их периодическая проверка
  • Проводится независимый мониторинг эффективности системы внутреннего контроля:
    • проводится на ежедневной основе мониторинг наиболее рискованных операций
    • проводится оценка влияния на операции организации каждого вида риска по отдельности, и всеобъемлющая оценка риска с учетом существующих методов и мер контроля
    • обеспечено проведение эффективного и всеобъемлющего внутреннего аудита системы внутреннего контроля независимыми в функциональном отношении, адекватно подготовленными и компетентными сотрудниками
    • обеспечено своевременное доведение информации о недостатках внутреннего контроля до управляющих соответствующего уровня и ее правильная адресация,
    • обеспечено доведение до менеджмента и Совета директоров информации о существенных недостатках внутреннего контроля и оценка ее эффективности.

Таким образом, при определении эффективности и адекватности системы внутреннего контроля должны в первую очередь учитываться не конкретные формы, методы и технологии контроля, не количество людей, занятых контролем, количество проведенных ими проверок или выявленных ошибок, а действия (или бездействие) менеджмента и владельцев предприятия, направленные на встраивание внутреннего контроля во все бизнес-процессы, своевременную оценку рисков и эффективности мер контроля, применяемых для смягчения их воздействия. В этом смысле выявление недостатков или нарушений может являться сигналом о возможной проблеме, связанной с отсутствием или неправильной работой контроля, и этот сигнал требует глубокого анализа причин и понимания бизнес-процесса. А если после каждого выявленного нарушения требований нормативных документов, даже незначительного с точки зрения реального риска, упоминать о плохой работе службы внутреннего контроля, она лучше не заработает: согласно восточной пословице, «сколько не говори «халва» — во рту слаще не станет».

Для владельцев и менеджмента важно установить такие правила разработки процедур, которые не позволят выпустить на рынок новые услуги без учета всех неотъемлемых рисков и встраивания в процессы адекватных рискам мер контроля. Необходимо определить, будет ли персонал, осуществляющий функции независимого повседневного контроля, организационно входить в штат операционных подразделений, или должен быть выделен в отдельную структуру. Нужно определить такую линию подчинения внутреннего аудита, порядок и периодичность проведения им проверок и информирования о полученных результатах, чтобы обеспечить в рамках конкретной организации приемлемый уровень ее независимости, и при необходимости поддержать ее действия своим авторитетом.

И, в идеале, получить после проверки от регулирующего органа не перечень нарушенных пунктов инструкций и предписание о «приведении в соответствие», а квалифицированную оценку как специфических, относящихся к конкретной финансовой организации, так и системных рисков. Тогда и наказание может быть оправданным.

К сожалению, путь к идеалу еще далек. Поэтому и остается главным один вопрос: как скоро регулирующие органы смогут отойти от концепции тотального контроля и будут на практике применять к оценке эффективности внутреннего контроля финансовых организаций модель COSO и рекомендации Базельского комитета.


  1. В.И.Ленин (ПСС, т.36, с.178). Заголовки разделов являются цитатами из произведений и материалов В.И.Ленина, посвященных вопросам создания системы управления и контроля в Советской республике в 20-е годы прошлого столетия («Очередные задачи Советской власти», «Как нам реорганизовать Рабкрин», «Лучше меньше да лучше»). История развивается по спирали…
  2. Под «предприятием» здесь и далее понимается не завод или фабрика, а, согласно Далю, «…что предпринимается, самое дело», т.е. смысловой аналог англоязычного понятия business.
  3. см. русский перевод стандартов на сайте Российского отделения IIA: Стандарты
  4. В.И.Ленин (ПСС, т.45, с.447)
  5. Предпосылки, принятые во внимание COSO при разработке модели внутреннего контроля, цитируются по разделу «Key Concepts» на сайте www.coso.org в неофициальном переводе.
  6. Понятие «эффективность» в английском языке выражается двумя разными понятиями – «effectiveness» и «efficiency», причем первое относится более к целесообразности процесса, т.е. к способности достигать ожидаемых результатов, а второе – к способности оптимизировать затраты (ресурсы, денежные средства, время) т.е. к финансовой эффективности. COSO употребляет для описания эффективности оба понятия.
  7. Под финансовым контролем обычно понимается контроль финансовых и связанных с ними аспектов деятельности и управления компании с применением таких специфических форм и методов, как ведение главной бухгалтерской книги, открытие и использование счетов, подготовка финансовой и управленческой отчетности, подготовка бюджета и политики расходов компании или его подразделений и т.д. Возглавляет это направление деятельности компании Финансовый контролер, роль которого существенно отличается от роли Главного бухгалтера российских предприятий.
  8. Неофициальные переводы публикаций Базельского комитета №40 и 84 были рекомендованы Банком России кредитным организациям для использования в работе Письмами № 87-Т от 10.07.2001 и №59-Т от 13.05.2002 соответственно.
  9. В.И.Ленин (ПСС, т.45, с.442)

08.08.2017

Все ли операционные риски следует контролировать и предотвращать? Как оценить, что контрольные процедуры выполнены должным образом? Разбираемся с Андреем Коптеловым.

Если вам кажется, что у вас все под контролем, вы просто еще не набрали скорость.


Марио Андретти, участник гонок «Формула 1»

Пока гром не грянет, мужик не перекрестится, — эта пословица прекрасно описывает российскую специфику управления операционными рисками. К сожалению, наши компании нередко отличаются слабым уровнем работы с операционными рисками и полным отсутствием системы внутреннего контроля. Исправить данный недостаток можно, применяя к бизнес-процессам компании методологию американского законодательства SOX (Sarbanes-Oxley Act)

Что такое операционный риск

Операционный риск, можно определить как риск прямых или косвенных убытков в результате неверного исполнения бизнес-процессов, неэффективности процедур внутреннего контроля, технологических сбоев, мошенничества, несанкционированных действий персонала или внешнего воздействия.

Ключевой идеей системы управления операционными рисками является определение наиболее вероятных и серьезных в части ущерба рисков и последующее изменение существующих бизнес-процессов с целью недопущения реализации данных рисков или минимизации последствий в случае, если риск все-таки реализовался.

По статистике среднестатистическая компания теряет 5% прибыли только из-за мошенничества, тогда как потери из-за других видов операционных рисков в разы больше. Смысл системы управления операционными рисками хорошо иллюстрирует следующее определение: управление операционными рисками – это возможность не терять значительные деньги по незначительным поводам.

Многие операционные риски отличает от финансовых и кредитных рисков тот факт, что их источник лежит внутри самой организации. А, значит, вероятность реализации операционных рисков может быть снижена за счет устранения причин, их порождающих. Операционные риски в основном приводят к неоправданным потерям. Поэтому, в случае их обнаружения и устранения, компания получает ощутимую выгоду с точки зрения повышения качества внутренних бизнес-процессов и снижения неоправданных потерь.

Формализация операционных рисков

Формализация операционных рисков необходима для превентивного определения тех точек в бизнес-процессах, где с высокой вероятностью может произойти нештатное событие. Однако на практике некоторые российские компании даже в случае многократной реализации операционного риска так и не предпринимают никаких мер для исключения его в будущем.

Тут можно привести известный афоризм, что грабли бывают двух видов: первые чему-то учат, и вторые — мои любимые. Именно поэтому в рамках управления операционными рисками, помимо формализации операционных рисков в специальном реестре или даже в специализированной информационной системе, рекомендуется создавать базу убытков, чтобы заносить в нее случаи реализации рисков в компании, а также понесенный ущерб. Такая практика позволяет анализировать причины рисков и специальными мероприятиями снижать вероятность их реализации в будущем.

Первый шаг — создание реестра операционных рисков, вести который следует поручить экспертам из подразделений компании или внутренним аудиторам. А после того, как ключевые риски собраны, можно начать накапливать статистику по случаям их реализации, чтобы определить первоочередные мероприятия по их предотвращению.

Сложным вопросом в части выявления операционных рисков является доказательство полноты выявленных рисков, и тут наиболее просто использовать отраслевые реестры рисков, которые, как правило, собираются аудиторами. Использование отраслевых реестров операционных рисков позволяет выполнить формализацию операционных рисков в бизнес-процессах на порядок быстрее, чем использование экспертных методов сбора операционных рисков от своих сотрудников и руководителей.

Оценка операционных рисков

Учитывая, что в крупной компании количество операционных рисков может смело перевалить за тысячу, то нужен простой способ их оценки и ранжирования для определения наиболее критичных рисков, с которыми придется бороться в первую очередь.

Управление всеми найденными операционными рисками экономически невыгодно для компании. Проще смириться с убытками, которые вызывают риски с небольшим ущербом и низкой вероятностью реализации, чем проектировать и внедрять мероприятия по их предотвращению. Именно поэтому ключевой задачей оценки операционных рисков является отсечение тех рисков, которые с высокой степенью вероятности не оправдают дальнейших затрат на их предотвращение.

Существует множество подходов к оценке рисков, однако самым простым является экспертное ранжирование рисков по двум критериям: вероятность реализации риска и объем ущерба от случая реализации. Данная оценка производится на основании мнений экспертов, которые анализируют вероятность и ущерб для всех операционных рисков, актуальных для компании.

После того как оценка проведена, можно использовать четыре стратегии управления операционными рисками. Первая, самая применяемая в России, называется «принимать»: риски принимаются к сведению, но действия по их минимизации не планируются. Вторая стратегия — «страховать»: особенно часто эту стратегию используют для маловероятных рисков с серьезным ущербом. Третья стратегия называется «избегать»: в этому случае компания отказывается от рискованных бизнес-процессов, либо сосредоточивает максимальные усилия на оптимизации данных процессов в части снижения ущерба и его вероятности. Четвертая стратегия называется «предотвращать» и требует построения контрольных процедур для минимизации высоко вероятных рисков со средним или малым ущербом.

Построение системы внутреннего контроля

Для недопущения реализации рисков или минимизации последствий используется система внутреннего контроля, в рамках которой не только определяется ответственный за операционный риск, но и создается контрольная процедура, которая внедряется в существующий бизнес-процесс.

Контрольная процедура — это действие, которое помогает удостовериться, что все необходимые меры в отношении предотвращения случаев реализации операционных рисков приняты. При этом, чтобы проверить работоспособности контрольной процедуры, важно также получить свидетельство контроля — документальное подтверждение факта ее исполнения.

Наиболее результативными считаются превентивные контрольные процедуры, которые позволяют минимизировать саму вероятность наступления рискового события. Однако для повышения надежности бизнес-процесса их часто применяют одновременно с детективными процедурами. Например, наряду с процедурой изъятия карточки-пропуска при увольнении сотрудника должна существовать контрольная процедура сверки списка сотрудников, которым закрыт доступ по их карточкам-пропускам, со списком уволенных за определенный период.

Для создания контрольной процедуры в бизнес-процессе нужно ответить на следующие вопросы:

  • Когда и как часто выполняются процедуры контроля?
  • Кто выполняет контрольную процедуру?
  • Что необходимо выполнить в процедуре контроля?
  • Как понять, что процедура контроля выполнена правильно?
  • Как процедура контроля документирована?
  • Какие свидетельства выполнения процедуры контроля существуют?
  • Где расположены контрольные точки в бизнес-процессах?

При проектировании контрольной процедуры в обязательном порядке необходимо предусмотреть необходимость создания свидетельств контроля, подтверждающих факт правильного выполнения контрольной процедуры. На практике свидетельством контроля может являться акт сверки, log-файл информационной системы, — все то, что подтвердит факт успешного выполнения контрольной процедуры сотрудником или информационной системой.

При этом нужно учитывать, что ручной контроль требует серьезных трудозатрат, и поэтому автоматизация контрольных процедур является ключевым направлением развития системы внутреннего контроля в последнее время. Чем больше в компании автоматизированных контрольных процедур, результаты выполнения которых видны в log-файлах информационных систем, тем эффективнее и, главное, дешевле, система внутреннего контроля.

Тестирование эффективности системы внутреннего контроля

Чтобы быть уверенным в том, что система внутреннего контроля эффективна, необходимо с определенной периодичностью проверять, как на практике выполняются контрольные процедуры. Данная проверка осуществляется с помощью специализированных тестов, которые состоят из следующих шагов:

Сначала устанавливается наличие регламента, где определяется порядок, правила выполнения данного бизнес-процесса и соответствующих контрольных процедур.

Далее проверяется выполнение на практике требований, описанных в документе, и документируются конкретные примеры выполнения.

По результатам проведенного теста принимается решение об эффективности или неэффективности анализируемых контрольных процедур.

Дополнительной сложностью в тестировании является требование, чтобы тестирование выполнялось сотрудниками, не участвующими в проверяемых бизнес-процессах. Тысяча тестов, которые необходимо выполнить в течение месяца, — это нормальная ситуация для системы внутреннего контроля крупной компании. При этом количество проводимых тестов зависит от количества экземпляров бизнес-процессов, проходящих через проверяемую контрольную процедуру. Таким образом, периодичность проведения тестирования устанавливается в зависимости от критичности операционных рисков и частоты исполнения бизнес-процесса и может варьироваться.

В существующих условиях количество трансакций в деятельности крупной компании достигает сотен тысяч в день, а число операционных рисков превышает несколько сотен. При этом достаточно сложно отследить эффективность выполнения контрольных процедур на ручном уровне, поэтому единственным эффективным путем является максимальная автоматизация как контрольных процедур, так и проверочных тестов.

Почему нужно равняться на методологию SOX

Анализ разных подходов к построению систем внутреннего контроля показал, что максимально жесткой и проработанной в части внедрения является именно методология закона SOX, которая предназначена для минимизации нарушений, связанных с финансовой отчетностью. Только в системе внутреннего контроля, построенной по требованиям SOX, можно обнаружить не только контрольные процедуры и свидетельства контроля, но и специализированные тесты, с помощью которых в регулярном режиме проверяют эффективность работы контрольных процедур.

При этом вся система, помимо внутренних тестов, дополнительно контролируется внешним аудитором. Его задача — выборочно проверять не только качество оценки операционных рисков, но и правильность работы контрольных процедур, существование свидетельств контроля, а также регулярность внутреннего тестирования системы.

И хотя внедрение такого объема контрольных процедур и тестов часто слишком дорого для компании, в тех бизнес-процессах, над которыми нужно установить максимальный контроль, можно использовать методологию SOX в полном объеме.

Статья  http://www.e-xecutive.ru/management/practices/1985953-kak-postroit-sistemu-vnutrennego-kontrolya


Приглашаем вас на обучение по программе профессиональной переподготовки «Операционная эффективность бизнеса и совершенствование бизнес-процессов». ← Назад к списку

Внутренний контроль — это процесс, который направлен на получение достаточной уверенности в том, что экономический субъект работает результативно и эффективно. СВК призвана на каждом участке, в каждом бизнес-процессе компании минимизировать риски путем выстраивания контрольной среды и адекватного реагирования на выявленные угрозы.

СВК работает эффективно, если собственник и/или руководство организации на любом этапе могут осуществлять контроль. И контроль этот должен быть оперативным. При этом не нужно полного погружения в каждый бизнес-процесс (иначе руководство просто «утонет» в деталях), нужна краткая аналитическая информация, позволяющая принимать решения для улучшения ситуации.

Какие недостатки СВК часто встречаются на практике?

1. Недостаточность контроля

Некоторые важные объекты контроля (их составляющие) не попадают «в поле зрения». Например, некоторые компании строго следят, чтобы не было недоплаты налогов, но совершенно не замечают их переплаты, а иногда сотрудники необдуманно принимают предложения налоговых органов и лишают компанию положенных ей средств.

Об ошибках и эффективных стратегиях при общении с налоговой >>

2. Нет четкого определения ответственных

Может получиться так, что ущерб есть, а виновных работников как бы нет. Что особенно опасно сегодня для руководителей и владельцев бизнеса, т.к. при определенных обстоятельствах им может быть предъявлено умышленное создание условий для ухода от налогов и другие нарушения, а это может повлечь уголовную ответственность. Кроме того, участились случаи привлечения руководителей и собственников компаний к субсидиарной ответственности по долгам компаний.

Подробнее о рисках субсидиарной ответственности руководителей >>

3. Нет стандартизированных процедур контроля

В итоге каждый контролирует, как и когда ему удобно. Так, например, распространенным нарушением является проведение формальной инвентаризации, что создает благодатную почву для хищений и злоупотреблений. Нередко в аудиторской практике встречаем ситуации, когда длительные периоды контроль может вообще отсутствовать.

О чем рассказал собственнику тайный аудит его компании >>

Рекомендации по усилению СВК

1. Сфокусировать контрольную деятельность

Определите четко объекты контроля, к которым должно быть пристальное внимание. Они индивидуальны для каждой организации и полезно не ограничиваться «стандартными» сферами (например, учет ТМЦ). Включите сюда все, что так или иначе влияет на эффективную деятельность организации. Например, это может быть контроль за соблюдением скидочной политики компании, оценка последствий предоставления скидок и т. д.

2. Детализировать контрольную деятельность

В отношении каждого объекта контроля полезно осветить 3 вопроса:

Как будет проходить контроль?

Например, какая методика будет использоваться, какие документы/действия будут проверяться, как часто и т. д.

Что является «границей нормы»?

Нарушения каких требований или отклонение от каких показателей станет тревожным сигналом.

Каким образом должны фиксироваться/устраняться нарушения?

Иными словами, какие действия должен совершить проверяющий, если заметит риск.

3. Персонифицировать контрольную деятельность

Исходя из предполагаемой методики контроля и борьбы с рисками/нарушениями нужно определить для каждого объекта контроля квалифицированных ответственных лиц.

Также важно избегать и другой крайности — «задвоение ответственности»: когда одна и та же контрольная функция по одному и тому же объекту закрепляется за разными работниками. Но важно заранее подумать, кто будет осуществлять контроль в случае временного отсутствия контролирующего лица (отпуск, например).

Также, полезно четко определить подотчетность лица, осуществляющего контроль. Кому и как этот работник будет докладывать о результатах контрольной деятельности?

Рекомендуем обратить особое внимание на документирование ключевых вопросов внутреннего контроля (кто, что, когда и как контролирует, какие действия совершает при обнаружении нарушений).Ответственные лица обязательно должны быть ознакомлены с соответствующими документами под роспись.

Пример 1.

Если в вашей компании множество договоров, множество контрагентов — очень полезно разработать инструкцию по работе с договорами.

В инструкции должен содержаться порядок согласования и подписания любого договора. Инструкция сократит возможность подделки договоров, включения неправомерных, кабальных условий и др. риски.

Также в этой инструкции можно предусматривать порядок оплаты: каким образом оплачивается счет по договору, каким образом списываются денежные средства (порядок согласования оплаты, например).

Пример 2.

Все организации, у которых имеется большой склад с товаром и присутствует большой товарооборот, просто обязаны иметь договоры о материальной ответственности.

Они могут быть заключены с каждым физическим лицом, могут быть коллективными: если склад очень большой и много кладовщиков и др. материально ответственных лиц.

В случае выявления какого-то ущерба, недостачи каждый работник склада понимает меру своей ответственности за товар.

Также обязателен регламент проведения инвентаризации. Инвентаризация должна проводиться чем чаще, тем лучше. Хотя бы раз в квартал. Инвентаризацию должны проводить не менее 3-х человек, назначенных приказом руководителя. Эти работники должны ответственно подходить к пересчету и составлению документов.

В регламенте нужно прописать не только порядок и сроки проведения инвентаризации, но и порядок утверждения ее результатов, каким образом они представляются руководству. Руководитель должен ознакомиться с тем, что выявлено по итогам инвентаризации — недостача или, наоборот, избыток, пересортица и т. д., и принять дальнейшие решения.

СВК и регламентирующие ее документы должны быть актуальны как в части организационных изменений (например, своевременная замена контролеров в случае их увольнения), так и в части обнаружения новых объектов контроля, возможностей для роста эффективности компании и т. д.

Наш многолетний опыт проверок показывает, что работы только СВК недостаточно: в 93 % случаев при комплексном аудите компаний обнаруживаются не выявленные риски и резервы, а в некоторых случаях и корпоративные мошенничества.

Почему даже хороший внутренний контроль не может решить всех проблем?

Мы рекомендуем держать СВК «в тонусе» путем периодических проверок внешних контролеров (речь, конечно, не о налоговой инспекции). Эти проверки не разрушат СВК и доверие к ней, они повысят качество ее работы. И только в такой ситуации возможно достижение синергетического эффекта, когда 1+1 = 11.

Узнать за минуту стоимость комплексного аудита >>

Ну а если вы заметили:

  • рост расходов при прежней выручке;

  • рост расходов на персонал при сокращении численности;

  • просроченную задолженность по выданным займам;

  • отсутствие четких критериев выбора поставщиков;

  • стопроцентную предоплату при закупках, если были иные условия с теми же поставщиками;

  • увеличение дебиторской задолженности при снижении выручки;

  • необоснованные скидки и отсрочки контрагентам;

  • иные действия и ситуации, которые идут «вразрез» с интересами компании,

советуем вам незамедлительно провести форензик и убедиться, что у указанных фактов все-таки есть какие-то объективные причины, либо выявить корпоративные мошенничества.

Итогом проверки является отчет с оценкой возможной величины ущерба, который может служить основанием для обращения в следственные органы и суды. Данные отчета позволяют принять необходимые управленческие решения для нивелирования рисков и потерь, а также для улучшения СВК.

Кейс

При оказании услуг форензика для крупного промышленного предприятия аудиторами «Правовест Аудит» выявлено совершение убыточных сделок, связанных с нецелевым использованием денежных средств.

По результатам проведенных процедур установлено, что в отдельные периоды Организация от исполнения некоторых договоров получила отрицательные финансовые результаты.

При анализе движения денежных средств Организации установлено, что в отдельных случаях при получении предоплаты от покупателя Организация направляла не все средства на закупку материала для исполнения заказа, частично денежные средства направлялись на погашение кредитных обязательств и на иные хозяйственные цели.

Нецелевое использование полученных авансов привело к завышению себестоимости реализованной продукции из-за роста цен на основной материал и, как следствие, привело к незапланированным убыткам.

Аудиторами рекомендовано проводить управленческое планирование, направленное на снижение производственных затрат, ужесточить контроль за использованием авансов.

Если собственник не может должным образом контролировать бизнес, то некоторые недобросовестные руководители могут воспользоваться этим, уводя выручку в свою фирму или создавая завышенные расходы, заключая ненужные договоры с самим собой (например, договоры займа под «нерыночные» проценты) или приобретая что-то у аффилированных лиц по завышенным ценам за «откаты». В нашей практике, к сожалению, нередко встречаются такие ситуации:

Неправомерные действия директора нанесли ущерб в размере 13 млн руб. >>

Раскрыта схема увода прибыли в размере 80 млн руб. >>

«Слабое звено» ценою в 500 млн руб. >>

Различия московского и петербургского течений русской школы бухгалтерского учета

Московская
школа

Петербургская
школа

  1. Счета
    – элементы баланса. Система счетов
    задана балансом, следовательно, учить
    нужно от баланса к счету.

1.
Баланс – следствие системы счетов,
учить нужно от счета к балансу.

  1. Баланс
    – упрощенная форма инвентаря.

2.
Баланс опирается только на счета и не
связан с инвентарем.

  1. Счета
    делятся на активные и пассивные.

3.
Все счета однородные (один ряд счетов)

  1. Двойная
    запись – следствие группировки счетов
    в балансе.

4.
Двойная запись – следствие группировки
закона мены

  1. Представители:

Н.С.
Лунский – автор балансовой теории
учета, занимался вопросами экономического
анализа.

Г.А.Бахчисарайцев
– сформулировал положения балансовой
теории в 31 тезис.

Ф.И.Бальмер
– занимался поднятием приестижа
бухгалтерской профессии.

5.
Представители:

Е.Е.Сиверс
– требовал попередельной калькуляции
(полуфабрикатный метод учета затрат).

А.И.Гуляев
– разработал учение о структуре
себестоимости.

Подводя
итоги эволюции бухгалтерского учета в
дореволюционной России, мы можем, к
чести его представителей, отметить, что
отечественная учетная мысль отвечала
уровню мировых стандартов, а во многом
и превосходила их.

Бухгалтерский учет за рубежом. XX в.

Бухгалтерский
учет в Германии

В
центре внимания немецких авторов были
проблемы баланса. Из него выводились
все другие учетные категории. При этом
для немецкой школы была характерна
механистическая трактовка баланса,
может быть, поэтому не случайно в центре
дискуссии оказался вопрос о статической
или динамической его природе.
Предполагалось, что в первом случае
баланс, отражая состояние средств на
определенную дату, выступает причиной
последующих изменений и призван
охарактеризовать финансовое положение,
во втором случае баланс — это только
итог прошлых усилий предприятия и должен
представить финансовый результат его
работы, в первом случае баланс устремлен
в будущее, во втором — в прошлое. Вся
немецкая школа балансоведения разделилась,
таким образом, на группы: сторонников
статического, динамического балансов
и компромиссного решения.

Статический
баланс.

Основным выразителем современной
трактовки статического баланса был Г.
Никлиш. Своеобразное развитие идей
статического понимания дали Т. Хольцер
и В. Ле Кутр.

Генрих
Никлиш (1876-1946) не столько создал, сколько
обобщил господствующие идеи предшественников
и современников. Это обобщение сводилось
к следующему: баланс — преобразованный
инвентарь, пассив включает счета
собственников и кредиторов, счета бывают
или активные, или пассивные.

Хольцер
(1936) свое учение о статическом балансе
назвал квантификационным балансом. При
определении сущности баланса Хольцер
исходил из его внешней формы, т.о. баланс
представляет собой две отдельные, равные
по сумме, группы счетов. Все счета Хольцер
делил на два ряда: имущества и капитала,
отсюда вытекает двойная запись,
систематизирующая бухгалтерскую работу.

Вершиной
статической трактовки был тотальный
баланс Вальтера Ле Кутра (1885-1965). Суть
баланса Ле Кутр определял так: «Баланс
показывает актив и пассив предприятия
в состоянии моментального покоя и
поэтому статичен по своей природе».
Название — тотальный, т.е. всеобщий,
поглощающий любые взгляды и выдвигающий
на первое место, в сущности, учетную
процедуру. Важно подчеркнуть, что
тотальный баланс должен был преследовать
несколько целей: 1) изображать имущество,
2) исчислять прибыль, 3) наблюдать
хозяйственные процессы, 4) входить в
состав отчетности, ибо сам баланс только
составная часть более общей категории
— «отчетность».

Также
необходимо подчеркнуть, что, согласно
Ле Кутру, тотальный баланс строится на
двух принципах: ясности (может прочесть
и понять содержание любое заинтересованное
лицо) и правдивости (составлен согласно
требованиям закона).

Динамический
баланс
.
Создателем учения о динамическом балансе
был выдающийся немецкий бухгалтер Эйген
Шмаленбах (1873 — 1955). Основу этого учения
составляет разграничение материальных
результатов и материальных затрат, с
одной стороны, и денежных результатов
(выручка) и денежных расходов (валовые
убытки), с другой стороны.

Шмаленбах
видел основную роль баланса в выявление
прибыли и отражении финансовых
результатов. Шмаленбах называл баланс
«аккумулятором сил» и в связи с этим
давал следующее его определение:
«Динамический баланс представляет
соотношение активного и пассивного
резерва сил, показывая финансовые
результаты с учетом временных отношений
между материальными и финансовыми
оборотами».

Идеи
динамического баланса были развиты Э.
Косиолем (1899 — 1990), который провел различие
между балансами предельными и
промежуточными. Под первыми (предельными)
он понимал начальный и заключительный
балансы предприятия, выступающие как
бы метрикой о рождении и свидетельством
о смерти предприятия. Под вторыми
(промежуточными) он понимал балансы,
составляемые за какой-то отрезок времени
работы предприятия: месяц, год и т.д.
Отправным пунктом теории Косиоля было
утверждение, что предметом бухгалтерского
учета выступают хозяйственные обороты.

В
рамках динамического направления
несколько особняком стоит автор
номинального баланса — В.Ригер (1878 —
1971). Он исходил из того, что баланс может
быть только финансовым и никаким другим.
В бухгалтерии, считал Ригер, существует
только денежная единица измерения и
никакой другой нет и не может быть. Таким
образом, по Ригеру, предметом учета
выступает движение денег, осуществляемое
в ходе хозяйственного процесса. Последний
предполагает оборот денег (Д — Т — Д),
цель оборота — получение прибыли.

Вследствие
этого задачей бухгалтерского учета
является наблюдение за оборотом денег.
Отсюда и первое правило Ригера.

Объектом
бухгалтерского учета может быть только
имущество, за которое заплачено
.

Ригер
считал возможным определить подлинную
прибыль фирмы только после ее ликвидации.
Отсюда второе правило Ригера.

Прибыль
предприятия есть разность между
средствами, полученными за все время
его существования, и средствами,
вложенными в него на момент открытия.

Под
затратами Ригер понимал только выдаваемые
денежные уммы фактического или
абстрактного порядка, а под доходами —
получаемые суммы. Отсюда третье правило
Ригера — общий принцип двойной записи.

Каждая
хозяйственная операция содержит два
элемента — прибыль и убыток
.

Органический
баланс
.
Его создатель Фриц Шмидт (1882 1950) исходил
из того, что любое предприятие — это
живой организм, и поэтому использовал
такие термины, как органический баланс
и органическая калькуляция. По Шмидту,
динамика включает равномерный процесс
кругооборота хозяйственных средств;
статика отражает моментную картину
динамического процесса. В соответствии
с этим бухгалтерский учет — это динамика,
бухгалтерский баланс — статика, а анализ
баланса — сравнительная статика. У
баланса две цели: отражение имущества
(статическая теория) и отражение
результата (динамическая теория). Поэтому
теория Шмидта считалась дуалистической.

Из
учения об органическом балансе Шмидт
выводил и учение об органической
калькуляции. Согласно его взглядам цель
калькуляции состоит в том, чтобы
определить действительный расход
материалов и услуг в текущих ценах. К
теоретическим принципам органической
калькуляции Шмидта надо отнести: 1)
приспособленность предприятия к
требованиям конъюнктуры рынка
(эластичность); 2) равномерность хода
производства и реализации готовой
продукции; 3) строгое разграничение
материального и имущественного учета
и учета результатов; 4) поддержание
производительности предприятия на
уровне не ниже среднего по народному
хозяйству. Подход Шмидта оказал огромное
влияние на развитие современного учета.

В
русле идей Шмидта находится учение так
называемой амстердамской школы. Ее
глава — Теодор Лимперг (1879 — 1961) —
выдвинул в 20—30 годах XX в. теорию, согласно
которой учет должен вестись не по
себестоимости и не по текущим ценам.
Отчетность должна отражать учитываемые
ценности по восстановительной стоимости.
Только это, по мнению Лимперга, позволит
предприятиям поддерживать жизнедеятельность.

Из
современных теоретиков выделим Мокстера.
Он обратил внимание на то, что в одних
случаях для бухгалтера важно знать
финансовое положение, в других —
финансовый результат. Поэтому в первом
случае необходим статический баланс,
во втором — динамический. В первом
случае актив и пассив строятся в оценке
на момент составления баланса, во втором
— в оценке реалистической, но относящейся
к прошлому времени. И вместо баланса
Мокстер предлагает переместить центр
внимания на финансовый отчет, в котором
сопоставляются ожидаемые доходы и
расходы, а также стоимость предприятия.

Бухгалтерский
учет во Франции

Французская
школа никогда не порывала связей с
юриспруденцией, хотя крупнейшие ее
представители шли от юридического
направления к экономическому. В XX в. под
влиянием позитивизма возникает так
называемое методологическое (чистое)
направление, а с середины века традиционные
французские идеи в области учета начинают
разрушаться под влиянием американских
идей.

Юридическое
направление
.
В XX в. его выразителями были Г. Фор, П.
Гарнье и Р. Саватье. Для Габриеля Фора
(1910) бухгалтерский учет — это наука о
методах регистрации фактов хозяйственной
жизни, совершаемых хозяйствующими
лицами. Счета, по его мнению, становятся
центральной категорией бухгалтерской
науки, которую Фор предлагал переименовать
в контологию, т.е. в науку счетов. Она
должна была обеспечить классификацию
фактов хозяйственной жизни, описать
события, интересующие предприятие, и
выявить их результат.

Пьер
Гарнье (1958) назовет учение Фора апогеем
юридической школы. Он пытался синтезировать
управленческую трактовку учета с
представлениями, традиционными для
французских авторов. Гарнье начинал с
понятия бухгалтерского факта. Все факты
он делил на юридические (договоры
поставки, купли-продажи, подряда, аренды
и т. д.), экономические (изменения цен,
тарифов, моды) и материальные (потери
от стихийных бедствий, хищений, износа
основных средств, утраты качества).

Все
счета делятся на две группы: счета
баланса (имущества — активные и пассивные)
и счета управления (результатные —
расходов и доходов предприятия). В основе
учета лежат два равенства:

Актив
— Пассив — Результат,

Доходы
— Расходы = Результат, откуда

Актив
— пассив = Доходы — Расходы = Результат

Существенными
были замечания Гарнье относительно
ценности информации. Гарнье сформулировал
следующий закон.

Ценность
бухгалтерской
информации убывает пропорционально
квадрату времени, потраченному на ее
получение.

Рене
Саватье (1967) — известный французский
юрист — уделял большое внимание учету.
Он постоянно подчеркивал, что бухгалтер
имеет дело не с имуществом, а с правами
на имущества. И в связи с этим «учет, — с
его точки зрения, — представляет собой
цифровое выражение динамики определенных
правовых ситуаций» Бухгалтерский учет,
таким образом, «представляет собой
главным образом отражение динамики
требований и обязательств». Требования
отражаются в активе, обязательства —
в пассиве баланса.

И
«баланс, — как гласит следующее
определение, — представляет собой
отражение в данных учета юридического
положения предприятия на данный момент.
Одна сторона баланса посвящена анализу
актива, другая — анализу пассива».

Экономическое
направление
.
Представители этого направления создали
четыре школы. Первая выводила учет из
понятия капитала (Ш. Пангло); вторая —
из категории стоимости (Ж. Б. Дюмарше,
Ж. Бурнисьен); третья — из хозяйственных
операций, или фактов хозяйственной
жизни (Р. Делапорт), и наконец, четвертая
— из определения предприятия (Ж. Фламминк,
Ж. Фурастье).

1.
Капитал — предмет учета.

Шарль
Пангло внимательно исследовал юридическую
теорию бухгалтерского учета. Анализируя
отношения между учетом и правом, Пангло
пришел к выводу, что интерпретация
первого как продолжение второго ошибочна:
«Учет, — писал он, — это надстройка,
право — базис. Учет завершает право, но
не тождествен ему». Бухгалтерский учет
— это раздел прикладной политической
экономии. «Бухгалтерский учет, — писал
Пангло, — зеркало капитала», и только
эта категория позволяет объяснить
природу счетов.

2.
Ж.
Б. Дюмарше и природа стоимости в
бухгалтерском учете.

Реакцией
на юридическое направление была
деятельность Жана Батиста Дюмарше (1874
— 1946). Он назвал свою теорию позитивной.
Учет, по мысли Дюмарше, — экономическая,
а не юридическая доктрина, оборотная
сторона политической экономии. Ее суть
сводится к осуждению принципов оценки
по себестоимости и заключается в том,
что посредством ряда регулирующих
(контрарных и дополнительных) счетов в
учете всегда поддерживаются две оценки
каждого предмета: по себестоимости и
по продажным ценам текущего дня.

Балансовое
уравнение Дюмарше (А= П + К) дало начало
теории трех рядов счетов, в соответствии
с которой все счета относятся не к двум
классам (активным или пассивным), а к
трем: счетам активов, пассивов и капитала.

Уподобляя
учет организму, Дюмарше, вводил специальный
раздел учета — органологию (греч. —
описание органов) счетоводства — учение
об организации, целях и работе различных
отделов бухгалтерии.

Рене
Делапорт (ум. 1942) предметом учета считал
движение ценностей во времени и
пространстве. Для него «бухгалтерия —
наука счетов, применяемых для регистрации,
группировки и классификации циклов
каких-либо хозяйственных операций с
целью получения информации, необходимой
любой науке, использующей учетные
данные». Главным в его теории была
трактовка бухгалтерии как комплекса
управленческих функций, которых он
насчитывал одиннадцать: 1) статистические,
2) экономические, 3) финансовые, 4)
юридические, 5) бюджетные, б) управленческие,
7) контрольные, 8) исторические, 9)
регистрационные (описательные), 10)
сигнализационные, 11) сравнительные
(аналитические).

3.
Управленческая
школа.

Ж.
Фламминк полагал, что центральное
понятие учета — предприятие в целом, в
едином и неразделенном комплексе. Он
подчеркивал, что только интеграция
бухгалтерского учета с наукой управления
дает бухгалтерии истинный смысл.

Наиболее
ярким и влиятельным выразителем
управленческой концепции был экономист
и социолог с мировым именем Жан Фурастье
(р. 1907). Для него бухгалтерский учет —
средство управления предприятием, это
и наука, и техника, которая имеет целью
регистрацию движения стоимости,
выраженной в денежных единицах и
представляющей определенные виды. Ему
принадлежит классическое определение:
«Бухгалтерский учет есть отрасль
современной науки, цель которой сводится
к исчислению в денежном выражении
стоимости имущества предприятия и
определению величины его собственного
капитала». Таким образом, бухгалтерский
учет, с точки зрения Фурастье, — средство
экономического наблюдения. Оно реализуется
с помощью счетов. Счета позволяют
привести все средства предприятия в
единую совокупность, ибо они фиксируют
стоимость.

4.
Методологическое
направление. Учетный позитивизм.

Развернутую
позитивистскую трактовку учета дал
Эмиль Руайо (1936) — убежденный инструменталист.
Он рассматривал все учетные категории
(прежде всего баланс, счета, двойную
запись) как своеобразные инструменты,
с помощью которых бухгалтеры познают
хозяйственный процесс. Наука, по Руайо,
преследует одну цель — совершенствование
инструментов; практика учета — пять:
1) констатация состава и движения
ценностей на предприятии; 2) выявление
расчетов с третьими лицами; 3) определение
результатов хозяйственной деятельности;
4) контроль деятельности агентов
предприятия; 5) представление информации
для юридического подхода к управлению
предприятием. Для достижения этих целей
используются две группы инструментов
— счетов: активные (ценностей и личные)
и пассивные (личные и собственника),
последние в свою очередь делятся на
счета капитала, счета резервов и счета
прибылей.

Самыми
яркими представителями методологического
направления были Э. де Фаж и Ж. Сиго.

Эжен
де Фаж де ла Тур (1928) уподоблял всю
хозяйственную деятельность предприятия
полю, имеющему две зоны — внешнюю и
внутреннюю. Каждая зона разделена, в
целях более четкого наблюдения за
движением ценностей, на отдельные
секторы. Внешняя зона — пассив, внутренняя
— актив, секторы — счета.

Жан
Сиго (1964) —считал, что в бухгалтерском
учете есть два аспекта, которые иногда
смешивают: отношения предприятия с
третьими лицами, корреспондентами
(внешние отношения) и отношения предприятия
с агентами (внутренние отношения). В
связи с этим Сиго делил все факты
хозяйственной жизни на внешние и
внутренние. Но главной заслугой Сиго
была идея контабилизации, т.е.
последовательного (поэтапного) включения
различных объектов учета в предмет
бухгалтерии. Контабилизация означает
поэтапность переложения на дифафическую
основу всех счетов и трансформацию
натуральных измерителей в денежные.
Именно контабилизация порождает
коллацию, т.е. соответствие данных
аналитического данным учета синтетического
(постулат Савари).

Учет
в США и англоязычных странах. XX в.

Теория
даже в начале XX в. мало интересовала
бухгалтеров англоговорящих стран. И
тем не менее в самом конце XIX в. в Америке
появился бухгалтер с мировым именем,
один из создателей научной бухгалтерии
Чарльз Эзра Шпруг (1842 — 1912). Серия его
статей, изданная под общим названием
«Алгебра счетов» признана классической,
а книга «Философия счетов» (1908) —
фундаментальной. Он был одним из первых,
кто стал в университетах читать курс
бухгалтерского учета.

Считая
предметом учета ценности, он описывал
их балансовым уравнением А = П + К,
интерпретируя эти элементы так: А — то,
что я имею, и то, кому я верю (дебиторы),
равно П — то, что я должен, плюс К — что
я стою. Эта была логическая база для
выведения двойной записи. Модель Шпруга
считается исходной современной теории
бухгалтерского учета. Однако она получила
две интерпретации. Первая принадлежит
персоналистической школе, вторая –
институалистской. Их расхождения связаны
с трактовкой счетов «Капитал» и «Убытки
и прибыли».

Персоналисты,
и прежде всего глава их школы В. Патон,
видели цель учета в выявлении финансового
положения предприятия, в то время как
главный институалист О. Мэй эту цель
видел в исчислении финансового результата.

Персоналисты
утверждали, что предприятию, в сущности,
безразлично, за счет каких средств —
собственных или заемных — развивать
свою деятельность. Цель предприятия —
увеличение его оборотов, постоянный
экономический рост, и , следовательно,
абсолютно безразлично, достигнут ли
этот рост за счет своего или привлеченного
капитала. Задача бухгалтера — прежде
всего, дать правильную оценку средств
предприятия и его прибыли. На практике
роль бухгалтера сводится к получению
и представлению данных об источниках
средств и их использовании, движении,
оборачиваемости.

В
соответствии с взглядами персоналистов
прибыль — только часть капитала и,
следовательно, счет «Прибыли и убытки»
— субсчет балансового счета «Капитал».
Экономическая мощь, определенная
правильно и независимо от источников
финансирования, — цель учета.

Заслугой
персоналистов можно считать то, что они
стали старательно дифференцировать
финансовые результаты. Э.Г. Фоле показал,
что прибыль может создаваться как в
результате работы предприятия, так и
за счет изменения конъюнктуры.

К
заслугам американских бухгалтеров
следует отнести доказательство того,
что прибыль, исчисленная в бухгалтерском
учете, не отражает экономического
содержания — действительного результата
хозяйственной деятельности. Осознание
этого привело крупных американских
ученых к четкому разграничению понятий
бухгалтерской и экономической прибыли.
Первое определяет прибыль как результат
реализации товаров или услуг, второе —
как следствие — результат «работы»
капитала.

Институалисты
искренне считали, что цель предприятия
— не рост капитала вообще, а рост
собственного капитала. В связи с этим
и задача бухгалтера сводится к выявлению
и раскрытию причин образования прибыли
и возникновения убытков. Счет «Прибыли
и убытки» имеет центральное значение
в системе счетов и должен публиковаться
наряду с балансом, который он превосходит
по своей информативности. Таким образом,
этот счет — не филиал счета «Капитал»,
а центральный в плане счетов, так как
показывает общий финансовый результат
предприятия. В основе учета, согласно
теории институалистов, должно лежать
не балансовое, а капитальное уравнение
А — П = К.

Счетные
теории
.
Различия в подходах персоналистов и
институалистов выявили необходимость
построения общей теории бухгалтерского
учета, вытекающей из логических постулатов
и потому принципиально не связанной с
практикой и ее обычаями.

Сейчас
можно выделить в теории учета следующие
парадигмы: социологическую, экономическую,
биховеристическую, психологическую,
информационную. Каждая из них демонстрирует
весьма своеобразный подход к проблемам
теории бухгалтерского учета.

Социологический
подход
.
Его сторонники А. Белкаой, А.Ч.Литтлтон,

Циммерман,
Н.М. Бедфорд понимали под целью учета
обеспечение справедливости по отношению
ко всем участникам хозяйственного
процесса. Они полагают, что каждое
теоретическое положение учета влияет
на общество и каждое положение должно
приниматься или отвергаться в зависимости
от противоречивых интересов различных
общественных групп и социального эффекта
этого положения.

Экономический
подход
.
Представители этого направления Миллер,
С. Зефф, М. Мунитц) считают, что цель
бухгалтерского учета заключается в
контроле и оценке экономических
показателей, в обеспечении условий для
достижения максимальной эффективности
производства. В связи с этим руководство
предприятия должно выбирать те
методологические бухгалтерские приемы,
которые обеспечивают рост национального
благосостояния.

Биховеристический
подход.

Его родоначальником можно считать К.Т.
Девине. Именно он обратил внимание на
то, что учетный процесс — это прежде
всего процесс поведения бухгалтеров в
различных служебных ситуациях, поэтому
цель учета — это выработка способов
влияния, воздействия на поведение
сначала бухгалтеров, а через них и на
всех лиц, занятых в хозяйственной
деятельности. Бухгалтер, с этой точки
зрения, объясняет, описывает и предсказывает
поведение этих людей. Методы бухгалтерского
учета должны выбираться в зависимости
от целей и поведения людей.

Психологический
подход
.
Самым ярким его выразителем можно
назвать Р. Антони. Психологический
подход учит тому, что понять бухгалтерию
— это значит понять и поставить под
контроль бухгалтера. Организация
бухгалтерского учета должна начинаться
с видения бухгалтером роли предприятия
и своего места в нем. Отсюда система
учета есть механизм, который позволяет
управлению выбрать его оперативные
объекты, распределить ответственность
за исполнение обязанностей и корректировать
нежелательные отклонения.

Информационный
подход
.
Ситуационная
(событийная) бухгалтерия
.
Ее основоположник Джордж Г. Сортер
полагал, что в основу предмета должно
быть положено информационное событие,
под которым он понимал элементарную
информационную единицу о факте
хозяйственной жизни. Выделение, поиск
таких единиц практически означает, что
по балансу можно реконструировать
хозяйственную жизнь предприятия за
отчетный период, а отчет о прибылях и
убытках трактовать как отчет о
хозяйственных операциях. Следовательно,
главное достоинство данных — их
полезность. Отсюда возникает понятие
релевантности — уместности, используемости
информации.

Структура
бухгалтерского учета
.

Самым
существенным обстоятельством организации
бухгалтерского учета США следует
признать деление его на финансовый и
управленческий. Практически финансовый
учет — это и есть бухгалтерский учет в
нашем понимании, а управленческий
представляет собой аналитический учет
к счету основного производства,
калькуляцию себестоимости, регистрацию
затрат агентами предприятия и во вторую
— преимущественно перспективный анализ
хозяйственной деятельности.

Управленческий
учет был создан инженерами и технологами,
но получил современную форму благодаря
трудам замечательного бухгалтера
Роберта Антони.

На
практике возрастание роли бухгалтерского
учета в американском обществе связано
с появлением специальной должности
контролера. В его функции входят:
разработка и проверка финансовых и
учетных директив, представление
отчетности, составление сметы и контроль
ее выполнения, составление нормативных
и фактических данных и их оценка. Эти
функции приводят к формированию на
предприятии, как правило, четырех учетных
отделов: 1) планового, 2) финансового, 3)
инвентарного (материального), 4)
производственного (калькуляционного).
Такая структура, в частности, способствовала
возникновению управленческого учета.

Учет
затрат
.

Главным
в управленческом учете стал учет затрат.
Его создателем можно считать Александра
Гамильтона Черча (1901). Гант (1909) привнес
в американский учет проблему определения
состава затрат, но основная заслуга
американских бухгалтеров связана с
возникновением четырех основных методов
учета затрат калькулирования готовой
продукции: стандарт-костс, директ-костинг,
центры ответственности и АВС метод.

Стандарт-костс.
Творцом нового направления в учете был
инженер Гаррингтон Эмерсон (1853 — 1931).
При данном методе учета готовая продукция
оценивается не исходя из фактической
себестоимости, а исходя из предварительно
рассчитанной нормативной себестоимости.
В конце отчетного месяца выявляется
фактическая себестоимость и рассчитывается
возникающая разница.

Идея
трансформировалась в два правила.

Все
расходы должны быть указаны в сопоставлении
со стандартами (нормативами);

Увеличение
и уменьшение при сравнении действительных
расходов со стандартами должно быть
расчленено по причинам.

Директ-костинг.
Данное направление часто связывают с
работой (1923) выдающегося экономиста
Джона Мориса Кларка (1884 — 1963). С 60-х годов
директкостинг стал преобладающим
методом учета затрат. Его сущность
заключается в том, что все издержки
делятся на две группы: переменные и
постоянные. В основу учета себестоимости
кладутся только переменные (прямые)
издержки. Косвенные расходы исключаются
из себестоимости, так как они вызваны
не столько непосредственным процессом
производства, сколько течением времени.

Центры
ответственности
.
Джон А. Хиггинс сформировал концепцию
центров ответственности, т.е. степени
ответственности определенных лиц за
финансовые результаты своей работы.
Учет по центрам ответственности имеет
цель — создать для администраторов
условия самоконтроля. Отсюда вытекает
и правило Хиггинса.

Каждую
структурную единицу предприятия
обременяют те и только те расходы или
доходы, за которые она может отвечать
и которые контролирует.

При
этом каждый центр может выполнять самые
различные функции (производства,
маркетинга, технических разработок,
учета, контроля и т.п.). Это связано тем,
что объектом учета в центре выступает
человек, агент, администратор, а не
отдельно взятые функции или средства.

АВС-метод.
Новейший подход к учету затрат предложен
Р. Капланом. Он совершенно по-новому
понимает объект калькулирования. Затраты
распределяются по производственно-управленческим
функциям. Определяется, например, во
что обходится хранение ценностей,
информационное обслуживание, переработка
материалов, реализация готовой продукции
и услуг и т.п.

Аудит
и развитие его постулатов
.

Первым
теоретиком аудита был англичанин Л.
Дикси, но человеком, вдохнувшим в него
подлинную жизнь, стал американец Р.Х.
Монтгомери (1872 — 1953). Именно он, развивая
идеи Дикси, называемые им бухгалтерским
аудитом, создал современную доктрину
«тестового аудита».

Лозунгом
Монтгомери была максима: лучше больше
и достаточно точно

(не точно, а достаточно точно).

Научное
описание проблем аудита началось с
формулирования его постулатов. Первые
восемь из них были выдвинуты Р.К. Маутцем
и Х.А. Шарафом. Следуя законам развития
науки, Маутц и Шараф предложили следующие
постулаты.

1.
Финансовая
отчетность может быть проверена
.
Если финансовая отчетность неадекватна,
не поддается проверке, то аудитор должен
отказаться от выражения мнения о ней.

2.
Конфликт
интересов между аудиторами и администрацией
не является неизбежным.

Т.к. аудитор и администрация предприятия
преследуют одну и ту же цель: представление
достоверной отчетности –

должна
быть создана атмосфера доверия между
проверяющим и проверяемым, а при наличии
конфликта интересов аудитор должен
отказаться от выражения мнения.

3.
Финансовая
отчетность и подтверждающие ее документы
не содержат преднамеренных или иных
необычных искажений
.

4.
Удовлетворительная
система внутреннего контроля уменьшает
вероятность ошибки.

Объективность отчетных данных прямо
пропорциональна эффективности внутреннего
контроля. Поэтому организация эффективно
функционирующего внутреннего контроля
на предприятии служит основанием для
уменьшения объема проверки.

5.
Постоянное
следование стандартам учета позволяет
создать объективное представление о
финансовом состоянии и результатах
хозяйственной деятельности
.
Составление отчетности по единым
стандартам позволяет аудиторам иметь
единый критерий в высказывании мнения.

7.
Мнение
аудитора зависит только от его компетенции
.
Объем знаний аудитора о деятельности
клиента и уровень его образования
оказывают влияние на количество и
качество собранных доказательств.

8.
Профессиональный
статус аудитора адекватен его
профессиональным обязанностям
.
Обязанности аудитора предъявляют
определенные требования к его
профессиональному поведению.

Впоследствии
были предложены и другие постулаты.
Постулат Т.А. Ли (1982). Годовой бухгалтерский
отчет, не подвергшийся аудиту, не
заслуживает достаточного доверия.
Данное утверждение Ли дополнил. Надежность
учетной информации компании может быть
признана в основном удовлетворительной
после проверки ее внешним аудитором.
Робертсон
в 1985 г. предложил такой постулат.
Информация, подвергшаяся аудиторской
проверке более полезна, чем не
подвергавшаяся ей.

Профессиональная
этика бухгалтера
.
Большой заслугой американской бухгалтерии
следует признать выработку положений
профессиональной этики. Впервые это
требование выдвинул Монтгомери, но
создателем этики бухгалтера можно
считать Джона Ленсинга Кэри (1900-1984).

В
1987 году был создан этический кодекс,
принятый Американской ассоциацией
бухгалтеров (ААА). Введение кодекса
укрепило статус бухгалтера и увеличило
спрос на его услуги.

Суть
кодекса можно представить по следующим
требованиям.

Прежде
чем занять место, бухгалтер должен
тщательно изучить работу предшественника.

Бухгалтер
не может требовать ни увеличения
зарплаты, ни повышения по службе. Более
того, он не может получать премию или
доплату за финансовые результаты,
которые вывел, и не может делить свое
вознаграждение с работниками других
служб предприятия.

Взаимоотношения
бухгалтера с администрацией строятся
так: бухгалтер обязан немедленно ответить
на все вопросы руководства, касающиеся
хозяйственной деятельности предприятия,
при этом он должен отвечать так, чтобы
это было понятно лицам, не знающим
бухгалтерский учет, при этом бухгалтер
может в любое время расторгнуть договор
с работодателем.

Ни
при каких обстоятельствах бухгалтер
не должен советовать администрации,
как совершать правонарушения и участвовать
в сокрытии их следов. За искажение
отчетности директор и бухгалтер несут
солидарную ответственность.

Бухгалтер
должен хранить профессиональную тайну
о делах клиента. Прекращение работы не
освобождает его от этой обязанности.

Бухгалтер
обязан регулярно повышать свою
профессиональную квалификацию.

Этический
кодекс бухгалтера имеет огромную
моральную и профессиональную силу. Он
оказывает влияние и на статус бухгалтеров
в фирме, и на организаторскую структуру
бухгалтерского учета.

Внутренний контроль — это процесс, который направлен на получение достаточной уверенности в том, что экономический субъект работает результативно и эффективно. СВК призвана на каждом участке, в каждом бизнес-процессе компании минимизировать риски путем выстраивания контрольной среды и адекватного реагирования на выявленные угрозы.

СВК работает эффективно, если собственник и/или руководство организации на любом этапе могут осуществлять контроль. И контроль этот должен быть оперативным. При этом не нужно полного погружения в каждый бизнес-процесс (иначе руководство просто «утонет» в деталях), нужна краткая аналитическая информация, позволяющая принимать решения для улучшения ситуации.

Какие недостатки СВК часто встречаются на практике?

1. Недостаточность контроля

Некоторые важные объекты контроля (их составляющие) не попадают «в поле зрения». Например, некоторые компании строго следят, чтобы не было недоплаты налогов, но совершенно не замечают их переплаты, а иногда сотрудники необдуманно принимают предложения налоговых органов и лишают компанию положенных ей средств.

Об ошибках и эффективных стратегиях при общении с налоговой >>

2. Нет четкого определения ответственных

Может получиться так, что ущерб есть, а виновных работников как бы нет. Что особенно опасно сегодня для руководителей и владельцев бизнеса, т.к. при определенных обстоятельствах им может быть предъявлено умышленное создание условий для ухода от налогов и другие нарушения, а это может повлечь уголовную ответственность. Кроме того, участились случаи привлечения руководителей и собственников компаний к субсидиарной ответственности по долгам компаний.

Подробнее о рисках субсидиарной ответственности руководителей >>

3. Нет стандартизированных процедур контроля

В итоге каждый контролирует, как и когда ему удобно. Так, например, распространенным нарушением является проведение формальной инвентаризации, что создает благодатную почву для хищений и злоупотреблений. Нередко в аудиторской практике встречаем ситуации, когда длительные периоды контроль может вообще отсутствовать.

О чем рассказал собственнику тайный аудит его компании >>

Рекомендации по усилению СВК

1. Сфокусировать контрольную деятельность

Определите четко объекты контроля, к которым должно быть пристальное внимание. Они индивидуальны для каждой организации и полезно не ограничиваться «стандартными» сферами (например, учет ТМЦ). Включите сюда все, что так или иначе влияет на эффективную деятельность организации. Например, это может быть контроль за соблюдением скидочной политики компании, оценка последствий предоставления скидок и т. д.

2. Детализировать контрольную деятельность

В отношении каждого объекта контроля полезно осветить 3 вопроса:

Как будет проходить контроль?

Например, какая методика будет использоваться, какие документы/действия будут проверяться, как часто и т. д.

Что является «границей нормы»?

Нарушения каких требований или отклонение от каких показателей станет тревожным сигналом.

Каким образом должны фиксироваться/устраняться нарушения?

Иными словами, какие действия должен совершить проверяющий, если заметит риск.

3. Персонифицировать контрольную деятельность

Исходя из предполагаемой методики контроля и борьбы с рисками/нарушениями нужно определить для каждого объекта контроля квалифицированных ответственных лиц.

Также важно избегать и другой крайности — «задвоение ответственности»: когда одна и та же контрольная функция по одному и тому же объекту закрепляется за разными работниками. Но важно заранее подумать, кто будет осуществлять контроль в случае временного отсутствия контролирующего лица (отпуск, например).

Также, полезно четко определить подотчетность лица, осуществляющего контроль. Кому и как этот работник будет докладывать о результатах контрольной деятельности?

Рекомендуем обратить особое внимание на документирование ключевых вопросов внутреннего контроля (кто, что, когда и как контролирует, какие действия совершает при обнаружении нарушений).Ответственные лица обязательно должны быть ознакомлены с соответствующими документами под роспись.

Пример 1.

Если в вашей компании множество договоров, множество контрагентов — очень полезно разработать инструкцию по работе с договорами.

В инструкции должен содержаться порядок согласования и подписания любого договора. Инструкция сократит возможность подделки договоров, включения неправомерных, кабальных условий и др. риски.

Также в этой инструкции можно предусматривать порядок оплаты: каким образом оплачивается счет по договору, каким образом списываются денежные средства (порядок согласования оплаты, например).

Пример 2.

Все организации, у которых имеется большой склад с товаром и присутствует большой товарооборот, просто обязаны иметь договоры о материальной ответственности.

Они могут быть заключены с каждым физическим лицом, могут быть коллективными: если склад очень большой и много кладовщиков и др. материально ответственных лиц.

В случае выявления какого-то ущерба, недостачи каждый работник склада понимает меру своей ответственности за товар.

Также обязателен регламент проведения инвентаризации. Инвентаризация должна проводиться чем чаще, тем лучше. Хотя бы раз в квартал. Инвентаризацию должны проводить не менее 3-х человек, назначенных приказом руководителя. Эти работники должны ответственно подходить к пересчету и составлению документов.

В регламенте нужно прописать не только порядок и сроки проведения инвентаризации, но и порядок утверждения ее результатов, каким образом они представляются руководству. Руководитель должен ознакомиться с тем, что выявлено по итогам инвентаризации — недостача или, наоборот, избыток, пересортица и т. д., и принять дальнейшие решения.

СВК и регламентирующие ее документы должны быть актуальны как в части организационных изменений (например, своевременная замена контролеров в случае их увольнения), так и в части обнаружения новых объектов контроля, возможностей для роста эффективности компании и т. д.

Наш многолетний опыт проверок показывает, что работы только СВК недостаточно: в 93 % случаев при комплексном аудите компаний обнаруживаются не выявленные риски и резервы, а в некоторых случаях и корпоративные мошенничества.

Почему даже хороший внутренний контроль не может решить всех проблем?

Мы рекомендуем держать СВК «в тонусе» путем периодических проверок внешних контролеров (речь, конечно, не о налоговой инспекции). Эти проверки не разрушат СВК и доверие к ней, они повысят качество ее работы. И только в такой ситуации возможно достижение синергетического эффекта, когда 1+1 = 11.

Узнать за минуту стоимость комплексного аудита >>

Ну а если вы заметили:

  • рост расходов при прежней выручке;

  • рост расходов на персонал при сокращении численности;

  • просроченную задолженность по выданным займам;

  • отсутствие четких критериев выбора поставщиков;

  • стопроцентную предоплату при закупках, если были иные условия с теми же поставщиками;

  • увеличение дебиторской задолженности при снижении выручки;

  • необоснованные скидки и отсрочки контрагентам;

  • иные действия и ситуации, которые идут «вразрез» с интересами компании,

советуем вам незамедлительно провести форензик и убедиться, что у указанных фактов все-таки есть какие-то объективные причины, либо выявить корпоративные мошенничества.

Итогом проверки является отчет с оценкой возможной величины ущерба, который может служить основанием для обращения в следственные органы и суды. Данные отчета позволяют принять необходимые управленческие решения для нивелирования рисков и потерь, а также для улучшения СВК.

Кейс

При оказании услуг форензика для крупного промышленного предприятия аудиторами «Правовест Аудит» выявлено совершение убыточных сделок, связанных с нецелевым использованием денежных средств.

По результатам проведенных процедур установлено, что в отдельные периоды Организация от исполнения некоторых договоров получила отрицательные финансовые результаты.

При анализе движения денежных средств Организации установлено, что в отдельных случаях при получении предоплаты от покупателя Организация направляла не все средства на закупку материала для исполнения заказа, частично денежные средства направлялись на погашение кредитных обязательств и на иные хозяйственные цели.

Нецелевое использование полученных авансов привело к завышению себестоимости реализованной продукции из-за роста цен на основной материал и, как следствие, привело к незапланированным убыткам.

Аудиторами рекомендовано проводить управленческое планирование, направленное на снижение производственных затрат, ужесточить контроль за использованием авансов.

Если собственник не может должным образом контролировать бизнес, то некоторые недобросовестные руководители могут воспользоваться этим, уводя выручку в свою фирму или создавая завышенные расходы, заключая ненужные договоры с самим собой (например, договоры займа под «нерыночные» проценты) или приобретая что-то у аффилированных лиц по завышенным ценам за «откаты». В нашей практике, к сожалению, нередко встречаются такие ситуации:

Неправомерные действия директора нанесли ущерб в размере 13 млн руб. >>

Раскрыта схема увода прибыли в размере 80 млн руб. >>

«Слабое звено» ценою в 500 млн руб. >>

Система внутреннего контроля компании (СВК) состоит из системы внутреннего финансового контроля, системы внутреннего контроля бухгалтерского учета и др. подсистем. СВК помогает предупреждать хищения и отслеживать товарно-денежные потоки. Но зачастую СВК воспринимается как излишняя бюрократия и функционирует неэффективно. Разберемся как ее усилить.

Система внутреннего контроля в организации: недостатки и рекомендации 2022

Внутренний контроль — это процесс, который направлен на получение достаточной уверенности в том, что экономический субъект работает результативно и эффективно. СВК призвана на каждом участке, в каждом бизнес-процессе компании минимизировать риски путем выстраивания контрольной среды и адекватного реагирования на выявленные угрозы.

СВК работает эффективно, если собственник и/или руководство организации на любом этапе могут осуществлять контроль. И контроль этот должен быть оперативным. При этом не нужно полного погружения в каждый бизнес-процесс (иначе руководство просто «утонет» в деталях), нужна краткая аналитическая информация, позволяющая принимать решения для улучшения ситуации.

Какие недостатки СВК часто встречаются на практике?

1. Недостаточность контроля

Некоторые важные объекты контроля (их составляющие) не попадают «в поле зрения». Например, некоторые компании строго следят, чтобы не было недоплаты налогов, но совершенно не замечают их переплаты, а иногда сотрудники необдуманно принимают предложения налоговых органов и лишают компанию положенных ей средств.

Об ошибках и эффективных стратегиях при общении с налоговой >>

2. Нет четкого определения ответственных

Может получиться так, что ущерб есть, а виновных работников как бы нет. Что особенно опасно сегодня для руководителей и владельцев бизнеса, т.к. при определенных обстоятельствах им может быть предъявлено умышленное создание условий для ухода от налогов и другие нарушения, а это может повлечь уголовную ответственность. Кроме того, участились случаи привлечения руководителей и собственников компаний к субсидиарной ответственности по долгам компаний.

Подробнее о рисках субсидиарной ответственности руководителей >>

3. Нет стандартизированных процедур контроля

В итоге каждый контролирует, как и когда ему удобно. Так, например, распространенным нарушением является проведение формальной инвентаризации, что создает благодатную почву для хищений и злоупотреблений. Нередко в аудиторской практике встречаем ситуации, когда длительные периоды контроль может вообще отсутствовать.

О чем рассказал собственнику тайный аудит его компании >>

Рекомендации по усилению СВК

1. Сфокусировать контрольную деятельность

Определите четко объекты контроля, к которым должно быть пристальное внимание. Они индивидуальны для каждой организации и полезно не ограничиваться «стандартными» сферами (например, учет ТМЦ). Включите сюда все, что так или иначе влияет на эффективную деятельность организации. Например, это может быть контроль за соблюдением скидочной политики компании, оценка последствий предоставления скидок и т. д.

2. Детализировать контрольную деятельность

В отношении каждого объекта контроля полезно осветить 3 вопроса:

Как будет проходить контроль?

Например, какая методика будет использоваться, какие документы/действия будут проверяться, как часто и т. д.

Что является «границей нормы»?

Нарушения каких требований или отклонение от каких показателей станет тревожным сигналом.

Каким образом должны фиксироваться/устраняться нарушения?

Иными словами, какие действия должен совершить проверяющий, если заметит риск.

3. Персонифицировать контрольную деятельность

Исходя из предполагаемой методики контроля и борьбы с рисками/нарушениями нужно определить для каждого объекта контроля квалифицированных ответственных лиц.

Также важно избегать и другой крайности — «задвоение ответственности»: когда одна и та же контрольная функция по одному и тому же объекту закрепляется за разными работниками. Но важно заранее подумать, кто будет осуществлять контроль в случае временного отсутствия контролирующего лица (отпуск, например).

Также, полезно четко определить подотчетность лица, осуществляющего контроль. Кому и как этот работник будет докладывать о результатах контрольной деятельности?

Рекомендуем обратить особое внимание на документирование ключевых вопросов внутреннего контроля (кто, что, когда и как контролирует, какие действия совершает при обнаружении нарушений).Ответственные лица обязательно должны быть ознакомлены с соответствующими документами под роспись.

Пример 1.

Если в вашей компании множество договоров, множество контрагентов — очень полезно разработать инструкцию по работе с договорами.

В инструкции должен содержаться порядок согласования и подписания любого договора. Инструкция сократит возможность подделки договоров, включения неправомерных, кабальных условий и др. риски.

Также в этой инструкции можно предусматривать порядок оплаты: каким образом оплачивается счет по договору, каким образом списываются денежные средства (порядок согласования оплаты, например).

Пример 2.

Все организации, у которых имеется большой склад с товаром и присутствует большой товарооборот, просто обязаны иметь договоры о материальной ответственности.

Они могут быть заключены с каждым физическим лицом, могут быть коллективными: если склад очень большой и много кладовщиков и др. материально ответственных лиц.

В случае выявления какого-то ущерба, недостачи каждый работник склада понимает меру своей ответственности за товар.

Также обязателен регламент проведения инвентаризации. Инвентаризация должна проводиться чем чаще, тем лучше. Хотя бы раз в квартал. Инвентаризацию должны проводить не менее 3-х человек, назначенных приказом руководителя. Эти работники должны ответственно подходить к пересчету и составлению документов.

В регламенте нужно прописать не только порядок и сроки проведения инвентаризации, но и порядок утверждения ее результатов, каким образом они представляются руководству. Руководитель должен ознакомиться с тем, что выявлено по итогам инвентаризации — недостача или, наоборот, избыток, пересортица и т. д., и принять дальнейшие решения.

СВК и регламентирующие ее документы должны быть актуальны как в части организационных изменений (например, своевременная замена контролеров в случае их увольнения), так и в части обнаружения новых объектов контроля, возможностей для роста эффективности компании и т. д.

Наш многолетний опыт проверок показывает, что работы только СВК недостаточно: в 93 % случаев при комплексном аудите компаний обнаруживаются не выявленные риски и резервы, а в некоторых случаях и корпоративные мошенничества.

Почему даже хороший внутренний контроль не может решить всех проблем?

Мы рекомендуем держать СВК «в тонусе» путем периодических проверок внешних контролеров (речь, конечно, не о налоговой инспекции). Эти проверки не разрушат СВК и доверие к ней, они повысят качество ее работы. И только в такой ситуации возможно достижение синергетического эффекта, когда 1+1 = 11.

Узнать за минуту стоимость комплексного аудита >>

Ну а если вы заметили:

  • рост расходов при прежней выручке;
  • рост расходов на персонал при сокращении численности;
  • просроченную задолженность по выданным займам;
  • отсутствие четких критериев выбора поставщиков;
  • стопроцентную предоплату при закупках, если были иные условия с теми же поставщиками;
  • увеличение дебиторской задолженности при снижении выручки;
  • необоснованные скидки и отсрочки контрагентам;
  • иные действия и ситуации, которые идут «вразрез» с интересами компании,

советуем вам незамедлительно провести форензик и убедиться, что у указанных фактов все-таки есть какие-то объективные причины, либо выявить корпоративные мошенничества.

Итогом проверки является отчет с оценкой возможной величины ущерба, который может служить основанием для обращения в следственные органы и суды. Данные отчета позволяют принять необходимые управленческие решения для нивелирования рисков и потерь, а также для улучшения СВК.

Кейс

При оказании услуг форензика для крупного промышленного предприятия аудиторами «Правовест Аудит» выявлено совершение убыточных сделок, связанных с нецелевым использованием денежных средств.

По результатам проведенных процедур установлено, что в отдельные периоды Организация от исполнения некоторых договоров получила отрицательные финансовые результаты.

При анализе движения денежных средств Организации установлено, что в отдельных случаях при получении предоплаты от покупателя Организация направляла не все средства на закупку материала для исполнения заказа, частично денежные средства направлялись на погашение кредитных обязательств и на иные хозяйственные цели.

Нецелевое использование полученных авансов привело к завышению себестоимости реализованной продукции из-за роста цен на основной материал и, как следствие, привело к незапланированным убыткам.

Аудиторами рекомендовано проводить управленческое планирование, направленное на снижение производственных затрат, ужесточить контроль за использованием авансов.

Если собственник не может должным образом контролировать бизнес, то некоторые недобросовестные руководители могут воспользоваться этим, уводя выручку в свою фирму или создавая завышенные расходы, заключая ненужные договоры с самим собой (например, договоры займа под «нерыночные» проценты) или приобретая что-то у аффилированных лиц по завышенным ценам за «откаты». В нашей практике, к сожалению, нередко встречаются такие ситуации:

Неправомерные действия директора нанесли ущерб в размере 13 млн руб. >>

Раскрыта схема увода прибыли в размере 80 млн руб. >>

«Слабое звено» ценою в 500 млн руб. >>

Теория
учета даже в начале XX
в. мало интересовала бухгалтеров
англоговорящих стран. Они искренне
думали, что набор счетов в Главной книге
заменяет все правила и постулаты, а
рассуждения о предмете и методе побуждали
их воздерживаться или уклоняться от
подобных знаний.

И
тем не менее в самом конце XIX
в. в Америке появился бух­галтер с
мировым именем, один из создателей
научной бухгалте­рии Чарльз Эзра
Шпруг (1842 — 1912). Серия его статей, изданная
под общим названием «Алгебра счетов»
(1880), признана класси­ческой, а книга
«Философия счетов» (1908) — фундаментальной.
Он был одним из первых, кто стал в
университетах читать курс бухгалтерского
учета. Считая предметом учета ценности,
он описывал их балансовым уравнением
Л = П + К, интерпретируя эти элементы так:
А — то, что я имею, и то, кому я верю
(дебито­ры), равно Я — то, что я должен,
плюс К — что я стою. Эта была логическая
база для выведения двойной записи.

Модель
Шпруга считается исходной точкой
современной теории бухгалтерского
учета, она получила две интерпретации,
их расхождения связаны с трактовкой
счетов «Капитал» и «Убыт­ки и прибыли»:

  • Первая
    принад­лежит персоналистической
    школе. К данному направлению относятся
    те, кто считал, что счет «Капитал»
    отражает кредиторскую за­долженность
    предприятия его собственнику, утверждая,
    что весь актив бухгалтерского баланса
    равен требованиям собственников.
    Персоналисты,
    и прежде всего глава их школы В. Патон,
    ви­дели цель учета в выявлении
    финансового положения предприя­тия,
    в то время как главный институалист О.
    Мэй эту цель видел в исчислении
    финансового результата.

Персоналисты
также замечали, что цель предприятия —
увеличение его оборотов, постоянный
экономический рост, а следовательно,
абсолютно безразлично, достигнут ли
этот рост за счет своего или привлеченного
капитала. Задача бухгалтера — прежде
всего дать правильную оценку средств
предприятия и его прибыли, точность
последней обусловлена объективностью
первой. На практике роль бухгалтера
сводится к получению и представлению
данных об источниках средств и их
использовании, движении, оборачиваемости.

В
соответствии с взгля­дами персоналистов
прибыль — только часть капитала и,
следова­тельно, счет «Прибыли и убытки»
— субсчет балансового счета «Капитал».
Экономическая мощь, определенная
пра­вильно и независимо от источников
финансирования, — цель учета.

Персоналисты
были безусловными сторонниками
перео­ценки. Они считали, что
реалистичность учета достигается
сис­тематической переоценкой активов
предприятия и только это позволяет
избежать скрытых резервов.

Внутри
персоналистической школы образовалась
группа уче­ных во главе с Генри Свинеем
(1936). Они называли свою концепцию
стабилизированной бухгалтерией.
Достоверное определение финансового
результата, по Свинею, может быть
достигнуто только при применении
правиль­ной оценки, которая зависит
от целей хозяйственной деятельнос­ти
предприятия. Поэтому важно не то, сколько
заплатили за тот или иной предмет в
настоящем или тем более в прошлом, а то,
ка­кова будет эффективность использования
этого предмета в буду­щем.

Заслугой
персоналистов можно считать то, что они
стали ста­рательно дифференцировать
финансовые результаты.

К
заслугам американских бухгалтеров
следует отнести доказа­тельство того,
что прибыль, исчисленная в бухгалтерском
учете, не отражает экономического
содержания — действительного ре­зультата
хозяйственной деятельности. Осознание
этого привело крупных американских
ученых к четкому разграничению поня­тий
бухгалтерской и экономической прибыли.
Первое определяет прибыль как результат
реализации товаров или услуг, второе —
как следствие — результат «работы»
капитала. Различие между этими подходами
провел Ирвинг Фишер (1867 — 1947). Для Фишера
прибыль порождается капиталом, но не
зависит от стои­мости имущества,
наоборот, оценка капитала прямо зависит
от величины доходов фирмы, ибо капитал
— это актив, способный приносить прибыль.

  • Вторая
    принадлежит — институалистской школе,
    к ней принадлежали те, кто не отождествлял
    капитал с кредиторской задолженностью.

Институалисты
искренне считали, что задолженность
само­му себе -логический нонсенс, и
полагали, что смешивать долги с капиталом
нельзя. Цель предприятия — не рост
капитала вооб­ще, а рост собственного
капитала. В связи с этим и задача
бух­галтера прежде всего аналитическая,
она сводится к выявлению и раскрытию
причин образования прибыли и возникновения
убытков.

Полагая,
что в основе учета должно лежать не
балансовое, а капитальное уравнение А
— П= К, институалисты считали ди­виденды
по акциям безусловным расходом. Если
подобные вы­платы не включать в
затраты, то так можно дойти до того, что
и амортизация, и зарплата будут признаны
частью дохода. Ведь ди­виденд — это
составляющая дохода, а не прибыль,
говорили они.

Институалисты
решительно выступили за оценку по
себесто­имости. Бухгалтер, по их
мнению, должен поддерживать оценку
активов на первоначальном уровне, т.е.
по себестоимости.

Счетные
теории.

Различия в подходах персоналистов и
инсти­туалистов выявили необходимость
построения общей теории бухгалтерского
учета, вытекающей из логических постулатов
и потому принципиально не связанной с
практикой и ее обычаями. При этом разные
ученые исходили из разных постулатов.
Опира­ясь на труды Т. Куна, они ввели
в бухгалтерский учет понятие «па­радигма».

Сейчас
можно выделить в теории учета семь
парадигм: социологическую, экономическую,
биховеристическую, психо­логическую,
информационную. Каждая из них демонстрирует
весьма своеобразный подход к проблемам
теории бухгалтерского учета.

  • Социологический
    подход. Его сторонники А. Белкаой, А.Ч.
    Литтлтон, В.К. Циммерман, Н.М. Бедфорд
    понимали под целью учета обеспечение
    справедливости по отношению ко всем
    участ­никам хозяйственного процесса.
    Они полагают, что каждое тео­ретическое
    положение учета влияет на общество и
    каждое поло­жение должно приниматься
    или отвергаться в зависимости от
    противоречивых интересов различных
    общественных групп и социального
    эффекта этого положения.

Это
выходило за границы традиционной
бухгалтерии, так как социальная
бухгал­терия вместо традиционных
затрат и доходов вводила категорию
социальных затрат и доходов.

В
число социальных затрат включа­ют:
1) использование человеческого фактора
(расходы, связан­ные с созданием
условий работы на предприятии, лечение
рабо­чих и служащих); 2) очистка воздуха;
3) очистка воды; 4) восста­новление
флоры и фауны; 5) восполнение энергетических
ресур­сов; 6) введение новых технологических
процессов; 7) прочие расходы и 8) компенсации
безработным.

Разновидностью
социологического подхода можно считать
критическую теорию учета (Д. Купер, Т.
Хоппер, Р. Рослендер). Ее сторонники
считают, что бухгалтеры служат объектом
эксплу­атации.

  • Экономический
    подход. Представители этого направления
    (ГГ. Миллер, С. Зефф, М. Мунитц) считают,
    что цель бухгалтерского учета заключается
    в контроле и оценке экономических
    показате­лей, в обеспечении условий
    для достижения максимальной эф­фективности
    производства. В связи с этим руководство
    предпри­ятия должно выбирать те
    методологические бухгалтерские прие­мы,
    которые обеспечивают рост национального
    благосостояния.

  • Биховеристический
    подход. Его родоначальником можно
    счи­тать К.Т. Девине. Именно он обратил
    внимание на то, что учетный процесс —
    это прежде всего процесс поведения
    бухгалтеров в раз­личных служебных
    ситуациях, поэтому цель учета — это
    выработка способов влияния, воздействия
    на поведение сначала бухгалтеров, а
    через них и на всех лиц, занятых в
    хозяйственной деятельности. Бухгалтер,
    с этой точки зрения, объясняет, описывает
    и предска­зывает поведение этих
    людей.

Методы
бухгалтерского учета долж­ны выбираться
в зависимости от целей и поведения
людей. Пос­леднее рассматривается по
схеме SR
(стимул-реакция). Поступающие данные
включают множество показателей, каждый
из которых вызывает определенную реакцию
бухгалтера. В результате обработки
данных возникает качественно новый
ин­формационный поток. Бухгалтер,
формируя методологическую концепцию,
анализирует необходимость каждого
показателя, его восприятие различными
пользователями, адекватность текущим
или ожидаемым событиям.

  • Психологический
    подход. Самым ярким его выразителем
    мож­но назвать Р. Антони. Психологический
    подход учит тому, что по­нять бухгалтерию
    — это значит понять и поставить под
    контроль бухгалтера. У предприятия нет
    и не может быть цели, она может быть
    только у людей, заинтересованных в нем.
    Отсюда организа­ция бухгалтерского
    учета должна начинаться с видения
    бухгалте­ром роли предприятия и
    своего места в нем. Правильно организованная
    система учета должна предполагать
    четкое и ясное выделение интересов
    лиц, занятых в хозяйственной деятельности.
    Смысл учетной системы, писал Антони,
    сводится к тому, что она фактом своего
    существования заставляет лиц, занятых
    в хозяйственном процес­се, работать
    с оглядкой на необходимость отчитаться,
    и в этом ее значение.

  • Информационный
    подход. Ситуационная (событийная)
    бухгал­терия. Ее основоположник
    Джордж Г Сортер полагал, что тради­ционная
    бухгалтерия исходит из трактовки
    предмета как стоимости или как стоимостной
    оценки учитываемых объектов. Он же
    считал, что в основу предмета должно
    быть положено инфор­мационное событие,
    под которым он понимал элементарную
    ин­формационную единицу о факте
    хозяйственной жизни.

Далее
Сортер формулирует правило, которое
повторя­ет смысл «экономической
границы Шера»: стоимость информации не
должна превышать затрат на ее получение,
поэтому всякая потеря информации должна
приносить большие убытки, чем стоимость
потерянных данных. Следовательно,
главное достоинство данных — их полезность.
Отсюда возникает понятие релевантности
— уместности, ис­пользуемости информации.
Она может быть рассмотрена с трех точек
зрения: синтаксической, семантической
и прагматической (табл. 2). То, что
нерелевантно, становится ненужным.

Таблица
1 Релевантность учетной информации

Синтаксис

Имеет
место, если информация способствует
достижению целей пользователя.
Установить ее трудно, ибо цели
субъ­ективны.

Семантика

Имеет
место, если получатель информации
понимает подразумеваемое значение
представленной информации.

Прагматика

Имеет
место, если информация способствует
принятию решения ее пользователем.
Это окончательная цель.

Каждый
из пяти подходов выражал рациональные
взгляды бухгалтеров Америки. По их
мнению, только теперь стало воз­можным
считать бухгалтерский учет наукой. В
настоящее время наиболее популярны две
концепции.

Первая
представлена Е. С. Хендриксеном, который
определяет теорию учета как набор
ши­роко трактуемых принципов; они
составляют общую систему эталонов,
позволяющих оценить различные
хозяйственные ситу­ации и создают
новые практические методики и процедуры.
Тео­рия учета — база для объяснения
сложившейся практики, цель теории —
представление согласованного множества
логически выведенных принципов, которые
служат основанием для оценки и развития
существующей практики учета.

Наиболее
яркий выразитель второй, менее утилитарной
кон­цепции — Д. Л. Макдональд. Он
полагает, что любая теория долж­на
иметь три элемента: символическое
представление феноменов реального мира
путем кодирования; обработка и комбинация
дан­ных символов согласно выработанным
правилам и обратный пере­вод
символических конструкций в феномены
реального мира.

Структура
бухгалтерского учета.

Самым существенным обсто­ятельством
в организации бухгалтерского учета США
следует признать деление его на финансовый
и управленческий. Практически финансовый
учет — это и есть бухгал­терский учет
в нашем понимании, а управленческий
представля­ет собой в первую очередь
аналитический учет к счету основного
производства, калькуляцию себестоимости,
регистрацию затрат агентами предприятия
и во вторую — преимущественно перспек­тивный
анализ хозяйственной деятельности.

Управленческий
учет был создан инженерами и технологами,
но получил современную форму благодаря
трудам замечательно­го бухгалтера
Роберта Антони. Суть управленческого
учета, его назначение передает извест­ная
формулировка: производство информации
для управления.

На
практике возрастание роли бухгалтерского
учета в амери­канском обществе связано
с появлением специальной должности
контролера. В его функции входят:
разработка и проверка фи­нансовых и
учетных директив, представление
отчетности, сос­тавление сметы и
контроль ее выполнения, составление
норма­тивных и фактических данных и
их оценка.

Эти
функции приво­дят к формированию на
предприятии, как правило, четырех
учет­ных отделов: 1) планового, 2)
финансового, 3) инвентарного (ма­териального),
4) производственного (калькуляционного).
Такая структура, в частности, способствовала
возникновению управ­ленческого учета.

Учет
затрат
стал
главным в управленческом учете. Его
создателем можно считать Александра
Гамильтона Черча (1901). Хант Лоуренс Гант
(1909) привнес в американский учет проблему
определения состава затрат, но основная
заслуга аме­риканских бухгалтеров
связана с возникновением четырех
основ­ных методов учета затрат
калькулирования готовой продукции:
стандарт-костс, директ-костинг, центры
ответственности и АВС-метод.

    1. Стандарт-костс.
      Творцом нового направления в учете
      был инженер-путеец Гаррингтон Эмерсон
      (1853 — 1931). Эмерсон прокламировал
      преимущества опера­тивного учета
      перед бухгалтерским, так как подлинная
      «цель уче­та состоит в том, чтобы
      увеличить число и интенсивность
      предос­тережений». Учет должен быть
      обращен в будущее, ибо «предвидеть —
      значит предупреждать». Следовательно,
      весь хозяйственный процесс дол­жен
      быть строго проконтролирован еще до
      его реального начала.

Производительность
измеряется подан­ным учета соотношением
Сф/Сн, т.е. отношением фактических
расходов к нормативным (стандартным).
При этом всегда имеет место отношение
Сн < Сф, т.е. нормативные расходы никогда
не могут быть больше фактических. (Чем
меньше разность Сф — Сн, тем выше
производительность.)

Исходя
из этого X.
Л. Гант прово­дил различие между
естественными (стандартными) расходами,
вернее расходами, отвечающими требованиям
Сн, и непроизво­дительными расходами,
возникающими вследствие непроизво­дительных
потерь и простоев завода.

В
результате возникло зна­менитое
правило Ганта: все расходы сверх
установленных норм должны относиться
на виновных лиц и никогда не включаться
в счета, отражающие зат­раты. Отсюда
требование, чтобы расходы фиксировались
еще до того, как их осуществили.

Идея
стандарт-костс трансформировалась в
два правила.

  1. Все
    расходы должны быть указаны в сопоставлении
    со стан­дартами (нормативами);

  2. Увеличение
    и уменьшение при сравнении действительных
    рас­ходов со стандартами должно быть
    расчленено по причинам.

Взгляды
Гаррисона оказали глубокое влияние на
развитие учета как в Америке, так и в
Европе и дожили до наших дней.

  • Директ-костинг.
    Существуют пять вариантов нахождения
    себес­тоимости при комплексных
    затратах: 1) средняя себестоимость
    единицы (все виды готовой продукции
    принимаются равноправ­ными); 2)
    коэффициентный (вес, объем, калорийность);
    3) взве­шенная средняя себестоимость
    (находится посредством прида­ния
    различного удельного веса каждой
    калькуляционной группе — вариант
    коэффициентного выбора); 4) стоимостный
    — пропор­ционально продажным ценам;
    5) стандартный — по установлен­ным
    ранее стандартным затратам.

Новое
направление, которое явилось определенным
этапом в становлении управленческого
учета, теперь часто связывают с работой
(1923) вьщающегося экономиста Джона Мориса
Кларка (1884 — 1963). В том же году К. Симпсон
(1923) провел ста­тистическое исследование
бухгалтерских калькуляций и пришел к
выводу, что на цены оказывают влияние
не значения средней себестоимости, а
предельные издержки производства.

В
1936 г., развивая эти идеи, Джонатан Харрис
создал учение, получившее название
директ-костинг, согласно которому в
составе себестои­мости необходимо
учитывать только прямые расходы.

Его
сущность заключается в том, что все
издержки делятся на две группы: пере­менные
и постоянные. В основу учета себестоимости
кладутся только переменные (прямые)
издержки. Таким обра­зом, для
директ-костинга самым характерным
является строгое отделение в учете
прямых издержек от косвенных.

  • Центры
    ответственности.
    Первоначально
    стандарт-костс был задуман как инструмент,
    выявляющий неиспользованные резервы,
    без связи с конкретными исполнителями.
    Но в дальней­шем возникла идея
    использовать отклонения для оценки
    работы тех или иных администраторов.
    Это привело к формированию Джоном А.
    Хиггинсом концепции центров
    ответственности, то есть степени
    ответственности определенных лиц за
    финансовые результаты своей работы.

Целью
учета по центрам ответственности
является создание для администраторов
условий самоконтроля. Отсюда вытекает
и правило Хиггинса: каждую структурную
единицу предприятия обременяют те и
только те расходы или доходы, за которые
она может отвечать и которые контролирует.

При
определении центров ответственности
прежде всего при­нимают во внимание
технологическую структуру предприятия,
а далее выделяют ее горизонтальный и
вертикальный разрезы. Первый ограничивается
кругом деятельности каждого лица,
ответственного за центр; второй
предопределяет иерархическую лестницу
правомочий лиц, принимающих управленческие
реше­ния. Каждый из центров может быть
центром или затрат, или доходов, или
инвестиций. В первом случае отчет
составляют по расходам, во втором — по
прибыли и в третьем — по срокам
оку­паемости. При этом каждый центр
может выполнять самые раз­личные
функции (производства, маркетинга,
технических разра­боток, учета,
контроля и т.п.).

  • АВС-метод.
    Новейший подход к учету затрат предложен
    Р. Капланом. Затраты распределяются
    по производственно-уп­равленческим
    функциям. Определяется, например, во
    что обхо­дится хранение ценностей,
    информационное обслуживание, пе­реработка
    материалов, реализация готовой продукции
    и услуг и т.п.

Аудит
и развитие его постулатов.
Пер­вым
теоретиком аудита был англичанин Л.
Дикси, но человеком, вдохнувшим в него
подлинную жизнь, стал американец Р.Х.
Монтгомери (1872 — 1953). Именно он, развивая
идеи Дикси, на­зываемые им бухгалтерским
аудитом, создал современную докт­рину
«тестового аудита».

Научное
описание проблем аудита началось с
формулирова­ния его постулатов. Первые
восемь из них были выдвинуты Р.К. Маутцем
и Х.А. Шарафом (1961). Следуя законам развития
нау­ки, Маутц и Шараф предложили
следующие постулаты:

  1. Финансовая
    отчетность может быть проверена. Если
    дан­ное предположение не выполняется,
    проведение аудиторской проверки теряет
    смысл. Если финансовая отчетность
    неадекват­на, не поддается проверке,
    то аудитор должен отказаться от
    выра­жения мнения о ней.

  2. Конфликт
    интересов между аудиторами и администрацией
    не является неизбежным. Аудитор и
    администрация предприятия преследуют
    одну и ту же цель: представление
    достоверной отчет­ности. Поэтому
    должна быть создана атмосфера доверия
    между проверяющим и проверяемым. При
    наличии конфликта интере­сов аудитор
    не может полагаться на заявления
    руководства и до­верять внутренней
    информации, как правило, это ведет к
    отказу от выражения мнения.

  3. Финансовая
    отчетность и подтверждающие ее документы
    не содержат преднамеренных или иных
    необычных искажений. Этот постулат
    позволяет сделать процесс аудита
    экономически оправ­данным.

  4. Удовлетворительная
    система внутреннего контроля умень­шает
    вероятность ошибки. Объективность
    отчетных данных пря­мо пропорциональна
    эффективности внутреннего контроля.
    Од­на из основных задач руководства
    фирмы клиента — организация эффективно
    функционирующего внутреннего контроля,
    на ко­торый внешний аудитор может
    опираться для уменьшения объе­ма
    проверки.

  5. Постоянное
    следование стандартам учета позволяет
    соз­дать объективное представление
    о финансовом состоянии и резуль­татах
    хозяйственной деятельности.

  6. То
    что справедливо для предприятия в
    прошлом, будет справед­ливо и в
    будущем, если нет доказательства
    противного. Аудиторская проверка не
    может быть последней, в следующем
    отчетном перио­де будет как минимум
    еще одна. Аудитор, высказывая мнение о
    верности проверенной финансовой
    отчетности, исходит из предположения,
    что фирма будет функционировать по
    крайней ме­ре еще год (допущение
    непрерывности деятельности).

  7. Мнение
    аудитора зависит только от его
    компетенции. На количество и качество
    собранных доказательств влияют многие
    обстоятельства, но превалирующим
    является объем знаний ауди­тора о
    деятельности клиента и уровень его
    образования.

  8. Профессиональный
    статус аудитора адекватен его
    професси­ональным обязанностям.

Впоследствии
были предложены и другие постулаты.
Посту­лат Т.А. Ли (1982). Годовой
бухгалтерский отчет, не подвергшийся
аудиту, не заслуживает достаточного
доверия. Надежность учетной информации
компании мо­жет быть признана в
основном удовлетворительной после
проверки ее внешним аудитором. Робертсон
в 1985 г. предложил такой пос­тулат.
Информация, подвергшаяся аудиторской
проверке более по­лезна, чем не
подвергавшаяся ей.

Профессиональная
этика бухгалтера.

Большой заслугой аме­риканской
бухгалтерии следует признать выработку
положений профессиональной этики.
Впервые это требование выдвинул
Монтгомери, но создателем этики бухгалтера
можно считать Джона Ленсинга Кэри (1900
— 1984).

Создание
этического кодекса, приня­того
Американской ассоциацией бухгалтеров
(ААА) в 1987 г. Вве­дение кодекса укрепило
статус бухгалтера и увеличило спрос на
его услуги. Суть кодекса можно представить
по следующим требова­ниям:

  • Прежде
    чем занять место, бухгалтер должен
    тщательно изу­чить работу
    предшественника, и если предшественник
    уже не ра­ботает, к нему следует
    обратиться с письменным запросом.
    Профессиональный долг обязывает ранее
    работавшего бухгалтера дать исчерпывающий
    и правдивый ответ на этот запрос. Если
    из предварительного ознакомления с
    делами следует, что работода­тель
    нарушает или может нарушить действующее
    законодатель­ство, то бухгалтер, не
    говоря никому не слова, должен отказаться
    от предложения.

  • Бухгалтер
    не может требовать ни увеличения
    зарплаты, ни по­вышения по службу.
    Более того, он не может получать премию
    или доплату за финансовые результаты,
    которые вывел, и не мо­жет делить
    свое вознаграждение с работниками
    других служб предприятия.

  • Взаимоотношения
    бухгалтера с администрацией строятся
    так: бухгалтер обязан немедленно
    ответить на все вопросы руковод­ства,
    касающиеся хозяйственной деятельности
    предприятия, при этом он должен отвечать
    так, чтобы это было понятно лицам, не
    знающим бухгалтерский учет. Ни при
    каких обстоятельствах бухгалтер не
    должен советовать администрации, как
    совершать правонару­шения и участвовать
    в сокрытии их следов.

  • Бухгалтер
    должен хранить профессиональную тайну
    о делах клиента. Прекращение работы
    не освобождает его от этой обязанности.

  • Все
    справки о хозяйственной деятельности
    предприятия сто­ронним лицам бухгалтер
    может предоставить только пo
    письмен­ному согласию работодателя.

  • Бухгалтер
    обязан регулярно повышать свою
    профессиональ­ную квалификацию.

Этический
кодекс бухгалтера имеет огромную
моральную и профессиональную силу. Он
оказывает влияние и на статус бух­галтеров
в фирме, и на организаторскую структуру
бухгалтерско­го учета.

Соседние файлы в предмете [НЕСОРТИРОВАННОЕ]

  • #
  • #
  • #
  • #
  • #
  • #
  • #
  • #
  • #
  • #
  • #

Алексей Тихомиров, at-ihom@yandex.ru
Институт внутренних аудиторов

Критерием эффективности внутреннего контроля финансовой организации не может являться только степень соблюдения требований регулирующих органов.

1. «Государство, бывшее веками органом угнетения и ограбления народа, оставило нам в наследство величайшую ненависть и недоверие масс ко всему государственному» 1

Финансовое сообщество готовится к переменам, ясный сигнал о которых подан Банком России: в начале июля 2003 года он разрешил своим территориальным подразделениям не применять меры воздействия к банкам-нарушителям положений Указания № 603-У от 7 июля 1999 г. «О порядке осуществления внутреннего контроля за соответствием деятельности на финансовых рынках законодательству о финансовых рынках в кредитных организациях», а в конце августа объявил о замене в ближайшие месяцы Положения № 509 от 28 августа 1997 г. «Об организации внутреннего контроля в банках» принципиально новым документом, основанном на рекомендациях Базельского комитета по банковскому надзору.

Не остаются в стороне и другие регулирующие органы: Федеральная комиссия по рынку ценных бумаг (ФКЦБ) активно занимается анализом и совершенствованием требований к системе внутреннего контроля в финансовых организациях, работающих на рынке ценных бумаг, вовлекая в проверки внутреннего контроля саморегулируемые организации. После принятия Закона «О противодействии легализации (отмыванию) доходов, полученных преступным путем» Правительство России, Банк России и ФКЦБ выпустили документы, в которых обязали все финансовые организации использовать внутренний контроль как инструмент в борьбе с легализацией преступных доходов.

Только вот понимание внутреннего контроля и способы оценки его эффективности у различных регулирующих органов, а часто и различных их подразделений «на местах» весьма различаются. Поэтому для финансовых организаций ключевым остается один вопрос: изменится ли на практике подход регулирующих органов к оценке эффективности внутреннего контроля, или по-прежнему отсутствие документа под названием «Инструкция о внутреннем контроле» (sic!), выявленное расхождение в две копейки или случайный сбой системы будут безапелляционно признаны свидетельством неэффективности работы системы внутреннего контроля в целом, и службы внутреннего контроля в частности?

Для такой постановки вопроса, к сожалению, есть основания. Все первоначальные редакции нормативных документов, регулирующих деятельность внутреннего контроля, имели нечто общее с мечтой основателя Советского государства о «…победоносном и беспощадном походе против нарушителей этого контроля или беззаботных насчет контроля». Основная причина, на наш взгляд, — концепция тотального контроля, глубоко пустившая корни в сознании многих людей, занятых в финансовом секторе экономики России, и уходящая этими корнями в ее далекую историю.

Эта концепция подразумевает в идеале установление всеобъемлющего свода правил, регулирующих все аспекты деятельности организации, и создание такого режима работы, который не позволял бы отклоняться от установленных стандартов (намеренно или случайно). Основным инструментом воздействия на управленческие процессы является демонстративное наказание нарушившего, а задачу соблюдения такого режима обычно возлагают на выделенное штатно и организационно подразделение (службу внутреннего контроля), имеющее статус «особо доверенного» и подчиняющееся «лично» самому высокому руководителю организации.

Сама по себе идея полного регулирования всех аспектов деятельности не несет негативного характера, и во многих случаях оправдана (вспомним, например, про воинские уставы, каждый параграф которых основан на реальных человеческих потерях). Более того, канонически контроль и представляет собой процесс управления, состоящий из трех элементов: определение стандартов деятельности системы, сравнение достигнутых ею результатов с установленными стандартами, и, в случае расхождений, корректировка процессов управления.

Одна беда — при воплощении этой концепции в жизнь, по крылатому выражению В.С. Черномырдина, постоянно «получается как всегда». Основными слабостями этой концепции является умозрительность при первоначальном определении стандартов, изумляющая простота и формальность проверок («… что противоречит п. x.x.x Инструкции №NNN»), а также, что более существенно, трудность своевременного и точного распознавания некорректного управленческого процесса, приведшего к отклонению от стандарта. К тому же детальная регламентация деятельности и сосредоточение функций контроля в одном подразделении, свойственное для концепции тотального контроля, неизбежно приводит к бюрократизации всего процесса внутреннего контроля. Такая система перестает реагировать на новые, актуальные вызовы и угрозы, поскольку основой для оценки деятельности внутреннего контроля (и службы внутреннего контроля как его главного воплощения) является формальное соответствие заданным правилам и регулирующим документам. Только два вида событий могут внести возмущение в такую систему: во-первых, смена руководителя и реорганизация, во-вторых — пересмотр внутренних правил вследствие кризиса управления системой, или, как частный случай, иное «толкование» старых правил в угоду новому руководству.

Ответом на несовершенство идеи тотального контроля стала концепция контроля, ориентированного на риск, известная в профессиональном мире как модель COSO. Пояснить эту модель можно на житейском примере. Задумываясь о последствиях происходящих с нами и вокруг нас событий, в большинстве бытовых ситуаций мы оперируем понятиями «повезло» — «не повезло», «судьба» и т.д. Разумный и ответственный человек часто может предотвратить нежелательные последствия, действуя в соответствии с нормами поведения, общепринятыми или выработанными им самим, в основном в целях личной безопасности и безопасность семьи, сохранения нажитого имущества и репутации: закрывает дверь, когда выходит из дома (потому что могут ограбить), ставит на сигнализацию машину (потому что могут угнать), интересуется у знакомых, где лучше отдохнуть (потому что можно сэкономить), и т.д. Но поступать так или нет — дело добровольное, и многим людям это, увы, не свойственно. Для российского менталитета, как это принято считать, свойственно прямо противоположное стремление полагаться на «русский авось».

В мире серьезного бизнеса «расчет на авось» противопоказан, особенно если предпринимателю дано право распоряжаться чужими деньгами или имуществом. Любые вероятные изменения (внутренние или внешние) должны быть идентифицированы заранее, и при их возникновении должны быть применены меры, смягчающие их воздействие на бизнес. Поэтому должен также существовать процесс мониторинга изменений, который позволит применить разработанные ранее меры тогда, когда «пациент скорее жив», а не при посмертном вскрытии. Причина очевидна: в худшем случае в бытовой ситуации пострадает конкретная семья, а результаты кризиса российской финансовой системы 1998 года почувствовали на себе миллионы людей…

Для того чтобы различать изменения по характеру их воздействия, предприниматели договорились вероятные события, которые могут оказать негативное воздействие называть «рисками», а события, которые могут оказать позитивное воздействие — «возможностями». Поскольку многие из рисков имеют одинаковый характер или одинаковую природу, им стали присваивать названия, которые условно выражали их характер (например, «кредитный риск», «операционный риск», «рыночный риск» и т.д.). В соответствии с концепцией контроля, ориентированного на риск, с каждым видом деятельности (предприятием2) изначально связаны специфические (свойственные, inherent) риски, и избежать их возможно только одним способом — в это предприятие не вступая. Однако можно и нужно, во-первых, своевременно идентифицировать эти риски, во-вторых, создать такие управленческие механизмы (процессы), которые при реализации риска смягчат последствия его воздействия до приемлемого уровня. Тогда внутренний контроль (или, следуя английской грамматике, контроли) – это те части бизнес-процесса, которые обеспечивают приемлемый для бизнеса уровень контролируемого (или остаточного,residual) риска.

Давайте вернемся к примеру с закрываемой перед уходом дверью и зададим себе ряд вполне риторических вопросов для оценки эффективности «бытовых» контролей:
— Уменьшится ли риск ограбления, если поставить в квартире металлическую дверь? 
— Неизвестно. Вроде бы с ней надежней…
— Переформулируем вопрос. Уменьшится ли риск, если металлическую дверь поставить, а на замок ее не закрывать? 
— Ответ очевиден — нет. 
— Может ли установка металлической двери уменьшить риск ограбления (другими словами — является ли контролем установка металлической двери)?
— Нет, если дверь останется открытой; да — если дверь закрыта. 
— Является ли контролем ежедневная проверка состояния двери перед уходом? 
— Да. 
— Усиливает ли установка металлической двери степень контроля, при условии ежедневной проверки перед уходом состояния двери?
— Конечно, да.

Этот пример, несмотря на его условность, показывает одну важную характеристику внутреннего контроля: только с точки зрения целей процесса становится важным, какие элементы контроля (в нашем примере — двери, замки, ежедневная проверка, сигнализация и т.д.) в него включены, и только с этой точки зрения можно оценить их эффективность. В концепции риск-ориентированного внутреннего контроля в роли стандарта выступает уровень риска, приемлемый для предприятия, проверка уровня остаточных рисков проходит постоянно и неотъемлемо от основной деятельности предприятия, а в случае выявления отклонений от стандартного уровня коррекции подлежит именно тот бизнес-процесс, контроли которого не обеспечивают смягчения воздействия риска.

При этом выбор наиболее эффективных методов и технологий внутреннего контроля определяется целями и видами деятельности предприятия, окружающей средой и соответствующим набором свойственных рисков. Не обязательно поручать осуществление всех видов контроля отдельному подразделению. Можно распределить ответственность между различными подразделениями, встраивая контроли в их текущую деятельность, и знать, где и какие контроли установлены. При этом основную ответственность за правильное функционирование системы внутреннего контроля несет руководство предприятия, а владельцы предприятия кровно заинтересованы в ее эффективности, так как она способствует снижению рискованности их вложений.

Тем не менее, без выделенного подразделения и в этом случае не обойтись. Одна функция в системе внутреннего контроля не может быть распределена или совмещена с другой деятельностью – это внутренний аудит. Независимо от его формального названия, должно быть создано независимое подразделение, осуществляющее мониторинг состояния системы внутреннего контроля и ее адекватности рискам в динамике. Согласно профессиональным стандартам3, выработанным международным Институтом внутренних аудиторов (IIA), профессиональные внутренние аудиторы играют ключевую роль в оценке и гарантировании эффективности систем управления рисками, контроля и корпоративного управления. В функцию внутреннего аудита входит оценка достоверности отчетности (как внешней, финансовой и регуляционной, так и внутренней, управленческой), проверка целесообразности и экономической эффективности операций, сохранности активов, и, безусловно, проверка соблюдения законодательства, требований нормативных документов регулирующих органов и контрактных обязательств предприятия.

Но в отличие от роли подобного подразделения в модели тотального контроля, внутреннему аудиту важнее не личная преданность руководителю, а независимость, не фиксирование нарушений пунктов инструкции, а квалифицированный анализ рисков, процессов и причин, приведших к таким нарушениям, не примерное наказание виновных, а установление и совершенствование контролей, смягчающих воздействие выявленных рисков.

Главные инструменты внутреннего аудитора – это концепция риск-ориентированного контроля и выстроенная на ее базе методология аудиторской деятельности. Именно эти инструменты позволяют приступить к анализу новой финансовой услуги, сформировать адекватный план проверки и распределить ресурсы. Именно эти инструменты позволяют отделить в ходе проверки случайную ошибку оператора от отсутствия или нарушения контролей и/или процессов. Именно эти инструменты дают возможность при обсуждении выявленных проблем противодействовать как упорству консерваторов («мы всегда так делали», «нас уже проверяли и ничего не нашли» и т.д.), так и оптимизму новаторов («да ничего не случится», «жутко выгодное дело» и т.д.), а при необходимости – эскалировать проблему до самого высокого уровня.

Гибкость и быстрота реакции на изменения среды и большая эффективность являются основными преимуществами риск-ориентированного контроля по сравнению с идеей тотального контроля. Но пришли специалисты, бизнесмены и регулирующие органы к такому взаимопониманию пониманию не сразу.

2. «…их ознакомлением также в области того, что сделала современная наука буржуазного государства в деле постановки наилучшей работы служащих всякого рода»4

Современный этап истории унификации требований к системе внутреннего контроля предприятий начался в 1985 году в США, когда при участии и на средства пяти профессиональных саморегулируемых организаций — AICPA (American Institute of Certified Public Accountants), Американская Ассоциация по учету и отчетности (American Accounting Association), FEI (Financial Executives Institute), Института внутренних аудиторов (Institute of Internal Auditors, IIA) и Института специалистов управленческого учета (Institute of Management Accountants) — была создана национальная комиссия по борьбе с недостоверной финансовой отчетностью, известная по имени первого своего председателя, Джеймса С. Тредуэя (James C. Treadway), как Комиссия Тредуэя. Выпущенный ими в 1987 году отчет, помимо других рекомендаций, содержал призыв к перечисленным организациям — спонсорам Комиссии Тредуэя объединить усилия по достижению договоренности об общих для всех основных понятиях внутреннего контроля. Основываясь на этом предложении, рабочая группа под покровительством Комитета спонсорских организаций Комиссии Тредуэя (Committee of Sponsoring Organizations of the Treadway Commission, COSO) провела анализ существовавшей на тот момент литературы по внутреннему контролю. Результат этой работы был представлен общественности в 1992 году под названием «Интегрированная концепция внутреннего контроля» (Internal Control — Integrated Framework). Кратко этот документ принято называть по наименованию комитета-организатора, концепцией COSO, моделью COSO, или просто COSO.

Модель COSO была особенно важна, поскольку акцент в ней был сделан на ответственности руководства предприятия за состояние контроля.В ней также были определены основные понятия и определения внутреннего контроля и его ключевые компоненты, исходя из следующих ключевых предпосылок:

  • Внутренний контроль — это процесс, то есть средство достижения цели, а не самоцель.
  • Внутренний контроль осуществляется людьми, поэтому для него важны не только (и не столько) правила, процедуры и другие руководящие документы, но люди на всех уровнях организации.
  • От внутреннего контроля владельцы и руководство предприятия могут ожидать только обоснованного уровня обеспечения достижения поставленных целей, но ни как не абсолютной гарантии безошибочной работы.
  • Внутренний контроль обеспечивает достижение поставленной цели, или нескольких целей в смежных областях деятельности. 5

Согласно COSO, внутренний контроль — это процесс, осуществляемый высшим органом предприятия, определяющим его политику (например, советом директоров, который представляет владельцев компании), его управленческим персоналом высшего уровня (менеджментом) и всеми другими сотрудниками, в достаточной и оправданной мере обеспечивающий достижение предприятием следующих целей:

  1. Целесообразность и финансовая эффективность6 деятельности (включая сохранность активов).
  2. Достоверность финансовой отчетности
  3. Соблюдение применимого законодательства и требований регулирующих органов.

Система внутреннего контроля, по оценке COSO, должна строиться из пяти взаимосвязанных компонентов:

  1. контрольная среда и нравственный климат,
  2. оценка риска,
  3. мероприятия контроля,
  4. сбор и анализ информации и передача ее по назначению,
  5. мониторинг и исправление ошибок

Основанный Лондонской Фондовой Биржей комитет под председательством Эдриана Кэдбери (Adrian Cadbury) в своих рекомендациях по разработке требований к Кодексу корпоративного управления, изданных в 1992 году, принял в общем идентичные COSO определения контроля. С 1995 года высшие органы управления всех предприятий, акции которых официально значились в листингах на фондовом рынке Великобритании, были обязаны ежегодно проверять и анализировать эффективность внутреннего финансового контроля7 и сообщать результаты этой проверки в специальном Ежегодном отчете директората. В 1998 году Лондонской Фондовой Биржей был издан Объединенный Кодекс Корпоративного Управления(Combined Code), который объединял в себе принципы, изложенные комиссией Кэдбери и принципы, относящиеся к роли и ответственности руководства компаний, изданные в 1995 году Комитетом Гринбери. В Объединенный Кодекс было включено требование о проверке и подготовке отчета всех трех перечисленных COSO типов контроля, а не только финансового контроля. Документы по корпоративному управлению, действующие в Великобритании не добавили ничего существенного к понятийному аппарату внутреннего контроля, однако само признание данных рекомендаций обязательными для значительного количества компаний, акции которых торгуются на фондовом рынке этой страны, сыграло значительную роль для осознания их важности.

В 1995 году Совет по критериям контроля (CoCo) Канадского Института Дипломированных Бухгалтеров опубликовал Руководство по контролю. В полном соответствии с принципами COSO, в руководстве были детально разработаны 20 критериев эффективного контроля, разбитые на 4 категории: Назначение; Обязательства; Возможности; Наблюдение и Обучение. Руководство призывало органы управления компаний обосновывать оценку эффективности контроля по каждому из 20 критериев. В CoCo нашла отражение также мысль о том, что ошибки в распознавании и использовании возможностей должны рассматриваться как особый вид риска, который должен специально оцениваться.

В том же 1995 году была первая попытка создания официального нормативного документа по управлению рисками — Стандартов Австралии и Новой Зеландии по Управлению Рисками (ANZ Risk Management Standard). В основе его концепции лежали известные принципы оценки риска в таких областях как безопасность мореплавания, мостостроение и ядерная безопасность. Пересмотренные стандарты AS/NZS 4360 были изданы в апреле 1999 года.

«Цели контроля за информационными и связанными с ними технологиями» (CobiT, Control Objectives for Information and Related Technology), впервые опубликованные в 1996 году, были попыткой на международном уровне установить стандарты безопасности и контроля в сфере информационных технологий. Документ использовал интегрированную модель контроля за информационными технологиями для поддержки бизнес-процессов, предложенную Ассоциацией Аудита и Контроля Информационных Систем (Information Systems Audit and Control Association, ISACA). Последняя редакция этого документа была опубликована в июле 2000 года.

Пожалуй, одним из наиболее последовательных институтов в применении модели COSO является Базельский комитет по банковскому надзору, признанный законодатель моды в области банковского регулирования. В 1998 году он выпустил два документа («Основы оценки системы внутреннего контроля» и «Система внутреннего контроля в банках: основы организации», Публикации №33 и 40), посвященных оценке эффективности внутреннего контроля в банках.8 Базельский комитет предложил для всех органов надзора набор принципов, согласно которым должна строиться оценка адекватности систем внутреннего контроля банка за всеми балансовыми и внебалансовыми инструментами. Три основные цели, к достижению которых должна стремиться кредитная организация путем создания эффективной системы внутреннего контроля, совпадали с основными целями внутреннего контроля в модели COSO.

Комитет представил 13 принципов, соблюдение которых необходимо для достижения эффективного внутреннего контроля. Эти принципы были сгруппированы в пяти категориях, совпадающих с предложенными COSO, и одной специфической, характерной для сложившейся в мире стандартной двухуровневой банковской системы — Оценка состояния системы внутреннего контроля органами банковского надзора.

В июле 2000 года и августе 2001 были изданы также рекомендации «Внутренний аудит в кредитных организациях и отношения регулирующих органов с внутренними и внешними аудиторами» и «Внутренний аудит в банках и взаимоотношения регулирующих органов и аудиторов» (Публикации №72 и 84). Дальнейшее развитие концепция риск-ориентированного внутреннего контроля получила в документах Базельского комитета, посвященных управлению операционным риском. В этих документах частично нашли отражение и многие новые идеи, изложенные в последней разработке COSO – «Концепции управления рисками предприятия» (Enterprise Risk Management Framework).

Enterprise Risk Management Framework является дальнейшим развитием модели COSO, и в значительной мере — ответом профессионального сообщества на осложнение обстановки в связи с ростом угрозы терроризма и громкими банкротствами международных компаний последних лет, вызванными некорректностью их финансовой отчетности. В настоящее время Enterprise Risk Management Framework проходит этап публичного обсуждения и будет издана в окончательном виде в начале 2004 года.

3. «Возможное возражение против этого плана: слишком много ревизоров, слишком много надзора, слишком много начальства, имеющего право требовать немедленного ответа и отрывающего служащих от своей прямой работы»9

Постепенный отход российских регулирующих органов и финансовых учреждений от использования концепции тотального контроля, происходящий на наших глазах, пока не завершился выработкой общепринятой концепции внутреннего контроля, близкой к модели COSO. Для Банка России и ФКЦБ среди всех целей внутреннего контроля наиболее значимой остается цель обеспечения соответствия деятельности кредитных организаций его нормативным актам и достоверность отчетности. Для работающего финансового института более важным является достижение поставленных им самим целей и оптимизация связанных с этим затрат, то есть оба аспекта эффективности деятельности. Значит, и существующий внутренний контроль будет, прежде всего, ориентироваться на эти цели, тем более что несоответствие регулирующим документам может рассматриваться как один из видов рисков – важный, но не единственный.

Согласованное принятие регуляторами и их подопечными концепции COSO могло бы разрешить такое противоречие. С точки зрения модели COSO, главной целью выпуска регулирующими органами нормативных документов должно являться снижение уровня системных рисков в финансовой системе страны, путем проецирования смягчающих риски контролей на уровень каждого конкретного финансового института. Никто не может гарантировать, что однажды придуманный финансовыми властями контроль реально смягчит воздействие риска в современных, весьма изменчивых условиях, если система не будет получать сигналы об уровне риска по каналам обратной связи.

С другой стороны, внедрение компонентов системы внутреннего контроля, необходимых по модели COSO для ее эффективного функционирования, может оказать на деятельность финансовой организации существенное позитивное влияние, поскольку предоставляют и менеджменту, и владельцам возможность сконцентрироваться на постановке и достижении целей предприятия (куда развиваться, какие и кому финансовые услуги предлагать с учетом присущих им рисков, и т.д.), а не на текущем процессе банковской деятельности.

Однако для формирования эффективного внутреннего контроля необходима воля и согласованная работа менеджеров и владельцев банка. Естественной реакцией персонала банка на усиление системы внутреннего контроля будет определенное противодействие, явное или скрытое. Во-первых, в силу инерции. Во-вторых, в силу свойственного значительной части россиян отношения к контролируемому как к потенциальному объекту присвоения («что охраняешь, то и имеешь»). В-третьих, в силу не забытого еще опыта по подмене самого строгого контроля формальными отписками. В четвертых, из-за отсутствия опыта распознавания рисков и возможностей, и т.д. К тому же, как представляется, любой контроль просто невыносимо мешает работе.

В этом есть своя правда – ориентированный на риск внутренний контроль мешает работать по-старому, поскольку при встраивании контролей в повседневную деятельность существенно изменяется как сам процесс работы, так и критерии оценки персонала. Нельзя забывать и совет Никколо Макиавелли о том, что «должно быть твердо усвоено, что нет ничего более сложного для осуществления, более сомнительного для успеха и более угрожающего для ведения дел, чем инициировать изменения».

Разумеется, концепция ориентированного на риск внутреннего контроля описывает идеал, к которому нужно стремиться. Как же менеджерам и регулирующим органам оценить эффективность и адекватность системы внутреннего контроля?

Учитывая, что одним из основных постулатов COSO является прямая ответственность как совета директоров (т.е. органа, представляющего интересы владельцев и устанавливающего исходя из этого общие принципы деятельности предприятия), так и менеджмента (т.е. исполнительного органа предприятия и его руководителей) за создание и обеспечение эффективного осуществления внутреннего контроля, можно сказать, что система внутреннего контроля может быть признана эффективной только когда:

  • Утверждены и периодически пересматривается владельцами (Советом директоров) документы, устанавливающий стратегию и политику финансовой организации в области внутреннего контроля:
    • установлены основные виды деятельности организации
    • идентифицированы основные неотъемлемые риски, связанные с основными видами деятельности
    • установлены приемлемые уровни риска, который может (должен) принимать на себя организация и его подразделения для достижения поставленных целей
    • определены основные методы контроля и структура контроля, не позволяющие превысить установленные уровни риска
  • Утвержденная стратегия и политика внедряется менеджментом в практику на базе оценки рисков:
    • проводится идентификация, оценка и контроль внутренних и внешних факторов, которые могут неблагоприятно повлиять на достижение организацией поставленных целей (идентификация, мониторинг и контроль за рисками)
    • утверждена организационная структура и распределение полномочий
    • разрабатываются необходимые процедуры и процессы, направленные на выявление, отслеживание изменений и контроль за рисками
    • планируется и контролируется деятельность по мониторингу эффективности системы внутреннего контроля
    • в организации создана контрольная среда, которая выражает и демонстрирует персоналу всех уровней важность внутреннего контроля и соблюдения этических норм
  • Создана необходимая инфраструктура, позволяющая обеспечить эффективность контролей:
    • процедуры контроля реализуются на всех уровнях управления
    • осуществляются периодические проверки обеспечения соответствия всех областей деятельности установленным политикам и процедурам
    • обеспечивается встроенность мероприятий контроля в ежедневные операции
    • обеспечено разделение обязанностей и отсутствие конфликтов интересов при выполнении персоналом своих обязанностей
    • обеспечена адекватность, полнота и достоверность внешних рыночных данных о событиях, которые могут повлиять на принятие решений
    • обеспечена адекватность, полнота и достоверность финансовой и управленческой отчетности
    • обеспечено соответствие операций действующему законодательству
  • Созданы эффективные и безопасные каналы доведения информации :
    • весь персонал предупрежден о существующих политиках и процедурах, касающихся их обязанностей и ответственности
    • обеспечена адресация и быстрота доведения необходимой информацией до соответствующего персонала
    • обеспечено соответствие уровня информационных систем и всех видов деятельности организации
    • обеспечена безопасность информационных систем, осуществляется их периодическая проверка
  • Проводится независимый мониторинг эффективности системы внутреннего контроля:
    • проводится на ежедневной основе мониторинг наиболее рискованных операций
    • проводится оценка влияния на операции организации каждого вида риска по отдельности, и всеобъемлющая оценка риска с учетом существующих методов и мер контроля
    • обеспечено проведение эффективного и всеобъемлющего внутреннего аудита системы внутреннего контроля независимыми в функциональном отношении, адекватно подготовленными и компетентными сотрудниками
    • обеспечено своевременное доведение информации о недостатках внутреннего контроля до управляющих соответствующего уровня и ее правильная адресация,
    • обеспечено доведение до менеджмента и Совета директоров информации о существенных недостатках внутреннего контроля и оценка ее эффективности.

Таким образом, при определении эффективности и адекватности системы внутреннего контроля должны в первую очередь учитываться не конкретные формы, методы и технологии контроля, не количество людей, занятых контролем, количество проведенных ими проверок или выявленных ошибок, а действия (или бездействие) менеджмента и владельцев предприятия, направленные на встраивание внутреннего контроля во все бизнес-процессы, своевременную оценку рисков и эффективности мер контроля, применяемых для смягчения их воздействия. В этом смысле выявление недостатков или нарушений может являться сигналом о возможной проблеме, связанной с отсутствием или неправильной работой контроля, и этот сигнал требует глубокого анализа причин и понимания бизнес-процесса. А если после каждого выявленного нарушения требований нормативных документов, даже незначительного с точки зрения реального риска, упоминать о плохой работе службы внутреннего контроля, она лучше не заработает: согласно восточной пословице, «сколько не говори «халва» — во рту слаще не станет».

Для владельцев и менеджмента важно установить такие правила разработки процедур, которые не позволят выпустить на рынок новые услуги без учета всех неотъемлемых рисков и встраивания в процессы адекватных рискам мер контроля. Необходимо определить, будет ли персонал, осуществляющий функции независимого повседневного контроля, организационно входить в штат операционных подразделений, или должен быть выделен в отдельную структуру. Нужно определить такую линию подчинения внутреннего аудита, порядок и периодичность проведения им проверок и информирования о полученных результатах, чтобы обеспечить в рамках конкретной организации приемлемый уровень ее независимости, и при необходимости поддержать ее действия своим авторитетом.

И, в идеале, получить после проверки от регулирующего органа не перечень нарушенных пунктов инструкций и предписание о «приведении в соответствие», а квалифицированную оценку как специфических, относящихся к конкретной финансовой организации, так и системных рисков. Тогда и наказание может быть оправданным.

К сожалению, путь к идеалу еще далек. Поэтому и остается главным один вопрос: как скоро регулирующие органы смогут отойти от концепции тотального контроля и будут на практике применять к оценке эффективности внутреннего контроля финансовых организаций модель COSO и рекомендации Базельского комитета.


  1. В.И.Ленин (ПСС, т.36, с.178). Заголовки разделов являются цитатами из произведений и материалов В.И.Ленина, посвященных вопросам создания системы управления и контроля в Советской республике в 20-е годы прошлого столетия («Очередные задачи Советской власти», «Как нам реорганизовать Рабкрин», «Лучше меньше да лучше»). История развивается по спирали…
  2. Под «предприятием» здесь и далее понимается не завод или фабрика, а, согласно Далю, «…что предпринимается, самое дело», т.е. смысловой аналог англоязычного понятия business.
  3. см. русский перевод стандартов на сайте Российского отделения IIA: Стандарты
  4. В.И.Ленин (ПСС, т.45, с.447)
  5. Предпосылки, принятые во внимание COSO при разработке модели внутреннего контроля, цитируются по разделу «Key Concepts» на сайте www.coso.org в неофициальном переводе.
  6. Понятие «эффективность» в английском языке выражается двумя разными понятиями – «effectiveness» и «efficiency», причем первое относится более к целесообразности процесса, т.е. к способности достигать ожидаемых результатов, а второе – к способности оптимизировать затраты (ресурсы, денежные средства, время) т.е. к финансовой эффективности. COSO употребляет для описания эффективности оба понятия.
  7. Под финансовым контролем обычно понимается контроль финансовых и связанных с ними аспектов деятельности и управления компании с применением таких специфических форм и методов, как ведение главной бухгалтерской книги, открытие и использование счетов, подготовка финансовой и управленческой отчетности, подготовка бюджета и политики расходов компании или его подразделений и т.д. Возглавляет это направление деятельности компании Финансовый контролер, роль которого существенно отличается от роли Главного бухгалтера российских предприятий.
  8. Неофициальные переводы публикаций Базельского комитета №40 и 84 были рекомендованы Банком России кредитным организациям для использования в работе Письмами № 87-Т от 10.07.2001 и №59-Т от 13.05.2002 соответственно.
  9. В.И.Ленин (ПСС, т.45, с.442)

08.08.2017

Все ли операционные риски следует контролировать и предотвращать? Как оценить, что контрольные процедуры выполнены должным образом? Разбираемся с Андреем Коптеловым.

Если вам кажется, что у вас все под контролем, вы просто еще не набрали скорость.


Марио Андретти, участник гонок «Формула 1»

Пока гром не грянет, мужик не перекрестится, — эта пословица прекрасно описывает российскую специфику управления операционными рисками. К сожалению, наши компании нередко отличаются слабым уровнем работы с операционными рисками и полным отсутствием системы внутреннего контроля. Исправить данный недостаток можно, применяя к бизнес-процессам компании методологию американского законодательства SOX (Sarbanes-Oxley Act)

Что такое операционный риск

Операционный риск, можно определить как риск прямых или косвенных убытков в результате неверного исполнения бизнес-процессов, неэффективности процедур внутреннего контроля, технологических сбоев, мошенничества, несанкционированных действий персонала или внешнего воздействия.

Ключевой идеей системы управления операционными рисками является определение наиболее вероятных и серьезных в части ущерба рисков и последующее изменение существующих бизнес-процессов с целью недопущения реализации данных рисков или минимизации последствий в случае, если риск все-таки реализовался.

По статистике среднестатистическая компания теряет 5% прибыли только из-за мошенничества, тогда как потери из-за других видов операционных рисков в разы больше. Смысл системы управления операционными рисками хорошо иллюстрирует следующее определение: управление операционными рисками – это возможность не терять значительные деньги по незначительным поводам.

Многие операционные риски отличает от финансовых и кредитных рисков тот факт, что их источник лежит внутри самой организации. А, значит, вероятность реализации операционных рисков может быть снижена за счет устранения причин, их порождающих. Операционные риски в основном приводят к неоправданным потерям. Поэтому, в случае их обнаружения и устранения, компания получает ощутимую выгоду с точки зрения повышения качества внутренних бизнес-процессов и снижения неоправданных потерь.

Формализация операционных рисков

Формализация операционных рисков необходима для превентивного определения тех точек в бизнес-процессах, где с высокой вероятностью может произойти нештатное событие. Однако на практике некоторые российские компании даже в случае многократной реализации операционного риска так и не предпринимают никаких мер для исключения его в будущем.

Тут можно привести известный афоризм, что грабли бывают двух видов: первые чему-то учат, и вторые — мои любимые. Именно поэтому в рамках управления операционными рисками, помимо формализации операционных рисков в специальном реестре или даже в специализированной информационной системе, рекомендуется создавать базу убытков, чтобы заносить в нее случаи реализации рисков в компании, а также понесенный ущерб. Такая практика позволяет анализировать причины рисков и специальными мероприятиями снижать вероятность их реализации в будущем.

Первый шаг — создание реестра операционных рисков, вести который следует поручить экспертам из подразделений компании или внутренним аудиторам. А после того, как ключевые риски собраны, можно начать накапливать статистику по случаям их реализации, чтобы определить первоочередные мероприятия по их предотвращению.

Сложным вопросом в части выявления операционных рисков является доказательство полноты выявленных рисков, и тут наиболее просто использовать отраслевые реестры рисков, которые, как правило, собираются аудиторами. Использование отраслевых реестров операционных рисков позволяет выполнить формализацию операционных рисков в бизнес-процессах на порядок быстрее, чем использование экспертных методов сбора операционных рисков от своих сотрудников и руководителей.

Оценка операционных рисков

Учитывая, что в крупной компании количество операционных рисков может смело перевалить за тысячу, то нужен простой способ их оценки и ранжирования для определения наиболее критичных рисков, с которыми придется бороться в первую очередь.

Управление всеми найденными операционными рисками экономически невыгодно для компании. Проще смириться с убытками, которые вызывают риски с небольшим ущербом и низкой вероятностью реализации, чем проектировать и внедрять мероприятия по их предотвращению. Именно поэтому ключевой задачей оценки операционных рисков является отсечение тех рисков, которые с высокой степенью вероятности не оправдают дальнейших затрат на их предотвращение.

Существует множество подходов к оценке рисков, однако самым простым является экспертное ранжирование рисков по двум критериям: вероятность реализации риска и объем ущерба от случая реализации. Данная оценка производится на основании мнений экспертов, которые анализируют вероятность и ущерб для всех операционных рисков, актуальных для компании.

После того как оценка проведена, можно использовать четыре стратегии управления операционными рисками. Первая, самая применяемая в России, называется «принимать»: риски принимаются к сведению, но действия по их минимизации не планируются. Вторая стратегия — «страховать»: особенно часто эту стратегию используют для маловероятных рисков с серьезным ущербом. Третья стратегия называется «избегать»: в этому случае компания отказывается от рискованных бизнес-процессов, либо сосредоточивает максимальные усилия на оптимизации данных процессов в части снижения ущерба и его вероятности. Четвертая стратегия называется «предотвращать» и требует построения контрольных процедур для минимизации высоко вероятных рисков со средним или малым ущербом.

Построение системы внутреннего контроля

Для недопущения реализации рисков или минимизации последствий используется система внутреннего контроля, в рамках которой не только определяется ответственный за операционный риск, но и создается контрольная процедура, которая внедряется в существующий бизнес-процесс.

Контрольная процедура — это действие, которое помогает удостовериться, что все необходимые меры в отношении предотвращения случаев реализации операционных рисков приняты. При этом, чтобы проверить работоспособности контрольной процедуры, важно также получить свидетельство контроля — документальное подтверждение факта ее исполнения.

Наиболее результативными считаются превентивные контрольные процедуры, которые позволяют минимизировать саму вероятность наступления рискового события. Однако для повышения надежности бизнес-процесса их часто применяют одновременно с детективными процедурами. Например, наряду с процедурой изъятия карточки-пропуска при увольнении сотрудника должна существовать контрольная процедура сверки списка сотрудников, которым закрыт доступ по их карточкам-пропускам, со списком уволенных за определенный период.

Для создания контрольной процедуры в бизнес-процессе нужно ответить на следующие вопросы:

  • Когда и как часто выполняются процедуры контроля?
  • Кто выполняет контрольную процедуру?
  • Что необходимо выполнить в процедуре контроля?
  • Как понять, что процедура контроля выполнена правильно?
  • Как процедура контроля документирована?
  • Какие свидетельства выполнения процедуры контроля существуют?
  • Где расположены контрольные точки в бизнес-процессах?

При проектировании контрольной процедуры в обязательном порядке необходимо предусмотреть необходимость создания свидетельств контроля, подтверждающих факт правильного выполнения контрольной процедуры. На практике свидетельством контроля может являться акт сверки, log-файл информационной системы, — все то, что подтвердит факт успешного выполнения контрольной процедуры сотрудником или информационной системой.

При этом нужно учитывать, что ручной контроль требует серьезных трудозатрат, и поэтому автоматизация контрольных процедур является ключевым направлением развития системы внутреннего контроля в последнее время. Чем больше в компании автоматизированных контрольных процедур, результаты выполнения которых видны в log-файлах информационных систем, тем эффективнее и, главное, дешевле, система внутреннего контроля.

Тестирование эффективности системы внутреннего контроля

Чтобы быть уверенным в том, что система внутреннего контроля эффективна, необходимо с определенной периодичностью проверять, как на практике выполняются контрольные процедуры. Данная проверка осуществляется с помощью специализированных тестов, которые состоят из следующих шагов:

Сначала устанавливается наличие регламента, где определяется порядок, правила выполнения данного бизнес-процесса и соответствующих контрольных процедур.

Далее проверяется выполнение на практике требований, описанных в документе, и документируются конкретные примеры выполнения.

По результатам проведенного теста принимается решение об эффективности или неэффективности анализируемых контрольных процедур.

Дополнительной сложностью в тестировании является требование, чтобы тестирование выполнялось сотрудниками, не участвующими в проверяемых бизнес-процессах. Тысяча тестов, которые необходимо выполнить в течение месяца, — это нормальная ситуация для системы внутреннего контроля крупной компании. При этом количество проводимых тестов зависит от количества экземпляров бизнес-процессов, проходящих через проверяемую контрольную процедуру. Таким образом, периодичность проведения тестирования устанавливается в зависимости от критичности операционных рисков и частоты исполнения бизнес-процесса и может варьироваться.

В существующих условиях количество трансакций в деятельности крупной компании достигает сотен тысяч в день, а число операционных рисков превышает несколько сотен. При этом достаточно сложно отследить эффективность выполнения контрольных процедур на ручном уровне, поэтому единственным эффективным путем является максимальная автоматизация как контрольных процедур, так и проверочных тестов.

Почему нужно равняться на методологию SOX

Анализ разных подходов к построению систем внутреннего контроля показал, что максимально жесткой и проработанной в части внедрения является именно методология закона SOX, которая предназначена для минимизации нарушений, связанных с финансовой отчетностью. Только в системе внутреннего контроля, построенной по требованиям SOX, можно обнаружить не только контрольные процедуры и свидетельства контроля, но и специализированные тесты, с помощью которых в регулярном режиме проверяют эффективность работы контрольных процедур.

При этом вся система, помимо внутренних тестов, дополнительно контролируется внешним аудитором. Его задача — выборочно проверять не только качество оценки операционных рисков, но и правильность работы контрольных процедур, существование свидетельств контроля, а также регулярность внутреннего тестирования системы.

И хотя внедрение такого объема контрольных процедур и тестов часто слишком дорого для компании, в тех бизнес-процессах, над которыми нужно установить максимальный контроль, можно использовать методологию SOX в полном объеме.

Статья  http://www.e-xecutive.ru/management/practices/1985953-kak-postroit-sistemu-vnutrennego-kontrolya


Приглашаем вас на обучение по программе профессиональной переподготовки «Операционная эффективность бизнеса и совершенствование бизнес-процессов». ← Назад к списку

Алексей Тихомиров, at-ihom@yandex.ru
Институт внутренних аудиторов

Критерием эффективности внутреннего контроля финансовой организации не может являться только степень соблюдения требований регулирующих органов.

1. «Государство, бывшее веками органом угнетения и ограбления народа, оставило нам в наследство величайшую ненависть и недоверие масс ко всему государственному» 1

Финансовое сообщество готовится к переменам, ясный сигнал о которых подан Банком России: в начале июля 2003 года он разрешил своим территориальным подразделениям не применять меры воздействия к банкам-нарушителям положений Указания № 603-У от 7 июля 1999 г. «О порядке осуществления внутреннего контроля за соответствием деятельности на финансовых рынках законодательству о финансовых рынках в кредитных организациях», а в конце августа объявил о замене в ближайшие месяцы Положения № 509 от 28 августа 1997 г. «Об организации внутреннего контроля в банках» принципиально новым документом, основанном на рекомендациях Базельского комитета по банковскому надзору.

Не остаются в стороне и другие регулирующие органы: Федеральная комиссия по рынку ценных бумаг (ФКЦБ) активно занимается анализом и совершенствованием требований к системе внутреннего контроля в финансовых организациях, работающих на рынке ценных бумаг, вовлекая в проверки внутреннего контроля саморегулируемые организации. После принятия Закона «О противодействии легализации (отмыванию) доходов, полученных преступным путем» Правительство России, Банк России и ФКЦБ выпустили документы, в которых обязали все финансовые организации использовать внутренний контроль как инструмент в борьбе с легализацией преступных доходов.

Только вот понимание внутреннего контроля и способы оценки его эффективности у различных регулирующих органов, а часто и различных их подразделений «на местах» весьма различаются. Поэтому для финансовых организаций ключевым остается один вопрос: изменится ли на практике подход регулирующих органов к оценке эффективности внутреннего контроля, или по-прежнему отсутствие документа под названием «Инструкция о внутреннем контроле» (sic!), выявленное расхождение в две копейки или случайный сбой системы будут безапелляционно признаны свидетельством неэффективности работы системы внутреннего контроля в целом, и службы внутреннего контроля в частности?

Для такой постановки вопроса, к сожалению, есть основания. Все первоначальные редакции нормативных документов, регулирующих деятельность внутреннего контроля, имели нечто общее с мечтой основателя Советского государства о «…победоносном и беспощадном походе против нарушителей этого контроля или беззаботных насчет контроля». Основная причина, на наш взгляд, — концепция тотального контроля, глубоко пустившая корни в сознании многих людей, занятых в финансовом секторе экономики России, и уходящая этими корнями в ее далекую историю.

Эта концепция подразумевает в идеале установление всеобъемлющего свода правил, регулирующих все аспекты деятельности организации, и создание такого режима работы, который не позволял бы отклоняться от установленных стандартов (намеренно или случайно). Основным инструментом воздействия на управленческие процессы является демонстративное наказание нарушившего, а задачу соблюдения такого режима обычно возлагают на выделенное штатно и организационно подразделение (службу внутреннего контроля), имеющее статус «особо доверенного» и подчиняющееся «лично» самому высокому руководителю организации.

Сама по себе идея полного регулирования всех аспектов деятельности не несет негативного характера, и во многих случаях оправдана (вспомним, например, про воинские уставы, каждый параграф которых основан на реальных человеческих потерях). Более того, канонически контроль и представляет собой процесс управления, состоящий из трех элементов: определение стандартов деятельности системы, сравнение достигнутых ею результатов с установленными стандартами, и, в случае расхождений, корректировка процессов управления.

Одна беда — при воплощении этой концепции в жизнь, по крылатому выражению В.С. Черномырдина, постоянно «получается как всегда». Основными слабостями этой концепции является умозрительность при первоначальном определении стандартов, изумляющая простота и формальность проверок («… что противоречит п. x.x.x Инструкции №NNN»), а также, что более существенно, трудность своевременного и точного распознавания некорректного управленческого процесса, приведшего к отклонению от стандарта. К тому же детальная регламентация деятельности и сосредоточение функций контроля в одном подразделении, свойственное для концепции тотального контроля, неизбежно приводит к бюрократизации всего процесса внутреннего контроля. Такая система перестает реагировать на новые, актуальные вызовы и угрозы, поскольку основой для оценки деятельности внутреннего контроля (и службы внутреннего контроля как его главного воплощения) является формальное соответствие заданным правилам и регулирующим документам. Только два вида событий могут внести возмущение в такую систему: во-первых, смена руководителя и реорганизация, во-вторых — пересмотр внутренних правил вследствие кризиса управления системой, или, как частный случай, иное «толкование» старых правил в угоду новому руководству.

Ответом на несовершенство идеи тотального контроля стала концепция контроля, ориентированного на риск, известная в профессиональном мире как модель COSO. Пояснить эту модель можно на житейском примере. Задумываясь о последствиях происходящих с нами и вокруг нас событий, в большинстве бытовых ситуаций мы оперируем понятиями «повезло» — «не повезло», «судьба» и т.д. Разумный и ответственный человек часто может предотвратить нежелательные последствия, действуя в соответствии с нормами поведения, общепринятыми или выработанными им самим, в основном в целях личной безопасности и безопасность семьи, сохранения нажитого имущества и репутации: закрывает дверь, когда выходит из дома (потому что могут ограбить), ставит на сигнализацию машину (потому что могут угнать), интересуется у знакомых, где лучше отдохнуть (потому что можно сэкономить), и т.д. Но поступать так или нет — дело добровольное, и многим людям это, увы, не свойственно. Для российского менталитета, как это принято считать, свойственно прямо противоположное стремление полагаться на «русский авось».

В мире серьезного бизнеса «расчет на авось» противопоказан, особенно если предпринимателю дано право распоряжаться чужими деньгами или имуществом. Любые вероятные изменения (внутренние или внешние) должны быть идентифицированы заранее, и при их возникновении должны быть применены меры, смягчающие их воздействие на бизнес. Поэтому должен также существовать процесс мониторинга изменений, который позволит применить разработанные ранее меры тогда, когда «пациент скорее жив», а не при посмертном вскрытии. Причина очевидна: в худшем случае в бытовой ситуации пострадает конкретная семья, а результаты кризиса российской финансовой системы 1998 года почувствовали на себе миллионы людей…

Для того чтобы различать изменения по характеру их воздействия, предприниматели договорились вероятные события, которые могут оказать негативное воздействие называть «рисками», а события, которые могут оказать позитивное воздействие — «возможностями». Поскольку многие из рисков имеют одинаковый характер или одинаковую природу, им стали присваивать названия, которые условно выражали их характер (например, «кредитный риск», «операционный риск», «рыночный риск» и т.д.). В соответствии с концепцией контроля, ориентированного на риск, с каждым видом деятельности (предприятием2) изначально связаны специфические (свойственные, inherent) риски, и избежать их возможно только одним способом — в это предприятие не вступая. Однако можно и нужно, во-первых, своевременно идентифицировать эти риски, во-вторых, создать такие управленческие механизмы (процессы), которые при реализации риска смягчат последствия его воздействия до приемлемого уровня. Тогда внутренний контроль (или, следуя английской грамматике, контроли) – это те части бизнес-процесса, которые обеспечивают приемлемый для бизнеса уровень контролируемого (или остаточного,residual) риска.

Давайте вернемся к примеру с закрываемой перед уходом дверью и зададим себе ряд вполне риторических вопросов для оценки эффективности «бытовых» контролей:
— Уменьшится ли риск ограбления, если поставить в квартире металлическую дверь? 
— Неизвестно. Вроде бы с ней надежней…
— Переформулируем вопрос. Уменьшится ли риск, если металлическую дверь поставить, а на замок ее не закрывать? 
— Ответ очевиден — нет. 
— Может ли установка металлической двери уменьшить риск ограбления (другими словами — является ли контролем установка металлической двери)?
— Нет, если дверь останется открытой; да — если дверь закрыта. 
— Является ли контролем ежедневная проверка состояния двери перед уходом? 
— Да. 
— Усиливает ли установка металлической двери степень контроля, при условии ежедневной проверки перед уходом состояния двери?
— Конечно, да.

Этот пример, несмотря на его условность, показывает одну важную характеристику внутреннего контроля: только с точки зрения целей процесса становится важным, какие элементы контроля (в нашем примере — двери, замки, ежедневная проверка, сигнализация и т.д.) в него включены, и только с этой точки зрения можно оценить их эффективность. В концепции риск-ориентированного внутреннего контроля в роли стандарта выступает уровень риска, приемлемый для предприятия, проверка уровня остаточных рисков проходит постоянно и неотъемлемо от основной деятельности предприятия, а в случае выявления отклонений от стандартного уровня коррекции подлежит именно тот бизнес-процесс, контроли которого не обеспечивают смягчения воздействия риска.

При этом выбор наиболее эффективных методов и технологий внутреннего контроля определяется целями и видами деятельности предприятия, окружающей средой и соответствующим набором свойственных рисков. Не обязательно поручать осуществление всех видов контроля отдельному подразделению. Можно распределить ответственность между различными подразделениями, встраивая контроли в их текущую деятельность, и знать, где и какие контроли установлены. При этом основную ответственность за правильное функционирование системы внутреннего контроля несет руководство предприятия, а владельцы предприятия кровно заинтересованы в ее эффективности, так как она способствует снижению рискованности их вложений.

Тем не менее, без выделенного подразделения и в этом случае не обойтись. Одна функция в системе внутреннего контроля не может быть распределена или совмещена с другой деятельностью – это внутренний аудит. Независимо от его формального названия, должно быть создано независимое подразделение, осуществляющее мониторинг состояния системы внутреннего контроля и ее адекватности рискам в динамике. Согласно профессиональным стандартам3, выработанным международным Институтом внутренних аудиторов (IIA), профессиональные внутренние аудиторы играют ключевую роль в оценке и гарантировании эффективности систем управления рисками, контроля и корпоративного управления. В функцию внутреннего аудита входит оценка достоверности отчетности (как внешней, финансовой и регуляционной, так и внутренней, управленческой), проверка целесообразности и экономической эффективности операций, сохранности активов, и, безусловно, проверка соблюдения законодательства, требований нормативных документов регулирующих органов и контрактных обязательств предприятия.

Но в отличие от роли подобного подразделения в модели тотального контроля, внутреннему аудиту важнее не личная преданность руководителю, а независимость, не фиксирование нарушений пунктов инструкции, а квалифицированный анализ рисков, процессов и причин, приведших к таким нарушениям, не примерное наказание виновных, а установление и совершенствование контролей, смягчающих воздействие выявленных рисков.

Главные инструменты внутреннего аудитора – это концепция риск-ориентированного контроля и выстроенная на ее базе методология аудиторской деятельности. Именно эти инструменты позволяют приступить к анализу новой финансовой услуги, сформировать адекватный план проверки и распределить ресурсы. Именно эти инструменты позволяют отделить в ходе проверки случайную ошибку оператора от отсутствия или нарушения контролей и/или процессов. Именно эти инструменты дают возможность при обсуждении выявленных проблем противодействовать как упорству консерваторов («мы всегда так делали», «нас уже проверяли и ничего не нашли» и т.д.), так и оптимизму новаторов («да ничего не случится», «жутко выгодное дело» и т.д.), а при необходимости – эскалировать проблему до самого высокого уровня.

Гибкость и быстрота реакции на изменения среды и большая эффективность являются основными преимуществами риск-ориентированного контроля по сравнению с идеей тотального контроля. Но пришли специалисты, бизнесмены и регулирующие органы к такому взаимопониманию пониманию не сразу.

2. «…их ознакомлением также в области того, что сделала современная наука буржуазного государства в деле постановки наилучшей работы служащих всякого рода»4

Современный этап истории унификации требований к системе внутреннего контроля предприятий начался в 1985 году в США, когда при участии и на средства пяти профессиональных саморегулируемых организаций — AICPA (American Institute of Certified Public Accountants), Американская Ассоциация по учету и отчетности (American Accounting Association), FEI (Financial Executives Institute), Института внутренних аудиторов (Institute of Internal Auditors, IIA) и Института специалистов управленческого учета (Institute of Management Accountants) — была создана национальная комиссия по борьбе с недостоверной финансовой отчетностью, известная по имени первого своего председателя, Джеймса С. Тредуэя (James C. Treadway), как Комиссия Тредуэя. Выпущенный ими в 1987 году отчет, помимо других рекомендаций, содержал призыв к перечисленным организациям — спонсорам Комиссии Тредуэя объединить усилия по достижению договоренности об общих для всех основных понятиях внутреннего контроля. Основываясь на этом предложении, рабочая группа под покровительством Комитета спонсорских организаций Комиссии Тредуэя (Committee of Sponsoring Organizations of the Treadway Commission, COSO) провела анализ существовавшей на тот момент литературы по внутреннему контролю. Результат этой работы был представлен общественности в 1992 году под названием «Интегрированная концепция внутреннего контроля» (Internal Control — Integrated Framework). Кратко этот документ принято называть по наименованию комитета-организатора, концепцией COSO, моделью COSO, или просто COSO.

Модель COSO была особенно важна, поскольку акцент в ней был сделан на ответственности руководства предприятия за состояние контроля.В ней также были определены основные понятия и определения внутреннего контроля и его ключевые компоненты, исходя из следующих ключевых предпосылок:

  • Внутренний контроль — это процесс, то есть средство достижения цели, а не самоцель.
  • Внутренний контроль осуществляется людьми, поэтому для него важны не только (и не столько) правила, процедуры и другие руководящие документы, но люди на всех уровнях организации.
  • От внутреннего контроля владельцы и руководство предприятия могут ожидать только обоснованного уровня обеспечения достижения поставленных целей, но ни как не абсолютной гарантии безошибочной работы.
  • Внутренний контроль обеспечивает достижение поставленной цели, или нескольких целей в смежных областях деятельности. 5

Согласно COSO, внутренний контроль — это процесс, осуществляемый высшим органом предприятия, определяющим его политику (например, советом директоров, который представляет владельцев компании), его управленческим персоналом высшего уровня (менеджментом) и всеми другими сотрудниками, в достаточной и оправданной мере обеспечивающий достижение предприятием следующих целей:

  1. Целесообразность и финансовая эффективность6 деятельности (включая сохранность активов).
  2. Достоверность финансовой отчетности
  3. Соблюдение применимого законодательства и требований регулирующих органов.

Система внутреннего контроля, по оценке COSO, должна строиться из пяти взаимосвязанных компонентов:

  1. контрольная среда и нравственный климат,
  2. оценка риска,
  3. мероприятия контроля,
  4. сбор и анализ информации и передача ее по назначению,
  5. мониторинг и исправление ошибок

Основанный Лондонской Фондовой Биржей комитет под председательством Эдриана Кэдбери (Adrian Cadbury) в своих рекомендациях по разработке требований к Кодексу корпоративного управления, изданных в 1992 году, принял в общем идентичные COSO определения контроля. С 1995 года высшие органы управления всех предприятий, акции которых официально значились в листингах на фондовом рынке Великобритании, были обязаны ежегодно проверять и анализировать эффективность внутреннего финансового контроля7 и сообщать результаты этой проверки в специальном Ежегодном отчете директората. В 1998 году Лондонской Фондовой Биржей был издан Объединенный Кодекс Корпоративного Управления(Combined Code), который объединял в себе принципы, изложенные комиссией Кэдбери и принципы, относящиеся к роли и ответственности руководства компаний, изданные в 1995 году Комитетом Гринбери. В Объединенный Кодекс было включено требование о проверке и подготовке отчета всех трех перечисленных COSO типов контроля, а не только финансового контроля. Документы по корпоративному управлению, действующие в Великобритании не добавили ничего существенного к понятийному аппарату внутреннего контроля, однако само признание данных рекомендаций обязательными для значительного количества компаний, акции которых торгуются на фондовом рынке этой страны, сыграло значительную роль для осознания их важности.

В 1995 году Совет по критериям контроля (CoCo) Канадского Института Дипломированных Бухгалтеров опубликовал Руководство по контролю. В полном соответствии с принципами COSO, в руководстве были детально разработаны 20 критериев эффективного контроля, разбитые на 4 категории: Назначение; Обязательства; Возможности; Наблюдение и Обучение. Руководство призывало органы управления компаний обосновывать оценку эффективности контроля по каждому из 20 критериев. В CoCo нашла отражение также мысль о том, что ошибки в распознавании и использовании возможностей должны рассматриваться как особый вид риска, который должен специально оцениваться.

В том же 1995 году была первая попытка создания официального нормативного документа по управлению рисками — Стандартов Австралии и Новой Зеландии по Управлению Рисками (ANZ Risk Management Standard). В основе его концепции лежали известные принципы оценки риска в таких областях как безопасность мореплавания, мостостроение и ядерная безопасность. Пересмотренные стандарты AS/NZS 4360 были изданы в апреле 1999 года.

«Цели контроля за информационными и связанными с ними технологиями» (CobiT, Control Objectives for Information and Related Technology), впервые опубликованные в 1996 году, были попыткой на международном уровне установить стандарты безопасности и контроля в сфере информационных технологий. Документ использовал интегрированную модель контроля за информационными технологиями для поддержки бизнес-процессов, предложенную Ассоциацией Аудита и Контроля Информационных Систем (Information Systems Audit and Control Association, ISACA). Последняя редакция этого документа была опубликована в июле 2000 года.

Пожалуй, одним из наиболее последовательных институтов в применении модели COSO является Базельский комитет по банковскому надзору, признанный законодатель моды в области банковского регулирования. В 1998 году он выпустил два документа («Основы оценки системы внутреннего контроля» и «Система внутреннего контроля в банках: основы организации», Публикации №33 и 40), посвященных оценке эффективности внутреннего контроля в банках.8 Базельский комитет предложил для всех органов надзора набор принципов, согласно которым должна строиться оценка адекватности систем внутреннего контроля банка за всеми балансовыми и внебалансовыми инструментами. Три основные цели, к достижению которых должна стремиться кредитная организация путем создания эффективной системы внутреннего контроля, совпадали с основными целями внутреннего контроля в модели COSO.

Комитет представил 13 принципов, соблюдение которых необходимо для достижения эффективного внутреннего контроля. Эти принципы были сгруппированы в пяти категориях, совпадающих с предложенными COSO, и одной специфической, характерной для сложившейся в мире стандартной двухуровневой банковской системы — Оценка состояния системы внутреннего контроля органами банковского надзора.

В июле 2000 года и августе 2001 были изданы также рекомендации «Внутренний аудит в кредитных организациях и отношения регулирующих органов с внутренними и внешними аудиторами» и «Внутренний аудит в банках и взаимоотношения регулирующих органов и аудиторов» (Публикации №72 и 84). Дальнейшее развитие концепция риск-ориентированного внутреннего контроля получила в документах Базельского комитета, посвященных управлению операционным риском. В этих документах частично нашли отражение и многие новые идеи, изложенные в последней разработке COSO – «Концепции управления рисками предприятия» (Enterprise Risk Management Framework).

Enterprise Risk Management Framework является дальнейшим развитием модели COSO, и в значительной мере — ответом профессионального сообщества на осложнение обстановки в связи с ростом угрозы терроризма и громкими банкротствами международных компаний последних лет, вызванными некорректностью их финансовой отчетности. В настоящее время Enterprise Risk Management Framework проходит этап публичного обсуждения и будет издана в окончательном виде в начале 2004 года.

3. «Возможное возражение против этого плана: слишком много ревизоров, слишком много надзора, слишком много начальства, имеющего право требовать немедленного ответа и отрывающего служащих от своей прямой работы»9

Постепенный отход российских регулирующих органов и финансовых учреждений от использования концепции тотального контроля, происходящий на наших глазах, пока не завершился выработкой общепринятой концепции внутреннего контроля, близкой к модели COSO. Для Банка России и ФКЦБ среди всех целей внутреннего контроля наиболее значимой остается цель обеспечения соответствия деятельности кредитных организаций его нормативным актам и достоверность отчетности. Для работающего финансового института более важным является достижение поставленных им самим целей и оптимизация связанных с этим затрат, то есть оба аспекта эффективности деятельности. Значит, и существующий внутренний контроль будет, прежде всего, ориентироваться на эти цели, тем более что несоответствие регулирующим документам может рассматриваться как один из видов рисков – важный, но не единственный.

Согласованное принятие регуляторами и их подопечными концепции COSO могло бы разрешить такое противоречие. С точки зрения модели COSO, главной целью выпуска регулирующими органами нормативных документов должно являться снижение уровня системных рисков в финансовой системе страны, путем проецирования смягчающих риски контролей на уровень каждого конкретного финансового института. Никто не может гарантировать, что однажды придуманный финансовыми властями контроль реально смягчит воздействие риска в современных, весьма изменчивых условиях, если система не будет получать сигналы об уровне риска по каналам обратной связи.

С другой стороны, внедрение компонентов системы внутреннего контроля, необходимых по модели COSO для ее эффективного функционирования, может оказать на деятельность финансовой организации существенное позитивное влияние, поскольку предоставляют и менеджменту, и владельцам возможность сконцентрироваться на постановке и достижении целей предприятия (куда развиваться, какие и кому финансовые услуги предлагать с учетом присущих им рисков, и т.д.), а не на текущем процессе банковской деятельности.

Однако для формирования эффективного внутреннего контроля необходима воля и согласованная работа менеджеров и владельцев банка. Естественной реакцией персонала банка на усиление системы внутреннего контроля будет определенное противодействие, явное или скрытое. Во-первых, в силу инерции. Во-вторых, в силу свойственного значительной части россиян отношения к контролируемому как к потенциальному объекту присвоения («что охраняешь, то и имеешь»). В-третьих, в силу не забытого еще опыта по подмене самого строгого контроля формальными отписками. В четвертых, из-за отсутствия опыта распознавания рисков и возможностей, и т.д. К тому же, как представляется, любой контроль просто невыносимо мешает работе.

В этом есть своя правда – ориентированный на риск внутренний контроль мешает работать по-старому, поскольку при встраивании контролей в повседневную деятельность существенно изменяется как сам процесс работы, так и критерии оценки персонала. Нельзя забывать и совет Никколо Макиавелли о том, что «должно быть твердо усвоено, что нет ничего более сложного для осуществления, более сомнительного для успеха и более угрожающего для ведения дел, чем инициировать изменения».

Разумеется, концепция ориентированного на риск внутреннего контроля описывает идеал, к которому нужно стремиться. Как же менеджерам и регулирующим органам оценить эффективность и адекватность системы внутреннего контроля?

Учитывая, что одним из основных постулатов COSO является прямая ответственность как совета директоров (т.е. органа, представляющего интересы владельцев и устанавливающего исходя из этого общие принципы деятельности предприятия), так и менеджмента (т.е. исполнительного органа предприятия и его руководителей) за создание и обеспечение эффективного осуществления внутреннего контроля, можно сказать, что система внутреннего контроля может быть признана эффективной только когда:

  • Утверждены и периодически пересматривается владельцами (Советом директоров) документы, устанавливающий стратегию и политику финансовой организации в области внутреннего контроля:
    • установлены основные виды деятельности организации
    • идентифицированы основные неотъемлемые риски, связанные с основными видами деятельности
    • установлены приемлемые уровни риска, который может (должен) принимать на себя организация и его подразделения для достижения поставленных целей
    • определены основные методы контроля и структура контроля, не позволяющие превысить установленные уровни риска
  • Утвержденная стратегия и политика внедряется менеджментом в практику на базе оценки рисков:
    • проводится идентификация, оценка и контроль внутренних и внешних факторов, которые могут неблагоприятно повлиять на достижение организацией поставленных целей (идентификация, мониторинг и контроль за рисками)
    • утверждена организационная структура и распределение полномочий
    • разрабатываются необходимые процедуры и процессы, направленные на выявление, отслеживание изменений и контроль за рисками
    • планируется и контролируется деятельность по мониторингу эффективности системы внутреннего контроля
    • в организации создана контрольная среда, которая выражает и демонстрирует персоналу всех уровней важность внутреннего контроля и соблюдения этических норм
  • Создана необходимая инфраструктура, позволяющая обеспечить эффективность контролей:
    • процедуры контроля реализуются на всех уровнях управления
    • осуществляются периодические проверки обеспечения соответствия всех областей деятельности установленным политикам и процедурам
    • обеспечивается встроенность мероприятий контроля в ежедневные операции
    • обеспечено разделение обязанностей и отсутствие конфликтов интересов при выполнении персоналом своих обязанностей
    • обеспечена адекватность, полнота и достоверность внешних рыночных данных о событиях, которые могут повлиять на принятие решений
    • обеспечена адекватность, полнота и достоверность финансовой и управленческой отчетности
    • обеспечено соответствие операций действующему законодательству
  • Созданы эффективные и безопасные каналы доведения информации :
    • весь персонал предупрежден о существующих политиках и процедурах, касающихся их обязанностей и ответственности
    • обеспечена адресация и быстрота доведения необходимой информацией до соответствующего персонала
    • обеспечено соответствие уровня информационных систем и всех видов деятельности организации
    • обеспечена безопасность информационных систем, осуществляется их периодическая проверка
  • Проводится независимый мониторинг эффективности системы внутреннего контроля:
    • проводится на ежедневной основе мониторинг наиболее рискованных операций
    • проводится оценка влияния на операции организации каждого вида риска по отдельности, и всеобъемлющая оценка риска с учетом существующих методов и мер контроля
    • обеспечено проведение эффективного и всеобъемлющего внутреннего аудита системы внутреннего контроля независимыми в функциональном отношении, адекватно подготовленными и компетентными сотрудниками
    • обеспечено своевременное доведение информации о недостатках внутреннего контроля до управляющих соответствующего уровня и ее правильная адресация,
    • обеспечено доведение до менеджмента и Совета директоров информации о существенных недостатках внутреннего контроля и оценка ее эффективности.

Таким образом, при определении эффективности и адекватности системы внутреннего контроля должны в первую очередь учитываться не конкретные формы, методы и технологии контроля, не количество людей, занятых контролем, количество проведенных ими проверок или выявленных ошибок, а действия (или бездействие) менеджмента и владельцев предприятия, направленные на встраивание внутреннего контроля во все бизнес-процессы, своевременную оценку рисков и эффективности мер контроля, применяемых для смягчения их воздействия. В этом смысле выявление недостатков или нарушений может являться сигналом о возможной проблеме, связанной с отсутствием или неправильной работой контроля, и этот сигнал требует глубокого анализа причин и понимания бизнес-процесса. А если после каждого выявленного нарушения требований нормативных документов, даже незначительного с точки зрения реального риска, упоминать о плохой работе службы внутреннего контроля, она лучше не заработает: согласно восточной пословице, «сколько не говори «халва» — во рту слаще не станет».

Для владельцев и менеджмента важно установить такие правила разработки процедур, которые не позволят выпустить на рынок новые услуги без учета всех неотъемлемых рисков и встраивания в процессы адекватных рискам мер контроля. Необходимо определить, будет ли персонал, осуществляющий функции независимого повседневного контроля, организационно входить в штат операционных подразделений, или должен быть выделен в отдельную структуру. Нужно определить такую линию подчинения внутреннего аудита, порядок и периодичность проведения им проверок и информирования о полученных результатах, чтобы обеспечить в рамках конкретной организации приемлемый уровень ее независимости, и при необходимости поддержать ее действия своим авторитетом.

И, в идеале, получить после проверки от регулирующего органа не перечень нарушенных пунктов инструкций и предписание о «приведении в соответствие», а квалифицированную оценку как специфических, относящихся к конкретной финансовой организации, так и системных рисков. Тогда и наказание может быть оправданным.

К сожалению, путь к идеалу еще далек. Поэтому и остается главным один вопрос: как скоро регулирующие органы смогут отойти от концепции тотального контроля и будут на практике применять к оценке эффективности внутреннего контроля финансовых организаций модель COSO и рекомендации Базельского комитета.


  1. В.И.Ленин (ПСС, т.36, с.178). Заголовки разделов являются цитатами из произведений и материалов В.И.Ленина, посвященных вопросам создания системы управления и контроля в Советской республике в 20-е годы прошлого столетия («Очередные задачи Советской власти», «Как нам реорганизовать Рабкрин», «Лучше меньше да лучше»). История развивается по спирали…
  2. Под «предприятием» здесь и далее понимается не завод или фабрика, а, согласно Далю, «…что предпринимается, самое дело», т.е. смысловой аналог англоязычного понятия business.
  3. см. русский перевод стандартов на сайте Российского отделения IIA: Стандарты
  4. В.И.Ленин (ПСС, т.45, с.447)
  5. Предпосылки, принятые во внимание COSO при разработке модели внутреннего контроля, цитируются по разделу «Key Concepts» на сайте www.coso.org в неофициальном переводе.
  6. Понятие «эффективность» в английском языке выражается двумя разными понятиями – «effectiveness» и «efficiency», причем первое относится более к целесообразности процесса, т.е. к способности достигать ожидаемых результатов, а второе – к способности оптимизировать затраты (ресурсы, денежные средства, время) т.е. к финансовой эффективности. COSO употребляет для описания эффективности оба понятия.
  7. Под финансовым контролем обычно понимается контроль финансовых и связанных с ними аспектов деятельности и управления компании с применением таких специфических форм и методов, как ведение главной бухгалтерской книги, открытие и использование счетов, подготовка финансовой и управленческой отчетности, подготовка бюджета и политики расходов компании или его подразделений и т.д. Возглавляет это направление деятельности компании Финансовый контролер, роль которого существенно отличается от роли Главного бухгалтера российских предприятий.
  8. Неофициальные переводы публикаций Базельского комитета №40 и 84 были рекомендованы Банком России кредитным организациям для использования в работе Письмами № 87-Т от 10.07.2001 и №59-Т от 13.05.2002 соответственно.
  9. В.И.Ленин (ПСС, т.45, с.442)

08.08.2017

Все ли операционные риски следует контролировать и предотвращать? Как оценить, что контрольные процедуры выполнены должным образом? Разбираемся с Андреем Коптеловым.

Если вам кажется, что у вас все под контролем, вы просто еще не набрали скорость.


Марио Андретти, участник гонок «Формула 1»

Пока гром не грянет, мужик не перекрестится, — эта пословица прекрасно описывает российскую специфику управления операционными рисками. К сожалению, наши компании нередко отличаются слабым уровнем работы с операционными рисками и полным отсутствием системы внутреннего контроля. Исправить данный недостаток можно, применяя к бизнес-процессам компании методологию американского законодательства SOX (Sarbanes-Oxley Act)

Что такое операционный риск

Операционный риск, можно определить как риск прямых или косвенных убытков в результате неверного исполнения бизнес-процессов, неэффективности процедур внутреннего контроля, технологических сбоев, мошенничества, несанкционированных действий персонала или внешнего воздействия.

Ключевой идеей системы управления операционными рисками является определение наиболее вероятных и серьезных в части ущерба рисков и последующее изменение существующих бизнес-процессов с целью недопущения реализации данных рисков или минимизации последствий в случае, если риск все-таки реализовался.

По статистике среднестатистическая компания теряет 5% прибыли только из-за мошенничества, тогда как потери из-за других видов операционных рисков в разы больше. Смысл системы управления операционными рисками хорошо иллюстрирует следующее определение: управление операционными рисками – это возможность не терять значительные деньги по незначительным поводам.

Многие операционные риски отличает от финансовых и кредитных рисков тот факт, что их источник лежит внутри самой организации. А, значит, вероятность реализации операционных рисков может быть снижена за счет устранения причин, их порождающих. Операционные риски в основном приводят к неоправданным потерям. Поэтому, в случае их обнаружения и устранения, компания получает ощутимую выгоду с точки зрения повышения качества внутренних бизнес-процессов и снижения неоправданных потерь.

Формализация операционных рисков

Формализация операционных рисков необходима для превентивного определения тех точек в бизнес-процессах, где с высокой вероятностью может произойти нештатное событие. Однако на практике некоторые российские компании даже в случае многократной реализации операционного риска так и не предпринимают никаких мер для исключения его в будущем.

Тут можно привести известный афоризм, что грабли бывают двух видов: первые чему-то учат, и вторые — мои любимые. Именно поэтому в рамках управления операционными рисками, помимо формализации операционных рисков в специальном реестре или даже в специализированной информационной системе, рекомендуется создавать базу убытков, чтобы заносить в нее случаи реализации рисков в компании, а также понесенный ущерб. Такая практика позволяет анализировать причины рисков и специальными мероприятиями снижать вероятность их реализации в будущем.

Первый шаг — создание реестра операционных рисков, вести который следует поручить экспертам из подразделений компании или внутренним аудиторам. А после того, как ключевые риски собраны, можно начать накапливать статистику по случаям их реализации, чтобы определить первоочередные мероприятия по их предотвращению.

Сложным вопросом в части выявления операционных рисков является доказательство полноты выявленных рисков, и тут наиболее просто использовать отраслевые реестры рисков, которые, как правило, собираются аудиторами. Использование отраслевых реестров операционных рисков позволяет выполнить формализацию операционных рисков в бизнес-процессах на порядок быстрее, чем использование экспертных методов сбора операционных рисков от своих сотрудников и руководителей.

Оценка операционных рисков

Учитывая, что в крупной компании количество операционных рисков может смело перевалить за тысячу, то нужен простой способ их оценки и ранжирования для определения наиболее критичных рисков, с которыми придется бороться в первую очередь.

Управление всеми найденными операционными рисками экономически невыгодно для компании. Проще смириться с убытками, которые вызывают риски с небольшим ущербом и низкой вероятностью реализации, чем проектировать и внедрять мероприятия по их предотвращению. Именно поэтому ключевой задачей оценки операционных рисков является отсечение тех рисков, которые с высокой степенью вероятности не оправдают дальнейших затрат на их предотвращение.

Существует множество подходов к оценке рисков, однако самым простым является экспертное ранжирование рисков по двум критериям: вероятность реализации риска и объем ущерба от случая реализации. Данная оценка производится на основании мнений экспертов, которые анализируют вероятность и ущерб для всех операционных рисков, актуальных для компании.

После того как оценка проведена, можно использовать четыре стратегии управления операционными рисками. Первая, самая применяемая в России, называется «принимать»: риски принимаются к сведению, но действия по их минимизации не планируются. Вторая стратегия — «страховать»: особенно часто эту стратегию используют для маловероятных рисков с серьезным ущербом. Третья стратегия называется «избегать»: в этому случае компания отказывается от рискованных бизнес-процессов, либо сосредоточивает максимальные усилия на оптимизации данных процессов в части снижения ущерба и его вероятности. Четвертая стратегия называется «предотвращать» и требует построения контрольных процедур для минимизации высоко вероятных рисков со средним или малым ущербом.

Построение системы внутреннего контроля

Для недопущения реализации рисков или минимизации последствий используется система внутреннего контроля, в рамках которой не только определяется ответственный за операционный риск, но и создается контрольная процедура, которая внедряется в существующий бизнес-процесс.

Контрольная процедура — это действие, которое помогает удостовериться, что все необходимые меры в отношении предотвращения случаев реализации операционных рисков приняты. При этом, чтобы проверить работоспособности контрольной процедуры, важно также получить свидетельство контроля — документальное подтверждение факта ее исполнения.

Наиболее результативными считаются превентивные контрольные процедуры, которые позволяют минимизировать саму вероятность наступления рискового события. Однако для повышения надежности бизнес-процесса их часто применяют одновременно с детективными процедурами. Например, наряду с процедурой изъятия карточки-пропуска при увольнении сотрудника должна существовать контрольная процедура сверки списка сотрудников, которым закрыт доступ по их карточкам-пропускам, со списком уволенных за определенный период.

Для создания контрольной процедуры в бизнес-процессе нужно ответить на следующие вопросы:

  • Когда и как часто выполняются процедуры контроля?
  • Кто выполняет контрольную процедуру?
  • Что необходимо выполнить в процедуре контроля?
  • Как понять, что процедура контроля выполнена правильно?
  • Как процедура контроля документирована?
  • Какие свидетельства выполнения процедуры контроля существуют?
  • Где расположены контрольные точки в бизнес-процессах?

При проектировании контрольной процедуры в обязательном порядке необходимо предусмотреть необходимость создания свидетельств контроля, подтверждающих факт правильного выполнения контрольной процедуры. На практике свидетельством контроля может являться акт сверки, log-файл информационной системы, — все то, что подтвердит факт успешного выполнения контрольной процедуры сотрудником или информационной системой.

При этом нужно учитывать, что ручной контроль требует серьезных трудозатрат, и поэтому автоматизация контрольных процедур является ключевым направлением развития системы внутреннего контроля в последнее время. Чем больше в компании автоматизированных контрольных процедур, результаты выполнения которых видны в log-файлах информационных систем, тем эффективнее и, главное, дешевле, система внутреннего контроля.

Тестирование эффективности системы внутреннего контроля

Чтобы быть уверенным в том, что система внутреннего контроля эффективна, необходимо с определенной периодичностью проверять, как на практике выполняются контрольные процедуры. Данная проверка осуществляется с помощью специализированных тестов, которые состоят из следующих шагов:

Сначала устанавливается наличие регламента, где определяется порядок, правила выполнения данного бизнес-процесса и соответствующих контрольных процедур.

Далее проверяется выполнение на практике требований, описанных в документе, и документируются конкретные примеры выполнения.

По результатам проведенного теста принимается решение об эффективности или неэффективности анализируемых контрольных процедур.

Дополнительной сложностью в тестировании является требование, чтобы тестирование выполнялось сотрудниками, не участвующими в проверяемых бизнес-процессах. Тысяча тестов, которые необходимо выполнить в течение месяца, — это нормальная ситуация для системы внутреннего контроля крупной компании. При этом количество проводимых тестов зависит от количества экземпляров бизнес-процессов, проходящих через проверяемую контрольную процедуру. Таким образом, периодичность проведения тестирования устанавливается в зависимости от критичности операционных рисков и частоты исполнения бизнес-процесса и может варьироваться.

В существующих условиях количество трансакций в деятельности крупной компании достигает сотен тысяч в день, а число операционных рисков превышает несколько сотен. При этом достаточно сложно отследить эффективность выполнения контрольных процедур на ручном уровне, поэтому единственным эффективным путем является максимальная автоматизация как контрольных процедур, так и проверочных тестов.

Почему нужно равняться на методологию SOX

Анализ разных подходов к построению систем внутреннего контроля показал, что максимально жесткой и проработанной в части внедрения является именно методология закона SOX, которая предназначена для минимизации нарушений, связанных с финансовой отчетностью. Только в системе внутреннего контроля, построенной по требованиям SOX, можно обнаружить не только контрольные процедуры и свидетельства контроля, но и специализированные тесты, с помощью которых в регулярном режиме проверяют эффективность работы контрольных процедур.

При этом вся система, помимо внутренних тестов, дополнительно контролируется внешним аудитором. Его задача — выборочно проверять не только качество оценки операционных рисков, но и правильность работы контрольных процедур, существование свидетельств контроля, а также регулярность внутреннего тестирования системы.

И хотя внедрение такого объема контрольных процедур и тестов часто слишком дорого для компании, в тех бизнес-процессах, над которыми нужно установить максимальный контроль, можно использовать методологию SOX в полном объеме.

Статья  http://www.e-xecutive.ru/management/practices/1985953-kak-postroit-sistemu-vnutrennego-kontrolya


Приглашаем вас на обучение по программе профессиональной переподготовки «Операционная эффективность бизнеса и совершенствование бизнес-процессов». ← Назад к списку

  • Ужасно красивый человек ошибка
  • Удлинить рабочий день лексическая ошибка
  • Удивляться юмором рассказчика ошибка
  • Ужасно красивый костюм какая ошибка
  • Удивленный решению где ошибка